IPV6实施部署案例PPT

IPv6网络规划与实施案例,目录,IPv6网络规划IPv6部署案例,2,2020/4/26,IPv6网络规划考虑IP地址规划,地址分配原则层次性：网络地址的分配应有层次，每个站点从CERNET分配的前缀都是48bit的，主机的前缀是64bit的，还有16bit可供分配子网使用。在层次化的分配后，路由前缀应当能够在汇聚层进行前缀汇聚。子网的划分可以根据物理位置，也可以根据功能进行划分。连续性：网络中子网地址的分配应具有连续性。可扩展性：在进行IP地址分配时，要考虑到后续的应用扩展，由于IPv6的地址空间巨大，所以相对于IPv4，IPv6网络的可扩展性的提高是巨大的。唯一性：分配给每一个网络设备的IP地址必须唯一。地址分配方式IPv6网络提供了多种地址分配的手段，在实际部署中，可以进行如下选择：建议部署DHCP有状态地址分配，以提高地址分配安全性及可靠性。在原有使用静态IPv4地址的站点，可以使用手工配置的IPv6地址，此地址可以通过IPv4地址生成，即将IPv4地址放入IPv6地址的低32bit。其余可以使用无状态自动地址分配。,3,2020/4/26,IPv6网络规划考虑路由协议规划,路由协议部署原则层次性：与IP地址分配相关，路由协议的规划也应该有层次性。协议中应包含骨干区域和非骨干区域，在区域间进行路由聚合，以减少路由表大小。可靠性：要考虑到网络动荡时路由的可靠性。可以通过合理规划多出口、多路径、区域划分等方式来达到。可扩展性：在进行协议规划时，要考虑到后续的路由扩展。通过网络划分、区域划分、路由度量值规划等实现。安全性：防止不必要的路由泄漏；路由协议自身的安全性。路由协议部署建议IPv6中提供了多种路由协议，在部署中可以进行如下选择：自治系统间建议部署BGP4或静态路由。自治系统内建议部署OSPFv3或ISISv6，根据情况进行区域划分。Stub网络建议部署静态路由或RIPng。,4,2020/4/26,IPv6网络规划考虑DNS规划,DNS规划原则可靠性：IPv4与IPv6中的DNS服务要分开，增强健壮性。可扩展性：尽量少用静态解析，多使用现有的DNS服务器资源。安全性：DNS服务器易遭受攻击，需重点保护。DNS部署建议DNS服务器部署：建立新的IPv6DNS服务器，增加IPv6域名记录；增加到IPv4DNS服务器和公网IPv6DNS服务器的迭代记录升级原有IPv4DNS服务器为双栈，增加相关IPv6域名记录部署NAT-PT，连接IPv4DNS服务器与IPv6DNS服务器DNS用户部署：向双栈及IPv6主机下发IPv6DNS服务器地址双栈主机由操作系统和应用程序决定使用IPv6还是IPv4DNS解析,5,2020/4/26,CERNET2,802.1x认证,802.1x认证,iMC-CAMS,接入用户认证：支持对网络接入的用户进行802.1X认证，以保证接入用户身份是可控的及可靠的。双栈用户处理：802.1x认证是基于链路层进行的，与网络层地址无关。在IPv6层面，客户端软件识别一个双栈用户的全球单播地址，并通过认证设备将其上传到认证服务器上。用户绑定：通过客户端将双栈用户的地址上传到服务器上，在服务器上能够将双栈用户的IPv4/IPv6地址进行绑定，提高了接入用户的可信性。适用于静态配置IPv4/IPv6用户地址的网络中。用户审计：通过记录双栈用户的登陆信息(用户名，双栈登陆地址，登陆时间等)，结合网流分析系统，能够对用户的上网情况进行审计。,IPv6网络规划考虑接入层安全规划,6,2020/4/26,安全管理平台,SecCenter,核心交换机,DMZ,数据中心,CERNET,CERNET2,SecBlade集成化防火墙,SecBlade集成化防火墙,汇聚层IPv6安全部署：利用H3CSecBlade插卡进行安全防御，结合H3CS95E及S75E实现安全一体化部署能够与原有的IPv4的安全策略共存IPv6的网络过滤也在双栈防火墙上部署，无需增加新的硬件设备，同时IPv6的过滤策略对IPv4网络不产生任何影响在防火墙上终结ISATAP，对隧道内的地址进行过滤，避免非法地址访问IPv6网络。,IPv6网络规划考虑汇聚层安全规划,出口防火墙,出口防火墙,7,2020/4/26,安全管理平台,SecCenter,出口防火墙,核心交换机,DMZ,数据中心,CERNET,CERNET2,SecBlade集成化防火墙,SecBlade集成化防火墙,互联网出口防御：利用双栈防火墙进行互联网出口防御。对非法的IPv6入站报文进行过滤。对IPv4的互联网流量，利用原有的防御规则。在防火墙上终结ISATAP，对隧道内的地址进行过滤，避免非法地址访问IPv6网络。在一些规模较小的网络中，也可以使用汇聚层防火墙插卡替代出口防火墙,IPv6网络规划考虑出口安全规划,出口防火墙,8,2020/4/26,目录,IPv6网络规划IPv6部署案例,9,2020/4/26,部署特点：IPv4/v6双栈千兆接入，核心万兆线速转发路由协议使用OSPF/OSPFv3,IPv6网络部署案例1整体说明,10,2020/4/26,IPv6地址设计：申请的IPv6地址：2001:DA8:E000:/48互联网段使用2001:DA8:E000:9000:/59。各设备间互连地址使用/64地址段。业务网段均使用/64地址段，采用无状态地址方式分配前缀；预留部分地址段以便于扩展。全网使用2001:DA8:E000:9040:/64作为设备管理地址(loopback地址),IPv6网络部署案例1IPv6地址规划,11,2020/4/26,IPv6路由设计：采用OSPFv3动态路由协议，同时汇聚层采用IPv6静态路由接入核心层OSPFv3区域编号与IPv4的OSPF区域编号保持一致OSPFv3使用的RouterID与OSPF相同,IPv6网络部署案例1IPv6路由规划,12,2020/4/26,现状：现用域名为。内部有DNS服务器，提供给内部用户解析使用外部DNS服务由中国万网提供，只解析IPv4地址,IPv6网络部署案例2DNS规划,13,2020/4/26,DNS服务器设计：外部IPv4DNS服务器（万网DNS服务器）负责、IP及其他外网IPv4域名解析内部IPv4DNS服务器负责内部IPv4用户的内部域名解析及其他域名解析的代理；上一级为外部IPv4DNS服务器内部IPv6DNS服务器负责内部IPv6用户的IP解析及其他域名解析的代理；上一级为CNGIIPv6DNS服务器CNGIIPv6DNS服务器负责IPv6用户除IP外的域名解析,IPv6网络部署案例2DNS规划,14,2020/4/26,用户DNS设计：内部部署有NAT-PT内部IPv4用户的DNS服务器地址为内部IPv4DNS服务器；内部双栈用户的DNS服务器地址为内部IPv4DNS服务器和内部IPv6DNS服务器地址；但访问时优先使用内部IPv4DNS服务器进行解析内部纯IPv6用户的DNS服务器地址为内部IPv6DNS服务器地址外部用户通过外部IPv4DNS服务器访问IP,IPv6网络部署案例2DNS规划,15,2020/4/26,由三层交换机通过无状态地址分配方式给一般用户分配IPv6前缀重要的iMC服务器及部分用户配置静态地址，并在相应端口进行静态绑定在接入层交换机S5100EI上配置NDDetection和NDSnooping特性，使交换机建立可信任转发表项，过滤攻击源在S5100EI上配置802.1x，与CAMS配合实现认证、计费、IPv6地址上传等,IPv6网络部署案例3整体说明,三层交换机分配IPv6前缀,CERNET2,S5100EI,一般用户,G1/0/1,G1/0/5,S5500,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,16,2020/4/26,配置了静态IPv6地址和MAC地址的绑定后，交换机只转发被绑定主机发送的ND及业务报文，过滤其它报文,CERNET2,S5100EI,正常用户,G1/0/1,G1/0/5,interfaceGigabitEthernet1/0/48ipv6sourcestaticbindingip-address2001:250:7401:3:2mac-address001f-16b3-519b,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,IPv6网络部署案例3静态地址防攻击,17,2020/4/26,配置了NDSnooping后，交换机根据最初接入主机的ND报文而建立可信任表项，只转发可信任表项中的主机发送的ND及业务报文，过滤其它报文可防止地址欺骗攻击、DAD攻击,IPv6网络部署案例3动态地址防攻击,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,vlan1ipv6ndsnoopingenable,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,18,2020/4/26,在端口上配置ND学习的数量，限制上送CPU的ND报文，减轻设备负担在网关上可以基于三层口配置，也可以基于物理端口配置,IPv6网络部署案例3防Dos攻击,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,5500-Vlan-interface1ipv6neighborsmax-learning-num?INTEGERThemax-learning-numunderoneinterface,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,19,2020/4/26,配置了NDdetection后，交换机只在Trust端口转发RA报文可防止人为网络连接错误、RA攻击,IPv6网络部署案例3RATrust,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,vlan1ipv6nddetectionenableinterfaceGigabitEthernet1/0/1ipv6nddetectiontrust,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,20,2020