IPV6實施部署案例_第1頁
IPV6實施部署案例_第2頁
IPV6實施部署案例_第3頁
IPV6實施部署案例_第4頁
IPV6實施部署案例_第5頁
已閱讀5頁,還剩17頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

IPv6網(wǎng)絡(luò)規(guī)劃與實施案例目錄IPv6網(wǎng)絡(luò)規(guī)劃IPv6部署案例IPv6網(wǎng)絡(luò)規(guī)劃考慮—IP地址規(guī)劃地址分配原則層次性:網(wǎng)絡(luò)地址的分配應(yīng)有層次,每個站點從CERNET分配的前綴都是48bit的,主機的前綴是64bit的,還有16bit可供分配子網(wǎng)使用。在層次化的分配后,路由前綴應(yīng)當能夠在匯聚層進行前綴匯聚。子網(wǎng)的劃分可以根據(jù)物理位置,也可以根據(jù)功能進行劃分。連續(xù)性:網(wǎng)絡(luò)中子網(wǎng)地址的分配應(yīng)具有連續(xù)性??蓴U展性:在進行IP地址分配時,要考慮到后續(xù)的應(yīng)用擴展,由于IPv6的地址空間巨大,所以相對于IPv4,IPv6網(wǎng)絡(luò)的可擴展性的提高是巨大的。唯一性:分配給每一個網(wǎng)絡(luò)設(shè)備的IP地址必須唯一。地址分配方式

IPv6網(wǎng)絡(luò)提供了多種地址分配的手段,在實際部署中,可以進行如下選擇:建議部署DHCP有狀態(tài)地址分配,以提高地址分配安全性及可靠性。在原有使用靜態(tài)IPv4地址的站點,可以使用手工配置的IPv6地址,此地址可以通過IPv4地址生成,即將IPv4地址放入IPv6地址的低32bit。其余可以使用無狀態(tài)自動地址分配。IPv6網(wǎng)絡(luò)規(guī)劃考慮—路由協(xié)議規(guī)劃路由協(xié)議部署原則層次性:與IP地址分配相關(guān),路由協(xié)議的規(guī)劃也應(yīng)該有層次性。協(xié)議中應(yīng)包含骨干區(qū)域和非骨干區(qū)域,在區(qū)域間進行路由聚合,以減少路由表大小??煽啃裕阂紤]到網(wǎng)絡(luò)動蕩時路由的可靠性。可以通過合理規(guī)劃多出口、多路徑、區(qū)域劃分等方式來達到??蓴U展性:在進行協(xié)議規(guī)劃時,要考慮到后續(xù)的路由擴展。通過網(wǎng)絡(luò)劃分、區(qū)域劃分、路由度量值規(guī)劃等實現(xiàn)。安全性:防止不必要的路由泄漏;路由協(xié)議自身的安全性。路由協(xié)議部署建議IPv6中提供了多種路由協(xié)議,在部署中可以進行如下選擇:自治系統(tǒng)間建議部署B(yǎng)GP4+或靜態(tài)路由。自治系統(tǒng)內(nèi)建議部署OSPFv3或ISISv6,根據(jù)情況進行區(qū)域劃分。Stub網(wǎng)絡(luò)建議部署靜態(tài)路由或RIPng。IPv6網(wǎng)絡(luò)規(guī)劃考慮—DNS規(guī)劃DNS規(guī)劃原則可靠性:IPv4與IPv6中的DNS服務(wù)要分開,增強健壯性。可擴展性:盡量少用靜態(tài)解析,多使用現(xiàn)有的DNS服務(wù)器資源。安全性:DNS服務(wù)器易遭受攻擊,需重點保護。DNS部署建議DNS服務(wù)器部署:建立新的IPv6DNS服務(wù)器,增加IPv6域名記錄;增加到IPv4DNS服務(wù)器和公網(wǎng)IPv6DNS服務(wù)器的迭代記錄升級原有IPv4DNS服務(wù)器為雙棧,增加相關(guān)IPv6域名記錄部署NAT-PT,連接IPv4DNS服務(wù)器與IPv6DNS服務(wù)器DNS用戶部署:向雙棧及IPv6主機下發(fā)IPv6DNS服務(wù)器地址雙棧主機由操作系統(tǒng)和應(yīng)用程序決定使用IPv6還是IPv4DNS解析CERNETCERNET2802.1x認證802.1x認證iMC-CAMS接入用戶認證:支持對網(wǎng)絡(luò)接入的用戶進行802.1X認證,以保證接入用戶身份是可控的及可靠的。雙棧用戶處理:802.1x認證是基于鏈路層進行的,與網(wǎng)絡(luò)層地址無關(guān)。在IPv6層面,客戶端軟件識別一個雙棧用戶的全球單播地址,并通過認證設(shè)備將其上傳到認證服務(wù)器上。用戶綁定:通過客戶端將雙棧用戶的地址上傳到服務(wù)器上,在服務(wù)器上能夠?qū)㈦p棧用戶的IPv4/IPv6地址進行綁定,提高了接入用戶的可信性。適用于靜態(tài)配置IPv4/IPv6用戶地址的網(wǎng)絡(luò)中。用戶審計:通過記錄雙棧用戶的登陸信息(用戶名,雙棧登陸地址,登陸時間等),結(jié)合網(wǎng)流分析系統(tǒng),能夠?qū)τ脩舻纳暇W(wǎng)情況進行審計。IPv6網(wǎng)絡(luò)規(guī)劃考慮—接入層安全規(guī)劃安全管理平臺SecCenter核心交換機DMZ數(shù)據(jù)中心CERNETCERNET2SecBlade集成化防火墻SecBlade集成化防火墻匯聚層IPv6安全部署:利用H3CSecBlade插卡進行安全防御,結(jié)合H3CS95E及S75E實現(xiàn)安全一體化部署能夠與原有的IPv4的安全策略共存IPv6的網(wǎng)絡(luò)過濾也在雙棧防火墻上部署,無需增加新的硬件設(shè)備,同時IPv6的過濾策略對IPv4網(wǎng)絡(luò)不產(chǎn)生任何影響在防火墻上終結(jié)ISATAP,對隧道內(nèi)的地址進行過濾,避免非法地址訪問IPv6網(wǎng)絡(luò)。IPv6網(wǎng)絡(luò)規(guī)劃考慮—匯聚層安全規(guī)劃出口防火墻出口防火墻安全管理平臺SecCenter出口防火墻核心交換機DMZ數(shù)據(jù)中心CERNETCERNET2SecBlade集成化防火墻SecBlade集成化防火墻互聯(lián)網(wǎng)出口防御:利用雙棧防火墻進行互聯(lián)網(wǎng)出口防御。對非法的IPv6入站報文進行過濾。對IPv4的互聯(lián)網(wǎng)流量,利用原有的防御規(guī)則。在防火墻上終結(jié)ISATAP,對隧道內(nèi)的地址進行過濾,避免非法地址訪問IPv6網(wǎng)絡(luò)。在一些規(guī)模較小的網(wǎng)絡(luò)中,也可以使用匯聚層防火墻插卡替代出口防火墻IPv6網(wǎng)絡(luò)規(guī)劃考慮—出口安全規(guī)劃出口防火墻目錄IPv6網(wǎng)絡(luò)規(guī)劃IPv6部署案例部署特點:IPv4/v6雙棧千兆接入,核心萬兆線速轉(zhuǎn)發(fā)路由協(xié)議使用OSPF/OSPFv3IPv6網(wǎng)絡(luò)部署案例1-整體說明IPv6地址設(shè)計:申請的IPv6地址:2001:DA8:E000::/48互聯(lián)網(wǎng)段使用2001:DA8:E000:9000::/59。各設(shè)備間互連地址使用/64地址段。業(yè)務(wù)網(wǎng)段均使用/64地址段,采用無狀態(tài)地址方式分配前綴;預(yù)留部分地址段以便于擴展。全網(wǎng)使用2001:DA8:E000:9040::/64作為設(shè)備管理地址(loopback地址)IPv6網(wǎng)絡(luò)部署案例1-IPv6地址規(guī)劃編號設(shè)備名稱本端端口互聯(lián)IPV6地址所連設(shè)備名稱VLANID對端端口互聯(lián)IPV6地址1CNGI_Yuquan_S12508TG2/0/42001:DA8:E000:9001::1/64CNGI_Zijingang_S12508100TG3/0/42001:DA8:E000:9001::2/642TG2/0/52001:DA8:E000:9002::1/64YQ_Caozhu_603_S7503101TG2/0/12001:DA8:E000:9002::2/643TG2/0/62001:DA8:E000:9003::1/64YQ_CaoDong_310_S7503102TG2/0/12001:DA8:E000:9003::2/644TG2/0/72001:DA8:E000:9004::1/64YQ_jiaoshiyi_301_S7503103TG2/0/12001:DA8:E000:9004::2/645G4/0/472001:DA8:E000:9005::1/64YQ_jiaoshiyi_400_S5500104TG2001:DA8:E000:9005::2/646G4/0/452001:DA8:E000:9006::1/64YQ_jiaoyi_320-1_S5500105TG2001:DA8:E000:9006::2/647G4/0/292001:DA8:E000:9007::1/64YQ_Tushuguan_215_S5500106G1/0/492001:DA8:E000:9007::2/648G4/0/312001:DA8:E000:9008::1/64YQ_Tushuguan_201_S5500107G1/0/492001:DA8:E000:9008::2/649TG2/0/82001:DA8:E000:9::2/64清華比威IPV6出口10002001:DA8:E000:9::1/6410CNGI_Zijingang_S12508TG3/0/52001:DA8:E000:9010::1/64ZJG_CAD_411_S7503301TG2/0/12001:DA8:E000:9010::2/6411TG3/0/62001:DA8:E000:9011::1/64ZJG_Dongsan_301_S5500302G1/0/492001:DA8:E000:9011::2/64IPv6路由設(shè)計:采用OSPFv3動態(tài)路由協(xié)議,同時匯聚層采用IPv6靜態(tài)路由接入核心層OSPFv3區(qū)域編號與IPv4的OSPF區(qū)域編號保持一致OSPFv3使用的RouterID與OSPF相同IPv6網(wǎng)絡(luò)部署案例1-IPv6路由規(guī)劃現(xiàn)狀:現(xiàn)用域名為。內(nèi)部有DNS服務(wù)器,提供給內(nèi)部用戶解析使用外部DNS服務(wù)由中國萬網(wǎng)提供,只解析IPv4地址IPv6網(wǎng)絡(luò)部署案例2-DNS規(guī)劃DNS服務(wù)器設(shè)計:外部IPv4DNS服務(wù)器(萬網(wǎng)DNS服務(wù)器)負責

、IP及其他外網(wǎng)IPv4域名解析內(nèi)部IPv4DNS服務(wù)器負責內(nèi)部IPv4用戶的內(nèi)部域名解析及其他域名解析的代理;上一級為外部IPv4DNS服務(wù)器內(nèi)部IPv6DNS服務(wù)器負責內(nèi)部IPv6用戶的IP解析及其他域名解析的代理;上一級為CNGIIPv6DNS服務(wù)器

CNGIIPv6DNS服務(wù)器負責IPv6用戶除IP外的域名解析IPv6網(wǎng)絡(luò)部署案例2-DNS規(guī)劃用戶DNS設(shè)計:內(nèi)部部署有NAT-PT內(nèi)部IPv4用戶的DNS服務(wù)器地址為內(nèi)部IPv4DNS服務(wù)器;內(nèi)部雙棧用戶的DNS服務(wù)器地址為內(nèi)部IPv4DNS服務(wù)器和內(nèi)部IPv6DNS服務(wù)器地址;但訪問時優(yōu)先使用內(nèi)部IPv4DNS服務(wù)器進行解析內(nèi)部純IPv6用戶的DNS服務(wù)器地址為內(nèi)部IPv6DNS服務(wù)器地址外部用戶通過外部IPv4DNS服務(wù)器訪問IPIPv6網(wǎng)絡(luò)部署案例2-DNS規(guī)劃由三層交換機通過無狀態(tài)地址分配方式給一般用戶分配IPv6前綴重要的iMC服務(wù)器及部分用戶配置靜態(tài)地址,并在相應(yīng)端口進行靜態(tài)綁定在接入層交換機S5100-EI上配置NDDetection和NDSnooping特性,使交換機建立可信任轉(zhuǎn)發(fā)表項,過濾攻擊源在S5100-EI上配置802.1x,與CAMS配合實現(xiàn)認證、計費、IPv6地址上傳等IPv6網(wǎng)絡(luò)部署案例3-整體說明三層交換機分配IPv6前綴CERNET2S5100-EI一般用戶G1/0/1G1/0/5S5500iMC2001:250:7401:3::100網(wǎng)管客戶端2001:250:7401:3::2配置了靜態(tài)IPv6地址和MAC地址的綁定后,交換機只轉(zhuǎn)發(fā)被綁定主機發(fā)送的ND及業(yè)務(wù)報文,過濾其它報文CERNET2S5100-EI正常用戶G1/0/1G1/0/5interfaceGigabitEthernet1/0/48

ipv6sourcestaticbindingip-address2001:250:7401:3::2mac-address001f-16b3-519bCERNET2iMC2001:250:7401:3::100網(wǎng)管客戶端2001:250:7401:3::2攻擊源S5500IPv6網(wǎng)絡(luò)部署案例3-靜態(tài)地址防攻擊配置了NDSnooping后,交換機根據(jù)最初接入主機的ND報文而建立可信任表項,只轉(zhuǎn)發(fā)可信任表項中的主機發(fā)送的ND及業(yè)務(wù)報文,過濾其它報文可防止地址欺騙攻擊、DAD攻擊IPv6網(wǎng)絡(luò)部署案例3-動態(tài)地址防攻擊S5100-EI正常用戶G1/0/1G1/0/5CERNET2vlan1ipv6ndsnoopingenableCERNET2iMC2001:250:7401:3::100網(wǎng)管客戶端2001:250:7401:3::2攻擊源S5500在端口上配置ND學習的數(shù)量,限制上送CPU的ND報文,減輕設(shè)備負擔在網(wǎng)關(guān)上可以基于三層口配置,也可以基于物理端口配置IPv6網(wǎng)絡(luò)部署案例3-防Dos攻擊S5100-EI正常用戶G1/0/1G1/0/5CERNET2[5500-Vlan-interface1]ipv6neighborsmax-learning-num?INTEGER<1-4096>Themax-learning-

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論