《部署IPv6网络的思路探讨及对安全因素的考虑》由会员分享,可在线阅读,更多相关《部署IPv6网络的思路探讨及对安全因素的考虑(28页珍藏版)》请在金锄头文库上搜索。
1、浙江网络技术专委会浙江网络技术专委会部署部署IPv6网络的思路探讨网络的思路探讨及对安全因素的考虑及对安全因素的考虑锐捷网络锐捷网络 王立仁王立仁20062006年年5 5月月2626日日浙江省网络技术专委会浙江省网络技术专委会浙江网络技术专委会浙江网络技术专委会提纲提纲前言部署方法简论双栈Tunnel附录:参考材料浙江网络技术专委会浙江网络技术专委会前言前言IPv6标准的发展进程操作系统对IPv6的支持状况国家对发展IPv6的推动作用仁人志士对IPv6的关心呵护浙江网络技术专委会浙江网络技术专委会IPv6标准的发展进程标准的发展进程11993年12月,RFC1553, 请求研究Next IP
2、1994年12月,RFC1726, 确定了IPv6标准的梗概1998年12月, RFC 2460 在RFC1883的基础上,形成了标准1995年12月,RFC1883,形成了IPv6的基本特征浙江网络技术专委会浙江网络技术专委会IPv6标准的发展进程标准的发展进程2在2006年3月30日,更新了一批协议。地址分配和管理lRFC3513RFC4291ICMPv6lRFC2461、RFC2462、RFC2463DNSDHCPv6lRFC3513支持IPv6 路由协议lOSPFv3,RIPNG,BGP4,IS-ISv6Mobile IPv6 移动IPl2004年6月,RFC 3775Transiti
3、on 转换Network Management 网络管理浙江网络技术专委会浙江网络技术专委会操作系统的支持操作系统的支持不提供不提供IPv6功能功能需手工安装需手工安装IPv6,核心协议支,核心协议支持好,功能不完善持好,功能不完善默认安装,默认安装,IPv6功能全面,功能全面,DHCPv6, IPSec, MIPv6 等等等等2007年初发行年初发行需要打补丁,提供非常有限的需要打补丁,提供非常有限的IPv6功能,并且不易使用功能,并且不易使用浙江网络技术专委会浙江网络技术专委会 完善了Linux对IPv6的支持l通过USAGI 开发团队(1998/03)lUniverSAl playGro
4、und for Ipv6 完善了BSD对IPv6的支持l通过Kame 开发团队(1998/032006/03)l完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。l已经融入到各种BSD的代码库中HP-UX11i和 IBM AIXLinux和和BSD浙江网络技术专委会浙江网络技术专委会国家对发展国家对发展IPv6的支持的支持2005年10月:中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。 胡锦涛总书记2006年1月考察锐捷网络,赞赏锐捷网络IPv6研发中的创新能力。浙江网络技术专委会浙江网络技术专委会能人志士对能人志士对IPv6的推动的推动比如我们浙江网络技
5、术专委会比如我们这次与会代表浙江网络技术专委会浙江网络技术专委会提纲提纲前言部署方法简论双栈Tunnel附录:参考材料浙江网络技术专委会浙江网络技术专委会部署方法简论部署方法简论部署方法考虑要素浙江网络技术专委会浙江网络技术专委会IPv4 IPv6IPv6的部署的部署部署方式有很多种,到底什么样的过渡方式部署方式有很多种,到底什么样的过渡方式是最适合企业网、尤其是高校校园网的呢?是最适合企业网、尤其是高校校园网的呢?双栈协议转换隧 道浙江网络技术专委会浙江网络技术专委会部署时考虑的要素部署时考虑的要素领导(政策)的支持费用的高低 操作的复杂性性能的高低已有的IPv4 NAT浙江网络技术专委会浙
6、江网络技术专委会隧道方式隧道方式6to4l用于主机与路由器、路由器与路由器、路由器与主机之间的沟通用于主机与路由器、路由器与路由器、路由器与主机之间的沟通ISATAPlIntra-Site Automatic Tunnel Addressing Protocol (ISATAP) l站内自动隧道地址协议站内自动隧道地址协议l方便灵活,容易部署,不影响方便灵活,容易部署,不影响Configured Tunnelsl手工配置手工配置l管理工作量大管理工作量大Tunnel Brokerl自动灵活自动灵活l系统压力大系统压力大6over4lIPv4网络需要支持组播功能网络需要支持组播功能DSTMTer
7、edo6PE浙江网络技术专委会浙江网络技术专委会协议转换协议转换NAT-PTl需要ALGlApplication Layer GatewaySIITBIABISSocksTRT浙江网络技术专委会浙江网络技术专委会优先考虑的部署方式优先考虑的部署方式1.Dual-Stack2.6to4+ISATAP3.Configured Tunnels4.Tunnel Broker5.DSTM6.6PE7.SIIT8.BIA9.BIS10.NAT-PT浙江网络技术专委会浙江网络技术专委会避免使用的方式避免使用的方式Teredol部署复杂,管理困难,破坏路由汇聚部署复杂,管理困难,破坏路由汇聚6over4(Vi
8、rtual Ethernet)*l破坏了路由汇聚、需要具备组播功能的破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用网络、产品费用高高Socksl基于基于NEC的私有协议的私有协议.浙江网络技术专委会浙江网络技术专委会提纲提纲前言部署方法简论双栈Tunnel附录:参考材料浙江网络技术专委会浙江网络技术专委会双栈形式双栈形式StarView GSN系统系统 SAM系统系统S6810ES6810ERG-S6806ES2150GS2126G各教学科研办公楼栋各教学科研办公楼栋RG-S3760-12SFP/GTS2150G各学生宿舍楼栋各学生宿舍楼栋RG-S6806E教学科研办公区域教学科研办
9、公区域RG-S6806E学生宿舍学生宿舍区域区域RG-WALL1500RSR-04E/M7iCERNET2千兆光纤千兆光纤千兆电缆千兆电缆百兆电缆百兆电缆图例:图例:万兆链路万兆链路内部服务器内部服务器CERNETChinanet2S2126GChinanet1RG-S3760-12SFP/GTS3760-12SFP/GTWWW FTP VOD DNS for IPv61.实现简单,互实现简单,互通性好,同时通性好,同时使用使用IPv4和和IPv6 地址;地址;2.双栈节点可以双栈节点可以同时与同时与IPv6和和IPv4互通;互通;3.对各种应用支对各种应用支持;持;4.允许应用逐渐允许应用逐
10、渐从从IPv4过渡到过渡到IPv6;RSR-08E/M10i浙江网络技术专委会浙江网络技术专委会安全考虑安全考虑IGMPv3中的ND欺骗l类似与IPv4中ARP欺骗、ARP病毒IPSec能勇挑重任吗?l先有鸡 or 先有蛋?l你能把自己拉出地球吗?IP源地址欺骗被扫描探测的可能性降低l264lNMAP甚至不支持IPv6地址扫描功能SixXS的影响l通过v6网络进入v4网络进行非法操作路由器哄骗浙江网络技术专委会浙江网络技术专委会SixXS的影响的影响通过IPv6网络访问IPv4网络 浙江网络技术专委会浙江网络技术专委会如何解决如何解决启用IPv4中被广泛应用的802.1x认证。l比如锐捷网络S
11、AM系统接入层交换机抑制非法设备的“路由宣告”。l比如锐捷网络的21交换机浙江网络技术专委会浙江网络技术专委会提纲提纲前言部署方法简论双栈Tunnel附录:参考材料浙江网络技术专委会浙江网络技术专委会6to4+ISATAP隧道方式隧道方式StarView GSN系统系统 SAM系统系统核心交换机核心交换机核心交换机核心交换机服务器群交换机服务器群交换机二层交换机二层交换机二层交换机二层交换机各教学科研办公楼栋各教学科研办公楼栋RG-S3550-12SFP/GT二层交换机二层交换机各学生宿舍楼栋各学生宿舍楼栋教学科研办公区域教学科研办公区域学生宿舍学生宿舍区域区域RG-WALL1500RSR-0
12、4E/M7iCERNET2千兆光纤千兆光纤千兆电缆千兆电缆百兆电缆百兆电缆图例:图例:万兆链路万兆链路内部服务器内部服务器CERNETChinanet2二层交换机二层交换机Chinanet1RG-S3550-12SFP/GTS3760-12SFP/GTWWW FTP VOD DNS1.使用使用6to4ISATAP2.充分利用现有设充分利用现有设备组网;备组网;3.骨干设备无需升骨干设备无需升级;级;4.额外配置隧道,额外配置隧道,效率有所降低;效率有所降低;RSR-08E/M10i浙江网络技术专委会浙江网络技术专委会安全考虑安全考虑网络设备 6to4 Relay Routerl没有身份验证机制
13、lRelay Router被当做傀儡机l对其他设备发动DoS攻击网络终端l通过IPv6网络进入IPv4网络进行破坏信息安全(Sixxs)浙江网络技术专委会浙江网络技术专委会提纲提纲前言部署方法简论双栈Tunnel附录:参考材料浙江网络技术专委会浙江网络技术专委会参考材料来源参考材料来源IETF 与IPv6相关的工作组MicrosoftlUnderstanding IPv6FreeBSDLinux锐捷网络IPv6配置文档IPv6 ForumSixxs, 浙江网络技术专委会浙江网络技术专委会谢谢谢谢欢迎到锐捷网络指导工作欢迎到锐捷网络指导工作欢迎到锐捷网络指导工作欢迎到锐捷网络指导工作王立仁王立仁王立仁王立仁 wanglrstar-wanglrstar-wanglrstar-wanglrstar-浙江省网络技术专委会浙江省网络技术专委会?
