園區網(wǎng)的IPv6技術(shù)部署

3)接入層ND防攻擊

在IPv6網(wǎng)絡(luò )中，ARP協(xié)議被ND協(xié)議所替代，于是ND防攻擊就成為在IPv6網(wǎng)絡(luò )部署時(shí)一個(gè)必不可少的組成部分。目前ND防攻擊的主要功能有

1、防欺騙攻擊：通過(guò)DHCP Snooping/手工配置等手段，建立其可信表項，配合ND異常報文過(guò)濾特性，對虛假的NA報文進(jìn)行過(guò)濾。

2、防DoS攻擊：通過(guò)限制網(wǎng)關(guān)上基于VLAN或端口的ND學(xué)習數量，保護網(wǎng)關(guān)上的ND表項避免遭受DoS攻擊。

3、防DAD攻擊：防御的方法與欺騙攻擊相同，通過(guò)綁定表項進(jìn)行偽造的ND報文過(guò)濾。

4、防RA攻擊：利用RA TRUST特性，利用可信端口進(jìn)行RA報文的轉發(fā)。

5. 雙棧園區網(wǎng)中的無(wú)線(xiàn)部署

當進(jìn)行雙棧園區網(wǎng)的無(wú)線(xiàn)網(wǎng)絡(luò )部署時(shí)不僅需要考慮當前的普通IPv4網(wǎng)絡(luò )中的應用，而且同時(shí)支持在IPv6網(wǎng)絡(luò )中應用。

在IPv4/IPv6雙棧園區網(wǎng)或純IPv6園區網(wǎng)中，建議部署無(wú)線(xiàn)控制器+FIT AP的集中式無(wú)線(xiàn)局域網(wǎng)。這種部署結構對無(wú)線(xiàn)設備的功能進(jìn)行了重新劃分，其中無(wú)線(xiàn)控制器負責無(wú)線(xiàn)網(wǎng)絡(luò )的接入控制，轉發(fā)和統計、AP的配置監控、漫游管理、AP的網(wǎng)管代理、安全控制;FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無(wú)線(xiàn)控制器的管理、RF空口的統計等簡(jiǎn)單功能。

在使用集中式無(wú)線(xiàn)網(wǎng)絡(luò )部署時(shí)，Fit AP設備為零配置設備，對于A(yíng)P和AC建立IPv4隧道還是建立IPv6隧道，由Fit AP自動(dòng)進(jìn)行選擇，接入控制器則同時(shí)可以支持IPv4隧道和IPv6隧道。

由于接入點(diǎn)為零配置設備，不能判斷當前接入的網(wǎng)絡(luò )為IPv4還是IPv6網(wǎng)絡(luò )。為了解決這一問(wèn)題，以H3C的接入點(diǎn)為例，采用首先在IPv4網(wǎng)絡(luò )進(jìn)行接入控制器的發(fā)現和鏈接處理，如果接入點(diǎn)無(wú)法成功通過(guò)IPv4網(wǎng)絡(luò )和接入控制器建立鏈接，則接入點(diǎn)會(huì )切換到使用IPv6進(jìn)行接入控制器的發(fā)現和鏈接處理。

無(wú)線(xiàn)用戶(hù)的報文是在A(yíng)P與AC之間建立的CAPWAP隧道中進(jìn)行的，骨干網(wǎng)絡(luò )是IPv4還是IPv6網(wǎng)絡(luò )對無(wú)線(xiàn)網(wǎng)絡(luò )是透明的，在無(wú)線(xiàn)局域網(wǎng)設備上對無(wú)線(xiàn)接入用戶(hù)數據也只進(jìn)行二層轉發(fā)。雖然在A(yíng)C和AP之間會(huì )通過(guò)CAPWAP數據隧道實(shí)現轉發(fā)，但是無(wú)論在接入點(diǎn)還是接入控制器都是根據二層信息實(shí)現轉發(fā)，而且CAPWAP隧道封裝的載荷也是二層協(xié)議報文。所以CAPWAP協(xié)議不會(huì )關(guān)心無(wú)線(xiàn)接入用戶(hù)的上層協(xié)議，同樣無(wú)線(xiàn)接入用戶(hù)也不需要關(guān)心CAPWAP數據隧道采用IPv4還是IPv6協(xié)議。

基于上述的實(shí)現，無(wú)論是在IPv6/IPv4雙棧網(wǎng)絡(luò )，或者是純IPv6網(wǎng)絡(luò )中，都能夠靈活的部署集中式無(wú)線(xiàn)網(wǎng)絡(luò )，從而實(shí)現無(wú)線(xiàn)用戶(hù)的隨時(shí)、隨地、隨心的接入。

圖5所示，在一個(gè)新建的IPv6/IPv4雙棧園區網(wǎng)絡(luò )中，使用基于IPv6的園區網(wǎng)提供WLAN接入服務(wù)。

圖5. IPv6園區網(wǎng)無(wú)線(xiàn)局域網(wǎng)部署架構

在IPv6/IPv4雙棧園區網(wǎng)中，對無(wú)線(xiàn)接入服務(wù)的部署上，與在單純的IPv4網(wǎng)絡(luò )中部署沒(méi)有任何差別，無(wú)線(xiàn)網(wǎng)絡(luò )為終端提供了接入到指定網(wǎng)絡(luò )的服務(wù)。在A(yíng)C與AP之間既能夠基于IPv4建立CAPWAP隧道，完成對用戶(hù)的數據報文轉發(fā)，也可以基于IPv6建立CAPWAP隧道進(jìn)行轉發(fā)。

對終端用戶(hù)而言，雖然沒(méi)有通過(guò)有線(xiàn)網(wǎng)絡(luò )和指定網(wǎng)絡(luò )連接，但是通過(guò)無(wú)線(xiàn)接入服務(wù)，無(wú)線(xiàn)客戶(hù)端如同直接連接到指定網(wǎng)絡(luò )中。所有的無(wú)線(xiàn)終端相關(guān)報文數據都會(huì )被接入控制器和接入點(diǎn)之間的隧道在無(wú)線(xiàn)終端和接入網(wǎng)絡(luò )之間進(jìn)行轉發(fā)，而無(wú)線(xiàn)終端不需要關(guān)心隧道所穿越的網(wǎng)絡(luò )。

這樣，通過(guò)部署IPv6無(wú)線(xiàn)方案既可以滿(mǎn)足原有IPv4用戶(hù)的接入要求，又能夠滿(mǎn)足新的IPv6用戶(hù)的無(wú)線(xiàn)接入要求。

6. 雙棧園區網(wǎng)中的管理部署

網(wǎng)絡(luò )管理需要實(shí)現的主要功能有：設備發(fā)現，拓撲管理，故障告警管理等功能。IPv6網(wǎng)絡(luò )和IPv4網(wǎng)絡(luò )相比，具有地址范圍大，地址比較難以記憶等特點(diǎn)，這些特點(diǎn)除了給網(wǎng)絡(luò )管理員帶來(lái)額外的難度外，給傳統網(wǎng)管也帶來(lái)很大的沖擊。比如，傳統的“路由+子網(wǎng)掃描”發(fā)現方式在IPv6網(wǎng)絡(luò )中幾乎不具備任何可用性，因為在IPv6路由表中，下一跳地址很可能是一個(gè)本地地址，而網(wǎng)管是無(wú)法訪(fǎng)問(wèn)本地地址的，傳統網(wǎng)管按照路由下一跳進(jìn)行遞歸發(fā)現不具備可行性;另外，傳統網(wǎng)管進(jìn)行子網(wǎng)掃描，用于發(fā)現子網(wǎng)內的設備，但對于IPv6網(wǎng)絡(luò )，任何一個(gè)子網(wǎng)的地址空間非常大，比如一個(gè)前綴長(cháng)度為64bit的子網(wǎng)，地址空間將達到1.8E19，執行完這樣一個(gè)子網(wǎng)掃描將花費非常長(cháng)的時(shí)間。這些問(wèn)題給網(wǎng)絡(luò )管理的基礎即設備發(fā)現的方式帶來(lái)了很大的挑戰。

當前一些支持雙棧網(wǎng)絡(luò )管理的網(wǎng)管軟件在進(jìn)行IPv6網(wǎng)絡(luò )拓撲發(fā)現時(shí)，通常會(huì )采用ND方式自動(dòng)發(fā)現。該技術(shù)利用設備的ND信息，過(guò)濾出所有的全局IPv6地址，然后根據這些全局IPv6地址再次執行ND掃描，從而遞歸發(fā)現所有的網(wǎng)絡(luò )設備。

采用ND方式自動(dòng)發(fā)現，具有下述優(yōu)點(diǎn)(以H3C iMC智能管理中心為例)：

1、兼容性好。本技術(shù)基于IPV6-MIB(RFC2452)實(shí)現，該MIB是公有的，只要第三方設備支持該MIB，iMC就可以支持該設備的自動(dòng)發(fā)現。

2、發(fā)現速度快。本技術(shù)對于每臺設備要做的工作是收集ND信息，然后過(guò)濾出所有全局IPv6地址，根據這些全局IPv6地址再次遞歸發(fā)現，直到發(fā)現完所有的網(wǎng)絡(luò )設備為止。這個(gè)過(guò)程計算量并不大，執行會(huì )非?？?。

3、支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB，iMC在自動(dòng)發(fā)現時(shí)，同時(shí)讀取IPv4和IPv6的鄰居表，然后根據有效地址再次遞歸發(fā)現。因此iMC自動(dòng)發(fā)現時(shí)，很好的支持了雙棧模式，既可以使用IPv4協(xié)議發(fā)現IPv4網(wǎng)絡(luò )，也可以使用IPv6協(xié)議發(fā)現IPv6網(wǎng)絡(luò )。

在完成設備發(fā)現后，后續基于設備的發(fā)現，進(jìn)行拓撲的繪制及設備的告警管理，與在IPv4的網(wǎng)絡(luò )中，并未發(fā)生根本的變化，在此不詳細描述。

三、結束語(yǔ)

在骨干網(wǎng)建設中，通過(guò)CNGI下一代互聯(lián)網(wǎng)工程的建設已經(jīng)能夠滿(mǎn)足國內IPv6網(wǎng)絡(luò )的互連。而對于高校用戶(hù)，大企業(yè)用戶(hù)及政府等行業(yè)的用戶(hù)，通過(guò)將所屬的園區網(wǎng)建設為IPv6網(wǎng)絡(luò )完成最后一公里的用戶(hù)接入就成為重要的IPv6網(wǎng)絡(luò )建設工作。以上介紹了在部署雙棧園區網(wǎng)涉及到大量的技術(shù)點(diǎn)，從網(wǎng)絡(luò )升級的技術(shù)選擇到安全產(chǎn)品部署等等多個(gè)方面，在進(jìn)行部署時(shí)，需要進(jìn)行詳細的規劃，仔細的實(shí)施，才能夠收到滿(mǎn)意的效果。