項目五任務3IPv6網(wǎng)絡規(guī)劃課件

IPv6網(wǎng)絡規(guī)劃IPv6網(wǎng)絡規(guī)劃IPv6網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃極為相似，會規(guī)劃IPv4就會規(guī)劃IPv6？2IPv6網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃極為相似IPv6網(wǎng)絡規(guī)劃要點端口、系統(tǒng)命名IP地址規(guī)劃路由協(xié)議規(guī)劃安全規(guī)劃互連互通骨干網(wǎng)部署城域網(wǎng)部署鐵通CNGI規(guī)劃實例3IPv6網(wǎng)絡規(guī)劃要點3端口、系統(tǒng)命名按照局方規(guī)定確定端口描述包含：本地設備、端口號，遠端設備、端口號，帶寬類型，（傳輸編號）系統(tǒng)命名：地域位置、承載業(yè)務、序號4端口、系統(tǒng)命名按照局方規(guī)定確定4IP地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用的方便有效的管理網(wǎng)絡的問題，IPV6地址有128位，其中可供分配為網(wǎng)絡前綴的空間有64bit，按照最新的IPV6RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。普通網(wǎng)絡申請使用的IPv6地址，完全遵從前綴＋接口標識符的IP地址表示方法；WLAN的移動終端也是使用正常的IP地址分配方式，/32的地址數(shù)目是足夠使用的，為了保證未來3G、NGN等業(yè)務利用同一IPv6網(wǎng)絡，因此3G終端的地址空間最好在相同的地址中分配。5IP地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用的方便有效的IP地址規(guī)劃為了規(guī)劃IPv6地址，排除在站點使用的/48地址空間，因此能夠在網(wǎng)絡中分配的地址為48－32＝16比特。/65~/128間的地址區(qū)域?qū)儆阪溌窐俗R符空間，對于普通用戶一般不再這個區(qū)域劃分，由于網(wǎng)絡上的設備眾多，尤其是路由器等設備，一個端口就要占用一個地址段，因此在遵從RFC3513的基礎上，對于網(wǎng)絡設備的接口以及LoopBack地址，劃分到一個大網(wǎng)段中，在具體使用時，可以考慮/126作為網(wǎng)絡設備互聯(lián)接口間的地址，而直接在三層接入用戶的接口則不在這個區(qū)域內(nèi)，而是以用戶地址區(qū)域的地址段/64考慮。6IP地址規(guī)劃為了規(guī)劃IPv6地址，排除在站點使用的/48地址IP地址規(guī)劃由于IPV6的地址空間巨大，因此盡可能減少對路由表容量是非常重要的。IPv6地址分配主要根據(jù)兩個因素：地域和業(yè)務，有些網(wǎng)絡首先根據(jù)業(yè)務子網(wǎng)對地址進行劃分；有些網(wǎng)絡只根據(jù)地域進行地址劃分，其中的主要原因在于網(wǎng)絡開展的目的和應用不同。目前，為便于管理和保證地址空間分配的有效合理，部分運營商的IPv4網(wǎng)絡已經(jīng)在進行扁平化的改建，因此，IPV6網(wǎng)絡需要借鑒已有網(wǎng)絡扁平化的思路，采用大骨干網(wǎng)絡和大城域網(wǎng)絡相結合的扁平化思路建設，而不建議采用類似行政區(qū)劃的多級網(wǎng)絡地址分配方式。7IP地址規(guī)劃由于IPV6的地址空間巨大，因此盡可能減少對路由IP地址規(guī)劃骨干網(wǎng)絡應有足夠的連續(xù)地址組成獨立的自治域，并為今后的擴展留有余地。分配地址應連續(xù)，相鄰地區(qū)的地址也應連續(xù)。地址劃分應有層次性，便于網(wǎng)絡互聯(lián)，簡化路由表?？梢愿鶕?jù)當?shù)氐臉I(yè)務狀況、發(fā)展前景、當前地址資源等情況綜合考慮，分配給不同的IP地址容量，為了充分合理地利用地址資源，用可變長子網(wǎng)掩碼VLSM技術，分配IP地址網(wǎng)段。采用CIDR技術，減少路由表大小，加快路由收斂，并減少網(wǎng)絡中廣播的路由信息數(shù)量。8IP地址規(guī)劃骨干網(wǎng)絡應有足夠的連續(xù)地址組成獨立的自治域，并為IP地址規(guī)劃特殊地址兼容地址用于IPv6overIPv4自動隧道，0:0:0:0:0:0:IPv4-address，其高階96bits均為0，其低階32bits是一個IPv4地址。該IPv4地址必須是IPv4網(wǎng)絡中可達的IPv4地址，且不能是組播地址、廣播地址、環(huán)回地址或未指定的地址（0.0.0.0）。6to4地址2019:IPv4地址:子網(wǎng)ID::接口ID6to4地址的前綴是2019:IPv4地址，前綴長度為48bits

ISATAP隧道地址ISATAP隧道時，需要使用ISATAP格式地址，其結構如下：Prefix(64bit)::5EFE:IPv4-Address9IP地址規(guī)劃特殊地址9IP地址規(guī)劃與業(yè)務相關的設備（如：高端路由器、IP電話網(wǎng)關、IP電話網(wǎng)守、各種Internet服務器、防火墻、邊緣或接入路由器等設備）應分配給合法IP地址。VPN與采用VPN方式進行的服務可以在VPN內(nèi)部分配私有地址。為了保證網(wǎng)絡的發(fā)展，應私有一定數(shù)量的IP地址，當備用地址小于一定數(shù)量時應申請新的IP地址。10IP地址規(guī)劃10互連互通雙棧、隧道和協(xié)議轉換雙棧，在平滑過渡或者隧道端點使用。隧道，不會大規(guī)模部署，在IPv4海洋中互連IPv6孤島或者IPv6海洋中互連IPv4孤島。NAT-PT會較大規(guī)模部署從用戶發(fā)展的角度考慮，NAT-PT的容量不宜過小，建議采用千兆線速NAT-PTNAT-PT建設不宜過于集中，宜分散集中兩結合，在簡化維護管理和避免單點故障問題間取折中方案。11互連互通雙棧、隧道和協(xié)議轉換11路由部署策略路由優(yōu)先級順序修改為一致私網(wǎng)路由過濾對路由掩碼長度的限制控制接收的路由控制發(fā)布的路由Community屬性的傳遞對AS_path的控制（刪除私有as號，是否作為transit_as）鄰居加密快收斂措施缺省路由的發(fā)布RR的部署流量控制策略黑洞路由的必要性同一個AS內(nèi)部避免使用1套以上IGP動態(tài)路由協(xié)議12路由部署策略路由優(yōu)先級順序修改為一致12靜態(tài)路由規(guī)劃目的網(wǎng)段/掩碼下一跳出接口優(yōu)先級防止路由迭代13靜態(tài)路由規(guī)劃目的網(wǎng)段/掩碼13RIPng規(guī)劃協(xié)議優(yōu)先級，策略修改優(yōu)先級聚合、過濾缺省路由發(fā)布，強制發(fā)布鄰居加密快收斂措施定時器調(diào)整外部路由引入，可以設置引入的cost值等值路由當前支持6條接口的Cost值接口的附加花費值毒性逆轉水平分割多進程14RIPng規(guī)劃協(xié)議優(yōu)先級，策略修改優(yōu)先級14OSPFv3規(guī)劃ProcessID（1-65535），缺省為1，本地有效，隔離LSDBRouter-id，必須手工配置才能啟動OSPFv3，如果在同一臺路由器上運行了多個OSPFv3進程，必須為不同的進程指定不同的RouterID。為IPv4地址格式。Area-id，劃分區(qū)域的目的：減小LSDB大小，降低鏈路振蕩影響的范圍，便于路由聚合，減小路由表規(guī)模。區(qū)域類型:聚合、過濾等值路由缺省路由下發(fā)：強制、非強制配置為沉默端口，不同的進程可以對同一接口禁止收發(fā)OSPFv3報文，但silent-interface命令只對本進程已經(jīng)使能的OSPFv3接口起作用，不對其它進程的接口起作用。接口加密，區(qū)域加密。OSPFv3中不再有認證方面的信息。如果需要加密，可以使用IPv6中定義的IPAuthenticationHeader來實現(xiàn)快收斂措施，定時器調(diào)整，spf算法優(yōu)化，修改邏輯P2P的互連廣播鏈路的鏈路類型為P2P。外部路由的引入接口的COST值，自動計算對ABR的高要求COST值疊加的方向性選路規(guī)則15OSPFv3規(guī)劃ProcessID（1-65535），缺省ISISv6規(guī)劃AreaID采用電話區(qū)號（86.0020）System-id，仍然建議通過全球唯一的公網(wǎng)IPv4地址擴展。聚合、過濾等值路由缺省路由下發(fā)：強制、非強制配置為沉默端口，不同的進程可以對同一接口禁止收發(fā)ISIS報文，但silent-interface命令只對本進程已經(jīng)使能的ISIS接口起作用，不對其它進程的接口起作用。接口加密，路由域加密。一個區(qū)域中所有的路由器的驗證類型必須一致，一個網(wǎng)段中所有路由器的驗證字口令也必須一致?？焓諗看胧?，定時器調(diào)整，spf算法優(yōu)化，修改邏輯P2P的互連廣播鏈路的鏈路類型為P2P。外部路由的引入接口的COST值，自動計算對Leve1-leve2路由器的高要求COST值疊加的方向性選路規(guī)則16ISISv6規(guī)劃AreaID采用電話區(qū)號（86.00BGP+規(guī)劃在實現(xiàn)中，為了管理IPv6路由，BGP4+既可以在既有的IPv4Peer間傳播IPv6路由，也可以在純IPv6網(wǎng)絡中，建立IPv6Peer，傳播IPv6路由。路由通告原則BGP+屬性選路策略BGPdampingAS號劃分RR17BGP+規(guī)劃在實現(xiàn)中，為了管理IPv6路由，BGP4+既可以網(wǎng)絡安全－設備的安全措施流過濾和流分析配置安全SSH、Radius、Tacasc＋協(xié)議認證路由協(xié)議、網(wǎng)管18網(wǎng)絡安全－設備的安全措施流過濾和流分析18骨干網(wǎng)部署互連拓撲協(xié)議部署分擔策略路由接受策略路由發(fā)布策略地址規(guī)劃與IPv4的互通19骨干網(wǎng)部署互連拓撲19骨干網(wǎng)部署－互連拓撲核心層物理全連接、高帶寬接入層雙歸屬到核心層20骨干網(wǎng)部署－互連拓撲核心層物理全連接、高帶寬20骨干網(wǎng)部署－協(xié)議部署IGP選用ISISlevel2-only根據(jù)情況部署多級RR與城域網(wǎng)運行靜態(tài)路由與城域網(wǎng)運行IGP路由協(xié)議多進程與城域網(wǎng)運行EBGP，便于策略控制利用IGP下發(fā)缺省路由ISIS路由協(xié)議作為IGP協(xié)議，維護核心網(wǎng)本身的連通性，它僅承載骨干網(wǎng)的設備管理地址和內(nèi)部鏈路的路由。其它路由，如城域網(wǎng)路由、ipv6CPN路由、其他業(yè)務系統(tǒng)的路由，采用BGP承載。21骨干網(wǎng)部署－協(xié)議部署IGP選用ISISlevel2-only骨干網(wǎng)部署－分擔策略根據(jù)IGPCOST值實現(xiàn)分擔BGP負載分擔的三種方式LOOPBACK口建立BGP鄰居maximumload-balancingRR上修改下一跳（Anycastnexthop）通過MED、LP、AS_PATH等控制（很少使用）22骨干網(wǎng)部署－分擔策略根據(jù)IGPCOST值實現(xiàn)分擔22骨干網(wǎng)部署－路由接受策略只接受公網(wǎng)路由只接受規(guī)劃給對端的路由對接受路由掩碼長度的要求接受城域網(wǎng)發(fā)送的BGP屬性（控制接受BGP屬性，強制修改為默認值）23骨干網(wǎng)部署－路由接受策略23骨干網(wǎng)部署－路由發(fā)布策略骨干網(wǎng)不始發(fā)路由，只傳遞路由（除非大客戶直接接入骨干網(wǎng)），完成城域網(wǎng)的互連互通只通告公網(wǎng)路由規(guī)定通告的路由掩碼長度傳遞BGP屬性24骨干網(wǎng)部署－路由發(fā)布策略骨干網(wǎng)不始發(fā)路由，只傳遞路由（除非大骨干網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，全網(wǎng)LOOPBACK地址連續(xù)，并預留合適的地址段，網(wǎng)絡層次越高的地址選用LOOPBACK地址越小。必須使用Global單播地址?；ミB地址規(guī)劃，如果是邏輯點對點鏈路，選用126位掩碼，盡量不使用站點本地地址。用戶業(yè)務網(wǎng)段地址，2種思路：先地域后業(yè)務，先業(yè)務后地域。由于IPv6地址的海量供應，長遠考慮應該是先地域后業(yè)務更合適。NAT-PT地址池一個AS號內(nèi)的地址段盡量連續(xù)，便于公網(wǎng)路由發(fā)布的聚合，從而減少核心網(wǎng)路由條目。25骨干網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，骨干網(wǎng)部署－與IPv4互通集中設置NAT-PT網(wǎng)關，冗余設置分布設置NAT-PT網(wǎng)關，分擔互通流量，起到備份效果26骨干網(wǎng)部署－與IPv4互通26城域網(wǎng)部署互連拓撲協(xié)議部署分擔策略路由接受策略路由發(fā)布策略地址規(guī)劃與IPv4的互通27城域網(wǎng)部署互連拓撲27城域網(wǎng)部署－互連拓撲出口盡量部署冗余鏈路根據(jù)當前流量和預期選用合適帶寬28城域網(wǎng)部署－互連拓撲28城域網(wǎng)部署－協(xié)議部署根據(jù)城域網(wǎng)規(guī)模和出口設備支持情況與骨干網(wǎng)間運行靜態(tài)路由與骨干網(wǎng)間運行IGP路由，使用多進程隔離與骨干網(wǎng)間運行EBGP，便于部署策略內(nèi)部使用ISISlevel2-only與其他設備29城域網(wǎng)部署－協(xié)議部署根據(jù)城域網(wǎng)規(guī)模和出口設備支持情況29城域網(wǎng)部署－分擔策略通過路由策略或者策略路由的部署，達到流量鏈路均擔的目的，盡量避免主備鏈路（除非鏈路帶寬差別較大）30城域網(wǎng)部署－分擔策略30城域網(wǎng)部署－與IPv4的互通初期通過骨干網(wǎng)NATPT網(wǎng)關的集中設置，達到互訪的目的隨著互訪流量增大，每個城域網(wǎng)要單獨部署NATPT，只負責本城域網(wǎng)的轉換需求31城域網(wǎng)部署－與IPv4的互通31城域網(wǎng)部署－路由接受策略接受骨干網(wǎng)下發(fā)的缺省路由接受骨干網(wǎng)通過BGP下發(fā)的運營商內(nèi)部匯總路由接受骨干網(wǎng)通過BGP下發(fā)的所有屬性不接受其他AS發(fā)送的缺省路由指定接受路由的特點（掩碼長度、前綴網(wǎng)段、BGP屬性等）32城域網(wǎng)部署－路由接受策略接受骨干網(wǎng)下發(fā)的缺省路由32城域網(wǎng)部署－路由發(fā)布策略要承擔以所發(fā)布路由為目的地址的數(shù)據(jù)轉發(fā)的職責如果發(fā)布了非始發(fā)于自身的網(wǎng)段要承擔Transit的責任只發(fā)布始發(fā)于自己的網(wǎng)段只發(fā)布全球單播地址給骨干網(wǎng)不發(fā)布任何鏈路本地地址不發(fā)布站點本地地址通過BGP攜帶Community屬性通過發(fā)布BGP策略影響骨干AS的流量模型33城域網(wǎng)部署－路由發(fā)布策略要承擔以所發(fā)布路由為目的地址的數(shù)據(jù)轉城域網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，全網(wǎng)LOOPBACK地址連續(xù)，并預留合適的地址段，網(wǎng)絡層次越高的地址選用LOOPBACK地址越小。互連地址規(guī)劃，如果是邏輯點對點鏈路，選用126位掩碼，盡量不使用站點本地地址用戶業(yè)務網(wǎng)段地址，2種思路：先地域后業(yè)務，先業(yè)務后地域。由于IPv6地址的海量供應，長遠考慮應該是先地域后業(yè)務更合適。NAT-PT地址池34城域網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，鐵通CNGI規(guī)劃核心(NE5000E)匯聚(NE5000E)匯聚(NE5000E)網(wǎng)關(NE5000E)接入(NE40-8)接入(NE40-8)2.5GPOS10GEGEFE教育網(wǎng)互連中心北京節(jié)點沈陽節(jié)點Gi2/0/0Gi2/0/0POS1/0/1POS1/0/0POS1/0/0POS1/0/0POS1/0/3Gi2/0/0Gi2/0/0Gi1/0/0Gi2/0/0Gi2/0/0

中國鐵通CNGI北京節(jié)點拓撲圖35鐵通CNGI規(guī)劃核心(NE5000E)匯聚(NE5000E)

IP總體規(guī)劃分布情況IPV6地址規(guī)劃：IPV4公網(wǎng)地址規(guī)劃：北京：221.174.34.0-221.174.35.255北京節(jié)點loopback地址范圍：221.174.34.0-221.174.34.63北京節(jié)點設備互連地址范圍：221.174.34.64-221.174.34.127剩余地址范圍：221.174.34.128-221.174.35.255LoopBack地址范圍是2019：0E08：：0000：：/64~2019：0E08：：00FF：：/64；POP內(nèi)互聯(lián)地址范圍是2019：0E08：：0100：：/64~2019：0E08：：01FF：：/64；網(wǎng)內(nèi)互聯(lián)地址范圍是2019：0E08：：0200：：/64~2019：0E08：：02FF：：/64；網(wǎng)外互聯(lián)地址范圍是2019：0E08：：03000：：/64~2019：0E08：：03FF：：/64；POP內(nèi)LAN地址范圍是2019：0E08：：0400：：/64~2019：0E08：：04FF：：/64；36IP總體規(guī)劃分布情況IPV6地址規(guī)劃：IPV4公網(wǎng)地址規(guī)劃loopback&ISISNETID：

IP總體規(guī)劃分布情況路由器ipv6地址/128ipv4地址/32isisnetid（根據(jù)真實AS和ipv4地址調(diào)整）北京核心路由器2019：0E08：2000:1::1221.174.34.186.XXXX.2211.7403.4001.00北京網(wǎng)關路由器2019：0E08：2000:1::2221.174.34.286.XXXX.2211.7403.4002.00北京匯聚路由器12019：0E08：2000:1::3221.174.34.386.XXXX.2211.7403.4003.00北京匯聚路由器22019：0E08：2000:1::4221.174.34.486.XXXX.2211.7403.4004.00北京接入路由器12019：0E08：2100:1::1221.174.34.586.XXXX.2211.7403.4005.00北京接入路由器22019：0E08：2100:1::2221.174.34.686.XXXX.2211.7403.4006.0037loopback&ISISNETID：IP總體規(guī)劃2019：0E08：2101：：/48鐵科院2019：0E08：2102：：/48北方交通大學cpn地址：

IP總體規(guī)劃分布情況382019：0E08：2101：：/48鐵科院IPv6網(wǎng)絡發(fā)展展望骨干網(wǎng)先于城域網(wǎng)完成搭建和互連互通（各國IPv6骨干網(wǎng)），因此IPv6孤島通過IPv4海洋隧道互通情況少。網(wǎng)絡部署重點在協(xié)議轉換，根據(jù)流量的大小和設備的處理性能，選擇IPv6與IPv4的協(xié)議轉換位置（集中設置－>分散設置）。NAT-PT的重要性，從IPv6業(yè)務和網(wǎng)絡的開始、發(fā)展、對等貫穿到IPv4的消亡。雙棧是IPv4向IPv6網(wǎng)絡平滑割接的必須技術隨著基于IPv6的應用的發(fā)展和基于IPv4的應用的擴展，當IPv6核心網(wǎng)與IPv4業(yè)務網(wǎng)網(wǎng)間的業(yè)務量增大時，可以在對應IPv4的業(yè)務網(wǎng)與IPv6核心網(wǎng)之間設置高帶寬的直達物理電路，同時在IPv4業(yè)務網(wǎng)中局部使用雙協(xié)議棧技術，將IPv4網(wǎng)絡中重要的應用直接使用IPv6協(xié)議，為IPv6網(wǎng)中的用戶提供服務。39IPv6網(wǎng)絡發(fā)展展望骨干網(wǎng)先于城域網(wǎng)完成搭建和互連互通（各國IPv6網(wǎng)絡發(fā)展展望防攻擊配置IP地址欺騙，為了獲得訪問權，入侵者生成一個帶有偽造源地址的報文,Land攻擊，把TCPSYN包的源地址和目標地址都設置成受害者的IP地址。Smurf攻擊，簡單的Smurf攻擊，用來攻擊一個網(wǎng)絡。方法是發(fā)ICMP應答請求，該請求包的目標地址設置為受害網(wǎng)絡的廣播地址，這樣該網(wǎng)絡的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡阻塞。高級的Smurf攻擊，主要用來攻擊目標主機。方法是將上述ICMP應答請求包的源地址改為受害主機的地址，最終導致受害主機雪崩。攻擊報文的發(fā)送需要一定的流量和持續(xù)時間，才能真正構成攻擊。理論上講，網(wǎng)絡的主機越多，攻擊的效果越明顯SYSflood攻擊由于資源的限制，TCP/IP棧的實現(xiàn)只能允許有限個TCP連接。而SYNFlood攻擊正是利用這一點，它偽造一個SYN報文，其源地址是偽造的、或者一個不存在的地址，向服務器發(fā)起連接，服務器在收到報文后用SYN-ACK應答，而此應答發(fā)出去后，不會收到ACK報文，造成一個半連接。ICMP、UDPflood攻擊地址掃描、端口掃描ICMP重定向、不可達報文攻擊網(wǎng)絡設備向同一個子網(wǎng)的主機發(fā)送ICMP重定向報文，請求主機改變路由。一些惡意的攻擊可能跨越網(wǎng)段向另外一個網(wǎng)絡的主機發(fā)送虛假的重定向報文，以期改變主機的路由表，干擾主機正常的IP報文轉發(fā)。有的系統(tǒng)在收到網(wǎng)絡（代碼為0）或主機（代碼為1）不可達的ICMP報文后，對于后續(xù)發(fā)往此目的地的報文直接認為不可達，好像切斷了目的地與主機的連接，造成攻擊。

40IPv6網(wǎng)絡發(fā)展展望防攻擊配置40IPv6網(wǎng)絡發(fā)展展望QOS部署組播部署IPV6BGPMPLSVPN流量工程移動IPv6Netstream部署41IPv6網(wǎng)絡發(fā)展展望QOS部署41IPv6網(wǎng)絡規(guī)劃IPv6網(wǎng)絡規(guī)劃IPv6網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃極為相似，會規(guī)劃IPv4就會規(guī)劃IPv6？43IPv6網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃與IPv4網(wǎng)絡規(guī)劃極為相似IPv6網(wǎng)絡規(guī)劃要點端口、系統(tǒng)命名IP地址規(guī)劃路由協(xié)議規(guī)劃安全規(guī)劃互連互通骨干網(wǎng)部署城域網(wǎng)部署鐵通CNGI規(guī)劃實例44IPv6網(wǎng)絡規(guī)劃要點3端口、系統(tǒng)命名按照局方規(guī)定確定端口描述包含：本地設備、端口號，遠端設備、端口號，帶寬類型，（傳輸編號）系統(tǒng)命名：地域位置、承載業(yè)務、序號45端口、系統(tǒng)命名按照局方規(guī)定確定4IP地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用的方便有效的管理網(wǎng)絡的問題，IPV6地址有128位，其中可供分配為網(wǎng)絡前綴的空間有64bit，按照最新的IPV6RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。普通網(wǎng)絡申請使用的IPv6地址，完全遵從前綴＋接口標識符的IP地址表示方法；WLAN的移動終端也是使用正常的IP地址分配方式，/32的地址數(shù)目是足夠使用的，為了保證未來3G、NGN等業(yè)務利用同一IPv6網(wǎng)絡，因此3G終端的地址空間最好在相同的地址中分配。46IP地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用的方便有效的IP地址規(guī)劃為了規(guī)劃IPv6地址，排除在站點使用的/48地址空間，因此能夠在網(wǎng)絡中分配的地址為48－32＝16比特。/65~/128間的地址區(qū)域?qū)儆阪溌窐俗R符空間，對于普通用戶一般不再這個區(qū)域劃分，由于網(wǎng)絡上的設備眾多，尤其是路由器等設備，一個端口就要占用一個地址段，因此在遵從RFC3513的基礎上，對于網(wǎng)絡設備的接口以及LoopBack地址，劃分到一個大網(wǎng)段中，在具體使用時，可以考慮/126作為網(wǎng)絡設備互聯(lián)接口間的地址，而直接在三層接入用戶的接口則不在這個區(qū)域內(nèi)，而是以用戶地址區(qū)域的地址段/64考慮。47IP地址規(guī)劃為了規(guī)劃IPv6地址，排除在站點使用的/48地址IP地址規(guī)劃由于IPV6的地址空間巨大，因此盡可能減少對路由表容量是非常重要的。IPv6地址分配主要根據(jù)兩個因素：地域和業(yè)務，有些網(wǎng)絡首先根據(jù)業(yè)務子網(wǎng)對地址進行劃分；有些網(wǎng)絡只根據(jù)地域進行地址劃分，其中的主要原因在于網(wǎng)絡開展的目的和應用不同。目前，為便于管理和保證地址空間分配的有效合理，部分運營商的IPv4網(wǎng)絡已經(jīng)在進行扁平化的改建，因此，IPV6網(wǎng)絡需要借鑒已有網(wǎng)絡扁平化的思路，采用大骨干網(wǎng)絡和大城域網(wǎng)絡相結合的扁平化思路建設，而不建議采用類似行政區(qū)劃的多級網(wǎng)絡地址分配方式。48IP地址規(guī)劃由于IPV6的地址空間巨大，因此盡可能減少對路由IP地址規(guī)劃骨干網(wǎng)絡應有足夠的連續(xù)地址組成獨立的自治域，并為今后的擴展留有余地。分配地址應連續(xù)，相鄰地區(qū)的地址也應連續(xù)。地址劃分應有層次性，便于網(wǎng)絡互聯(lián)，簡化路由表?？梢愿鶕?jù)當?shù)氐臉I(yè)務狀況、發(fā)展前景、當前地址資源等情況綜合考慮，分配給不同的IP地址容量，為了充分合理地利用地址資源，用可變長子網(wǎng)掩碼VLSM技術，分配IP地址網(wǎng)段。采用CIDR技術，減少路由表大小，加快路由收斂，并減少網(wǎng)絡中廣播的路由信息數(shù)量。49IP地址規(guī)劃骨干網(wǎng)絡應有足夠的連續(xù)地址組成獨立的自治域，并為IP地址規(guī)劃特殊地址兼容地址用于IPv6overIPv4自動隧道，0:0:0:0:0:0:IPv4-address，其高階96bits均為0，其低階32bits是一個IPv4地址。該IPv4地址必須是IPv4網(wǎng)絡中可達的IPv4地址，且不能是組播地址、廣播地址、環(huán)回地址或未指定的地址（0.0.0.0）。6to4地址2019:IPv4地址:子網(wǎng)ID::接口ID6to4地址的前綴是2019:IPv4地址，前綴長度為48bits

ISATAP隧道地址ISATAP隧道時，需要使用ISATAP格式地址，其結構如下：Prefix(64bit)::5EFE:IPv4-Address50IP地址規(guī)劃特殊地址9IP地址規(guī)劃與業(yè)務相關的設備（如：高端路由器、IP電話網(wǎng)關、IP電話網(wǎng)守、各種Internet服務器、防火墻、邊緣或接入路由器等設備）應分配給合法IP地址。VPN與采用VPN方式進行的服務可以在VPN內(nèi)部分配私有地址。為了保證網(wǎng)絡的發(fā)展，應私有一定數(shù)量的IP地址，當備用地址小于一定數(shù)量時應申請新的IP地址。51IP地址規(guī)劃10互連互通雙棧、隧道和協(xié)議轉換雙棧，在平滑過渡或者隧道端點使用。隧道，不會大規(guī)模部署，在IPv4海洋中互連IPv6孤島或者IPv6海洋中互連IPv4孤島。NAT-PT會較大規(guī)模部署從用戶發(fā)展的角度考慮，NAT-PT的容量不宜過小，建議采用千兆線速NAT-PTNAT-PT建設不宜過于集中，宜分散集中兩結合，在簡化維護管理和避免單點故障問題間取折中方案。52互連互通雙棧、隧道和協(xié)議轉換11路由部署策略路由優(yōu)先級順序修改為一致私網(wǎng)路由過濾對路由掩碼長度的限制控制接收的路由控制發(fā)布的路由Community屬性的傳遞對AS_path的控制（刪除私有as號，是否作為transit_as）鄰居加密快收斂措施缺省路由的發(fā)布RR的部署流量控制策略黑洞路由的必要性同一個AS內(nèi)部避免使用1套以上IGP動態(tài)路由協(xié)議53路由部署策略路由優(yōu)先級順序修改為一致12靜態(tài)路由規(guī)劃目的網(wǎng)段/掩碼下一跳出接口優(yōu)先級防止路由迭代54靜態(tài)路由規(guī)劃目的網(wǎng)段/掩碼13RIPng規(guī)劃協(xié)議優(yōu)先級，策略修改優(yōu)先級聚合、過濾缺省路由發(fā)布，強制發(fā)布鄰居加密快收斂措施定時器調(diào)整外部路由引入，可以設置引入的cost值等值路由當前支持6條接口的Cost值接口的附加花費值毒性逆轉水平分割多進程55RIPng規(guī)劃協(xié)議優(yōu)先級，策略修改優(yōu)先級14OSPFv3規(guī)劃ProcessID（1-65535），缺省為1，本地有效，隔離LSDBRouter-id，必須手工配置才能啟動OSPFv3，如果在同一臺路由器上運行了多個OSPFv3進程，必須為不同的進程指定不同的RouterID。為IPv4地址格式。Area-id，劃分區(qū)域的目的：減小LSDB大小，降低鏈路振蕩影響的范圍，便于路由聚合，減小路由表規(guī)模。區(qū)域類型:聚合、過濾等值路由缺省路由下發(fā)：強制、非強制配置為沉默端口，不同的進程可以對同一接口禁止收發(fā)OSPFv3報文，但silent-interface命令只對本進程已經(jīng)使能的OSPFv3接口起作用，不對其它進程的接口起作用。接口加密，區(qū)域加密。OSPFv3中不再有認證方面的信息。如果需要加密，可以使用IPv6中定義的IPAuthenticationHeader來實現(xiàn)快收斂措施，定時器調(diào)整，spf算法優(yōu)化，修改邏輯P2P的互連廣播鏈路的鏈路類型為P2P。外部路由的引入接口的COST值，自動計算對ABR的高要求COST值疊加的方向性選路規(guī)則56OSPFv3規(guī)劃ProcessID（1-65535），缺省ISISv6規(guī)劃AreaID采用電話區(qū)號（86.0020）System-id，仍然建議通過全球唯一的公網(wǎng)IPv4地址擴展。聚合、過濾等值路由缺省路由下發(fā)：強制、非強制配置為沉默端口，不同的進程可以對同一接口禁止收發(fā)ISIS報文，但silent-interface命令只對本進程已經(jīng)使能的ISIS接口起作用，不對其它進程的接口起作用。接口加密，路由域加密。一個區(qū)域中所有的路由器的驗證類型必須一致，一個網(wǎng)段中所有路由器的驗證字口令也必須一致。快收斂措施，定時器調(diào)整，spf算法優(yōu)化，修改邏輯P2P的互連廣播鏈路的鏈路類型為P2P。外部路由的引入接口的COST值，自動計算對Leve1-leve2路由器的高要求COST值疊加的方向性選路規(guī)則57ISISv6規(guī)劃AreaID采用電話區(qū)號（86.00BGP+規(guī)劃在實現(xiàn)中，為了管理IPv6路由，BGP4+既可以在既有的IPv4Peer間傳播IPv6路由，也可以在純IPv6網(wǎng)絡中，建立IPv6Peer，傳播IPv6路由。路由通告原則BGP+屬性選路策略BGPdampingAS號劃分RR58BGP+規(guī)劃在實現(xiàn)中，為了管理IPv6路由，BGP4+既可以網(wǎng)絡安全－設備的安全措施流過濾和流分析配置安全SSH、Radius、Tacasc＋協(xié)議認證路由協(xié)議、網(wǎng)管59網(wǎng)絡安全－設備的安全措施流過濾和流分析18骨干網(wǎng)部署互連拓撲協(xié)議部署分擔策略路由接受策略路由發(fā)布策略地址規(guī)劃與IPv4的互通60骨干網(wǎng)部署互連拓撲19骨干網(wǎng)部署－互連拓撲核心層物理全連接、高帶寬接入層雙歸屬到核心層61骨干網(wǎng)部署－互連拓撲核心層物理全連接、高帶寬20骨干網(wǎng)部署－協(xié)議部署IGP選用ISISlevel2-only根據(jù)情況部署多級RR與城域網(wǎng)運行靜態(tài)路由與城域網(wǎng)運行IGP路由協(xié)議多進程與城域網(wǎng)運行EBGP，便于策略控制利用IGP下發(fā)缺省路由ISIS路由協(xié)議作為IGP協(xié)議，維護核心網(wǎng)本身的連通性，它僅承載骨干網(wǎng)的設備管理地址和內(nèi)部鏈路的路由。其它路由，如城域網(wǎng)路由、ipv6CPN路由、其他業(yè)務系統(tǒng)的路由，采用BGP承載。62骨干網(wǎng)部署－協(xié)議部署IGP選用ISISlevel2-only骨干網(wǎng)部署－分擔策略根據(jù)IGPCOST值實現(xiàn)分擔BGP負載分擔的三種方式LOOPBACK口建立BGP鄰居maximumload-balancingRR上修改下一跳（Anycastnexthop）通過MED、LP、AS_PATH等控制（很少使用）63骨干網(wǎng)部署－分擔策略根據(jù)IGPCOST值實現(xiàn)分擔22骨干網(wǎng)部署－路由接受策略只接受公網(wǎng)路由只接受規(guī)劃給對端的路由對接受路由掩碼長度的要求接受城域網(wǎng)發(fā)送的BGP屬性（控制接受BGP屬性，強制修改為默認值）64骨干網(wǎng)部署－路由接受策略23骨干網(wǎng)部署－路由發(fā)布策略骨干網(wǎng)不始發(fā)路由，只傳遞路由（除非大客戶直接接入骨干網(wǎng)），完成城域網(wǎng)的互連互通只通告公網(wǎng)路由規(guī)定通告的路由掩碼長度傳遞BGP屬性65骨干網(wǎng)部署－路由發(fā)布策略骨干網(wǎng)不始發(fā)路由，只傳遞路由（除非大骨干網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，全網(wǎng)LOOPBACK地址連續(xù)，并預留合適的地址段，網(wǎng)絡層次越高的地址選用LOOPBACK地址越小。必須使用Global單播地址?；ミB地址規(guī)劃，如果是邏輯點對點鏈路，選用126位掩碼，盡量不使用站點本地地址。用戶業(yè)務網(wǎng)段地址，2種思路：先地域后業(yè)務，先業(yè)務后地域。由于IPv6地址的海量供應，長遠考慮應該是先地域后業(yè)務更合適。NAT-PT地址池一個AS號內(nèi)的地址段盡量連續(xù)，便于公網(wǎng)路由發(fā)布的聚合，從而減少核心網(wǎng)路由條目。66骨干網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，骨干網(wǎng)部署－與IPv4互通集中設置NAT-PT網(wǎng)關，冗余設置分布設置NAT-PT網(wǎng)關，分擔互通流量，起到備份效果67骨干網(wǎng)部署－與IPv4互通26城域網(wǎng)部署互連拓撲協(xié)議部署分擔策略路由接受策略路由發(fā)布策略地址規(guī)劃與IPv4的互通68城域網(wǎng)部署互連拓撲27城域網(wǎng)部署－互連拓撲出口盡量部署冗余鏈路根據(jù)當前流量和預期選用合適帶寬69城域網(wǎng)部署－互連拓撲28城域網(wǎng)部署－協(xié)議部署根據(jù)城域網(wǎng)規(guī)模和出口設備支持情況與骨干網(wǎng)間運行靜態(tài)路由與骨干網(wǎng)間運行IGP路由，使用多進程隔離與骨干網(wǎng)間運行EBGP，便于部署策略內(nèi)部使用ISISlevel2-only與其他設備70城域網(wǎng)部署－協(xié)議部署根據(jù)城域網(wǎng)規(guī)模和出口設備支持情況29城域網(wǎng)部署－分擔策略通過路由策略或者策略路由的部署，達到流量鏈路均擔的目的，盡量避免主備鏈路（除非鏈路帶寬差別較大）71城域網(wǎng)部署－分擔策略30城域網(wǎng)部署－與IPv4的互通初期通過骨干網(wǎng)NATPT網(wǎng)關的集中設置，達到互訪的目的隨著互訪流量增大，每個城域網(wǎng)要單獨部署NATPT，只負責本城域網(wǎng)的轉換需求72城域網(wǎng)部署－與IPv4的互通31城域網(wǎng)部署－路由接受策略接受骨干網(wǎng)下發(fā)的缺省路由接受骨干網(wǎng)通過BGP下發(fā)的運營商內(nèi)部匯總路由接受骨干網(wǎng)通過BGP下發(fā)的所有屬性不接受其他AS發(fā)送的缺省路由指定接受路由的特點（掩碼長度、前綴網(wǎng)段、BGP屬性等）73城域網(wǎng)部署－路由接受策略接受骨干網(wǎng)下發(fā)的缺省路由32城域網(wǎng)部署－路由發(fā)布策略要承擔以所發(fā)布路由為目的地址的數(shù)據(jù)轉發(fā)的職責如果發(fā)布了非始發(fā)于自身的網(wǎng)段要承擔Transit的責任只發(fā)布始發(fā)于自己的網(wǎng)段只發(fā)布全球單播地址給骨干網(wǎng)不發(fā)布任何鏈路本地地址不發(fā)布站點本地地址通過BGP攜帶Community屬性通過發(fā)布BGP策略影響骨干AS的流量模型74城域網(wǎng)部署－路由發(fā)布策略要承擔以所發(fā)布路由為目的地址的數(shù)據(jù)轉城域網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，全網(wǎng)LOOPBACK地址連續(xù)，并預留合適的地址段，網(wǎng)絡層次越高的地址選用LOOPBACK地址越小?；ミB地址規(guī)劃，如果是邏輯點對點鏈路，選用126位掩碼，盡量不使用站點本地地址用戶業(yè)務網(wǎng)段地址，2種思路：先地域后業(yè)務，先業(yè)務后地域。由于IPv6地址的海量供應，長遠考慮應該是先地域后業(yè)務更合適。NAT-PT地址池75城域網(wǎng)部署－地址規(guī)劃LOOPBACK地址，選用128位掩碼，鐵通CNGI規(guī)劃核心(NE5000E)匯聚(NE5000E)匯聚(NE5000E)網(wǎng)關(NE5000E)接入(NE40-8)接入(NE40-8)2.5GPOS10GEGEFE教育網(wǎng)互連中心北京節(jié)點沈陽節(jié)點Gi2/0/0Gi2/0/0POS1/0/1POS1/0/0POS1/0/0POS1/0/0POS1/0/3Gi2/0/0Gi2/0/0Gi1/0/0Gi2/0/0Gi2/0/0

中國鐵通CNGI北京節(jié)點拓撲圖76鐵通CNGI規(guī)劃核心(NE5000E)匯聚(NE5000E)

IP總體規(guī)劃分布情況IPV6地址規(guī)劃：IPV4公網(wǎng)地址規(guī)劃：北京：221.174.34.0-221.174.35.255北京節(jié)點loopback地址范圍：221.174.34.0-221.174.34.63北京節(jié)點設備互連地址范圍：221.174.34.64-221.174.34.127剩余地址范圍：221.174.34.128-221.174.35.255LoopBack地址范圍是2019：0E08：：0000：：/64~2019：0E08：：00FF：：/64；POP內(nèi)互聯(lián)地址范圍是2019：0E08：：0100：：/64~2019：0E08：：01FF：：/64；網(wǎng)內(nèi)互聯(lián)地址范圍是2019：0E08：：0200：：/64~2019：0E08：：02FF：：/64；網(wǎng)外互聯(lián)地址范圍是2019：0E08：：03000：：/64~2019：0E08：：03FF：：/64；POP內(nèi)LAN地址范圍是2019：0E08：：0400：：/64~2019：0E08：：04FF：：/64；77IP總體規(guī)劃分布情況IPV6地址規(guī)劃：IPV4公網(wǎng)地址規(guī)劃loopback&ISISNETID：

IP總體規(guī)劃分布情況路由器ipv6地址/128ipv4地址/32isisnetid（根據(jù)真實AS和ipv4地址調(diào)整）北京核心路由器2019：0E08：2000:1::1221.174.34.186.XXXX.2211.7403.4001.00北京網(wǎng)關路由器2019：0E08：