政府信息中心需要申报IPV6改造方案项目.docx

政府信息中心IPV6改造方案一、 项目的背景和必要性二、 项目承担单位的基本情况和财务状况三、 项目的技术基础3、IPv6介绍3.1、概述在我们现有的网络中，几乎所有网络都使用IP协议作为通信的地址协议，我们的网络使用IP来表示地址信息，每一个节点都应该分配一个唯一的地址，才能保证通信正常。现在正常使用的IP协议为版本4，用32位来表示，地址空间为6553665536，结果约为42.9亿，需要说明的是，虽然地址共有42.9亿之多，但并不表示这些地址可以供42.9亿个节点使用，因为我们的地址是分网段的，也就是说即使在一个节点的情况下，分配地址时，也是分配一个网段而不是一个地址，所以这样就使得版本4的IP地址一下子变得空间陕小，再加了有相当一部分地址是不可用的，那么随着网络的迅速膨胀，IP ver4的地址空间变得几乎快耗尽了。在这样的情况下，出现了一些如VLSM子网技术，NAT网络地址翻译技术，试图来缓和地址空间的快速消耗。与此同时，人们也开发出了一个地址空间更为庞大的IP协议，这个协议拥有比IP ver4多出数倍的地址空间，来解决网络地址匮乏的问题，这个IP协议就是IP版本6，即IPv6。3.2、简介目前我们使用的第二代互联网IPv4技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了中国及其他国家互联网的应用和发展。 一方面是地址资源数量的限制，另一方面是随着电子技术及网络技术的发展，计算机网络将进入人们的日常生活，可能身边的每一样东西都需要连入全球因特网。在这样的环境下，IPv6应运而生。单从数字上来 说，IPv6所拥有的地址容量是IPv4的约81028倍，达到2128（算上全零的）个。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。 但是与IPv4一样，IPv6一样会造成大量的IP地址浪费。准确的说，使用IPv6的网络并没有2128个能充分利用的地址。首先，要实现IP地址的自动配置，局域网所使用的子网的前缀必须等于64，但是很少有一个局域网能容纳264个网络终端；其次，由于IPv6的地址分配必须遵循聚类的原则，地址的浪费在所难免。 但是，如果说IPv4实现的只是人机对话，而IPv6则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在，无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大。 3.3、应用IPv6的普及一个重要的应用是网络实名制下的互联网身份证/VIeID，目前基于IPv4的网络之所以难以实现网络实名制，一个重要原因就是因为IP资源的共用，因为IP资源不够，所以不同的人在不同的时间段共用一个IP，IP和上网用户无法实现一一对应。 在IPv4下，现在根据IP查人也比较麻烦，电信局要保留一段时间的上网日志才行，通常因为数据量很大，运营商只保留三个月左右的上网日志，比如查前年某个IP发帖子的用户就不能实现。 IPv6的出现可以从技术上一劳永逸地解决实名制这个问题，因为那时IP资源将不再紧张，运营商有足够多的IP资源，那时候，运营商在受理入网申请的时候，可以直接给该用户分配一个固定IP地址，这样实际就实现了实名制，也就是一个真实用户和一个IP地址的一一对应。 当一个上网用户的IP固定了之后，你任何时间做的任何事情都和一个唯一IP绑定，你在网络上做的任何事情在任何时间段内都有据可查，并且无法否认。3.4、优势与IPV4相比，IPV6具有以下几个优势： 一：IPv6具有更大的地址空间。IPv4中规定IP地址长度为32，最大地址个数为232；而IPv6中IP地址的长度为128，即最大地址个数为2128。与32位地址空间相比，其地址空间增加了2128-232个。 二：IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类（Aggregation）的原则，这使得路由器能在路由表中用一条记录（Entry）表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。 三：IPv6增加了增强的组播（Multicast）支持以及对流的支持（Flow Control），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QoS，Quality of Service）控制提供了良好的网络平台。 四：IPv6加入了对自动配置（Auto Configuration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。 五：IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，在IPV6中的加密与鉴别选项提供了分组的保密性与完整性。极大的增强了网络的安全性。 六：允许扩充。如果新的技术或应用需要时，IPV6允许协议进行扩充。 七：更好的头部格式。IPV6使用新的头部格式，其选项与基本头部分开，如果需要，可将选项插入到基本头部与上层数据之间。这就简化和加速了路由选择过程，因为大多数的选项不需要由路由选择。 八：新的选项。IPV6有一些新的选项来实现附加的功能。3.5、安全性现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危，每天上网开了实时防病毒程序还不够，还要继续使用个人防火墙，打开实时防木马程序才敢上网冲浪。诸多人把这些都归咎于IPv4网络。现在IPv6来了，它设计的时候充分研究了以前IPv4的各种问题，在安全性上得到了大大的提高。但是是不是IPv6就没有安全问题了？答案是否定的。 目前，病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了，因为IPv6的地址空间实在是太大了，如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机，就犹如大海捞针。在IPv6的世界中，对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。 所以，在IPv6的世界里，病毒、互联网蠕虫的传播将变得非常困难。但是，基于应用层的病毒和互联网蠕虫是一定会存在的，电子邮件的病毒还是会继续传播。此外，还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如，IPv6地址FF05:3是所有的DHCP服务器，就是说，如果向这个地址发布一个IPv6报文，这个报文可以到达网络中所有的DHCP服务器，所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。 另外，不管是IPv4还是IPv6，都需要使用DNS，IPv6网络中的DNS服务器就是一个容易被黑客看中的关键主机。也就是说，虽然无法对整个网络进行系统的网络侦察，但在每个IPv6的网络中，总有那么几台主机是大家都知道网络名字的，也可以对这些主机进行攻击。而且，因为IPv6的地址空间实在是太大了，很多IPv6的网络都会使用动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器，就可以得到大量的在线IPv6的主机地址。另外，因为IPv6的地址是128位，很不好记，网络管理员可能会常常使用一下好记的IPv6地址，这些好记的IPv6地址可能会被编辑成一个类似字典的东西，病毒找到IPv6主机的可能性小，但猜到IPv6主机的可 能性会大一些。而且由于IPv6和IPv4要共存相当长一段时间，很多网络管理员会把IPv4的地址放到IPv6地址的后32位中，黑客也可能按照这个方法来猜测可能的在线IPv6地址。所以，对于关键主机的安全需要特别重视，不然黑客就会从这里入手从而进入整个网络。所以，网络管理员在对主机赋予IPv6地址时，不应该使用好记的地址，也要尽量对自己网络中的IPv6地址进行随机化，这样会在很大程度上减少这些主机被黑客发现的机会。 以下这些网络攻击技术，不管是在IPv4还是在IPv6的网络中都存在，需要引起高度的重视：报文侦听，虽然IPv6提供了IPSEC最为保护报文的工具，但由于公匙和密匙的问题，在没有配置IPsec的情况下，偷看IPv6的报文仍然是可能的；应用层的攻击，显而易见，任何针对应用层，如WEB服务器，数据库服务器等的攻击都将仍然有效；中间人攻击，虽然IPv6提供了IPsec，还是有可能会遭到中间人的攻击，所以应尽量使用正常的模式来交换密匙；洪水攻击，不论在IPv4还是在IPv6的网络中，向被攻击的主机发布大量的网络流量的攻击将是会一直存在的，虽然在IPv6中，追溯攻击的源头要比在IPv4中容易一些。3.6、IPv4到IPv6的过渡技术由于Internet的规模以及目前网络中数量庞大的IPv4用户和设备，IPv4到v6的过渡不可能一次性实现。而且，目前许多企业和用户的日常工作越来越依赖于Internet，它们无法容忍在协议过渡过程中出现的问题。所以IPv4到v6的过渡必须是一个循序渐进的过程，在体验IPv6带来的好处的同时仍能与网络中其余的IPv4用户通信。能否顺利地实现从IPv4到IPv6的过渡也是IPv6能否取得成功的一个重要因素。 实际上，IPv6在设计的过程中就已经考虑到了IPv4到IPv6的过渡问题，并提供了一些特性使过渡过程简化。例如，IPv6地址可以使用IPv4兼容地址，自动由IPv4地址产生；也可以在IPv4的网络上构建隧道，连接IPv6孤岛。目前针对IPv4-v6过渡问题已经提出了许多机制，它们的实现原理和应用环境各有侧重，这一部分里将对IPv4-v6过渡的基本策略和机制做一个系统性的介绍。 在IPv4-v6过渡的过程中，必须遵循如下的原则和目标： 保证IPv4和IPv6主机之间的互通； 在更新过程中避免设备之间的依赖性（即某个设备的更新不依赖于其它设备的更新）； 对于网络管理者和终端用户来说，过渡过程易于理解和实现； 过渡可以逐个进行； 用户、运营商可以自己决定何时过渡以及如何过渡。 主要分三个方面：IP层的过渡策略与技术、链路层对IPv6的支持、IPv6对上层的影响 对于IPV4向IPV6技术的演进策略，业界提出了许多解决方案。特别是IETF组织专门成立了一个研究此演变的研究小组NGTRANS，已提交了各种演进策略草案，并力图使之成为标准。纵观各种演进策略，主流技术大致可分如下几类： 双栈策略 实现IPv6结点与IPv4结点互通的最直接的方式是在IPv6结点中加入IPv4协议栈。具有双协议栈的结点称作“IPv6/v4结点”，这些结点既可以收发IPv4分组，也可以收发IPv6分组。它们可以使用IPv4与IPv4结点互通，也可以直接使用IPv6与IPv6结点互通。双栈技术不需要构造隧道，但后文介绍的隧道技术中要用到双栈。IPv6/v4结点可以只支持手工配置隧道，也可以既支持手工配置也支持自动隧道。 隧道技术 在IPV6发展初期，必然有许多局部的纯IPV6网络，这些IPV6网络被IPV4骨干网络隔离开来，为了使这些孤立的“IPV6岛”互通，就采取隧道技术的方式来解决。利用穿越现存IPV4因特网的隧道技术将许多个“IPV6孤岛”连接起来，逐步扩大IPV6的实现范围，这就是目前国际IPV6试验床6Bone的计划。 工作机理：在IPV6网络与IPV4网络间的隧道入口处，路由器将IPV6的数据分组封装入IPV4中，IPV4分组的源地址和目的地址分别是隧道入口和出口的IPV4地址。在隧道的出口处再将IPV6分组取出转发给目的节点。 隧道技术在实践中有四种具体形式：构造隧道、自动配置隧道、组播隧道以及6to4。 TB（Tunnel Broker，隧道代理） 对于独立的v6用户，要通过现有的IPv4网络连接IPv6网络上，必须使用隧道技术。但是手工配置隧道的扩展性很差，TB的主要目的就是简化隧道的配置，提供自动的配置手段。对于已经建立起IPv6的ISP来说，使用TB技术为网络用户的扩展提供了一个方便的手段。从这个意义上说，TB可以看作是一个虚拟的IPv6 ISP，它为已经连接到IPv4网络上的用户提供连接到IPv6网络的手段，而连接到IPv4网络上的用户就是TB的客户。 双栈转换机制（DSTM） DSTM的目标是实现新的IPv6网络与现有的IPv4网络之间的互通。使用DSTM，IPv6网络中的双栈结点与一个IPv4网络中的IPv4主机可以互相通信。DSTM的基本组成部分包括： DHCPv6服务器，为IPv6网络中的双栈主机分配一个临时的IPv4全网唯一地址，同时保留这个临时分配的IPv4地址与主机IPv6永久地址之间的映射关系，此外提供IPv6隧道的隧道末端（TEP）信息； 动态隧道端口DTI：每个DSTM主机上都有一个IPv4端口，用于将IPv4报文打包到IPv6报文里； DSTM Deamon：与DHCPv6客户端协同工作，实现IPv6地址与IPv4地址之间的解析。 协议转换技术其主要思想是在V6节点与V4节点的通信时需借助于中间的协议转换服务器，此协议转换服务器的主要功能是把网络层协议头进行V6/V4间的转换，以适应对端的协议类型。 优点：能有效解决V4节点与V6节点互通的问题。 缺点：不能支持所有的应用。这些应用层程序包括： 应用层协议中如果包含有IP地址、端口等信息的应用程序，如果不将高层报文中的IP地址进行变换，则这些应用程序就无法工作，如FTP、STMP等。 含有在应用层进行认证、加密的应用程序无法在此协议转换中工作。 SOCKS64一个是在客户端里引入SOCKS库，这个过程称为“socks化”（socksifying），它处在应用层和socket之间，对应用层的socket API和DNS名字解析API进行替换； 另一个是SOCKS网关，它安装在IPv6/v4双栈结点上，是一个增强型的SOCKS服务器，能实现客户端C和目的端D之间任何协议组合的中继。当C上的SOCKS库发起一个请求后，由网关产生一个相应的线程负责对连接进行中继。SOCKS库与网关之间通过SOCKS（SOCKSv5）协议通信，因此它们之间的连接是“SOCKS化”的连接，不仅包括业务数据也包括控制信息；而G和D之间的连接未作改动，属于正常连接。D上的应用程序并不知道C的存在，它认为通信对端是G。 传输层中继（Transport Relay） 与SOCKS64的工作机理相似，只不过是在传输层中继器进行传输层的“协议翻译”，而SOCKS64是在网络层进行协议翻译。它相对于SOCKS64，可以避免“IP分组分片”和“ICMP报文转换”带来的问题，因为每个连接都是真正的IPV4或IPV6连接。但同样无法解决网络应用程序数据中含有网络地址信息所带来的地址无法转换的问题。 应用层代理网关（ALG） ALG是Application Level Gateway的简称，与SOCKS64、传输层中继等技术一样，都是在V4与V6间提供一个双栈网关，提供“协议翻译”的功能，只不过ALG是在应用层级进行协议翻译。这样可以有效解决应用程序中带有网络地址的问题，但ALG必须针对每个业务编写单独的ALG代理，同时还需要客户端应用也在不同程序上支持ALG代理，灵活性很差。显然，此技术必须与其它过渡技术综合使用，才有推广意义。 过渡策略总结 双栈、隧道是主流 所有的过渡技术都是基于双栈实现的 不同的过渡策略各有优劣、应用环境不同 网络的演进过程中将是多种过渡技术的综合 根据运营商具体的网络情况进行分析 由不同的组织或个人提出的IPV4向IPV6平滑过渡策略技术很多，它们都各有自己的优势和缺陷。因此，最好的解决方案是综合其中的几种过渡技术，取长补短，同时，兼顾各运营商具体的网络设施情况，并考虑成本的因素，为运营商设计一套适合于他自己发展的平滑过渡解决方案。四、 建设方案4.1、IPv6网络接入方式针对现有IPv4网络的具体情况，为了保护已有网络投资，需要充分考虑各种信息点接入到IPv6网络的情况，为此我们将网络信息点推荐的接入方式总结如下图所示：图 41 IPv6网络接入方式4.1.1、双栈接入双栈技术即网络通信节点为双协议栈，与IPv4网通信使用IPv4协议，与IPv6网互通则使用IPv6协议。双栈的实施要求DNS必须提供对IPv4“A”、IPv6“A6/AAAA”类记录的解析库。并根据需要对返回地址类型做出决定。对于新规划的信息点，可以考虑增加支持双栈的汇聚交换机，或者IPv6终端数量不多的前提下，通过二层交换机直联到核心交换机，主机双栈接入到网络，如图 4中所示。图42 双栈模式4.1.2、配置隧道接入 配置隧道接入如图 4中所示，隧道是手工配置建立的，隧道的端点地址由配置决定，不需要为节点分配特殊的IPv6地址，适用于经常通信的IPv6节点之间使用。每个隧道的封装节点必须保存隧道终点地址，当IPv6包在隧道上传输时，终点地址会作为IPv4包的目的地址进行封装。通常封装节点要根据路由信息决定这个包是否通过隧道转发。采用手工配置隧道方式进行互通的节点间必须有可用的IPv4连接，并且至少要具有一个全球惟一的IPv4地址，每个节点都要支持IPv6，路由器需要支持双协议栈，在隧道要经过NAT设施的情况下该机制失效。配置隧道可以作为路由器路由器隧道，也可以是路由器主机隧道、主机主机隧道，部署最广泛。4.1.3、ISATAP隧道接入ISATAP隧道接入如图 4中所示，站内自动隧道寻址协议(ISATAP: IntraSite Automatic Tunnel Addressing Protocol) 是采用了双栈和隧道技术，并基于企业网和主机的一种过渡技术。ISATAP隧道不仅完成隧道功能，还可以进行地址自动分配。它使用特殊的地址格式:0:5efe:a.b.c.d,前64bit通过向ISATAP发送请求获得，后64比特中5efe为固定，a.b.c.d为接口的IPv4地址。图 43 ISATAP地址格式ISATAP隧道可以通过IPv4网络承载IPv6网络的ND协议，从而使跨IPv4网络的设备仍然可以进行IPv6设备的自动配置。分散在IPv4网络中的各个IPv6孤岛主机通过ISATAP技术自动获得地址并连接起来。4.1.4、几种接入方式的比较几种接入方式的特点比较如表 41所示：表 41 IPv6网络接入方式比较速度灵活性成本双栈接入快高高配置隧道接入慢低低ISATAP隧道接入慢中低在条件允许的情况下，我们推荐采用双栈接入的方式，速度快，灵活性高，IPv4与IPv6网络各自的互通不受另一方的影响，在某些网络环境中如果条件不允许，也可以采用ISATAP隧道接入的方式。4.2、IPv6网络设备认证测试各个网络厂商都在角逐IPv6，未来的IPv6 网络也不可能只使用单一品牌设备，那么如何保证各种宣称支持IPv6 的设备的互通兼容性呢？这就需要一个第三方的权威机构进行标准化的认证测试，目前国际上最权威的IPv6 设备认证测试就是全球IPv6 论坛的IPv6 Ready 银牌、金牌认证测试。产品获得银牌，即互联互通性方面已经基本得到认可，而金牌则需要更进一步进行移性、安全性、可管理性等方面的认证，获得这两种认证的企业可望在全球运营商的选择中获得先机。同时，获得认证的时间越早，则说明相应的企业在IPv6方面技术越成熟，可商用性越强。4.2.1、IPv6银牌测试IPv6银牌测试，即phase 1测试，它的协议一致性测试总共109项内容，涉及RFC2460（IPv6 规范）、RFC2463（ICMPv6）、RFC2461（邻居发现）、RFC2462（地址配置）的部分内容。它的互操作性测试只涉及其中连通响应和路由器公告生存期2个方面，属于最基本的互通测试。4.2.2、IPv6金牌测试IPv6金牌测试，即phase 2测试，它的协议一致性测试总共284项内容，涉及RFC2460（IPv6 规范）、RFC2463（ICMPv6）、RFC2461（邻居发现）、RFC2462（地址配置）、RFC1981（PathMTU发现）的全部内容。它的互操作性测试内容涉及IPv6协议的主要7个方面，总共有59个测试项。金牌测试确认了设备实现了标准的所有细节，能够完全实现与其他厂商产品的互连互通，根据IPv6技术标准检查和确保设备与服务的互通性和一致性，将增加Core、MLD、MIPv6和Migration等增强特性的测试;表 42 IPv6两个阶段测试对比第一阶段测试第二阶段测试ICMPv6 Echo部分测试完全测试地址自动分配和冲突检测无完全测试路由器公告前缀的发现机制无完全测试路由器公告前缀的生命周期已测试完全测试路由器重定向无完全测试路径MTU和分片无完全测试路由报头处理无完全测试2005年6月，神州数码网络全线交换路由产品通过IPv6 Ready 第一阶段认证2005年9月，神州数码网络成为通过IPv6 Ready第二阶段金牌认证 的第一家中国厂商图 44 神州数码网络IPv6金银牌认证4.2.3、Ipv6金牌增强测试同任何新技术一样IPv6的发展也是经历了各种问题。如基本协议方面目前广泛使用的协议有RFC 2460、RFC2461、RFC2462、RFC2463、RFC1981；由于路由头攻击等的出现，威胁到了IPv6协议的安全性，并且IPv6协议本身在实践中的发展也需要完善，所以IETF把上述的标准进行了改进和更新包括：RFC 5095（Deprecation of Type 0 Routing Headers in IPv6）修改和补充RFC2460，避免受到路由头攻击的影响。RFC 4861（Neighbor Discovery for IP version 6 (IPv6)）替换RFC2461，完善了邻居发现的协议过程，增强了安全性。RFC 4862（IPv6 Stateless Address Autoconfiguration）替换RFC2462，完善了无状态地址分配的协议交互过程。RFC 4443（Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification替换RFC2463，升级RFC2780，完善了IPv6的互联网控制消息协议。 RFC 4291（IP Version 6 Addressing Architecture）替换RFC3513，去除了使用IPv6任播地址的限制、对Site-Local 前缀等方面的修改。总体看来IPv6协议经过改进，变得更加健壮，进一步完美。目前主要的网络设备广泛使用还是为改进的IPv6，这使得IPv6的技术上的进步并没有使用户获得提升。为了应对这个挑战全球IPv6论坛下的IPv6 Ready 标识程序推出了支持以上的最新IPv6协议的升级测试程序程序，该阶段被称作IPv6 Ready Phase II enhanced （第二阶段增强）测试。4.2.4、DHCPv6测试DHCPv6是动态主机配置协议（DHCP）的IPv6版本，协议基本规范由RFC3315定义。相对于IPv6无状态地址自动配置协议，DHCPv6属于一种有状态地址自动配置协议。在有状态地址配置过程中，DHCPv6服务器分配一个完整的IPv6地址给主机，并提供DNS服务器地址和域名等其它配置信息，这中间可能通过中继代理转交DHCPv6报文，而且最终服务器能把分配的IPv6地址和客户端的绑定关系记录在案，从而增强了网络的可管理性。DHCPv6服务器也能提供无状态DHCPv6服务，即DHCPv6服务器不分配IPv6地址，仅需向主机提供DNS服务器地址和域名等其它配置信息，主机IPv6地址仍然通过路由器公告方式自动生成，这样配合使用就弥补了IPv6无状态地址自动配置的缺陷。DHCPv6协议还提供了DHCPv6前缀代理的扩展功能，上游路由器可以自动为下游路由器分派地址前缀，从而实现了层次化网络环境中IPv6地址的自动规划。神州数码网络产品DCRS-9800、7600、5950交换机均支持DHCPv6 Server/Relay特性，神州数码网络也是目前业内独家通过IPv6 Ready dhcp认证的厂商，可以为网络部署实施DHCPv6方案，解决IPv6地址分配的难题。神州数码网络有限公司于2009年2月12日全球范围内首获IPv6 Ready DHCPv6 Server认证，通过该测试说明中国厂商在IPv6协议标准支持方面已跃居世界前列，特别是全球首次通过的认证项目，难度比一般的项目要大几倍，需要世界的所有IPv6 Ready测试实验室审核方可通过。虽然有些公司的产品支持了DHCPv6，但是在实现上对RFC的理解各异，实现方法也各不相同，使得协议的互操作性较差，甚至一些国际知名厂商在此方面实现的也不够完全。神州数码网路的网络产品在国际上率先通过IPv6 Ready DHCPv6 Server和Relay功能的测试，推动了DHCPv6技术在网络中的再次广泛应用。图 45神州数码网络IPv6里程碑4.3、IPv6 SAVI安全技术随着互联网技术的迅速发展，安全问题日益严重，而问题的根源大多是与非法主机接入有关，针对IPv4、IPv6主机的安全合法接入问题，清华大学于2009年4月提出SAVI源址合法性检验 rfc草案，该草案主要讲述了ipv4/ipv6的CPS（Control Packet Snooping）原理，根据CPS原理在接入设备(交换机、AP)上建立基于源地址的绑定关系，从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。神州数码网络公司与清华大学紧密合作，从该草案设计之初就密切跟踪其进展，根据草案进展逐步开发相应的功能配合清华大学测试，目前神州数码DCS-3950、DCRS-5950系列交换机支持SAVI草案中涉及的所有功能，可全面保证终端设备的安全接入。2009年7月在瑞典召开的IETF会议上，清华大学针对该草案实现功能的演示就是使用的两台DCS-3950-28CT设备与一台DCRS-5950-28T设备。SAVI草案中关于IPv6的主机合法接入主要包括了NDP snooping与DHCPv6 snooping两部分的内容，下面分别介绍。4.3.1、NDP SnoopingNDP snooping利用Control Packet Snooping(CPS)机制，通过源IPv6地址和锚信息绑定的方式，对端口接入报文进行合法性检测，放行匹配绑定的报文，丢弃不匹配的报文，以达到对直连链路节点准入控制的目的。全局启用NDP snooping功能，交换机所有端口上均可建立NDP snooping绑定，但不下硬件表项（即准入控制表项）。端口上启用NDP snooping功能时，该端口上初始化拒绝所有ipv6报文（除了源地址为本地链路地址的IPv6报文和NS/NA报文）。当该端口上根据DAD NS报文建立一个状态为SAC_BOUND的NDP snooping绑定时，则下发一个（IPv6 address，MAC，Port Name，VLAN ID）四元组的准入控制表项，允许符合规则的IPv6报文通过。关闭端口的NDP snooping功能时，不删除上层绑定表项，只删除下发的准入控制表项；关闭全局的NDP snooping功能时，删除所有的上层绑定表项，同时删除下发的所有准入控制