部署 ipv6 网络的思路探讨 及对安全因素的考虑
DESCRIPTION
部署 IPv6 网络的思路探讨 及对安全因素的考虑. 浙江省网络技术专委会. 锐捷网络 王立仁 2006 年 5 月 26 日. 提纲. 前言 部署方法简论 双栈 Tunnel 附录:参考材料. 前言. IPv6 标准的发展进程 操作系统对 IPv6 的支持状况 国家对发展 IPv6 的推动作用 仁人志士对 IPv6 的关心呵护. IPv6 标准的发展进程- 1. 1998 年 12 月 , RFC 2460 在 RFC1883 的基础上,形成了标准. 1994 年 12 月, RFC1726, 确定了 IPv6 标准的梗概. - PowerPoint PPT PresentationTRANSCRIPT
浙江网络技术专委会
部署 IPv6 网络的思路探讨及对安全因素的考虑锐捷网络 王立仁
2006 年 5 月 26 日
浙江省网络技术专委会
浙江网络技术专委会 提纲前言部署方法简论双栈Tunnel附录:参考材料
浙江网络技术专委会 前言
IPv6 标准的发展进程 操作系统对 IPv6 的支持状况 国家对发展 IPv6 的推动作用 仁人志士对 IPv6 的关心呵护
浙江网络技术专委会 IPv6 标准的发展进程- 1
1993 年 12 月, RFC1553, 请求研究 Next IP
1994 年 12 月, RFC1726, 确定了 IPv6 标准的梗概
1998 年 12 月 , RFC 2460 在 RFC1883 的基础上,形成了标准
1995 年 12 月, RFC1883 ,形成了 IPv6 的基本特征
浙江网络技术专委会 IPv6 标准的发展进程- 2 在 2006 年 3 月 30 日,更新了一批协议。 地址分配和管理
RFC3513 -》 RFC4291 ICMPv6
RFC2461 、 RFC2462 、 RFC2463 DNS DHCPv6
RFC3513 支持 IPv6 路由协议
OSPFv3 , RIPNG , BGP4 +, IS-ISv6 Mobile IPv6 移动 IP
2004 年 6 月, RFC 3775 Transition 转换 Network Management 网络管理
浙江网络技术专委会 操作系统的支持 不提供 IPv6 功能
需手工安装 IPv6 ,核心协议支持好,功能不完善
默认安装, IPv6 功能全面, D
HCPv6, IPSec, MIPv6 等等 20
07 年初发行
需要打补丁,提供非常有限的 IPv6
功能,并且不易使用
浙江网络技术专委会 完善了 Linux 对 IPv6 的支持
通过 USAGI 开发团队 (1998/03~)UniverSAl playGround for Ipv6 http://www.linux-ipv6.org/
完善了 BSD 对 IPv6 的支持通过 Kame 开发团队( 1998/03~2006/03)完善了 FreeBSD 、 OpenBSD 、 NetBSD 、 BSD/OS 。已经融入到各种 BSD 的代码库中
HP-UX11i 和 IBM AIX
Linux 和 BSD
浙江网络技术专委会 国家对发展 IPv6 的支持 2005 年 10 月:中共十六届五中全会将“自主创
新”战略上升到与“改革开放”平行的高度。
胡锦涛总书记 2006 年 1 月考察锐捷网络,赞赏锐捷网络 IPv6 研发中的创新能力。
浙江网络技术专委会 能人志士对 IPv6 的推动
比如我们浙江网络技术专委会 比如我们这次与会代表
浙江网络技术专委会 提纲前言部署方法简论双栈Tunnel附录:参考材料
浙江网络技术专委会 部署方法简论
部署方法考虑要素
浙江网络技术专委会
IPv4 IPv6
IPv6 的部署
部署方式有很多种,到底什么样的过渡方式是最适合企业网、尤其是高校校园网的呢?
双栈 协议转换 隧 道
浙江网络技术专委会 部署时考虑的要素
领导(政策)的支持 费用的高低 操作的复杂性 性能的高低 已有的 IPv4 NAT
浙江网络技术专委会 隧道方式 6to4
用于主机与路由器、路由器与路由器、路由器与主机之间的沟通 ISATAP
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) 站内自动隧道地址协议 方便灵活,容易部署,不影响
Configured Tunnels 手工配置 管理工作量大
Tunnel Broker 自动灵活 系统压力大
6over4 IPv4网络需要支持组播功能
DSTM Teredo 6PE
浙江网络技术专委会 协议转换 NAT-PT
需要 ALGApplication Layer Gateway
SIIT BIA BIS Socks TRT
浙江网络技术专委会 优先考虑的部署方式1. Dual-Stack2. 6to4+ISATAP3. Configured Tunnels4. Tunnel Broker5. DSTM6. 6PE7. SIIT8. BIA9. BIS10.NAT-PT
浙江网络技术专委会 避免使用的方式 Teredo
部署复杂,管理困难,破坏路由汇聚 6over4(Virtual Ethernet)*
破坏了路由汇聚、需要具备组播功能的 IPv4网络、产品费用高 Socks
基于 NEC的私有协议 .
浙江网络技术专委会 提纲前言部署方法简论双栈Tunnel附录:参考材料
浙江网络技术专委会 双栈形式StarView GSN 系统 SAM 系统
S6810E S6810E
RG-S6806E
S2150GS2126G
各教学科研办公楼栋
RG-S3760-12SFP/GT
S2150G
各学生宿舍楼栋
RG-S6806E教学科研办公区域RG-S6806E学生宿舍区域
RG-WALL1500
RSR-04E/M7i
CERNET2
千兆光纤千兆电缆百兆电缆
图例:万兆链路内部服务器
CERNET
Chinanet2
S2126G
Chinanet1
RG-S3760-12SFP/GT
S3760-12SFP/GT
WWW FTP VOD DNS
for IPv6
1. 实现简单,互通性好,同时使用 IPv4 和 IPv6 地址;
2. 双栈节点可以同时与 IPv6和 IPv4 互通;3. 对各种应用支持;4. 允许应用逐渐从 IPv4 过渡到 IPv6 ;
RSR-08E/M10i
浙江网络技术专委会 安全考虑 IGMPv3 中的 ND 欺骗
类似与 IPv4 中 ARP 欺骗、 ARP 病毒 IPSec 能勇挑重任吗?
先有鸡 or 先有蛋?你能把自己拉出地球吗?
IP 源地址欺骗 被扫描探测的可能性降低
2^64NMAP 甚至不支持 IPv6 地址扫描功能
SixXS 的影响通过 v6 网络进入 v4 网络进行非法操作
路由器哄骗
浙江网络技术专委会 SixXS 的影响 通过 IPv6 网络访问 IPv4 网络 http://www.sixxs.org
浙江网络技术专委会 如何解决
启用 IPv4 中被广泛应用的 802.1x认证。比如锐捷网络 SAM 系统
接入层交换机抑制非法设备的“路由宣告”。比如锐捷网络的 21 交换机
浙江网络技术专委会 提纲前言部署方法简论双栈Tunnel附录:参考材料
浙江网络技术专委会 6to4+ISATAP 隧道方式StarView GSN 系统 SAM 系统
核心交换机 核心交换机
服务器群交换机
二层交换机二层交换机各教学科研办公楼栋
RG-S3550-12SFP/GT
二层交换机各学生宿舍楼栋
教学科研办公区域 学生宿舍区域
RG-WALL1500
RSR-04E/M7i
CERNET2
千兆光纤千兆电缆百兆电缆
图例:万兆链路内部服务器
CERNET
Chinanet2
二层交换机
Chinanet1
RG-S3550-12SFP/GT
S3760-12SFP/GT
WWW FTP VOD DNS
1. 使用 6to4 + ISATAP
2. 充分利用现有设备组网;3. 骨干设备无需升级;4. 额外配置隧道,效率有所降低;
RSR-08E/M10i
浙江网络技术专委会 安全考虑 网络设备 6to4 Relay Router
没有身份验证机制Relay Router 被当做傀儡机对其他设备发动 DoS 攻击
网络终端通过 IPv6 网络进入 IPv4 网络进行破坏
信息安全( Sixxs )
浙江网络技术专委会 提纲前言部署方法简论双栈Tunnel附录:参考材料
浙江网络技术专委会 参考材料来源 IETF 与 IPv6 相关的工作组
http://www.ietf.org/html.charters/ipv6-charters.html http://www.ietf.org/html.charters/ngtrans-charter.html http://www.ietf.org/html.charters/v6ops-charter.html
Microsoft http://www.microsoft.com/ipv6 《 Understanding IPv6 》
FreeBSD http://www.kame.net http://www.freebsd.net
Linux http://www.usagi.net
锐捷网络 IPv6 配置文档 http://www.ruijie.com.cn
IPv6 Forum http://www.ipv6forum.org
Sixxs, http://www.sixxs.org