部署IPv6网络的思路探讨 及对安全因素的考虑 浙江省网络技术专委会 部署IPv6网络的思路探讨 及对安全因素的考虑 锐捷网络 王立仁 2006年5月26日 1、公司营销部技术层面的支持; 2、培训的力度不够; 3、RPR、流量、日志审计; 4、数字化校园这一块:希望提供整体的解决方案;侧重于应用、业务层面的建设方案; 5、关心一个问题:校园网建成了,融合的问题,比如与CAMS的融合、网管的融合; 6、市场总量是多少?我们做了多少?有哪些输了?输的原因是什么?一线、二线、三线又分别做什么? 7、校园网宿舍网,需要很好的框架,需要系统的材料。不能是零碎的。 需要多看几个点: RPR的应对。 三层做接入的应对。 关注大项目。 总结一下: 1、一季度失败项目分析;以后都要重点在输赢分析; 2、高校校园网宿舍网整体方案一起来搞; 3、需求的信息,多点去验证一下。 实验室方案: 1、IPv6、安全、科研实验室解决方案需要做。
提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料
前言 IPv6标准的发展进程 操作系统对IPv6的支持状况 国家对发展IPv6的推动作用 仁人志士对IPv6的关心呵护
IPv6标准的发展进程-1 1998年12月, RFC 2460 在RFC1883的基础上,形成了标准 1994年12月,RFC1726, 确定了IPv6标准的梗概 1993年12月,RFC1553, 请求研究Next IP 1995年12月,RFC1883,形成了IPv6的基本特征
IPv6标准的发展进程-2 在2006年3月30日,更新了一批协议。 地址分配和管理 ICMPv6 DNS DHCPv6 RFC3513-》RFC4291 ICMPv6 RFC2461、RFC2462、RFC2463 DNS DHCPv6 RFC3513 支持IPv6 路由协议 OSPFv3,RIPNG,BGP4+,IS-ISv6 Mobile IPv6 移动IP 2004年6月,RFC 3775 Transition 转换 Network Management 网络管理
操作系统的支持 不提供IPv6功能 需要打补丁,提供非常有限的IPv6功能,并且不易使用 需手工安装IPv6,核心协议支持好,功能不完善 默认安装,IPv6功能全面,DHCPv6, IPSec, MIPv6 等等2007年初发行
Linux和BSD 完善了Linux对IPv6的支持 完善了BSD对IPv6的支持 HP-UX11i和 IBM AIX 通过USAGI 开发团队(1998/03~) UniverSAl playGround for Ipv6 http://www.linux-ipv6.org/ 完善了BSD对IPv6的支持 通过Kame 开发团队(1998/03~2006/03) 完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。 已经融入到各种BSD的代码库中 HP-UX11i和 IBM AIX
国家对发展IPv6的支持 2005年10月:中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。
能人志士对IPv6的推动 比如我们浙江网络技术专委会 比如我们这次与会代表
提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料
部署方法简论 部署方法 考虑要素
IPv6的部署 IPv4 IPv6 双栈 协议转换 隧 道 部署方式有很多种,到底什么样的过渡方式 是最适合企业网、尤其是高校校园网的呢?
部署时考虑的要素 领导(政策)的支持 费用的高低 操作的复杂性 性能的高低 已有的IPv4 NAT
隧道方式 6to4 ISATAP Configured Tunnels Tunnel Broker 6over4 DSTM Teredo 用于主机与路由器、路由器与路由器、路由器与主机之间的沟通 ISATAP Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) 站内自动隧道地址协议 方便灵活,容易部署,不影响 Configured Tunnels 手工配置 管理工作量大 Tunnel Broker 自动灵活 系统压力大 6over4 IPv4网络需要支持组播功能 DSTM Teredo 6PE
协议转换 NAT-PT 需要ALG Application Layer Gateway SIIT BIA BIS Socks TRT
优先考虑的部署方式 Dual-Stack 6to4+ISATAP Configured Tunnels Tunnel Broker DSTM 6PE SIIT BIA BIS NAT-PT
避免使用的方式 Teredo 6over4(Virtual Ethernet)* Socks 部署复杂,管理困难,破坏路由汇聚 破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用高 Socks 基于NEC的私有协议.
提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料
双栈形式 实现简单,互通性好,同时使用IPv4和IPv6 地址; 双栈节点可以同时与IPv6和IPv4互通; 对各种应用支持; 图例: StarView GSN系统 SAM系统 内部服务器 万兆链路 Chinanet1 千兆光纤 千兆电缆 Chinanet2 百兆电缆 RG-WALL1500 RG-S6806E CERNET 实现简单,互通性好,同时使用IPv4和IPv6 地址; 双栈节点可以同时与IPv6和IPv4互通; 对各种应用支持; 允许应用逐渐从IPv4过渡到IPv6; RSR-08E/M10i CERNET2 RSR-04E/M7i S6810E S6810E S3760-12SFP/GT 如果应用程序使用的目的地址是IPv4地址,则使用IPv4协议 如果应用程序使用的目的地址是IPv6中的IPv4兼容地址,则同样使用IPv4协议,所不同的是,此时IPv6就封装(encapsulated)在IPv4当中 如果应用程序使用的目的地址是一个非IPv4兼容的IPv6地址,那么此时将使用IPv6协议,而且很可能此时要采用隧道等机制来进行路由、传送 如果应用程序使用域名来作为目标地址,那么此时先要从DNS服务器那里得到相应的IPv4/IPv6地址,然后根据地址的情况进行相应的处理 RG-S6806E 教学科研办公区域 RG-S6806E 学生宿舍区域 WWW FTP VOD DNS for IPv6 RG-S3760-12SFP/GT RG-S3760-12SFP/GT S2126G S2150G S2150G S2126G 各教学科研办公楼栋 各学生宿舍楼栋
安全考虑 IGMPv3中的ND欺骗 IPSec能勇挑重任吗? IP源地址欺骗 被扫描探测的可能性降低 SixXS的影响 路由器哄骗 类似与IPv4中ARP欺骗、ARP病毒 IPSec能勇挑重任吗? 先有鸡 or 先有蛋? 你能把自己拉出地球吗? IP源地址欺骗 被扫描探测的可能性降低 2^64 NMAP甚至不支持IPv6地址扫描功能 SixXS的影响 通过v6网络进入v4网络进行非法操作 路由器哄骗
SixXS的影响 通过IPv6网络访问IPv4网络 http://www.sixxs.org
如何解决 启用IPv4中被广泛应用的802.1x认证。 接入层交换机抑制非法设备的“路由宣告”。 比如锐捷网络SAM系统 比如锐捷网络的21交换机
提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料
6to4+ISATAP隧道方式 使用6to4+ISATAP 充分利用现有设备组网; 骨干设备无需升级; 额外配置隧道,效率有所降低; 图例: StarView GSN系统 SAM系统 内部服务器 万兆链路 Chinanet1 千兆光纤 千兆电缆 Chinanet2 百兆电缆 RG-WALL1500 服务器群交换机 CERNET 使用6to4+ISATAP 充分利用现有设备组网; 骨干设备无需升级; 额外配置隧道,效率有所降低; RSR-08E/M10i CERNET2 RSR-04E/M7i 核心交换机 核心交换机 S3760-12SFP/GT 教学科研办公区域 学生宿舍区域 WWW FTP VOD DNS RG-S3550-12SFP/GT RG-S3550-12SFP/GT 二层交换机 二层交换机 二层交换机 二层交换机 各教学科研办公楼栋 各学生宿舍楼栋
安全考虑 网络设备 6to4 Relay Router 网络终端 信息安全(Sixxs) 没有身份验证机制 对其他设备发动DoS攻击 网络终端 通过IPv6网络进入IPv4网络进行破坏 信息安全(Sixxs)
提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料
参考材料来源 IETF 与IPv6相关的工作组 Microsoft FreeBSD Linux 锐捷网络IPv6配置文档 http://www.ietf.org/html.charters/ipv6-charters.html http://www.ietf.org/html.charters/ngtrans-charter.html http://www.ietf.org/html.charters/v6ops-charter.html Microsoft http://www.microsoft.com/ipv6 《Understanding IPv6》 FreeBSD http://www.kame.net http://www.freebsd.net Linux http://www.usagi.net 锐捷网络IPv6配置文档 http://www.ruijie.com.cn IPv6 Forum http://www.ipv6forum.org Sixxs, http://www.sixxs.org
浙江省网络技术专委会 ? 谢谢 欢迎到锐捷网络指导工作 王立仁 13911251107 wanglr@star-net.cn