部署IPv6网络的思路探讨 及对安全因素的考虑

Slides:



Advertisements
Similar presentations
CERNET2宁波节点 汇报 提 纲 CERNET2宁波 节 点建 设 背景 CERNET2宁波 节 点建 设 目的 CERNET2宁波 节 点的 设计规划 CERNET2宁波 节 点建 设进 展 节 点所提供的服 务 、 应 用及 研 究。
Advertisements

兒童崇拜的牧養 在教會中帶領兒童敬拜的是誰?這些敬拜帶領者(當中的你)有受過訓練嗎?你對敬拜有何理念?
计算机网络(第 6 版) 第 10 章 下一代因特网.
第6章 路由器的配置和应用 教学目的: 本章的主要学习目的是了解路由器的结构,掌握路由器的硬件连接与软件配置连接,学会CISCO IOS的维护、常用操作命令的使用,并能在理解网络如何互连的基础上,通过在命令行状态下配置好CISCO路由器,实现特定的互连要求与安全访问控制要求。
第6章:计算机网络基础 网考小组.
计算机网络基础知识 高二下信息技术课堂 ——
基于下一代网络的大规模媒体服务 主讲人 邢卫 2006年5月26日.
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
教育信息技术中心 2009年工作汇报 2010年1月.
第 8 章 IP 基礎與定址.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第十四章 局域网组建典型案例 本章主要内容 局域网组网方案设计的一般方法 网吧建设方案 校园网建设方案 企业网络建设方案 2017/3/5
上海十进制网络信息技术有限公司 谢建平 愚人节的IPV9与 中国IPV9 RFC1606、1607解读 上海十进制网络信息技术有限公司 谢建平
欢迎大家选修 《网络工程设计》课程.
第一章 概 述.
作者簡介 路寒袖.
證券商辦理不限用途款項借貸業務操作辦法簡報
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
MIE-311 Mobile Network Security
校園網路電話專案 基隆市建置說明 D-Link Taiwan DTSS 謝元博 #8667
企業升級 IPv6 注意事項與 雲端 IPv6 實務演練
计算机网络.
计算机网络 暨南大学计算机科学系 学年 第一学期.
电子商务的网络技术 德州学院计算机系.
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
多播技术 郑州大学信息工程学院李向丽.
The security implications of IPv6
第十一章 網路安全 (Network Security)
构建下一代校园网 迎接数字化新趋势 安全、可管理的数字化校园网方案汇报 裘栋 网络高级工程师 资深教育信息化专家.
面对经济全球化.
第7章 企业网设计 天津大学 计算机科学与技术学院 饶国政 博士.
第一部 实施准备.
网络地址转换(NAT) 及其实现.
教育信息化管理干部培训 王 延 觉 2013年7月.
中国的下一代互联网.
第二章 IPv6/IPv4轉換技術.
NAT-PT (Network Address Translation-Protocol Translation)
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
David liang 数据通信安全教程 防火墙技术及应用 David liang
华南师范大学 防火墙 华南师范大学
IPV6 DHCP Server 建置 陳家祿 楊世偉.
计算机网络原理 计算机与信息工程分院 周文峰.
「我國IPv6建置發展計畫」 92年度期中成果報告 研究發展分項計畫
IPv6原理与应用 技术培训中心
Chapter 14 DHCP.
5.3 IP地址与域名 IP地址 子网划分 IPv 域名机制 域名解析.
校園網路電話專案 建置說明 2018/12/6 D-Link Taiwan Version 1.03.
网络负载衡技术 演讲人:瞿彬 2018年12月7日. 网络负载衡技术 演讲人:瞿彬 2018年12月7日.
Windows 2003 server 進階介紹 麋鹿.
校園網路電話專案 建置說明 2019/1/2 D-Link Taiwan Version 1.03.
校园网络及一卡通介绍 兰宇
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
常見網路設備簡介 A 周緯龍.
第13章 IPv6协议.
滕小玲 北京大学计算中心 IPv6技术讲座 现有Internet的基础是IPv4,到目前为止有近20年的历史了。由于Internet的迅猛发展,据统计平均每年Internet的规模就扩大一倍。IPv4的局限性就越来越明显。个人电脑市场的急剧扩大、还有个人移动计算设备的上网、网上娱乐服务的增加、多媒体数据流的加入、以及出于安全性等方面的需求都迫切要求新一代IP协议的出现。
傳輸控制協議 /互聯網協議 TCP/IP.
中国教育和科研计算机网CERNET第二十三届学术年会
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
Speaker : Chang Kai-Jia Date : 2010/04/26
第8章 網際網路協定IPv6介紹與設定 蕭志明老師 CCNA教學.
ENCNTC ENCNTC 工作報告 南投縣教育網路中心 主講人:林紹湖校長
Mobile IPv4.
報告人:國立暨南國際大學 計算機與網路中心 吳坤熹 組長
P2P&IPv6 指導老師:吳坤熹 張伯瑜 陳意樵.
6-1磁的基本概念 沒有磁沒有人類 磁力的由來 磁能
第 4 章 网络层.
Presentation transcript:

部署IPv6网络的思路探讨 及对安全因素的考虑 浙江省网络技术专委会 部署IPv6网络的思路探讨 及对安全因素的考虑 锐捷网络 王立仁 2006年5月26日 1、公司营销部技术层面的支持; 2、培训的力度不够; 3、RPR、流量、日志审计; 4、数字化校园这一块:希望提供整体的解决方案;侧重于应用、业务层面的建设方案; 5、关心一个问题:校园网建成了,融合的问题,比如与CAMS的融合、网管的融合; 6、市场总量是多少?我们做了多少?有哪些输了?输的原因是什么?一线、二线、三线又分别做什么? 7、校园网宿舍网,需要很好的框架,需要系统的材料。不能是零碎的。 需要多看几个点: RPR的应对。 三层做接入的应对。 关注大项目。 总结一下: 1、一季度失败项目分析;以后都要重点在输赢分析; 2、高校校园网宿舍网整体方案一起来搞; 3、需求的信息,多点去验证一下。 实验室方案: 1、IPv6、安全、科研实验室解决方案需要做。

提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料

前言 IPv6标准的发展进程 操作系统对IPv6的支持状况 国家对发展IPv6的推动作用 仁人志士对IPv6的关心呵护

IPv6标准的发展进程-1 1998年12月, RFC 2460 在RFC1883的基础上,形成了标准 1994年12月,RFC1726, 确定了IPv6标准的梗概 1993年12月,RFC1553, 请求研究Next IP 1995年12月,RFC1883,形成了IPv6的基本特征

IPv6标准的发展进程-2 在2006年3月30日,更新了一批协议。 地址分配和管理 ICMPv6 DNS DHCPv6 RFC3513-》RFC4291 ICMPv6 RFC2461、RFC2462、RFC2463 DNS DHCPv6 RFC3513 支持IPv6 路由协议 OSPFv3,RIPNG,BGP4+,IS-ISv6 Mobile IPv6 移动IP 2004年6月,RFC 3775 Transition 转换 Network Management 网络管理

操作系统的支持 不提供IPv6功能 需要打补丁,提供非常有限的IPv6功能,并且不易使用 需手工安装IPv6,核心协议支持好,功能不完善 默认安装,IPv6功能全面,DHCPv6, IPSec, MIPv6 等等2007年初发行

Linux和BSD 完善了Linux对IPv6的支持 完善了BSD对IPv6的支持 HP-UX11i和 IBM AIX 通过USAGI 开发团队(1998/03~) UniverSAl playGround for Ipv6 http://www.linux-ipv6.org/ 完善了BSD对IPv6的支持 通过Kame 开发团队(1998/03~2006/03) 完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。 已经融入到各种BSD的代码库中 HP-UX11i和 IBM AIX

国家对发展IPv6的支持 2005年10月:中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。

能人志士对IPv6的推动 比如我们浙江网络技术专委会 比如我们这次与会代表

提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料

部署方法简论 部署方法 考虑要素

IPv6的部署 IPv4 IPv6 双栈 协议转换 隧 道 部署方式有很多种,到底什么样的过渡方式 是最适合企业网、尤其是高校校园网的呢?

部署时考虑的要素 领导(政策)的支持 费用的高低 操作的复杂性 性能的高低 已有的IPv4 NAT

隧道方式 6to4 ISATAP Configured Tunnels Tunnel Broker 6over4 DSTM Teredo 用于主机与路由器、路由器与路由器、路由器与主机之间的沟通 ISATAP Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) 站内自动隧道地址协议 方便灵活,容易部署,不影响 Configured Tunnels 手工配置 管理工作量大 Tunnel Broker 自动灵活 系统压力大 6over4 IPv4网络需要支持组播功能 DSTM Teredo 6PE

协议转换 NAT-PT 需要ALG Application Layer Gateway SIIT BIA BIS Socks TRT

优先考虑的部署方式 Dual-Stack 6to4+ISATAP Configured Tunnels Tunnel Broker DSTM 6PE SIIT BIA BIS NAT-PT

避免使用的方式 Teredo 6over4(Virtual Ethernet)* Socks 部署复杂,管理困难,破坏路由汇聚 破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用高 Socks 基于NEC的私有协议.

提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料

双栈形式 实现简单,互通性好,同时使用IPv4和IPv6 地址; 双栈节点可以同时与IPv6和IPv4互通; 对各种应用支持; 图例: StarView GSN系统 SAM系统 内部服务器 万兆链路 Chinanet1 千兆光纤 千兆电缆 Chinanet2 百兆电缆 RG-WALL1500 RG-S6806E CERNET 实现简单,互通性好,同时使用IPv4和IPv6 地址; 双栈节点可以同时与IPv6和IPv4互通; 对各种应用支持; 允许应用逐渐从IPv4过渡到IPv6; RSR-08E/M10i CERNET2 RSR-04E/M7i S6810E S6810E S3760-12SFP/GT 如果应用程序使用的目的地址是IPv4地址,则使用IPv4协议 如果应用程序使用的目的地址是IPv6中的IPv4兼容地址,则同样使用IPv4协议,所不同的是,此时IPv6就封装(encapsulated)在IPv4当中 如果应用程序使用的目的地址是一个非IPv4兼容的IPv6地址,那么此时将使用IPv6协议,而且很可能此时要采用隧道等机制来进行路由、传送 如果应用程序使用域名来作为目标地址,那么此时先要从DNS服务器那里得到相应的IPv4/IPv6地址,然后根据地址的情况进行相应的处理 RG-S6806E 教学科研办公区域 RG-S6806E 学生宿舍区域 WWW FTP VOD DNS for IPv6 RG-S3760-12SFP/GT RG-S3760-12SFP/GT S2126G S2150G S2150G S2126G 各教学科研办公楼栋 各学生宿舍楼栋

安全考虑 IGMPv3中的ND欺骗 IPSec能勇挑重任吗? IP源地址欺骗 被扫描探测的可能性降低 SixXS的影响 路由器哄骗 类似与IPv4中ARP欺骗、ARP病毒 IPSec能勇挑重任吗? 先有鸡 or 先有蛋? 你能把自己拉出地球吗? IP源地址欺骗 被扫描探测的可能性降低 2^64 NMAP甚至不支持IPv6地址扫描功能 SixXS的影响 通过v6网络进入v4网络进行非法操作 路由器哄骗

SixXS的影响 通过IPv6网络访问IPv4网络 http://www.sixxs.org

如何解决 启用IPv4中被广泛应用的802.1x认证。 接入层交换机抑制非法设备的“路由宣告”。 比如锐捷网络SAM系统 比如锐捷网络的21交换机

提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料

6to4+ISATAP隧道方式 使用6to4+ISATAP 充分利用现有设备组网; 骨干设备无需升级; 额外配置隧道,效率有所降低; 图例: StarView GSN系统 SAM系统 内部服务器 万兆链路 Chinanet1 千兆光纤 千兆电缆 Chinanet2 百兆电缆 RG-WALL1500 服务器群交换机 CERNET 使用6to4+ISATAP 充分利用现有设备组网; 骨干设备无需升级; 额外配置隧道,效率有所降低; RSR-08E/M10i CERNET2 RSR-04E/M7i 核心交换机 核心交换机 S3760-12SFP/GT 教学科研办公区域 学生宿舍区域 WWW FTP VOD DNS RG-S3550-12SFP/GT RG-S3550-12SFP/GT 二层交换机 二层交换机 二层交换机 二层交换机 各教学科研办公楼栋 各学生宿舍楼栋

安全考虑 网络设备 6to4 Relay Router 网络终端 信息安全(Sixxs) 没有身份验证机制 对其他设备发动DoS攻击 网络终端 通过IPv6网络进入IPv4网络进行破坏 信息安全(Sixxs)

提纲 前言 部署方法简论 双栈 Tunnel 附录:参考材料

参考材料来源 IETF 与IPv6相关的工作组 Microsoft FreeBSD Linux 锐捷网络IPv6配置文档 http://www.ietf.org/html.charters/ipv6-charters.html http://www.ietf.org/html.charters/ngtrans-charter.html http://www.ietf.org/html.charters/v6ops-charter.html Microsoft http://www.microsoft.com/ipv6 《Understanding IPv6》 FreeBSD http://www.kame.net http://www.freebsd.net Linux http://www.usagi.net 锐捷网络IPv6配置文档 http://www.ruijie.com.cn IPv6 Forum http://www.ipv6forum.org Sixxs, http://www.sixxs.org

浙江省网络技术专委会 ? 谢谢 欢迎到锐捷网络指导工作 王立仁 13911251107 wanglr@star-net.cn