部署IPv6网络的思路探讨及对安全因素的考虑课件

部署IPv6网络的思路探讨

及对安全因素的考虑锐捷网络王立仁2006年5月26日浙江省网络技术专委会提纲前言部署方法简论双栈Tunnel附录：参考材料前言IPv6标准的发展进程操作系统对IPv6的支持状况国家对发展IPv6的推动作用仁人志士对IPv6的关心呵护IPv6标准的发展进程－11993年12月，RFC1553,请求研究NextIP1994年12月，RFC1726,确定了IPv6标准的梗概1998年12月,RFC2460在RFC1883的基础上，形成了标准1995年12月，RFC1883，形成了IPv6的基本特征IPv6标准的发展进程－2在2006年3月30日，更新了一批协议。地址分配和管理RFC3513－》RFC4291ICMPv6RFC2461、RFC2462、RFC2463DNSDHCPv6RFC3513支持IPv6路由协议OSPFv3，RIPNG，BGP4＋，IS-ISv6MobileIPv6移动IP2004年6月，RFC3775Transition转换NetworkManagement网络管理完善了Linux对IPv6的支持通过USAGI开发团队(1998/03~)UniverSAlplayGroundforIpv6

完善了BSD对IPv6的支持通过Kame开发团队（1998/03~2006/03)完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。已经融入到各种BSD的代码库中HP-UX11i和IBMAIXLinux和BSD国家对发展IPv6的支持2005年10月：中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。胡锦涛总书记2006年1月考察锐捷网络，赞赏锐捷网络IPv6研发中的创新能力。提纲前言部署方法简论双栈Tunnel附录：参考材料部署方法简论部署方法考虑要素IPv4IPv6IPv6的部署部署方式有很多种，到底什么样的过渡方式是最适合企业网、尤其是高校校园网的呢？双栈协议转换隧道部署时考虑的要素领导（政策）的支持费用的高低操作的复杂性性能的高低已有的IPv4NAT隧道方式6to4用于主机与路由器、路由器与路由器、路由器与主机之间的沟通ISATAPIntra-SiteAutomaticTunnelAddressingProtocol(ISATAP)站内自动隧道地址协议方便灵活，容易部署，不影响ConfiguredTunnels手工配置管理工作量大TunnelBroker自动灵活系统压力大6over4IPv4网络需要支持组播功能DSTMTeredo6PE协议转换NAT-PT需要ALG ApplicationLayerGatewaySIITBIABISSocksTRT避免使用的方式Teredo部署复杂，管理困难，破坏路由汇聚6over4(VirtualEthernet)*破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用高Socks基于NEC的私有协议.提纲前言部署方法简论双栈Tunnel附录：参考材料安全考虑IGMPv3中的ND欺骗类似与IPv4中ARP欺骗、ARP病毒IPSec能勇挑重任吗？先有鸡or先有蛋？你能把自己拉出地球吗？IP源地址欺骗被扫描探测的可能性降低2^64NMAP甚至不支持IPv6地址扫描功能SixXS的影响通过v6网络进入v4网络进行非法操作路由器哄骗SixXS的影响通过IPv6网络访问IPv4网络如何解决启用IPv4中被广泛应用的802.1x认证。比如锐捷网络SAM系统接入层交换机抑制非法设备的“路由宣告”。比如锐捷网络的21交换机提纲前言部署方法简论双栈Tunnel附录：参考材料6to4+ISATAP隧道方式StarViewGSN系统SAM系统核心交换机核心交换机服务器群交换机二层交换机二层交换机各教学科研办公楼栋RG-S3550-12SFP/GT二层交换机各学生宿舍楼栋教学科研办公区域学生宿舍区域RG-WALL1500RSR-04E/M7iCERNET2千兆光纤千兆电缆百兆电缆图例：万兆链路内部服务器CERNETChinanet2二层交换机Chinanet1RG-S3550-12SFP/GTS3760-12SFP/GTWWWFTPVODDNS使用6to4＋ISATAP充分利用现有设备组网；骨干设备无需升级；额外配置隧道，效率有所降低；RSR-08E/M10i安全考虑网络设备6to4RelayRouter没有身份验证机制RelayRouter被当做傀儡机对其他设备发动DoS攻击网络终端通过IPv6网络进入IPv4网络进行破坏信息安全（Sixxs）参考材料来源IETF与IPv6相关的工作组Mi