1、部署IPv6网络的思路探讨及对安全因素的考虑,锐捷网络 王立仁2006年5月26日,浙江省网络技术专委会,提纲,前言部署方法简论双栈Tunnel附录:参考材料,前言,IPv6标准的发展进程操作系统对IPv6的支持状况国家对发展IPv6的推动作用仁人志士对IPv6的关心呵护,IPv6标准的发展进程1,1993年12月,RFC1553, 请求研究Next IP,1994年12月,RFC1726, 确定了IPv6标准的梗概,1998年12月, RFC 2460 在RFC1883的基础上,形成了标准,1995年12月,RFC1883,形成了IPv6的基本特征,IPv6标准的发展进程2,在2006年3月
2、30日,更新了一批协议。地址分配和管理RFC3513RFC4291ICMPv6RFC2461、RFC2462、RFC2463DNSDHCPv6RFC3513支持IPv6 路由协议OSPFv3,RIPNG,BGP4,IS-ISv6Mobile IPv6 移动IP2004年6月,RFC 3775Transition 转换Network Management 网络管理,操作系统的支持,不提供IPv6功能,需手工安装IPv6,核心协议支持好,功能不完善,默认安装,IPv6功能全面,DHCPv6, IPSec, MIPv6 等等2007年初发行,需要打补丁,提供非常有限的IPv6功能,并且不易使用,完善
3、了Linux对IPv6的支持通过USAGI 开发团队(1998/03)UniverSAl playGround for Ipv6 http:/www.linux-ipv6.org/ 完善了BSD对IPv6的支持通过Kame 开发团队(1998/032006/03)完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。已经融入到各种BSD的代码库中HP-UX11i和 IBM AIX,Linux和BSD,国家对发展IPv6的支持,2005年10月:中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。,胡锦涛总书记2006年1月考察锐捷网络,赞赏锐捷网络IPv6研发中的创
4、新能力。,能人志士对IPv6的推动,比如我们浙江网络技术专委会比如我们这次与会代表,提纲,前言部署方法简论双栈Tunnel附录:参考材料,部署方法简论,部署方法考虑要素,IPv4 IPv6,IPv6的部署,部署方式有很多种,到底什么样的过渡方式是最适合企业网、尤其是高校校园网的呢?,双栈,协议转换,隧 道,部署时考虑的要素,领导(政策)的支持费用的高低 操作的复杂性性能的高低已有的IPv4 NAT,隧道方式,6to4用于主机与路由器、路由器与路由器、路由器与主机之间的沟通ISATAPIntra-Site Automatic Tunnel Addressing Protocol (ISATAP)
5、 站内自动隧道地址协议方便灵活,容易部署,不影响Configured Tunnels手工配置管理工作量大Tunnel Broker自动灵活系统压力大6over4IPv4网络需要支持组播功能DSTMTeredo6PE,协议转换,NAT-PT需要ALGApplication Layer GatewaySIITBIABISSocksTRT,优先考虑的部署方式,Dual-Stack6to4+ISATAPConfigured TunnelsTunnel BrokerDSTM6PESIITBIABISNAT-PT,避免使用的方式,Teredo部署复杂,管理困难,破坏路由汇聚6over4(Virtual E
6、thernet)*破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用高Socks基于NEC的私有协议.,提纲,前言部署方法简论双栈Tunnel附录:参考材料,双栈形式,StarView,GSN系统 SAM系统,S6810E,S6810E,RG-S6806E,S2150G,S2126G,各教学科研办公楼栋,RG-S3760-12SFP/GT,S2150G,各学生宿舍楼栋,RG-S6806E教学科研办公区域,RG-S6806E学生宿舍区域,RG-WALL1500,RSR-04E/M7i,CERNET2,千兆光纤,千兆电缆,百兆电缆,图例:,万兆链路,内部服务器,CERNET,Chinanet
7、2,S2126G,Chinanet1,RG-S3760-12SFP/GT,S3760-12SFP/GT,WWW FTP VOD DNS for IPv6,实现简单,互通性好,同时使用IPv4和IPv6 地址;双栈节点可以同时与IPv6和IPv4互通;对各种应用支持;允许应用逐渐从IPv4过渡到IPv6;,RSR-08E/M10i,安全考虑,IGMPv3中的ND欺骗类似与IPv4中ARP欺骗、ARP病毒IPSec能勇挑重任吗?先有鸡 or 先有蛋?你能把自己拉出地球吗?IP源地址欺骗被扫描探测的可能性降低264NMAP甚至不支持IPv6地址扫描功能SixXS的影响通过v6网络进入v4网络进行非法
8、操作路由器哄骗,SixXS的影响,通过IPv6网络访问IPv4网络 http:/www.sixxs.org,如何解决,启用IPv4中被广泛应用的802.1x认证。比如锐捷网络SAM系统接入层交换机抑制非法设备的“路由宣告”。比如锐捷网络的21交换机,提纲,前言部署方法简论双栈Tunnel附录:参考材料,6to4+ISATAP隧道方式,StarView,GSN系统 SAM系统,核心交换机,核心交换机,服务器群交换机,二层交换机,二层交换机,各教学科研办公楼栋,RG-S3550-12SFP/GT,二层交换机,各学生宿舍楼栋,教学科研办公区域,学生宿舍区域,RG-WALL1500,RSR-04E/M
9、7i,CERNET2,千兆光纤,千兆电缆,百兆电缆,图例:,万兆链路,内部服务器,CERNET,Chinanet2,二层交换机,Chinanet1,RG-S3550-12SFP/GT,S3760-12SFP/GT,WWW FTP VOD DNS,使用6to4ISATAP充分利用现有设备组网;骨干设备无需升级;额外配置隧道,效率有所降低;,RSR-08E/M10i,安全考虑,网络设备 6to4 Relay Router没有身份验证机制Relay Router被当做傀儡机对其他设备发动DoS攻击网络终端通过IPv6网络进入IPv4网络进行破坏信息安全(Sixxs),提纲,前言部署方法简论双栈Tun
10、nel附录:参考材料,参考材料来源,IETF 与IPv6相关的工作组http:/www.ietf.org/html.charters/ipv6-charters.htmlhttp:/www.ietf.org/html.charters/ngtrans-charter.htmlhttp:/www.ietf.org/html.charters/v6ops-charter.htmlMicrosofthttp:/ IPv6FreeBSDhttp:/http:/Linuxhttp:/锐捷网络IPv6配置文档http:/IPv6 Forumhttp:/www.ipv6forum.orgSixxs, http:/www.sixxs.org,谢谢欢迎到锐捷网络指导工作王立仁 13911251107wanglrstar-,浙江省网络技术专委会,?,
