部署 IPv6 网络的思路探讨 及对安全因素的考虑

1. 部署IPv6网络的思路探讨及对安全因素的考虑 浙江省网络技术专委会 锐捷网络 王立仁 2006年5月26日

2. 提纲 • 前言 • 部署方法简论 • 双栈 • Tunnel • 附录：参考材料

3. 前言 • IPv6标准的发展进程 • 操作系统对IPv6的支持状况 • 国家对发展IPv6的推动作用 • 仁人志士对IPv6的关心呵护

4. IPv6标准的发展进程－1 1998年12月, RFC 2460 在RFC1883的基础上，形成了标准 1994年12月，RFC1726, 确定了IPv6标准的梗概 1995年12月，RFC1883，形成了IPv6的基本特征 1993年12月，RFC1553, 请求研究Next IP

5. IPv6标准的发展进程－2 • 在2006年3月30日，更新了一批协议。 • 地址分配和管理 • RFC3513－》RFC4291 • ICMPv6 • RFC2461、RFC2462、RFC2463 • DNS • DHCPv6 • RFC3513 • 支持IPv6 路由协议 • OSPFv3，RIPNG，BGP4＋，IS-ISv6 • Mobile IPv6 移动IP • 2004年6月，RFC 3775 • Transition 转换 • Network Management 网络管理

6. 操作系统的支持 不提供IPv6功能 需要打补丁，提供非常有限的IPv6功能，并且不易使用 需手工安装IPv6，核心协议支持好，功能不完善 默认安装，IPv6功能全面，DHCPv6, IPSec, MIPv6 等等2007年初发行

7. Linux和BSD • 完善了Linux对IPv6的支持 • 通过USAGI 开发团队(1998/03~) • UniverSAl playGround for Ipv6 • http://www.linux-ipv6.org/ • 完善了BSD对IPv6的支持 • 通过Kame 开发团队（1998/03~2006/03) • 完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。 • 已经融入到各种BSD的代码库中 • HP-UX11i和 IBM AIX

8. 国家对发展IPv6的支持 • 2005年10月：中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。 胡锦涛总书记2006年1月考察锐捷网络，赞赏锐捷网络IPv6研发中的创新能力。

9. 能人志士对IPv6的推动 • 比如我们浙江网络技术专委会 • 比如我们这次与会代表

10. 提纲 • 前言 • 部署方法简论 • 双栈 • Tunnel • 附录：参考材料

11. 部署方法简论 • 部署方法 • 考虑要素

12. IPv6的部署 IPv4 IPv6 双栈 协议转换 隧 道 部署方式有很多种，到底什么样的过渡方式 是最适合企业网、尤其是高校校园网的呢？

13. 部署时考虑的要素 • 领导（政策）的支持 • 费用的高低 • 操作的复杂性 • 性能的高低 • 已有的IPv4 NAT

14. 隧道方式 • 6to4 • 用于主机与路由器、路由器与路由器、路由器与主机之间的沟通 • ISATAP • Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) • 站内自动隧道地址协议 • 方便灵活，容易部署，不影响 • Configured Tunnels • 手工配置 • 管理工作量大 • Tunnel Broker • 自动灵活 • 系统压力大 • 6over4 • IPv4网络需要支持组播功能 • DSTM • Teredo • 6PE

15. 协议转换 • NAT-PT • 需要ALG • Application Layer Gateway • SIIT • BIA • BIS • Socks • TRT

16. 优先考虑的部署方式 • Dual-Stack • 6to4+ISATAP • Configured Tunnels • Tunnel Broker • DSTM • 6PE • SIIT • BIA • BIS • NAT-PT

17. 避免使用的方式 • Teredo • 部署复杂，管理困难，破坏路由汇聚 • 6over4(Virtual Ethernet)* • 破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用高 • Socks • 基于NEC的私有协议.

18. 提纲 • 前言 • 部署方法简论 • 双栈 • Tunnel • 附录：参考材料

19. Chinanet1 Chinanet2 CERNET 双栈形式 图例： StarView GSN系统 SAM系统 内部服务器 万兆链路 千兆光纤 千兆电缆 百兆电缆 RG-WALL1500 RG-S6806E 实现简单，互通性好，同时使用IPv4和IPv6 地址； 双栈节点可以同时与IPv6和IPv4互通； 对各种应用支持； 允许应用逐渐从IPv4过渡到IPv6； RSR-08E/M10i CERNET2 RSR-04E/M7i S6810E S6810E S3760-12SFP/GT RG-S6806E 学生宿舍区域 RG-S6806E 教学科研办公区域 WWW FTP VOD DNS for IPv6 RG-S3760-12SFP/GT RG-S3760-12SFP/GT S2126G S2150G S2126G S2150G 各教学科研办公楼栋 各学生宿舍楼栋

20. 安全考虑 • IGMPv3中的ND欺骗 • 类似与IPv4中ARP欺骗、ARP病毒 • IPSec能勇挑重任吗？ • 先有鸡 or 先有蛋？ • 你能把自己拉出地球吗？ • IP源地址欺骗 • 被扫描探测的可能性降低 • 2^64 • NMAP甚至不支持IPv6地址扫描功能 • SixXS的影响 • 通过v6网络进入v4网络进行非法操作 • 路由器哄骗

21. SixXS的影响 • 通过IPv6网络访问IPv4网络 http://www.sixxs.org

22. 如何解决 • 启用IPv4中被广泛应用的802.1x认证。 • 比如锐捷网络SAM系统 • 接入层交换机抑制非法设备的“路由宣告”。 • 比如锐捷网络的21交换机

23. 提纲 • 前言 • 部署方法简论 • 双栈 • Tunnel • 附录：参考材料

24. Chinanet1 Chinanet2 CERNET 6to4+ISATAP隧道方式 图例： StarView GSN系统 SAM系统 内部服务器 万兆链路 千兆光纤 千兆电缆 百兆电缆 RG-WALL1500 服务器群交换机 使用6to4＋ISATAP 充分利用现有设备组网； 骨干设备无需升级； 额外配置隧道，效率有所降低； RSR-08E/M10i CERNET2 RSR-04E/M7i 核心交换机 核心交换机 S3760-12SFP/GT 学生宿舍区域 教学科研办公区域 WWW FTP VOD DNS RG-S3550-12SFP/GT RG-S3550-12SFP/GT 二层交换机 二层交换机 二层交换机 二层交换机 各教学科研办公楼栋 各学生宿舍楼栋

25. 安全考虑 • 网络设备 6to4 Relay Router • 没有身份验证机制 • Relay Router被当做傀儡机 • 对其他设备发动DoS攻击 • 网络终端 • 通过IPv6网络进入IPv4网络进行破坏 • 信息安全（Sixxs）

26. 提纲 • 前言 • 部署方法简论 • 双栈 • Tunnel • 附录：参考材料

27. 参考材料来源 • IETF 与IPv6相关的工作组 • http://www.ietf.org/html.charters/ipv6-charters.html • http://www.ietf.org/html.charters/ngtrans-charter.html • http://www.ietf.org/html.charters/v6ops-charter.html • Microsoft • http://www.microsoft.com/ipv6 • 《Understanding IPv6》 • FreeBSD • http://www.kame.net • http://www.freebsd.net • Linux • http://www.usagi.net • 锐捷网络IPv6配置文档 • http://www.ruijie.com.cn • IPv6 Forum • http://www.ipv6forum.org • Sixxs, http://www.sixxs.org

28. 浙江省网络技术专委会 ？ 谢谢 欢迎到锐捷网络指导工作 王立仁 13911251107 wanglr@star-net.cn