園區網(wǎng)的IPv6技術(shù)部署

2. 雙棧園區網(wǎng)中的隧道技術(shù)部署

一些園區網(wǎng)的用戶(hù)由于預算、技術(shù)等方面的原因無(wú)法部署雙棧園區網(wǎng)或只能將部分園區網(wǎng)升級為雙棧網(wǎng)絡(luò )，這種情況下可以在園區網(wǎng)中采用隧道技術(shù)作為補充，將純IPv6終端接入IPv6廣域網(wǎng)絡(luò )。

圖3. ISATAP隧道部署

對于雙棧終端，IPv4網(wǎng)關(guān)部署在匯聚層交換機上。駐地網(wǎng)內所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉發(fā)，因此需要部署客戶(hù)端到出口路由器的自動(dòng)隧道來(lái)完成。在部署中采用較多的是ISATAP自動(dòng)隧道。在自動(dòng)隧道的部署中，需要考慮設備的性能，如果網(wǎng)絡(luò )中有較多的IPv6用戶(hù)需要接入，可以增加隧道終結路由器的數量，以保證IPv6報文的轉發(fā)能力。

使用隧道技術(shù)進(jìn)行IPv6部署能夠保護原有的設備投資，原有網(wǎng)絡(luò )拓撲和路由幾乎無(wú)需調整，只需要增加隧道終結的設備就能夠使客戶(hù)端訪(fǎng)問(wèn)廣域的IPv6資源。

隧道技術(shù)屬于過(guò)渡技術(shù)，不是最終的理想方案。隧道兩端點(diǎn)設備需要花費額外的系統開(kāi)銷(xiāo)。而且在網(wǎng)絡(luò )中部署隧道技術(shù)后，IPv6用戶(hù)進(jìn)行的IPv6資源訪(fǎng)問(wèn)只能通過(guò)隧道進(jìn)行，無(wú)法像通常情況下，利用匯聚層及核心層網(wǎng)絡(luò )進(jìn)行高速的轉發(fā)，同時(shí)，IPv6用戶(hù)之間的互訪(fǎng)的開(kāi)銷(xiāo)也非常大。隧道技術(shù)不適合大規模IPv6的用戶(hù)進(jìn)行接入，只適合在過(guò)渡網(wǎng)絡(luò )中，滿(mǎn)足小部分用戶(hù)的IPv6訪(fǎng)問(wèn)。

3. 雙棧園區網(wǎng)中的IP地址劃分

良好的地址劃分，能夠保證后續網(wǎng)絡(luò )部署的穩定性及可維護性。IP地址規劃主要涉及到網(wǎng)絡(luò )資源的利用以及方便有效的管理網(wǎng)絡(luò )的問(wèn)題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò )前綴的空間有64bit。根據最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，但協(xié)議并沒(méi)有明確規定其各自占的bit數，目前APNIC能夠申請到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強。

IP地址的分配與網(wǎng)絡(luò )組織、路由策略以及網(wǎng)絡(luò )管理等都有密切的關(guān)系，具體的IP地址分配通常在工程實(shí)施時(shí)統一規劃實(shí)施，遵循以下分配原則：

1)址資源應全網(wǎng)統一分配;

2)地址劃分應有層次性，便于網(wǎng)絡(luò )互聯(lián)，簡(jiǎn)化路由表;

IP地址分配要盡量給每個(gè)物理區域分配連續的IP地址空間;在每個(gè)城域網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續的IP地址空間，有利于路由聚合以及安全控制。

3)IP地址的規劃與劃分需要考慮到網(wǎng)絡(luò )的發(fā)展要求;

地址使用兼顧到近期的需求、遠期的發(fā)展以及網(wǎng)絡(luò )的擴展，預留相應的地址段。IP地址的分配需要有足夠的靈活性，應考慮到現有業(yè)務(wù)、新型業(yè)務(wù)以及各種特殊的業(yè)務(wù)要求、滿(mǎn)足各種用戶(hù)接入的需要。

4)充分合理利用已申請的地址空間，提高地址的利用效率;

IP地址規劃應該是網(wǎng)絡(luò )整體規劃的一部分，即IP地址規劃要和網(wǎng)絡(luò )層次規劃、路由協(xié)議規劃、流量規劃等結合起來(lái)考慮。盡可能和網(wǎng)絡(luò )層次相對應，應該是自頂向下的一種規劃。

在園區網(wǎng)進(jìn)行IPv6地址劃分時(shí)，可以根據功能劃分為三類(lèi)地址：

1) 公共服務(wù)器地址，如DNS，EMAIL，FTP等。

2) 網(wǎng)絡(luò )設備互聯(lián)地址和網(wǎng)絡(luò )設備的LOOPBACK地址

根據IETF IPv6工作組的建議，IPv6網(wǎng)絡(luò )設備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò )設備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協(xié)議的網(wǎng)絡(luò )中，即使是純IPv6的網(wǎng)絡(luò )也必須要求每個(gè)網(wǎng)絡(luò )設備擁有IPv4地址。

3)用戶(hù)終端的地址

用于最終用戶(hù)接入的地址，可以根據物理位置進(jìn)行劃分用戶(hù)的接入網(wǎng)段，也可以根據用戶(hù)所屬的邏輯位置，如部門(mén)類(lèi)型，職務(wù)等進(jìn)行劃分。

4. 雙棧園區網(wǎng)中的安全考慮

網(wǎng)絡(luò )安全策略的總體目標是保護網(wǎng)絡(luò )不受攻擊，控制異常行為影響網(wǎng)絡(luò )高效數據轉發(fā)，以及保護日常園區網(wǎng)的正常使用。在IPv6/IPv4的網(wǎng)絡(luò )中，不僅要考慮針對IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設備升級為雙棧設備后，針對IPv6協(xié)議族的攻擊帶來(lái)的安全問(wèn)題。

在雙棧園區網(wǎng)中的網(wǎng)絡(luò )設備自身的安全風(fēng)險主要有：

1)網(wǎng)絡(luò )設備的安全及網(wǎng)絡(luò )協(xié)議安全

網(wǎng)絡(luò )設備的安全風(fēng)險主要指設備對外提供的網(wǎng)絡(luò )服務(wù)風(fēng)險，網(wǎng)絡(luò )管理協(xié)議SNMP非授權訪(fǎng)問(wèn)的風(fēng)險，設備訪(fǎng)問(wèn)密碼安全等對于網(wǎng)絡(luò )設備相關(guān)的安全風(fēng)險。網(wǎng)絡(luò )協(xié)議安全主要指動(dòng)態(tài)路由協(xié)議，VRRP協(xié)議等網(wǎng)絡(luò )的安全問(wèn)題。在IPv6網(wǎng)絡(luò )中，部分網(wǎng)絡(luò )協(xié)議的安全性得到了提高，如OSPFv3可以IPSec進(jìn)行協(xié)議報文的保護。

2)用戶(hù)的非法訪(fǎng)問(wèn)

用戶(hù)非法訪(fǎng)問(wèn)的風(fēng)險主要指IPv4/IPv6雙棧用戶(hù)對資源的非法訪(fǎng)問(wèn)。低權限的用戶(hù)非法訪(fǎng)問(wèn)高權限的資源等風(fēng)險。

3)接入層攻擊及非法用戶(hù)接入

在接入層防止ND攻擊及對用戶(hù)進(jìn)行身份認證防止非法用戶(hù)接入網(wǎng)絡(luò )。

圖4. IPv6園區網(wǎng)安全部署

針對以上安全風(fēng)險，在IPv6園區網(wǎng)中可以采用如下網(wǎng)絡(luò )安全技術(shù)：

1)雙棧防火墻

專(zhuān)用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網(wǎng)絡(luò )中重要的安全設備，為網(wǎng)絡(luò )提供快速、安全的保護。首先，專(zhuān)用的軟硬件，設備自身安全性很高;其次，提供網(wǎng)絡(luò )地址轉換功能，把內部地址轉換為外部地址，以保護內部地址的私密性;第三，提供嚴格的安全管理策略，除了顯式被允許通過(guò)的數據，默認其他數據都是被拒絕的;第四，多層次的安全級別，為不同的安全區域提供差異化的安全級別;另外它還可以提供多樣的系統安全策略和日志功能。

2)雙棧用戶(hù)認證

在用戶(hù)側首要解決的是“接入安全”的問(wèn)題。為保證接入用戶(hù)的合法性，建議采用傳統的802.1x認證。用戶(hù)在通過(guò)認證后才可以正常訪(fǎng)問(wèn)網(wǎng)絡(luò )。通過(guò)認證后，雙棧用戶(hù)的本地地址信息能夠上傳到認證服務(wù)器上，為后續的用戶(hù)審計提供了參考依據。