IPV6实施部署案例-PPT.ppt

1、IPv6网络规划与实施案例网络规划与实施案例目录目录nIPv6网络规划网络规划nIPv6部署案例部署案例IPv6IPv6网络规划考虑网络规划考虑IPIP地址规划地址规划l地址分配原则层次性层次性：网络地址的分配应有层次，每个站点从CERNET分配的前缀都是48bit的，主机的前缀是64bit的，还有16bit可供分配子网使用。在层次化的分配后，路由前缀应当能够在汇聚层进行前缀汇聚。子网的划分可以根据物理位置，也可以根据功能进行划分。连续性连续性：网络中子网地址的分配应具有连续性。可扩展性可扩展性：在进行IP地址分配时，要考虑到后续的应用扩展，由于IPv6的地址空间巨大，所以相对于IPv4，IP

2、v6网络的可扩展性的提高是巨大的。唯一性唯一性：分配给每一个网络设备的IP地址必须唯一。l地址分配方式 IPv6网络提供了多种地址分配的手段，在实际部署中，可以进行如下选择：建议部署DHCP有状态地址分配，以提高地址分配安全性及可靠性。在原有使用静态IPv4地址的站点，可以使用手工配置的IPv6地址，此地址可以通过IPv4地址生成，即将IPv4地址放入IPv6地址的低32bit。其余可以使用无状态自动地址分配。IPv6IPv6网络规划考虑网络规划考虑路由协议规划路由协议规划l路由协议部署原则层次性层次性：与IP地址分配相关，路由协议的规划也应该有层次性。协议中应包含骨干区域和非骨干区域，在区域

3、间进行路由聚合，以减少路由表大小。可靠性可靠性：要考虑到网络动荡时路由的可靠性。可以通过合理规划多出口、多路径、区域划分等方式来达到。可扩展性可扩展性：在进行协议规划时，要考虑到后续的路由扩展。通过网络划分、区域划分、路由度量值规划等实现。安全性安全性：防止不必要的路由泄漏；路由协议自身的安全性。l路由协议部署建议路由协议部署建议 IPv6中提供了多种路由协议，在部署中可以进行如下选择：自治系统间建议部署BGP4或静态路由。自治系统内建议部署OSPFv3或ISISv6，根据情况进行区域划分。Stub网络建议部署静态路由或RIPng。IPv6IPv6网络规划考虑网络规划考虑DNSDNS规划规划l

4、DNS规划原则可靠性可靠性：IPv4与IPv6中的DNS服务要分开，增强健壮性。可可扩展性扩展性：尽量少用静态解析，多使用现有的DNS服务器资源。安全性安全性：DNS服务器易遭受攻击，需重点保护。lDNSDNS部署建议部署建议 DNS服务器部署：建立新的IPv6DNS服务器，增加IPv6域名记录；增加到IPv4DNS服务器和公网IPv6DNS服务器的迭代记录升级原有IPv4DNS服务器为双栈，增加相关IPv6域名记录部署NAT-PT，连接IPv4DNS服务器与IPv6DNS服务器DNS用户部署：向双栈及IPv6主机下发IPv6DNS服务器地址双栈主机由操作系统和应用程序决定使用IPv6还是IP

5、v4DNS解析CERNETCERNETCERNET2CERNET2802.1x认证802.1x认证iMC-CAMSn接入用户认证接入用户认证：支持对网络接入的用户进行802.1X认证，以保证接入用户身份是可控的及可靠的。n双栈用户处理双栈用户处理：802.1x认证是基于链路层进行的，与网络层地址无关。在IPv6层面，客户端软件识别一个双栈用户的全球单播地址，并通过认证设备将其上传到认证服务器上。n用户绑定用户绑定：通过客户端将双栈用户的地址上传到服务器上，在服务器上能够将双栈用户的IPv4/IPv6地址进行绑定，提高了接入用户的可信性。适用于静态配置IPv4/IPv6用户地址的网络中。n用户审

6、计用户审计：通过记录双栈用户的登陆信息(用户名，双栈登陆地址，登陆时间等)，结合网流分析系统，能够对用户的上网情况进行审计。IPv6IPv6网络规划考虑网络规划考虑接入接入层层安全规划安全规划安全管理平台安全管理平台SecCenterSecCenter核心交换机核心交换机DMZDMZ数据中心数据中心CERNETCERNETCERNET2CERNET2SecBladeSecBlade集成化防火墙集成化防火墙SecBladeSecBlade集成化防火墙集成化防火墙n汇聚层汇聚层IPv6IPv6安全部署安全部署：n利用H3C SecBlade插卡进行安全防御，结合H3C S95E及S75E实现安全一

7、体化部署n能够与原有的IPv4的安全策略共存nIPv6的网络过滤也在双栈防火墙上部署，无需增加新的硬件设备，同时IPv6的过滤策略对IPv4网络不产生任何影响n在防火墙上终结ISATAP，对隧道内的地址进行过滤，避免非法地址访问IPv6网络。IPv6IPv6网络规划考虑网络规划考虑汇聚汇聚层层安全规划安全规划出口防火墙出口防火墙出口防火墙出口防火墙安全管理平台安全管理平台SecCenterSecCenter出口防火墙出口防火墙核心交换机核心交换机DMZDMZ数据中心数据中心CERNETCERNETCERNET2CERNET2SecBladeSecBlade集成化防火墙集成化防火墙SecBlad

8、eSecBlade集成化防火墙集成化防火墙n互联网出口防御互联网出口防御：n利用双栈防火墙进行互联网出口防御。对非法的IPv6入站报文进行过滤。n对IPv4的互联网流量，利用原有的防御规则。n在防火墙上终结ISATAP，对隧道内的地址进行过滤，避免非法地址访问IPv6网络。n在一些规模较小的网络中，也可以使用汇聚层防火墙插卡替代出口防火墙IPv6IPv6网络规划考虑网络规划考虑出口安全规划出口安全规划出口防火墙出口防火墙目录目录nIPv6网络规划网络规划nIPv6部署案例部署案例n部署特点部署特点：nIPv4/v6双栈n千兆接入，核心万兆线速转发n路由协议使用OSPF/OSPFv3IPv6IP

9、v6网络部署案例网络部署案例1 1整体说明整体说明nIPv6地址设计：n申请的IPv6地址：2001:DA8:E000:/48n互联网段使用2001:DA8:E000:9000:/59。各设备间互连地址使用/64地址段。n业务网段均使用/64地址段，采用无状态地址方式分配前缀；预留部分地址段以便于扩展。n全网使用2001:DA8:E000:9040:/64作为设备管理地址(loopback地址)IPv6IPv6网络部署案例网络部署案例1 1IPv6IPv6地址规划地址规划编号编号设备名称设备名称本端端口本端端口互联互联IPV6地址地址所连设备名称所连设备名称VLAN IDVLAN ID对端端口

10、对端端口互联互联IPV6地址地址1CNGI_Yuquan_S12508TG2/0/4TG2/0/42001:DA8:E000:9001:1/64CNGI_Zijingang_S12508100TG3/0/42001:DA8:E000:9001:2/642TG2/0/5TG2/0/52001:DA8:E000:9002:1/64YQ_Caozhu_603_S7503101TG2/0/1TG2/0/12001:DA8:E000:9002:2/643TG2/0/6TG2/0/62001:DA8:E000:9003:1/64YQ_CaoDong_310_S7503102TG2/0/1TG2/0/120

11、01:DA8:E000:9003:2/644TG2/0/7TG2/0/72001:DA8:E000:9004:1/64YQ_jiaoshiyi_301_S7503103TG2/0/1TG2/0/12001:DA8:E000:9004:2/645G4/0/47G4/0/472001:DA8:E000:9005:1/64YQ_jiaoshiyi_400_S5500104TGTG2001:DA8:E000:9005:2/646G4/0/45G4/0/452001:DA8:E000:9006:1/64YQ_jiaoyi_320-1_S5500105TGTG2001:DA8:E000:9006:2/64

12、7G4/0/29G4/0/292001:DA8:E000:9007:1/64YQ_Tushuguan_215_S5500106G1/0/49G1/0/492001:DA8:E000:9007:2/648G4/0/31G4/0/312001:DA8:E000:9008:1/64YQ_Tushuguan_201_S5500107G1/0/49G1/0/492001:DA8:E000:9008:2/649TG2/0/8TG2/0/82001:DA8:E000:9:2/64清华比威清华比威IPV6出口出口10002001:DA8:E000:9:1/6410CNGI_Zijingang_S12508TG

13、3/0/5TG3/0/52001:DA8:E000:9010:1/64ZJG_CAD_411_S7503301TG2/0/1TG2/0/12001:DA8:E000:9010:2/6411TG3/0/6TG3/0/62001:DA8:E000:9011:1/64ZJG_Dongsan_301_S5500302G1/0/49G1/0/492001:DA8:E000:9011:2/64nIPv6路由设计：n采用OSPF v3动态路由协议，同时汇聚层采用IPv6静态路由接入核心层nOSPFv3区域编号与IPv4的OSPF区域编号保持一致nOSPFv3使用的Router ID与OSPF相同IPv6IP

14、v6网络部署案例网络部署案例1 1IPv6IPv6路由规划路由规划n现状：n现用域名为。内部有DNS服务器，提供给内部用户解析使用n外部DNS服务由中国万网 提供，只解析IPv4地址IPv6IPv6网络部署案例网络部署案例2 2DNSDNS规划规划nDNS服务器设计：n外部IPv4DNS服务器（万网DNS服务器）负责、IP及其他外网IPv4域名解析n内部IPv4DNS服务器负责内部IPv4用户的内部域名解析及其他域名解析的代理；上一级为外部IPv4DNS服务器n 内部IPv6DNS服务器负责内部IPv6用户的IP解析及其他域名解析的代理；上一级为CNGIIPv6DNS服务器n CNGIIPv6

15、DNS服务器负责IPv6用户除IP外的域名解析IPv6IPv6网络部署案例网络部署案例2 2DNSDNS规划规划n用户DNS设计：n内部部署有NAT-PTn内部IPv4用户的DNS服务器地址为内部IPv4DNS服务器；n 内部双栈用户的DNS服务器地址为内部IPv4DNS服务器和内部IPv6DNS服务器地址；但访问时优先使用内部IPv4DNS服务器进行解析n 内部纯IPv6用户的DNS服务器地址为内部IPv6DNS服务器地址n 外部用户通过外部IPv4DNS服务器访问IPIPv6IPv6网络部署案例网络部署案例2 2DNSDNS规划规划p由三层交换机通过无状态地址分配方式给一般用户分配IPv6

16、前缀p重要的iMC服务器及部分用户配置静态地址，并在相应端口进行静态绑定p在接入层交换机S5100EI上配置ND Detection和ND Snooping特性，使交换机建立可信任转发表项，过滤攻击源p在S5100EI上配置802.1x，与CAMS配合实现认证、计费、IPv6地址上传等IPv6IPv6网络部署案例网络部署案例3 3整体说明整体说明三层交换机分配IPv6前缀CERNET2CERNET2S5100S5100EI EI一般用户一般用户G1/0/1G1/0/5S5500S5500iMC2001:250:7401:3:100网管网管客户端客户端2001:250:7401:3:2p配置了静

17、态IPv6地址和MAC地址的绑定后，交换机只转发被绑定主机发送的ND及业务报文，过滤其它报文CERNET2CERNET2S5100S5100EI EI正常用户正常用户G1/0/1G1/0/5interface GigabitEthernet1/0/48 ipv6 source static binding ip-address 2001:250:7401:3:2 mac-address 001f-16b3-519bCERNET2CERNET2iMC2001:250:7401:3:100网管网管客户端客户端2001:250:7401:3:2攻击攻击源源S5500S5500IPv6IPv6网络部署

18、案例网络部署案例3 3静态地址防攻击静态地址防攻击p配置了ND Snooping后，交换机根据最初接入主机的ND报文而建立可信任表项，只转发可信任表项中的主机发送的ND及业务报文，过滤其它报文p可防止地址欺骗攻击、DAD攻击IPv6IPv6网络部署案例网络部署案例3 3动态动态地址防攻击地址防攻击S5100S5100EI EI正常用户正常用户G1/0/1G1/0/5CERNET2CERNET2vlan 1 ipv6 nd snooping enableCERNET2CERNET2iMC2001:250:7401:3:100网管网管客户端客户端2001:250:7401:3:2攻击攻击源源S55

19、00S5500p在端口上配置ND学习的数量，限制上送CPU的ND报文，减轻设备负担p在网关上可以基于三层口配置，也可以基于物理端口配置IPv6IPv6网络部署案例网络部署案例3 3防防DosDos攻击攻击S5100S5100EI EI正常用户正常用户G1/0/1G1/0/5CERNET2CERNET25500-Vlan-interface1ipv6 neighbors max-learning-num?INTEGER The max-learning-num under one interfaceCERNET2CERNET2iMC2001:250:7401:3:100网管网管客户端客户端200

20、1:250:7401:3:2攻击攻击源源S5500S5500p配置了ND detection后，交换机只在Trust端口转发RA报文p可防止人为网络连接错误、RA攻击IPv6IPv6网络部署案例网络部署案例3 3RA RA TrustTrustS5100S5100EI EI正常用户正常用户G1/0/1G1/0/5CERNET2CERNET2vlan 1 ipv6 nd detection enableinterface GigabitEthernet1/0/1 ipv6 nd detection trustCERNET2CERNET2iMC2001:250:7401:3:100网管网管客户端客户端2001:250:7401:3:2攻击攻击源源S5500S5500p采用802.1x认证可降低攻击风险p在CAMS上配置IPv6地址绑定，可限定一个登录用户只能使用指定的一个或多个IPv6地址，否则不予接入网络。p在CAMS上可查看到用户的IPv6地址IPv6IPv6网络部署案例网络部署案例3 3接入用户认证接入用户认证S5100S5100EI EI正常用户正常用户G1/0/1G1/0/5CERNET2CERNET2iMC2001:250:7401:3:100网管网管客户端客户端2001:250:7401:3:2S5500S5500