收藏
下载资源 加入VIP免费专享

IPV6实施部署案例.ppt

上传人:牧羊曲112 文档编号:5435377 上传时间:2023-07-06 格式:PPT 页数:22 大小:2.04MB
返回 下载 相关 举报
IPV6实施部署案例.ppt_第1页
第1页 / 共22页
IPV6实施部署案例.ppt_第2页
第2页 / 共22页
IPV6实施部署案例.ppt_第3页
第3页 / 共22页
IPV6实施部署案例.ppt_第4页
第4页 / 共22页
IPV6实施部署案例.ppt_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《IPV6实施部署案例.ppt》由会员分享,可在线阅读,更多相关《IPV6实施部署案例.ppt(22页珍藏版)》请在三一办公上搜索。

1、IPv6网络规划与实施案例,目录,IPv6网络规划IPv6部署案例,IPv6网络规划考虑IP地址规划,地址分配原则层次性:网络地址的分配应有层次,每个站点从CERNET分配的前缀都是48bit的,主机的前缀是64bit的,还有16bit可供分配子网使用。在层次化的分配后,路由前缀应当能够在汇聚层进行前缀汇聚。子网的划分可以根据物理位置,也可以根据功能进行划分。连续性:网络中子网地址的分配应具有连续性。可扩展性:在进行IP地址分配时,要考虑到后续的应用扩展,由于IPv6的地址空间巨大,所以相对于IPv4,IPv6网络的可扩展性的提高是巨大的。唯一性:分配给每一个网络设备的IP地址必须唯一。地址分

2、配方式 IPv6网络提供了多种地址分配的手段,在实际部署中,可以进行如下选择:建议部署DHCP有状态地址分配,以提高地址分配安全性及可靠性。在原有使用静态IPv4地址的站点,可以使用手工配置的IPv6地址,此地址可以通过IPv4地址生成,即将IPv4地址放入IPv6地址的低32bit。其余可以使用无状态自动地址分配。,IPv6网络规划考虑路由协议规划,路由协议部署原则层次性:与IP地址分配相关,路由协议的规划也应该有层次性。协议中应包含骨干区域和非骨干区域,在区域间进行路由聚合,以减少路由表大小。可靠性:要考虑到网络动荡时路由的可靠性。可以通过合理规划多出口、多路径、区域划分等方式来达到。可扩

3、展性:在进行协议规划时,要考虑到后续的路由扩展。通过网络划分、区域划分、路由度量值规划等实现。安全性:防止不必要的路由泄漏;路由协议自身的安全性。路由协议部署建议 IPv6中提供了多种路由协议,在部署中可以进行如下选择:自治系统间建议部署BGP4或静态路由。自治系统内建议部署OSPFv3或ISISv6,根据情况进行区域划分。Stub网络建议部署静态路由或RIPng。,IPv6网络规划考虑DNS规划,DNS规划原则可靠性:IPv4与IPv6中的DNS服务要分开,增强健壮性。可扩展性:尽量少用静态解析,多使用现有的DNS服务器资源。安全性:DNS服务器易遭受攻击,需重点保护。DNS部署建议 DNS

4、服务器部署:建立新的IPv6DNS服务器,增加IPv6域名记录;增加到IPv4DNS服务器和公网IPv6DNS服务器的迭代记录升级原有IPv4DNS服务器为双栈,增加相关IPv6域名记录部署NAT-PT,连接IPv4DNS服务器与IPv6DNS服务器DNS用户部署:向双栈及IPv6主机下发IPv6DNS服务器地址双栈主机由操作系统和应用程序决定使用IPv6还是IPv4DNS解析,CERNET2,802.1x认证,802.1x认证,iMC-CAMS,接入用户认证:支持对网络接入的用户进行802.1X认证,以保证接入用户身份是可控的及可靠的。双栈用户处理:802.1x认证是基于链路层进行的,与网络

5、层地址无关。在IPv6层面,客户端软件识别一个双栈用户的全球单播地址,并通过认证设备将其上传到认证服务器上。用户绑定:通过客户端将双栈用户的地址上传到服务器上,在服务器上能够将双栈用户的IPv4/IPv6地址进行绑定,提高了接入用户的可信性。适用于静态配置IPv4/IPv6用户地址的网络中。用户审计:通过记录双栈用户的登陆信息(用户名,双栈登陆地址,登陆时间等),结合网流分析系统,能够对用户的上网情况进行审计。,IPv6网络规划考虑接入层安全规划,安全管理平台,SecCenter,核心交换机,DMZ,数据中心,CERNET,CERNET2,SecBlade集成化防火墙,SecBlade集成化防

6、火墙,汇聚层IPv6安全部署:利用H3C SecBlade插卡进行安全防御,结合H3C S95E及S75E实现安全一体化部署能够与原有的IPv4的安全策略共存IPv6的网络过滤也在双栈防火墙上部署,无需增加新的硬件设备,同时IPv6的过滤策略对IPv4网络不产生任何影响在防火墙上终结ISATAP,对隧道内的地址进行过滤,避免非法地址访问IPv6网络。,IPv6网络规划考虑汇聚层安全规划,出口防火墙,出口防火墙,安全管理平台,SecCenter,出口防火墙,核心交换机,DMZ,数据中心,CERNET,CERNET2,SecBlade集成化防火墙,SecBlade集成化防火墙,互联网出口防御:利用

7、双栈防火墙进行互联网出口防御。对非法的IPv6入站报文进行过滤。对IPv4的互联网流量,利用原有的防御规则。在防火墙上终结ISATAP,对隧道内的地址进行过滤,避免非法地址访问IPv6网络。在一些规模较小的网络中,也可以使用汇聚层防火墙插卡替代出口防火墙,IPv6网络规划考虑出口安全规划,出口防火墙,目录,IPv6网络规划IPv6部署案例,部署特点:IPv4/v6双栈千兆接入,核心万兆线速转发路由协议使用OSPF/OSPFv3,IPv6网络部署案例1整体说明,IPv6地址设计:申请的IPv6地址:2001:DA8:E000:/48互联网段使用2001:DA8:E000:9000:/59。各设备

8、间互连地址使用/64地址段。业务网段均使用/64地址段,采用无状态地址方式分配前缀;预留部分地址段以便于扩展。全网使用2001:DA8:E000:9040:/64作为设备管理地址(loopback地址),IPv6网络部署案例1IPv6地址规划,IPv6路由设计:采用OSPF v3动态路由协议,同时汇聚层采用IPv6静态路由接入核心层OSPFv3区域编号与IPv4的OSPF区域编号保持一致OSPFv3使用的Router ID与OSPF相同,IPv6网络部署案例1IPv6路由规划,现状:现用域名为。内部有DNS服务器,提供给内部用户解析使用外部DNS服务由中国万网 提供,只解析IPv4地址,IPv

9、6网络部署案例2DNS规划,DNS服务器设计:外部IPv4DNS服务器(万网DNS服务器)负责、及其他外网IPv4域名解析内部IPv4DNS服务器负责内部IPv4用户的内部域名解析及其他域名解析的代理;上一级为外部IPv4DNS服务器 内部IPv6DNS服务器负责内部IPv6用户的解析及其他域名解析的代理;上一级为CNGIIPv6DNS服务器 CNGIIPv6DNS服务器负责IPv6用户除外的域名解析,IPv6网络部署案例2DNS规划,用户DNS设计:内部部署有NAT-PT内部IPv4用户的DNS服务器地址为内部IPv4DNS服务器;内部双栈用户的DNS服务器地址为内部IPv4DNS服务器和内

10、部IPv6DNS服务器地址;但访问时优先使用内部IPv4DNS服务器进行解析 内部纯IPv6用户的DNS服务器地址为内部IPv6DNS服务器地址 外部用户通过外部IPv4DNS服务器访问,IPv6网络部署案例2DNS规划,由三层交换机通过无状态地址分配方式给一般用户分配IPv6前缀重要的iMC服务器及部分用户配置静态地址,并在相应端口进行静态绑定在接入层交换机S5100EI上配置ND Detection和ND Snooping特性,使交换机建立可信任转发表项,过滤攻击源在S5100EI上配置802.1x,与CAMS配合实现认证、计费、IPv6地址上传等,IPv6网络部署案例3整体说明,三层交换

11、机分配IPv6前缀,CERNET2,S5100EI,一般用户,G1/0/1,G1/0/5,S5500,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,配置了静态IPv6地址和MAC地址的绑定后,交换机只转发被绑定主机发送的ND及业务报文,过滤其它报文,CERNET2,S5100EI,正常用户,G1/0/1,G1/0/5,interface GigabitEthernet1/0/48 ipv6 source static binding ip-address 2001:250:7401:3:2 mac-address 001f-16b3-519b,CE

12、RNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,IPv6网络部署案例3静态地址防攻击,配置了ND Snooping后,交换机根据最初接入主机的ND报文而建立可信任表项,只转发可信任表项中的主机发送的ND及业务报文,过滤其它报文可防止地址欺骗攻击、DAD攻击,IPv6网络部署案例3动态地址防攻击,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,vlan 1 ipv6 nd snooping enable,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:740

13、1:3:2,攻击源,S5500,在端口上配置ND学习的数量,限制上送CPU的ND报文,减轻设备负担在网关上可以基于三层口配置,也可以基于物理端口配置,IPv6网络部署案例3防Dos攻击,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,5500-Vlan-interface1ipv6 neighbors max-learning-num?INTEGER The max-learning-num under one interface,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,配置了ND d

14、etection后,交换机只在Trust端口转发RA报文可防止人为网络连接错误、RA攻击,IPv6网络部署案例3RA Trust,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,vlan 1 ipv6 nd detection enableinterface GigabitEthernet1/0/1 ipv6 nd detection trust,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,攻击源,S5500,采用802.1x认证可降低攻击风险在CAMS上配置IPv6地址绑定,可限定一个登录用户只能使用指定的一个或多个IPv6地址,否则不予接入网络。在CAMS上可查看到用户的IPv6地址,IPv6网络部署案例3接入用户认证,S5100EI,正常用户,G1/0/1,G1/0/5,CERNET2,iMC2001:250:7401:3:100,网管客户端2001:250:7401:3:2,S5500,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号