IPv6 Proxy技术白皮书

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

演进技术白皮书1前言2021年6月，中兴通讯联合中国信息通信研究院及移动、电信、联通三大运营商（以下简称三大运营商）联合发布《IP网络未来演进技术白皮书》[01]（以下简称白皮书2021），提出了IP网络技术未来仍将平滑演进的预判。

2022年9月，中兴通讯再次联合中国信息通信研究院及移动、电信、联通等发布《IP网络未来演进技术白皮书2.0——开放服务互联网络》[02]（以下简称白皮书2022），提出从主机互联到服务互联，提出未来IP演进方案——开放服务互联网络解决方案和三大关键技术：服务感知网络（SAN）、增强确定性网络（EDN）、网络内生安全等技术。

白皮书2022提出的开放服务互联网络需要满足业务多样化的连接需求，包括确定性的连接需求，同时开放服务互联架构需要支持从局域、城域到广域大规模增强确定性网络EDN技术。

开放服务互联基于泛在的算网共性服务构建新的能力平台，其增强的L3层网络是关键使能组件，而EDN则是增强的L3层网络连接能力的关键技术，两者的关系如下图1所示。

开放服务互联网络提供的服务将会使用不同的异构确定性技术，将会跨不同的特定确定性网络域，需要一种大规模确定性网络技术支持异构跨域互联，满足多样化业务的确定性QoS需求。

图1开放服务互联网络的整体设计近年来，确定性网络成为行业发展的重要方向。

随着5G承载网络的业务与网络需求的增强，大规模确定性网络技术需求迫切。

因此，中兴通讯在未来IP网络的研究中，将白皮书2022所提的开放服务互联网络解决方案中的关键技术之一——增强确定性网络（EDN）作为未来IP 业务提供高质量保障的重要支撑。

本白皮书在白皮书2022提出的开放服务互联网络及其关键技术的基础上，详细阐述增强确定性网络（EDN）关键技术的场景需求、架构、关键技术、测试验证等内容。

本白皮书第二章首先定义了增强确定性网络（EDN）的相关术语。

第三章描述了开放服务互联网中的EDN需求和典型应用场景。

声明本公司对本手册的内容保留在不通知用户的情况下更改的权利。

其版权归深圳市奥联科技有限公司所有。

未经本公司书面许可，本手册的任何部分不得以任何形式手段复制或传播。

NOTICESShenzhen Olym-tech Company Limited reserves the right to make any changes in specifications and other information contained in this publication without prior notice and without obligation to notify any person or entity of such revisions or changes.©Copyright 2002-2003 by Olym-tech. Co., Ltd. All Right Reserved.No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical. Including photocopying, recording, or information storage and retrieval systems, for any purpose other than the pu rchaser’s personal use, without express written permission of Olym Co. Ltd.（APN GW TM是深圳市奥联科技有限公司注册商标。

所有其它商标及注册商标均属有关公司所有。

）版本OLYMWP 2.0第一章VPN技术简介 ............................................................................... 错误!未定义书签。

IFIT随流测量技术详细白皮书IFIT（In-situ Flow Information Telemetry）是一种基于真实业务流的随流测量技术。

基于随流检测原理，IFIT提供真实业务流的端到端及逐跳SLA（丢包、流量、时延、抖动等）测量能力，可快速感知网络性能相关故障，并进行精准定界、排障。

相比传统检测技术如TW AMP、Y.1731等，IFIT在组网灵活性、SLA精准性、故障快速定界能力上具备更大优势，是未来5G移动承载网络运维的重要手段。

1.概述性能检测技术概述网络性能检测技术是互联网领域和电信领域的共同研究热点。

各种性能检测技术通过监控、测量、采集网络性能数据，对网络运行状态进行分析、评价、控制、调整，以提供长期稳定、可靠的网络服务，是网络运行的基础。

根据检测方式不同，检测技术可分为如下三大类（RFC 7799）：主动检测：通过构造检测报文方式，对检测报文进行时延、丢包等SLA测量，间接获得网络质量。

如RFC 2544、TW AMP/OW AMP、Y.1564等均为主动检测技术。

由于测量的不是真实业务流量，主动检测的准确度与实际网络存在一定偏差。

被动测量：指直接对实际业务流进行测量的检测技术，如思科主导的in-situ OAM、Barefoot主导的INT、我司主导的IPFPM等技术。

被动测量基于实际业务流，测量精度高。

混合测量：介于主动测量与被动测量之间，通过构造少量辅助检测报文，对实际业务流进行SLA测量，例如Y.1731（CFM LM）、MPLS-TP OAM（LM）、RFC 6374等。

由于部分检测是基于实际业务流，其测量精度也较高。

以上检测技术各有优缺点，应用场景也各自不同：TWAMP主要用于端到端IP业务流级检测，但由于是测量构造的检测报文，检测精度较低，且无逐跳检测能力。

RFC 2544、Y.1564通常用于测量设备、网络的SLA能力，与实际业务流的SLA也存在一定差距。

Y.1731（CFM）仅用于L2业务，无法适用三层业务的检测；MPLS-TP OAM、RFC 6374仅支持MPLS管道级测试，且不支持乱序、负载分担、点到多点场景，如LAG、ECMP、双归等，同时也不支持逐跳测量。

IPv6技术白皮书摘要：随着Internet的发展，IPv4的局限越来越暴露出来，严重制约了IP技术的应用和未来网络的发展；IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的认可；本文从技术层面分析了IPv6的特点优势，同时就IPv4网络向IPv6网络部署的阶段，过渡技术以及方案做一个基本的介绍，并对IPv6的未来进行了展望关键字：IPv6、自动配置、扩展头、Mobile IPv6、过渡技术、双栈、隧道、6to4 、NAT-PT1．IPv4需要升级吗？计算机技术和通信技术的发展与融合使得Internet应用及规模飞速发展，其中Internet 中的核心技术IPv4功不可抹，IPv4技术以它的简结有效取得了巨大的成功，但IPv4协议是1973年制定的，它的早期设计者完全没有预料到IP网络会达到今天的发展速度和规模，到90 年代IPv4的缺陷和潜伏的危机逐渐暴露出来。

其中最大的问题是IP地址资源的紧缺。

据统计IPv4地址到96年已有80%的A类网络地址，50%的B类地址，10%的C类地址被分配，有专家估计到2010年左右IPv4地址可能面临耗尽的危险。

有人形象的把这个问题称为“网络泰坦尼克危机“。

IP地址被看作网络设备节点在互联网上的“身份号”，随着移动和宽带技术发展，IP地址需求将更大。

大量移动终端的IP接入需要更多IP地址，例如手机，PDA，甚至每个IC卡拥有一个IP地址。

目前宽带技术正在蓬勃发展，由于宽带业务模式与窄带业务模式不同，一般以对称和实时方式工作，要求用户时时在线，IP地址需求更大，如家电上网，IPCar等。

为了缓解IPv4地址的紧张，也出现了一些IPv4的补丁技术，如CIDR，NAT技术，混合地址等技术，但这些技术治标不治本。

以NAT技术为例，使用私有地址虽然可以缓解地址紧缺，但存在效率和应用层网关问题，而且NAT打破端到端的模式，限制了新应用的发展。

由于IP网络本身的特点，IP地址紧缺问题不像电话号码升位一样简单。

IPv6技术白皮书第一章：基本概念1.1 什么是网络协议？1.2 什么是OSI参考模型？1.3 什么是TCP/IP参考模型？1.4 什么是IP？什么是IP地址？1.5 互联网的运行机制是怎样的？1.6 什么是IPv4协议？1.7 为什么IPv4地址非常紧缺？1.8 IPv4如何解决地址紧缺问题？这些解决方案有什么局限性？1.1 什么是网络协议？网络协议是网络上所有设备（网络服务器、计算机及交换机、路由器、防火墙等）之间通信规则的集合，它定义了通信时信息必须采用的格式和这些格式的意义。

大多数网络都采用分层的体系结构，每一层都建立在它的下层之上，向它的上一层提供一定的服务，而把如何实现这一服务的细节对上一层加以屏蔽。

一台设备上的第n层与另一台设备上的第n层进行通信的规则就是第n层协议。

在网络的各层中存在着许多协议，接收方和发送方同层的协议必须一致，否则一方将无法识别另一方发出的信息。

网络协议使网络上各种设备能够相互交换信息。

1.2 什么是OSI参考模型？在计算机网络产生之初，每个计算机厂商都有一套自己的网络体系结构的概念，它们之间互不相容。

为此，国际标准化组织（ISO）在1979年建立了一个分委员会来专门研究一种用于开放系统互联的体系结构（Open Systems Interconnection，OSI），“开放”这个词表示：只要遵循OSI标准，一个系统可以和位于世界上任何地方的、也遵循OSI标准的其他任何系统进行连接。

这个分委员会提出了开放系统互联，即OSI参考模型，它定义了异质系统互联的标准框架。

OSI参考模型分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，每一层使用下层提供的服务，并向其上一层提供服务。

各层的主要功能和数据传送方式阐述如下：(1) 物理层：信息的传递需要利用物理介质，物理层的任务就是为它的上一层提供一个物理连接，并提供其机械、电气、功能和过程特性；(2) 数据链路层：负责在两个相邻节点间的线路上实现数据的无差错传送。

IPv6解决方案ND防攻击技术白皮书关键词：ND，ARP，ND攻击，ARP攻击，交换机，IPV6摘 要：本文介绍了在IPv6网络中的ND攻击及防攻击的技术思路以及H3C公司的ND防攻击方案部署的典型方案以及技术特点。

缩略语清单：缩略语英文全名中文解释NDP Neighbor Discover邻居发现协议ProtocolARP Address Resolution地址解析协议ProtocolIPv6Internet Protocol因特网协议第六版Version 61ND攻击概述邻居发现协议（Neighbor Discovery Protocol，以下称ND协议）是IPv6的一个关键协议，可以说，ND协议是IPv4某些协议在IPv6中综合起来的升级和改进，如ARP、ICMP路由器发现和ICMP重定向等协议。

当然，作为IPv6的基础性协议，ND还提供了其他功能，如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。

在IPv4网络中，ARP攻击问题已经为广大的网络管理者，设备厂商所认识，ARP攻击能够造成大面积网络不能正常访问外网，使得正常用户深受其害。

针对ARP攻击，大部分的网络设备厂商都推出了自己的ARP防攻击解决方案，在很大程度上解决了ARP攻击的问题。

而伴随着IPv6网络的建设，在IPv6协议族中的NDP协议越来越被重视，而在ND协议的设计与ARP协议一样并未提供认证机制，导致网络中的主机是不可信的，从而使得针对ND协议的攻击非常容易。

2ND协议介绍2.1ND报文类型ND协议定义的报文使用ICMP承载，其类型包括：路由器请求报文、路由器通告报文、邻居请求报文、邻居通告报文和重定向报文。

由于ND报文中的可选字段及代码类型较多，下面描述的ND报文中的各个字段并不完全，主要描述了涉及到ND防攻击技术的选项。

2.1.1路由器请求报文RS Router Solicitation Message主机启动后，通过RS消息向路由器发出请求，期望路由器立即发送RA消息响应。

IPv6演进技术要求第6部分：IPv6段路由(SRv6)策略(Policy)1范围本文件规定了SRv6策略技术要求，包括SRv6 Policy概述、SRv6 Policy模型及关键要素、SRv6 Policy引流机制，以及SRv6 Policy的保护技术要求。

本文件适用于支持基于SRv6策略技术的网络设备的开发、设计和测试等。

2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。

其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

2019-1194T-YD IPv6演进技术要求第4部分：基于IPv6段路由(SRv6)的网络编程3术语和定义下述术语和定义适用于本文件。

3.1分段路由 segment routing参见《IPv6演进技术要求第1部分：参考架构》。

3.2基于IPv6数据平面的分段路由 segment routing over IPv6 dataplane参见《IPv6演进技术要求第1部分：参考架构》。

3.3分段标识符 segment identifier分段路由域中的具体分段，简称为SID。

在SRv6中，SID由Locator、Function和Argument三部分组成，编码为IPv6地址形式。

SID列表表示为<S1，S2，S3>，用于指示报文转发路径。

3.4与拓扑无关的无环路备份 topology independent loop free alternate一种应用于分段路由网络中的快速重路由技术，简称TI-LFA。

TI-LFA相对于传统IP FRR技术，可在IGP网络中提供与拓扑无关的故障保护能力，同时提供的保护路径和IGP收敛后的路径一致，减少业务中断。

4缩略语下列缩略语适用于本文件。

ASN：自治系统编号（Autonomous System Number）BGP：边界网关协议（Border Gateway Protocol）BSID：绑定段标识符（Binding Segment Identifier）CSPF：约束最短路径优先（Constrained Shortest Path First）DSCP：差分服务代码点（Differentiated Services Code Point）EAG：扩展的管理组（Extended Administrative Group）EBGP：外部网关协议（External Border Gateway Protocol）EPE：出口对等体工程（Egress Peer Engineering）FRR：快速重路由（Fast ReRoute）IBGP：内部边界网关协议（Internal Border Gateway Protocol）IGP：内部网关协议（Interior Gateway Protocol）MSD：最大SID栈深度（Maximum SID Depth）PCE：路径计算元素（Path Computation Element）PCEP：路径计算元素通信协议（Path Computation Element (PCE) Communication Protocol）PW：伪线（Pseudowire）SID：段标识符（Segment Identifier）SR：分段路由技术（Segment Routing）SR DB：段路由数据库（Segment Routing Database）SR GB：段路由全局块（Segment Routing Global Block）SR LB：段路由本地块（Segment Routing Local Block）SRv6：基于IPv6的分段路由（Segment Routing over IPv6）TI-LFA：拓扑无关的无环备份路径（Topology Independent Loop Free Alternate）5SRv6 Policy概述SRv6 Policy是通过在头端压入Segment列表来实现流量工程。

《中国IPv6发展状况》白皮书（）中国中国IPv6发展发展状况状况推进IPv6规模部署专家委员会7月前言11月，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》（以下简称《行动计划》），明确提出了未来五到十年我国基于IPv6的下一代互联网发展的总体目标、路线图、时间表和重点任务，是加快推进我国IPv6规模部署、促进互联网演进升级和健康创新发展的行动指南。

《行动计划》发布以来，政府部门、中央企业、基础电信企业、互联网企业、通信设备制造企业、科研机构等积极响应，纷纷制定具体的落地实施方案和工作计划，加快IPv6升级改造，我国IPv6规模部署工作呈现加速发展态势。

为及时、准确、全面地掌握我国IPv6发展情况，按照《行动计划》中“全面监测和深入分析互联网网络、应用、终端、用户、流量等IPv6发展情况”和“定期开展企业、行业、区域应用情况评测”的具体要求，推进IPv6规模部署专家委员会组织相关各方，研究制定了我国IPv6发展情况的监测指标和监测方法，初步构建了国家IPv6发展监测平台。

经过8个多月的试行监测和统计，逐步完善并形成了比较成熟的IPv6发展监测体系和监测报告。

本白皮书主要从用户数、流量、基础资源、云端、网络、终端、应用等7个维度对我国IPv6发展情况进行综合分析，力求全面、准确反映我国IPv6发展状况，为持续有效推进IPv6规模部署工作提供必要的信息支撑。

本白皮书在调查研究、数据采集、统计分析、编制发布过程中，得到了中央网络安全和信息化委员会办公室、工业和信息化部等部门的大力指导，得到了产学研用各方的大力支持，在此对给予指导和支持的部门及相关各方表示衷心的感谢！推进IPv6规模部署专家委员会7月目录摘摘要要1第一章第一章IPv6用户数用户数.3第二章第二章IPv6流量流量.6第三章第三章IPv6基础资源基础资源.7第四章第四章云端就绪度云端就绪度9第五章第五章网络就绪度网络就绪度.11第六章第六章终端就绪度终端就绪度13第七章第七章应用可用度应用可用度16附附录录IPv6监测指标体系监测指标体系.191摘要《行动计划》发布以来，我国IPv6规模部署工作呈现加速发展态势，取得了积极进展。

IGMP/MLD Proxy技术白皮书神州数码网络有限公司修改记录[说明：技术白皮书由研发人员编写初稿（要归档到研发中心CC服务器相关项目或部门中），提交给产品经理，产品经理进行修订润色，形成可提供给外部客户的最终稿（归档到产品部知识库）。

[]内蓝色字体部分为文档内容编写提要，请产品经理注意技术白皮书最终定稿后请删除[]内容。

]目录1.概述 (1)2.缩写和术语 (1)3.技术介绍 (1)4.主要特性 (3)5.技术特色与优势 (4)6.典型应用指南 (4)7.参考资料 (4)1. 概述[简要介绍本文档编写的背景和目的，主要介绍技术产生的背景，以及该技术满足了哪些实际需要，概要说明该技术及其应用场合。

－备注：[]内蓝色字体部分为文档内容编写提要，实际文档完成后请删除[]内容]IGMP/MLD proxy是在rfc4605中提出的一种简化的组播末端协议，其核心是在运行环境简单的组播协议末端，不运行复杂的PIM/DVMRP等组播路由协议，通过IGMP/MLD代理的方式与组播协议对话，从而简化在低端设备上的组播实现。

IGMP/MLD协议是用来在组播路由器和客户端间通信的协议，同时也存在组播路由器和客户端两种协议行为，IGMP/MLD代理设备在配置上明确上游接口和下游接口，对于上游接口，运行IGMP/MLD 的HOST端协议，收集下游接口的组播成员关系，把从下游收集的IGMP/MLD加入信息汇聚后，以IGMP/MLD客户端的身份发送加入、离开消息给上层的组播路由器；在下游接口，则运行IGMP/MLD 的ROUTER端协议，周期性发送查询，并处理组播成员关系报告。

IGMP proxy 功能与 PIM 及 DVMRP的功能是互斥的。

2. 缩写和术语[列出本文档使用到的缩写和术语，并解释。

]IGMP/MLD：分别服务于IPV4和IPV6的路由器/客户端间组成员协议。

PIM：协议无关组播路由器协议。

PIM-SM：协议无关组播路由器协议稀疏模式。

IS-IS MT技术白皮书华为技术有限公司Huawei Technologies Co., Ltd.IS-IS MT 技术白皮书Copyright ©2007 Huawei Technologies Co., Ltd. All Rights Reserved i目 录1 概述 ..................................................................................................................................................1 2 原理 .. (2)2.1 IPv6技术的使用 .....................................................................................................................2 2.2 MT 邻接关系维护 ...................................................................................................................3 2.3 领接形成 (4)2.3.1 点到点接口上的邻接 ....................................................................................................4 2.3.2 广播接口的邻接 ...........................................................................................................4 2.4 过载位（OL ）、区域分段位（P ）和区域关联位（ATT ） .....................................................4 2.5 MT SPF 计算 ..........................................................................................................................4 2.6 新增TLV 介绍 (4)2.6.1 MT TLV ........................................................................................................................5 2.6.2 MT 领居TLV ................................................................................................................5 2.6.3 MT 可达的IPv6前缀TLV .. (6)3 应用场景 ..........................................................................................................................................7 4 结论 ..................................................................................................................................................9 附录A 参考文献 ............................................................................................................................... 10 附录B 缩略语 .. (10)IS-IS MULTI TOPOLOGY技术白皮书摘要：本文介绍IS-IS的多拓扑扩展技术。

Hillstone IPv6邻居发现攻击防护解决方案技术白皮书关键词：IPv6，邻居发现（ND），安全网关，NS/NA，RS/RA摘要：本文介绍了IPv6邻居发现协议的基本原理、攻击种类、Hillstone安全网关防护方法，以及典型实际环境中的应用。

缩略语：1.IPv6邻居发现协议简介IPv6的邻节点发现（ND）协议，是用一系列的报文和步骤来确定邻节点之间关系的过程。

ND取代了IPv4中使用的ARP、ICMP路由器发现和ICMP重定向报文。

●ND协议定义功能：●ND协议报文格式：邻节点发现报文使用ICMPv6的报文格式，及ICMPv6的从133到137的报文类型。

●ND协议报文类型：2.IPv6邻居发现攻击介绍在IPv4网络中，ARP攻击问题已经为广大的网络管理者、设备厂商所认识，ARP攻击能够造成大面积网络不能正常访问外网，使得正常用户深受其害。

针对ARP攻击，大部分的网络设备厂商都推出了自己的ARP攻击解决方案，在很大程度上解决了ARP攻击的问题。

而伴随着IPv6网络的建设，在IPv6协议族中的ND协议越来越被重视，而ND协议在设计上与ARP协议一样并未提供认证机制，导致网络中的主机是不可信的，从而使得针对ND协议的攻击非常容易。

ND攻击类型总结如下：●地址欺骗攻击攻击者利用NS/NA/RA报文来修改受害主机或网关上的MAC地址，造成受害主机无法与网络进行正常的通信，甚至形成中间人攻击。

●路由通告欺骗攻击RA报文能够携带很多网络配置信息，包括默认路由器，网络前缀列表，是否进行有状态地址分配等网络配置的关键信息。

如果受害者接收了虚假的RA信息，会造成网络配置错误，从而引发欺骗攻击。

●针对网关的泛洪攻击通过发送大量的NS/RS报文，造成网关的ND表项溢出。

3.Hillstone IPv6邻居发现攻击防护方法通过对上文ND攻击类型的介绍，我们可以看出发现当前ND攻击防御的关键所在：如何获取到合法用户和网关的IPv6地址和MAC地址的对应关系，并如何利用该对应关系对ND报文进行检查，过滤掉非法ND报文。

中国移动I P v6终端技术要求V1.0.0目录1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (2)3.1 术语和定义 (2)3.1.1 接入点名称Access Point Name (2)3.1.2 网关GPRS支持节点Gateway GPRS Support Node (2)3.1.3 分组数据协议上下文Packet Data Protocol Context (2)3.1.4 双栈终端Dual stack terminal (2)3.1.5 终端形态 (2)3.2 缩略语 (3)4 总体技术要求 (4)5 终端技术要求 (4)5.1 协议栈 (4)5.1.1 概述 (4)5.1.2 RFC 2460 IPv6协议规范 (4)5.1.3 RFC 4291 IPv6地址结构 (5)5.2 DNS客户端 (5)5.3 DHCP客户端 (5)5.4 IPv4/IPv6协议翻译技术 (5)5.4.1 BIH (5)5.4.2 464XLAT (8)5.5 隧道过渡技术 (9)5.5.1 Teredo技术 (9)5.5.2 6rd (9)6 PDP/PDN连接激活及IPv6地址获取过程 (10)6.1 IPv6地址配置 (10)6.2 PDP/PDN连接的建立和IP地址的获取 (10)6.2.1 3GPP Release 8之前终端PDP上下文的激活和IPv6地址获取过程 (10)6.2.2 3GPP Release 8之后（含Release 8）终端PDP/PDN连接的建立和IPv6地址获取过程 (11)7 终端PDP/PDN连接激活策略 (12)7.1 概述 (12)7.2 双栈终端PDP/PDN连接激活策略一：同时获取IPv4和IPv6地址 (12)7.3 双栈终端PDP/PDN连接激活策略二：按需建立IPv4或IPv6连接 (14)7.4 两种PDP/PDN连接激活策略的选择和使用 (15)8 WLAN网络中的IPv6地址获得 (15)9 DNS解析 (15)9.1 概述 (15)9.2 终端DNS解析流程 (15)9.3 DNS服务器地址的获取 (15)9.4 DNS解析承载类型的选择 (15)9.5 DNS解析目的地址类型的选择 (15)10 终端应用软件系统 (16)11 IP头压缩技术要求 (16)12 安全 (16)13 APN设定 (17)14 不同终端类型要求 (17)14.1 手机/平板电脑类终端 (17)14.2 MiFi/移动CPE终端 (17)14.3 数据卡终端 (17)前言本文档是依据3GPP、IETF发布的IPv6相关标准制定，并结合现阶段IPv6升级改造及试点项目需求所定义的手机、平板电脑、MiFi、移动CPE、数据卡等移动终端IPv6部分技术要求。

1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在事后提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

另外在防护机制上只能依赖静态的防御策略进行防护，无法及时应对业务发生的变化，不同安全设备之间也无法形成有效的联动封锁机制，不仅投资高，运维方面也难管理。

深信服下一代防火墙安全理念深信服通过对以上问题的思考进行了下一代防火墙的产品设计，对下一代防火墙赋予了风险预知、深度安全防护、检测响应的能力，最终形成了全程保护、全程可视的融合安全体系。

融合不是单纯的功能叠加，而是依照业务开展过程中会遇到的各类风险，所提供的对应安全技术手段的融合，能够为业务提供全流程的保护，融合安全包括从事前的资产风险发现，策略有效性检测，到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制，并将这一过程中所有的相关信息通过多种方式呈现给给用户。

H3C公司IPv6网络WLAN接入服务技术白皮书关键词：WLAN, Station, AC, AP, WTP，IPV6, CAPWAP摘要：现在WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂，甚至咖啡厅等等。

本文介绍了WLAN在IPv6网络中的应用，H3C公司的WLAN不但可以穿过IPv6网络建立WLAN网络，而且可以将IPv6孤岛网络连接到一个WLAN网络。

缩略语清单：目录1 概述 (3)2 技术应用背景 (3)3 特性介绍 (5)4 H3C公司集中管理WLAN实现的技术特色 (6)5 典型组网案例 (7)6 支持组建IPv6 WLAN网络技术的产品（或单板） (10)7 总结和展望 (10)8 参考文献 (11)9 附录 (11)1 概述WLAN，全称Wireless Local Area Network，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：1. 无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意。

2. 无线局域网具有便于携带，易于移动的优点，无论是在办公大楼、机场候机大厅、酒店，用户都可以随时随地自由接入网络办公、娱乐。

另外，WLAN最大的优势就是免去或减少了繁杂的网络布线，一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。

另外对于地铁、公路交通监控等难于布线的场所，无线局域网的应用越来越广泛。

和有线相比，无线局域网的启动和实施相对简单，后期维护容易，整个建网和维护的成本更低廉。

随着以IPv4为核心技术的Internet获得巨大成功，促使IP技术广泛应用，从而产生对IP地址的巨大需求，但IPv4地址资源紧张直接限制了IP技术应用的进一步发展。

IETF在20世纪90年代提出下一代互联网协议-IPv6被公认的IPv4未来的升级版本。

IPv6将地址长度由32为增加到128位，从本质上改进了地址资源紧缺问题――几乎达到了无限的地址空间。