園區(qū)網(wǎng)的IPv6技術(shù)部署

3)接入層ND防攻擊

在IPv6網(wǎng)絡(luò)中，ARP協(xié)議被ND協(xié)議所替代，于是ND防攻擊就成為在IPv6網(wǎng)絡(luò)部署時一個必不可少的組成部分。目前ND防攻擊的主要功能有

1、防欺騙攻擊：通過DHCP Snooping/手工配置等手段，建立其可信表項，配合ND異常報文過濾特性，對虛假的NA報文進行過濾。

2、防DoS攻擊：通過限制網(wǎng)關(guān)上基于VLAN或端口的ND學(xué)習(xí)數(shù)量，保護網(wǎng)關(guān)上的ND表項避免遭受DoS攻擊。

3、防DAD攻擊：防御的方法與欺騙攻擊相同，通過綁定表項進行偽造的ND報文過濾。

4、防RA攻擊：利用RA TRUST特性，利用可信端口進行RA報文的轉(zhuǎn)發(fā)。

5. 雙棧園區(qū)網(wǎng)中的無線部署

當(dāng)進行雙棧園區(qū)網(wǎng)的無線網(wǎng)絡(luò)部署時不僅需要考慮當(dāng)前的普通IPv4網(wǎng)絡(luò)中的應(yīng)用，而且同時支持在IPv6網(wǎng)絡(luò)中應(yīng)用。

在IPv4/IPv6雙棧園區(qū)網(wǎng)或純IPv6園區(qū)網(wǎng)中，建議部署無線控制器+FIT AP的集中式無線局域網(wǎng)。這種部署結(jié)構(gòu)對無線設(shè)備的功能進行了重新劃分，其中無線控制器負責(zé)無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制;FIT AP負責(zé)802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能。

在使用集中式無線網(wǎng)絡(luò)部署時，F(xiàn)it AP設(shè)備為零配置設(shè)備，對于AP和AC建立IPv4隧道還是建立IPv6隧道，由Fit AP自動進行選擇，接入控制器則同時可以支持IPv4隧道和IPv6隧道。

由于接入點為零配置設(shè)備，不能判斷當(dāng)前接入的網(wǎng)絡(luò)為IPv4還是IPv6網(wǎng)絡(luò)。為了解決這一問題，以H3C的接入點為例，采用首先在IPv4網(wǎng)絡(luò)進行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點無法成功通過IPv4網(wǎng)絡(luò)和接入控制器建立鏈接，則接入點會切換到使用IPv6進行接入控制器的發(fā)現(xiàn)和鏈接處理。

無線用戶的報文是在AP與AC之間建立的CAPWAP隧道中進行的，骨干網(wǎng)絡(luò)是IPv4還是IPv6網(wǎng)絡(luò)對無線網(wǎng)絡(luò)是透明的，在無線局域網(wǎng)設(shè)備上對無線接入用戶數(shù)據(jù)也只進行二層轉(zhuǎn)發(fā)。雖然在AC和AP之間會通過CAPWAP數(shù)據(jù)隧道實現(xiàn)轉(zhuǎn)發(fā)，但是無論在接入點還是接入控制器都是根據(jù)二層信息實現(xiàn)轉(zhuǎn)發(fā)，而且CAPWAP隧道封裝的載荷也是二層協(xié)議報文。所以CAPWAP協(xié)議不會關(guān)心無線接入用戶的上層協(xié)議，同樣無線接入用戶也不需要關(guān)心CAPWAP數(shù)據(jù)隧道采用IPv4還是IPv6協(xié)議。

基于上述的實現(xiàn)，無論是在IPv6/IPv4雙棧網(wǎng)絡(luò)，或者是純IPv6網(wǎng)絡(luò)中，都能夠靈活的部署集中式無線網(wǎng)絡(luò)，從而實現(xiàn)無線用戶的隨時、隨地、隨心的接入。

圖5所示，在一個新建的IPv6/IPv4雙棧園區(qū)網(wǎng)絡(luò)中，使用基于IPv6的園區(qū)網(wǎng)提供WLAN接入服務(wù)。

圖5. IPv6園區(qū)網(wǎng)無線局域網(wǎng)部署架構(gòu)

在IPv6/IPv4雙棧園區(qū)網(wǎng)中，對無線接入服務(wù)的部署上，與在單純的IPv4網(wǎng)絡(luò)中部署沒有任何差別，無線網(wǎng)絡(luò)為終端提供了接入到指定網(wǎng)絡(luò)的服務(wù)。在AC與AP之間既能夠基于IPv4建立CAPWAP隧道，完成對用戶的數(shù)據(jù)報文轉(zhuǎn)發(fā)，也可以基于IPv6建立CAPWAP隧道進行轉(zhuǎn)發(fā)。

對終端用戶而言，雖然沒有通過有線網(wǎng)絡(luò)和指定網(wǎng)絡(luò)連接，但是通過無線接入服務(wù)，無線客戶端如同直接連接到指定網(wǎng)絡(luò)中。所有的無線終端相關(guān)報文數(shù)據(jù)都會被接入控制器和接入點之間的隧道在無線終端和接入網(wǎng)絡(luò)之間進行轉(zhuǎn)發(fā)，而無線終端不需要關(guān)心隧道所穿越的網(wǎng)絡(luò)。

這樣，通過部署IPv6無線方案既可以滿足原有IPv4用戶的接入要求，又能夠滿足新的IPv6用戶的無線接入要求。

6. 雙棧園區(qū)網(wǎng)中的管理部署

網(wǎng)絡(luò)管理需要實現(xiàn)的主要功能有：設(shè)備發(fā)現(xiàn)，拓撲管理，故障告警管理等功能。IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)相比，具有地址范圍大，地址比較難以記憶等特點，這些特點除了給網(wǎng)絡(luò)管理員帶來額外的難度外，給傳統(tǒng)網(wǎng)管也帶來很大的沖擊。比如，傳統(tǒng)的“路由+子網(wǎng)掃描”發(fā)現(xiàn)方式在IPv6網(wǎng)絡(luò)中幾乎不具備任何可用性，因為在IPv6路由表中，下一跳地址很可能是一個本地地址，而網(wǎng)管是無法訪問本地地址的，傳統(tǒng)網(wǎng)管按照路由下一跳進行遞歸發(fā)現(xiàn)不具備可行性;另外，傳統(tǒng)網(wǎng)管進行子網(wǎng)掃描，用于發(fā)現(xiàn)子網(wǎng)內(nèi)的設(shè)備，但對于IPv6網(wǎng)絡(luò)，任何一個子網(wǎng)的地址空間非常大，比如一個前綴長度為64bit的子網(wǎng)，地址空間將達到1.8E19，執(zhí)行完這樣一個子網(wǎng)掃描將花費非常長的時間。這些問題給網(wǎng)絡(luò)管理的基礎(chǔ)即設(shè)備發(fā)現(xiàn)的方式帶來了很大的挑戰(zhàn)。

當(dāng)前一些支持雙棧網(wǎng)絡(luò)管理的網(wǎng)管軟件在進行IPv6網(wǎng)絡(luò)拓撲發(fā)現(xiàn)時，通常會采用ND方式自動發(fā)現(xiàn)。該技術(shù)利用設(shè)備的ND信息，過濾出所有的全局IPv6地址，然后根據(jù)這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備。

采用ND方式自動發(fā)現(xiàn)，具有下述優(yōu)點(以H3C iMC智能管理中心為例)：

1、兼容性好。本技術(shù)基于IPV6-MIB(RFC2452)實現(xiàn)，該MIB是公有的，只要第三方設(shè)備支持該MIB，iMC就可以支持該設(shè)備的自動發(fā)現(xiàn)。

2、發(fā)現(xiàn)速度快。本技術(shù)對于每臺設(shè)備要做的工作是收集ND信息，然后過濾出所有全局IPv6地址，根據(jù)這些全局IPv6地址再次遞歸發(fā)現(xiàn)，直到發(fā)現(xiàn)完所有的網(wǎng)絡(luò)設(shè)備為止。這個過程計算量并不大，執(zhí)行會非?？臁?

3、支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB，iMC在自動發(fā)現(xiàn)時，同時讀取IPv4和IPv6的鄰居表，然后根據(jù)有效地址再次遞歸發(fā)現(xiàn)。因此iMC自動發(fā)現(xiàn)時，很好的支持了雙棧模式，既可以使用IPv4協(xié)議發(fā)現(xiàn)IPv4網(wǎng)絡(luò)，也可以使用IPv6協(xié)議發(fā)現(xiàn)IPv6網(wǎng)絡(luò)。

在完成設(shè)備發(fā)現(xiàn)后，后續(xù)基于設(shè)備的發(fā)現(xiàn)，進行拓撲的繪制及設(shè)備的告警管理，與在IPv4的網(wǎng)絡(luò)中，并未發(fā)生根本的變化，在此不詳細描述。

三、結(jié)束語

在骨干網(wǎng)建設(shè)中，通過CNGI下一代互聯(lián)網(wǎng)工程的建設(shè)已經(jīng)能夠滿足國內(nèi)IPv6網(wǎng)絡(luò)的互連。而對于高校用戶，大企業(yè)用戶及政府等行業(yè)的用戶，通過將所屬的園區(qū)網(wǎng)建設(shè)為IPv6網(wǎng)絡(luò)完成最后一公里的用戶接入就成為重要的IPv6網(wǎng)絡(luò)建設(shè)工作。以上介紹了在部署雙棧園區(qū)網(wǎng)涉及到大量的技術(shù)點，從網(wǎng)絡(luò)升級的技術(shù)選擇到安全產(chǎn)品部署等等多個方面，在進行部署時，需要進行詳細的規(guī)劃，仔細的實施，才能夠收到滿意的效果。