【安防知識網(wǎng)】園區(qū)網(wǎng)絡是支撐企業(yè)業(yè)務的核心網(wǎng)絡。在一個園區(qū)網(wǎng)絡中，內部的終端數(shù)量龐大，業(yè)務種類豐富。在園區(qū)網(wǎng)從IPv4升級為IPv6/IPv4雙棧網(wǎng)絡中，如何考慮所涉及的網(wǎng)絡設備、安全以及無線用戶接入等方面的部署?

　　一、 IPv6園區(qū)網(wǎng)的整體結構

　　IPv6園區(qū)網(wǎng)建設經(jīng)過了多種方案的變化演進，從早期的使用隧道接入到部分網(wǎng)絡采用雙棧組網(wǎng)，再到現(xiàn)在的以雙棧組網(wǎng)為主。這樣的變化是由IPv6業(yè)務的開展及網(wǎng)絡設備的不斷創(chuàng)新所推動的。

　　圖1. 典型的園區(qū)網(wǎng)絡

　　圖1是一個典型的園區(qū)網(wǎng)組網(wǎng)方式，將一個園區(qū)網(wǎng)絡分為接入、匯聚、核心的層次性結構。一般的網(wǎng)絡設計中，接入層網(wǎng)絡為二層網(wǎng)絡，用戶的網(wǎng)關設置在匯聚層。核心層起到互連匯聚層做高速轉發(fā)。在功能模塊的劃分中，園區(qū)網(wǎng)絡主要由網(wǎng)絡出口、數(shù)據(jù)中心及用戶接入三大部分組成。 [nextpage]

　　將該類型組網(wǎng)升級為雙棧網(wǎng)絡時，常規(guī)選擇采用雙棧部署，從匯聚層到核心層網(wǎng)絡開始升級，然后根據(jù)網(wǎng)絡的情況，升級防火墻等附加的業(yè)務設備;在另外的一些情況中，可以采用雙棧網(wǎng)絡為主、隧道技術為補充的升級方式。在一個雙棧網(wǎng)絡升級后，原有的應用服務器可能無法同網(wǎng)絡一起一步到位升級為雙棧服務器，在這種情況下如果有一部分純IPv6用戶需要訪問IPv4的服務器，需要在網(wǎng)絡中部署NAT-PT設備，進行IPv6，IPv4的協(xié)議轉換。

　　可見，將一張僅支持IPv4的園區(qū)網(wǎng)升級為支持IPv6/IPv4雙棧的網(wǎng)絡，涉及到多項網(wǎng)絡技術，面臨著多種升級方式的選擇。在這種情況下，對園區(qū)網(wǎng)絡進行IPv6技術升級前，需要制定詳細的升級流程：

　　1) 制定網(wǎng)絡設備的升級計劃。

　　2) 評估網(wǎng)絡中的現(xiàn)有產(chǎn)品對IPv6的支持情況。

　　3) 評估網(wǎng)絡中需要升級到雙棧的網(wǎng)絡服務。

　　4) 制定IPv6地址的分配方案。

　　5) 制定詳細的IPv6網(wǎng)絡升級方案。

　　6) 在升級后進行必需的IPv6技術培訓。

　　通過上述的IPv6升級步驟，逐步的將園區(qū)升級為IPv6/IPv4雙棧網(wǎng)絡，滿足現(xiàn)階段的雙棧用戶的接入需求。

　　二、 IPv6園區(qū)網(wǎng)的部署

　　1. 雙棧模式的園區(qū)網(wǎng)骨干部署

　　在雙棧模式的園區(qū)網(wǎng)的骨干網(wǎng)絡進行建設時，遵循分層的網(wǎng)絡建設模式。主要關注匯聚層與核心層的IPv6技術部署。

　　圖2. 雙棧園區(qū)網(wǎng)示意圖 [nextpage]

　　部署IPv6后的雙棧園區(qū)骨干網(wǎng)如圖2所示，在核心層和匯聚層使用雙棧交換機，接入層可使用現(xiàn)有的二層接入交換機組網(wǎng)或者將不支持IPv6的三層交換機降為二層使用，用以保護歷史投資。根據(jù)用戶帶寬的需要，選用“百兆到桌面”或“千兆到桌面”的模式。

　　在升級后，IPv6網(wǎng)絡部分與原有園區(qū)網(wǎng)IPv4部分融合，園區(qū)網(wǎng)中雙棧用戶可以同時訪問IPv6和IPv4網(wǎng)絡。對于雙棧終端，IPv4網(wǎng)關和IPv6網(wǎng)關均部署在匯聚三層交換機上。由于網(wǎng)內所有三層設備均是雙棧設備，既運行IPv4也運行IPv6路由協(xié)議。不同協(xié)議的數(shù)據(jù)轉發(fā)路徑可能一致，也可以不同。

　　為提高網(wǎng)絡的可靠性，匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯(lián)實現(xiàn)鏈路冗余;匯聚設備作為用戶接入點網(wǎng)關設備，通過運行VRRP協(xié)議實現(xiàn)網(wǎng)關冗余;核心節(jié)點采用雙核心部署保證節(jié)點冗余。

　　在使用了雙棧技術的網(wǎng)絡中，所有雙棧的終端用戶都有明確的IPv6數(shù)據(jù)轉發(fā)路徑，IPv6與IPv4層面的數(shù)據(jù)路徑明確，便于網(wǎng)絡管理及故障定位。雙棧模式的IPv6園區(qū)網(wǎng)絡建設是目前最為常見的模式。

　　2. 雙棧園區(qū)網(wǎng)中的隧道技術部署

　　一些園區(qū)網(wǎng)的用戶由于預算、技術等方面的原因無法部署雙棧園區(qū)網(wǎng)或只能將部分園區(qū)網(wǎng)升級為雙棧網(wǎng)絡，這種情況下可以在園區(qū)網(wǎng)中采用隧道技術作為補充，將純IPv6終端接入IPv6廣域網(wǎng)絡。

　　圖3. ISATAP隧道部署 [nextpage]

　　對于雙棧終端，IPv4網(wǎng)關部署在匯聚層交換機上。駐地網(wǎng)內所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉發(fā)，因此需要部署客戶端到出口路由器的自動隧道來完成。在部署中采用較多的是ISATAP自動隧道。在自動隧道的部署中，需要考慮設備的性能，如果網(wǎng)絡中有較多的IPv6用戶需要接入，可以增加隧道終結路由器的數(shù)量，以保證IPv6報文的轉發(fā)能力。

　　使用隧道技術進行IPv6部署能夠保護原有的設備投資，原有網(wǎng)絡拓撲和路由幾乎無需調整，只需要增加隧道終結的設備就能夠使客戶端訪問廣域的IPv6資源。

　　隧道技術屬于過渡技術，不是最終的理想方案。隧道兩端點設備需要花費額外的系統(tǒng)開銷。而且在網(wǎng)絡中部署隧道技術后，IPv6用戶進行的IPv6資源訪問只能通過隧道進行，無法像通常情況下，利用匯聚層及核心層網(wǎng)絡進行高速的轉發(fā)，同時，IPv6用戶之間的互訪的開銷也非常大。隧道技術不適合大規(guī)模IPv6的用戶進行接入，只適合在過渡網(wǎng)絡中，滿足小部分用戶的IPv6訪問。

　　3. 雙棧園區(qū)網(wǎng)中的IP地址劃分

　　良好的地址劃分，能夠保證后續(xù)網(wǎng)絡部署的穩(wěn)定性及可維護性。IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用以及方便有效的管理網(wǎng)絡的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡前綴的空間有64bit。根據(jù)最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，但協(xié)議并沒有明確規(guī)定其各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強。

　　IP地址的分配與網(wǎng)絡組織、路由策略以及網(wǎng)絡管理等都有密切的關系，具體的IP地址分配通常在工程實施時統(tǒng)一規(guī)劃實施，遵循以下分配原則：

　　l 地址資源應全網(wǎng)統(tǒng)一分配;

　　l 地址劃分應有層次性，便于網(wǎng)絡互聯(lián)，簡化路由表;

　　IP地址分配要盡量給每個物理區(qū)域分配連續(xù)的IP地址空間;在每個城域網(wǎng)中，相同的業(yè)務和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

　　l IP地址的規(guī)劃與劃分需要考慮到網(wǎng)絡的發(fā)展要求;

　　地址使用兼顧到近期的需求、遠期的發(fā)展以及網(wǎng)絡的擴展，預留相應的地址段。IP地址的分配需要有足夠的靈活性，應考慮到現(xiàn)有業(yè)務、新型業(yè)務以及各種特殊的業(yè)務要求、滿足各種用戶接入的需要。

　　l 充分合理利用已申請的地址空間，提高地址的利用效率;

　　IP地址規(guī)劃應該是網(wǎng)絡整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。 [nextpage]

　　在園區(qū)網(wǎng)進行IPv6地址劃分時，可以根據(jù)功能劃分為三類地址：

　　1) 公共服務器地址，如DNS，EMAIL，F(xiàn)TP等。

　　2) 網(wǎng)絡設備互聯(lián)地址和網(wǎng)絡設備的LOOPBACK地址

　　根據(jù)IETF IPv6工作組的建議，IPv6網(wǎng)絡設備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡設備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協(xié)議的網(wǎng)絡中，即使是純IPv6的網(wǎng)絡也必須要求每個網(wǎng)絡設備擁有IPv4地址。

　　3) 用戶終端的地址

　　用于最終用戶接入的地址，可以根據(jù)物理位置進行劃分用戶的接入網(wǎng)段，也可以根據(jù)用戶所屬的邏輯位置，如部門類型，職務等進行劃分。

　　4. 雙棧園區(qū)網(wǎng)中的安全考慮

　　網(wǎng)絡安全策略的總體目標是保護網(wǎng)絡不受攻擊，控制異常行為影響網(wǎng)絡高效數(shù)據(jù)轉發(fā)，以及保護日常園區(qū)網(wǎng)的正常使用。在IPv6/IPv4的網(wǎng)絡中，不僅要考慮針對IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設備升級為雙棧設備后，針對IPv6協(xié)議族的攻擊帶來的安全問題。

　　在雙棧園區(qū)網(wǎng)中的網(wǎng)絡設備自身的安全風險主要有：

　　1) 網(wǎng)絡設備的安全及網(wǎng)絡協(xié)議安全

　　網(wǎng)絡設備的安全風險主要指設備對外提供的網(wǎng)絡服務風險，網(wǎng)絡管理協(xié)議SNMP非授權訪問的風險，設備訪問密碼安全等對于網(wǎng)絡設備相關的安全風險。網(wǎng)絡協(xié)議安全主要指動態(tài)路由協(xié)議，VRRP協(xié)議等網(wǎng)絡的安全問題。在IPv6網(wǎng)絡中，部分網(wǎng)絡協(xié)議的安全性得到了提高，如OSPFv3可以IPSec進行協(xié)議報文的保護。 [nextpage]

　　2) 用戶的非法訪問

　　用戶非法訪問的風險主要指IPv4/IPv6雙棧用戶對資源的非法訪問。低權限的用戶非法訪問高權限的資源等風險。

　　3) 接入層攻擊及非法用戶接入

　　在接入層防止ND攻擊及對用戶進行身份認證防止非法用戶接入網(wǎng)絡。

　　圖4. IPv6園區(qū)網(wǎng)安全部署

　　針對以上安全風險，在IPv6園區(qū)網(wǎng)中可以采用如下網(wǎng)絡安全技術：

　　1) 雙棧防火墻

　　專用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網(wǎng)絡中重要的安全設備，為網(wǎng)絡提供快速、安全的保護。首先，專用的軟硬件，設備自身安全性很高;其次，提供網(wǎng)絡地址轉換功能，把內部地址轉換為外部地址，以保護內部地址的私密性;第三，提供嚴格的安全管理策略，除了顯式被允許通過的數(shù)據(jù)，默認其他數(shù)據(jù)都是被拒絕的;第四，多層次的安全級別，為不同的安全區(qū)域提供差異化的安全級別;另外它還可以提供多樣的系統(tǒng)安全策略和日志功能。 [nextpage]

　　2) 雙棧用戶認證

　　在用戶側首要解決的是“接入安全”的問題。為保證接入用戶的合法性，建議采用傳統(tǒng)的802.1x認證。用戶在通過認證后才可以正常訪問網(wǎng)絡。通過認證后，雙棧用戶的本地地址信息能夠上傳到認證服務器上，為后續(xù)的用戶審計提供了參考依據(jù)。

　　3) 接入層ND防攻擊

　　在IPv6網(wǎng)絡中，ARP協(xié)議被ND協(xié)議所替代，于是ND防攻擊就成為在IPv6網(wǎng)絡部署時一個必不可少的組成部分。目前ND防攻擊的主要功能有

　　l 防欺騙攻擊：通過DHCP Snooping/手工配置等手段，建立其可信表項，配合ND異常報文過濾特性，對虛假的NA報文進行過濾。

　　l 防DoS攻擊：通過限制網(wǎng)關上基于VLAN或端口的ND學習數(shù)量，保護網(wǎng)關上的ND表項避免遭受DoS攻擊。

　　l 防DAD攻擊：防御的方法與欺騙攻擊相同，通過綁定表項進行偽造的ND報文過濾。

　　l 防RA攻擊：利用RA TRUST特性，利用可信端口進行RA報文的轉發(fā)。

　　5. 雙棧園區(qū)網(wǎng)中的無線部署

　　當進行雙棧園區(qū)網(wǎng)的無線網(wǎng)絡部署時不僅需要考慮當前的普通IPv4網(wǎng)絡中的應用，而且同時支持在IPv6網(wǎng)絡中應用。

　　在IPv4/IPv6雙棧園區(qū)網(wǎng)或純IPv6園區(qū)網(wǎng)中，建議部署無線控制器+FIT AP的集中式無線局域網(wǎng)。這種部署結構對無線設備的功能進行了重新劃分，其中無線控制器負責無線網(wǎng)絡的接入控制，轉發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制;FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能。

　　在使用集中式無線網(wǎng)絡部署時，F(xiàn)it AP設備為零配置設備，對于AP和AC建立IPv4隧道還是建立IPv6隧道，由Fit AP自動進行選擇，接入控制器則同時可以支持IPv4隧道和IPv6隧道。

　　由于接入點為零配置設備，不能判斷當前接入的網(wǎng)絡為IPv4還是IPv6網(wǎng)絡。為了解決這一問題，以H3C的接入點為例，采用首先在IPv4網(wǎng)絡進行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點無法成功通過IPv4網(wǎng)絡和接入控制器建立鏈接，則接入點會切換到使用IPv6進行接入控制器的發(fā)現(xiàn)和鏈接處理。

　　無線用戶的報文是在AP與AC之間建立的CAPWAP隧道中進行的，骨干網(wǎng)絡是IPv4還是IPv6網(wǎng)絡對無線網(wǎng)絡是透明的，在無線局域網(wǎng)設備上對無線接入用戶數(shù)據(jù)也只進行二層轉發(fā)。雖然在AC和AP之間會通過CAPWAP數(shù)據(jù)隧道實現(xiàn)轉發(fā)，但是無論在接入點還是接入控制器都是根據(jù)二層信息實現(xiàn)轉發(fā)，而且CAPWAP隧道封裝的載荷也是二層協(xié)議報文。所以CAPWAP協(xié)議不會關心無線接入用戶的上層協(xié)議，同樣無線接入用戶也不需要關心CAPWAP數(shù)據(jù)隧道采用IPv4還是IPv6協(xié)議。 [nextpage]

　　基于上述的實現(xiàn)，無論是在IPv6/IPv4雙棧網(wǎng)絡，或者是純IPv6網(wǎng)絡中，都能夠靈活的部署集中式無線網(wǎng)絡，從而實現(xiàn)無線用戶的隨時、隨地、隨心的接入。

　　圖5所示，在一個新建的IPv6/IPv4雙棧園區(qū)網(wǎng)絡中，使用基于IPv6的園區(qū)網(wǎng)提供WLAN接入服務。

　　圖5. IPv6園區(qū)網(wǎng)無線局域網(wǎng)部署架構

　　在IPv6/IPv4雙棧園區(qū)網(wǎng)中，對無線接入服務的部署上，與在單純的IPv4網(wǎng)絡中部署沒有任何差別，無線網(wǎng)絡為終端提供了接入到指定網(wǎng)絡的服務。在AC與AP之間既能夠基于IPv4建立CAPWAP隧道，完成對用戶的數(shù)據(jù)報文轉發(fā)，也可以基于IPv6建立CAPWAP隧道進行轉發(fā)。 [nextpage]

　　對終端用戶而言，雖然沒有通過有線網(wǎng)絡和指定網(wǎng)絡連接，但是通過無線接入服務，無線客戶端如同直接連接到指定網(wǎng)絡中。所有的無線終端相關報文數(shù)據(jù)都會被接入控制器和接入點之間的隧道在無線終端和接入網(wǎng)絡之間進行轉發(fā)，而無線終端不需要關心隧道所穿越的網(wǎng)絡。

　　這樣，通過部署IPv6無線方案既可以滿足原有IPv4用戶的接入要求，又能夠滿足新的IPv6用戶的無線接入要求。

　　6. 雙棧園區(qū)網(wǎng)中的管理部署

　　網(wǎng)絡管理需要實現(xiàn)的主要功能有：設備發(fā)現(xiàn)，拓撲管理，故障告警管理等功能。IPv6網(wǎng)絡和IPv4網(wǎng)絡相比，具有地址范圍大，地址比較難以記憶等特點，這些特點除了給網(wǎng)絡管理員帶來額外的難度外，給傳統(tǒng)網(wǎng)管也帶來很大的沖擊。比如，傳統(tǒng)的“路由+子網(wǎng)掃描”發(fā)現(xiàn)方式在IPv6網(wǎng)絡中幾乎不具備任何可用性，因為在IPv6路由表中，下一跳地址很可能是一個本地地址，而網(wǎng)管是無法訪問本地地址的，傳統(tǒng)網(wǎng)管按照路由下一跳進行遞歸發(fā)現(xiàn)不具備可行性;另外，傳統(tǒng)網(wǎng)管進行子網(wǎng)掃描，用于發(fā)現(xiàn)子網(wǎng)內的設備，但對于IPv6網(wǎng)絡，任何一個子網(wǎng)的地址空間非常大，比如一個前綴長度為64bit的子網(wǎng)，地址空間將達到1.8E19，執(zhí)行完這樣一個子網(wǎng)掃描將花費非常長的時間。這些問題給網(wǎng)絡管理的基礎即設備發(fā)現(xiàn)的方式帶來了很大的挑戰(zhàn)。

　　當前一些支持雙棧網(wǎng)絡管理的網(wǎng)管軟件在進行IPv6網(wǎng)絡拓撲發(fā)現(xiàn)時，通常會采用ND方式自動發(fā)現(xiàn)。該技術利用設備的ND信息，過濾出所有的全局IPv6地址，然后根據(jù)這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現(xiàn)所有的網(wǎng)絡設備。

　　采用ND方式自動發(fā)現(xiàn)，具有下述優(yōu)點(以H3C iMC智能管理中心為例)：

　　l 兼容性好。本技術基于IPV6-MIB(RFC2452)實現(xiàn)，該MIB是公有的，只要第三方設備支持該MIB，iMC就可以支持該設備的自動發(fā)現(xiàn)。

　　l 發(fā)現(xiàn)速度快。本技術對于每臺設備要做的工作是收集ND信息，然后過濾出所有全局IPv6地址，根據(jù)這些全局IPv6地址再次遞歸發(fā)現(xiàn)，直到發(fā)現(xiàn)完所有的網(wǎng)絡設備為止。這個過程計算量并不大，執(zhí)行會非?？?。

　　l 支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB，iMC在自動發(fā)現(xiàn)時，同時讀取IPv4和IPv6的鄰居表，然后根據(jù)有效地址再次遞歸發(fā)現(xiàn)。因此iMC自動發(fā)現(xiàn)時，很好的支持了雙棧模式，既可以使用IPv4協(xié)議發(fā)現(xiàn)IPv4網(wǎng)絡，也可以使用IPv6協(xié)議發(fā)現(xiàn)IPv6網(wǎng)絡。

　　在完成設備發(fā)現(xiàn)后，后續(xù)基于設備的發(fā)現(xiàn)，進行拓撲的繪制及設備的告警管理，與在IPv4的網(wǎng)絡中，并未發(fā)生根本的變化，在此不詳細描述。

　　三、 結束語

　　在骨干網(wǎng)建設中，通過CNGI下一代互聯(lián)網(wǎng)工程的建設已經(jīng)能夠滿足國內IPv6網(wǎng)絡的互連。而對于高校用戶，大企業(yè)用戶及政府等行業(yè)的用戶，通過將所屬的園區(qū)網(wǎng)建設為IPv6網(wǎng)絡完成最后一公里的用戶接入就成為重要的IPv6網(wǎng)絡建設工作。以上介紹了在部署雙棧園區(qū)網(wǎng)涉及到大量的技術點，從網(wǎng)絡升級的技術選擇到安全產(chǎn)品部署等等多個方面，在進行部署時，需要進行詳細的規(guī)劃，仔細的實施，才能夠收到滿意的效果。