IPV6实施部署案例.ppt

IPv6网络规划与实施案例 目录 IPv6网络规划IPv6部署案例 IPv6网络规划考虑 IP地址规划 地址分配原则层次性 网络地址的分配应有层次 每个站点从CERNET分配的前缀都是48bit的 主机的前缀是64bit的 还有16bit可供分配子网使用 在层次化的分配后 路由前缀应当能够在汇聚层进行前缀汇聚 子网的划分可以根据物理位置 也可以根据功能进行划分 连续性 网络中子网地址的分配应具有连续性 可扩展性 在进行IP地址分配时 要考虑到后续的应用扩展 由于IPv6的地址空间巨大 所以相对于IPv4 IPv6网络的可扩展性的提高是巨大的 唯一性 分配给每一个网络设备的IP地址必须唯一 地址分配方式IPv6网络提供了多种地址分配的手段 在实际部署中 可以进行如下选择 建议部署DHCP有状态地址分配 以提高地址分配安全性及可靠性 在原有使用静态IPv4地址的站点 可以使用手工配置的IPv6地址 此地址可以通过IPv4地址生成 即将IPv4地址放入IPv6地址的低32bit 其余可以使用无状态自动地址分配 IPv6网络规划考虑 路由协议规划 路由协议部署原则层次性 与IP地址分配相关 路由协议的规划也应该有层次性 协议中应包含骨干区域和非骨干区域 在区域间进行路由聚合 以减少路由表大小 可靠性 要考虑到网络动荡时路由的可靠性 可以通过合理规划多出口 多路径 区域划分等方式来达到 可扩展性 在进行协议规划时 要考虑到后续的路由扩展 通过网络划分 区域划分 路由度量值规划等实现 安全性 防止不必要的路由泄漏 路由协议自身的安全性 路由协议部署建议IPv6中提供了多种路由协议 在部署中可以进行如下选择 自治系统间建议部署BGP4 或静态路由 自治系统内建议部署OSPFv3或ISISv6 根据情况进行区域划分 Stub网络建议部署静态路由或RIPng IPv6网络规划考虑 DNS规划 DNS规划原则可靠性 IPv4与IPv6中的DNS服务要分开 增强健壮性 可扩展性 尽量少用静态解析 多使用现有的DNS服务器资源 安全性 DNS服务器易遭受攻击 需重点保护 DNS部署建议DNS服务器部署 建立新的IPv6DNS服务器 增加IPv6域名记录 增加到IPv4DNS服务器和公网IPv6DNS服务器的迭代记录升级原有IPv4DNS服务器为双栈 增加相关IPv6域名记录部署NAT PT 连接IPv4DNS服务器与IPv6DNS服务器DNS用户部署 向双栈及IPv6主机下发IPv6DNS服务器地址双栈主机由操作系统和应用程序决定使用IPv6还是IPv4DNS解析 CERNET2 802 1x认证 802 1x认证 iMC CAMS 接入用户认证 支持对网络接入的用户进行802 1X认证 以保证接入用户身份是可控的及可靠的 双栈用户处理 802 1x认证是基于链路层进行的 与网络层地址无关 在IPv6层面 客户端软件识别一个双栈用户的全球单播地址 并通过认证设备将其上传到认证服务器上 用户绑定 通过客户端将双栈用户的地址上传到服务器上 在服务器上能够将双栈用户的IPv4 IPv6地址进行绑定 提高了接入用户的可信性 适用于静态配置IPv4 IPv6用户地址的网络中 用户审计 通过记录双栈用户的登陆信息 用户名 双栈登陆地址 登陆时间等 结合网流分析系统 能够对用户的上网情况进行审计 IPv6网络规划考虑 接入层安全规划 安全管理平台 SecCenter 核心交换机 DMZ 数据中心 CERNET CERNET2 SecBlade集成化防火墙 SecBlade集成化防火墙 汇聚层IPv6安全部署 利用H3CSecBlade插卡进行安全防御 结合H3CS95E及S75E实现安全一体化部署能够与原有的IPv4的安全策略共存IPv6的网络过滤也在双栈防火墙上部署 无需增加新的硬件设备 同时IPv6的过滤策略对IPv4网络不产生任何影响在防火墙上终结ISATAP 对隧道内的地址进行过滤 避免非法地址访问IPv6网络 IPv6网络规划考虑 汇聚层安全规划 出口防火墙 出口防火墙 安全管理平台 SecCenter 出口防火墙 核心交换机 DMZ 数据中心 CERNET CERNET2 SecBlade集成化防火墙 SecBlade集成化防火墙 互联网出口防御 利用双栈防火墙进行互联网出口防御 对非法的IPv6入站报文进行过滤 对IPv4的互联网流量 利用原有的防御规则 在防火墙上终结ISATAP 对隧道内的地址进行过滤 避免非法地址访问IPv6网络 在一些规模较小的网络中 也可以使用汇聚层防火墙插卡替代出口防火墙 IPv6网络规划考虑 出口安全规划 出口防火墙 目录 IPv6网络规划IPv6部署案例 部署特点 IPv4 v6双栈千兆接入 核心万兆线速转发路由协议使用OSPF OSPFv3 IPv6网络部署案例1 整体说明 IPv6地址设计 申请的IPv6地址 2001 DA8 E000 48互联网段使用2001 DA8 E000 9000 59 各设备间互连地址使用 64地址段 业务网段均使用 64地址段 采用无状态地址方式分配前缀 预留部分地址段以便于扩展 全网使用2001 DA8 E000 9040 64作为设备管理地址 loopback地址 IPv6网络部署案例1 IPv6地址规划 IPv6路由设计 采用OSPFv3动态路由协议 同时汇聚层采用IPv6静态路由接入核心层OSPFv3区域编号与IPv4的OSPF区域编号保持一致OSPFv3使用的RouterID与OSPF相同 IPv6网络部署案例1 IPv6路由规划 现状 现用域名为 内部有DNS服务器 提供给内部用户解析使用外部DNS服务由中国万网提供 只解析IPv4地址 IPv6网络部署案例2 DNS规划 DNS服务器设计 外部IPv4DNS服务器 万网DNS服务器 负责 IP及其他外网IPv4域名解析内部IPv4DNS服务器负责内部IPv4用户的内部域名解析及其他域名解析的代理 上一级为外部IPv4DNS服务器内部IPv6DNS服务器负责内部IPv6用户的IP解析及其他域名解析的代理 上一级为CNGIIPv6DNS服务器CNGIIPv6DNS服务器负责IPv6用户除IP外的域名解析 IPv6网络部署案例2 DNS规划 用户DNS设计 内部部署有NAT PT内部IPv4用户的DNS服务器地址为内部IPv4DNS服务器 内部双栈用户的DNS服务器地址为内部IPv4DNS服务器和内部IPv6DNS服务器地址 但访问时优先使用内部IPv4DNS服务器进行解析内部纯IPv6用户的DNS服务器地址为内部IPv6DNS服务器地址外部用户通过外部IPv4DNS服务器访问IP IPv6网络部署案例2 DNS规划 由三层交换机通过无状态地址分配方式给一般用户分配IPv6前缀重要的iMC服务器及部分用户配置静态地址 并在相应端口进行静态绑定在接入层交换机S5100 EI上配置NDDetection和NDSnooping特性 使交换机建立可信任转发表项 过滤攻击源在S5100 EI上配置802 1x 与CAMS配合实现认证 计费 IPv6地址上传等 IPv6网络部署案例3 整体说明 三层交换机分配IPv6前缀 CERNET2 S5100 EI 一般用户 G1 0 1 G1 0 5 S5500 iMC2001 250 7401 3 100 网管客户端2001 250 7401 3 2 配置了静态IPv6地址和MAC地址的绑定后 交换机只转发被绑定主机发送的ND及业务报文 过滤其它报文 CERNET2 S5100 EI 正常用户 G1 0 1 G1 0 5 interfaceGigabitEthernet1 0 48ipv6sourcestaticbindingip address2001 250 7401 3 2mac address001f 16b3 519b CERNET2 iMC2001 250 7401 3 100 网管客户端2001 250 7401 3 2 攻击源 S5500 IPv6网络部署案例3 静态地址防攻击 配置了NDSnooping后 交换机根据最初接入主机的ND报文而建立可信任表项 只转发可信任表项中的主机发送的ND及业务报文 过滤其它报文可防止地址欺骗攻击 DAD攻击 IPv6网络部署案例3 动态地址防攻击 S5100 EI 正常用户 G1 0 1 G1 0 5 CERNET2 vlan1ipv6ndsnoopingenable CERNET2 iMC2001 250 7401 3 100 网管客户端2001 250 7401 3 2 攻击源 S5500 在端口上配置ND学习的数量 限制上送CPU的ND报文 减轻设备负担在网关上可以基于三层口配置 也可以基于物理端口配置 IPv6网络部署案例3 防Dos攻击 S5100 EI 正常用户 G1 0 1 G1 0 5 CERNET2 5500 Vlan interface1 ipv6neighborsmax learning num INTEGERThemax learning numunderoneinterface CERNET2 iMC2001 250 7401 3 100 网管客户端2001 250 7401 3 2 攻击源 S5500 配置了NDdetection后 交换机只在Trust端口转发RA报文可防止人为网络连接错误 RA攻击 IPv6网络部署案例3 RATrust S5100 EI 正常用户 G1 0 1 G1 0 5 CERNET2 vlan1ipv6nddetectionenableinterfaceGigabitEthernet1 0 1ipv6nddetectiontrust CERNET2 iMC2001 250 7401 3 100 网管客户端2001 250