園區(qū)網(wǎng)的IPv6技術(shù)部署

2. 雙棧園區(qū)網(wǎng)中的隧道技術(shù)部署

一些園區(qū)網(wǎng)的用戶由于預(yù)算、技術(shù)等方面的原因無法部署雙棧園區(qū)網(wǎng)或只能將部分園區(qū)網(wǎng)升級(jí)為雙棧網(wǎng)絡(luò)，這種情況下可以在園區(qū)網(wǎng)中采用隧道技術(shù)作為補(bǔ)充，將純IPv6終端接入IPv6廣域網(wǎng)絡(luò)。

圖3. ISATAP隧道部署

對(duì)于雙棧終端，IPv4網(wǎng)關(guān)部署在匯聚層交換機(jī)上。駐地網(wǎng)內(nèi)所有三層設(shè)備由于均是IPv4設(shè)備，不能完成對(duì)IPv6報(bào)文的轉(zhuǎn)發(fā)，因此需要部署客戶端到出口路由器的自動(dòng)隧道來完成。在部署中采用較多的是ISATAP自動(dòng)隧道。在自動(dòng)隧道的部署中，需要考慮設(shè)備的性能，如果網(wǎng)絡(luò)中有較多的IPv6用戶需要接入，可以增加隧道終結(jié)路由器的數(shù)量，以保證IPv6報(bào)文的轉(zhuǎn)發(fā)能力。

使用隧道技術(shù)進(jìn)行IPv6部署能夠保護(hù)原有的設(shè)備投資，原有網(wǎng)絡(luò)拓?fù)浜吐酚蓭缀鯚o需調(diào)整，只需要增加隧道終結(jié)的設(shè)備就能夠使客戶端訪問廣域的IPv6資源。

隧道技術(shù)屬于過渡技術(shù)，不是最終的理想方案。隧道兩端點(diǎn)設(shè)備需要花費(fèi)額外的系統(tǒng)開銷。而且在網(wǎng)絡(luò)中部署隧道技術(shù)后，IPv6用戶進(jìn)行的IPv6資源訪問只能通過隧道進(jìn)行，無法像通常情況下，利用匯聚層及核心層網(wǎng)絡(luò)進(jìn)行高速的轉(zhuǎn)發(fā)，同時(shí)，IPv6用戶之間的互訪的開銷也非常大。隧道技術(shù)不適合大規(guī)模IPv6的用戶進(jìn)行接入，只適合在過渡網(wǎng)絡(luò)中，滿足小部分用戶的IPv6訪問。

3. 雙棧園區(qū)網(wǎng)中的IP地址劃分

良好的地址劃分，能夠保證后續(xù)網(wǎng)絡(luò)部署的穩(wěn)定性及可維護(hù)性。IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用以及方便有效的管理網(wǎng)絡(luò)的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。根據(jù)最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，但協(xié)議并沒有明確規(guī)定其各自占的bit數(shù)，目前APNIC能夠申請(qǐng)到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強(qiáng)。

IP地址的分配與網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，遵循以下分配原則：

1)址資源應(yīng)全網(wǎng)統(tǒng)一分配;

2)地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡化路由表;

IP地址分配要盡量給每個(gè)物理區(qū)域分配連續(xù)的IP地址空間;在每個(gè)城域網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

3)IP地址的規(guī)劃與劃分需要考慮到網(wǎng)絡(luò)的發(fā)展要求;

地址使用兼顧到近期的需求、遠(yuǎn)期的發(fā)展以及網(wǎng)絡(luò)的擴(kuò)展，預(yù)留相應(yīng)的地址段。IP地址的分配需要有足夠的靈活性，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)以及各種特殊的業(yè)務(wù)要求、滿足各種用戶接入的需要。

4)充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率;

IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。

在園區(qū)網(wǎng)進(jìn)行IPv6地址劃分時(shí)，可以根據(jù)功能劃分為三類地址：

1) 公共服務(wù)器地址，如DNS，EMAIL，F(xiàn)TP等。

2) 網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址

根據(jù)IETF IPv6工作組的建議，IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協(xié)議的網(wǎng)絡(luò)中，即使是純IPv6的網(wǎng)絡(luò)也必須要求每個(gè)網(wǎng)絡(luò)設(shè)備擁有IPv4地址。

3)用戶終端的地址

用于最終用戶接入的地址，可以根據(jù)物理位置進(jìn)行劃分用戶的接入網(wǎng)段，也可以根據(jù)用戶所屬的邏輯位置，如部門類型，職務(wù)等進(jìn)行劃分。

4. 雙棧園區(qū)網(wǎng)中的安全考慮

網(wǎng)絡(luò)安全策略的總體目標(biāo)是保護(hù)網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護(hù)日常園區(qū)網(wǎng)的正常使用。在IPv6/IPv4的網(wǎng)絡(luò)中，不僅要考慮針對(duì)IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設(shè)備升級(jí)為雙棧設(shè)備后，針對(duì)IPv6協(xié)議族的攻擊帶來的安全問題。

在雙棧園區(qū)網(wǎng)中的網(wǎng)絡(luò)設(shè)備自身的安全風(fēng)險(xiǎn)主要有：

1)網(wǎng)絡(luò)設(shè)備的安全及網(wǎng)絡(luò)協(xié)議安全

網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)主要指設(shè)備對(duì)外提供的網(wǎng)絡(luò)服務(wù)風(fēng)險(xiǎn)，網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問的風(fēng)險(xiǎn)，設(shè)備訪問密碼安全等對(duì)于網(wǎng)絡(luò)設(shè)備相關(guān)的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)協(xié)議安全主要指動(dòng)態(tài)路由協(xié)議，VRRP協(xié)議等網(wǎng)絡(luò)的安全問題。在IPv6網(wǎng)絡(luò)中，部分網(wǎng)絡(luò)協(xié)議的安全性得到了提高，如OSPFv3可以IPSec進(jìn)行協(xié)議報(bào)文的保護(hù)。

2)用戶的非法訪問

用戶非法訪問的風(fēng)險(xiǎn)主要指IPv4/IPv6雙棧用戶對(duì)資源的非法訪問。低權(quán)限的用戶非法訪問高權(quán)限的資源等風(fēng)險(xiǎn)。

3)接入層攻擊及非法用戶接入

在接入層防止ND攻擊及對(duì)用戶進(jìn)行身份認(rèn)證防止非法用戶接入網(wǎng)絡(luò)。

圖4. IPv6園區(qū)網(wǎng)安全部署

針對(duì)以上安全風(fēng)險(xiǎn)，在IPv6園區(qū)網(wǎng)中可以采用如下網(wǎng)絡(luò)安全技術(shù)：

1)雙棧防火墻

專用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網(wǎng)絡(luò)中重要的安全設(shè)備，為網(wǎng)絡(luò)提供快速、安全的保護(hù)。首先，專用的軟硬件，設(shè)備自身安全性很高;其次，提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護(hù)內(nèi)部地址的私密性;第三，提供嚴(yán)格的安全管理策略，除了顯式被允許通過的數(shù)據(jù)，默認(rèn)其他數(shù)據(jù)都是被拒絕的;第四，多層次的安全級(jí)別，為不同的安全區(qū)域提供差異化的安全級(jí)別;另外它還可以提供多樣的系統(tǒng)安全策略和日志功能。

2)雙棧用戶認(rèn)證

在用戶側(cè)首要解決的是“接入安全”的問題。為保證接入用戶的合法性，建議采用傳統(tǒng)的802.1x認(rèn)證。用戶在通過認(rèn)證后才可以正常訪問網(wǎng)絡(luò)。通過認(rèn)證后，雙棧用戶的本地地址信息能夠上傳到認(rèn)證服務(wù)器上，為后續(xù)的用戶審計(jì)提供了參考依據(jù)。