IPV6实施部署案例

IPv6网络规划考虑—路由协议规划
路由协议部署原则 ➢ 层次性：与IP地址分配相关，路由协议的规划也应该有层次性。协议中应包含骨干 区域和非骨干区域，在区域间进行路由聚合，以减少路由表大小。 ➢ 可靠性：要考虑到网络动荡时路由的可靠性。可以通过合理规划多出口、多路径、 区域划分等方式来达到。 ➢ 可扩展性：在进行协议规划时，要考虑到后续的路由扩展。通过网络划分、区域划 分、路由度量值规划等实现。 ➢ 安全性：防止不必要的路由泄漏；路由协议自身的安全性。
安全管理平台
SecBlade 集成化防火墙
DMZ
目录
IPv6网络规划 IPv6部署案例
IPv6网络部署案例1－整体说明
服务器
千兆
9512
7510 7510
万兆 万兆 万兆 万兆
万兆
万兆
万兆 9512
万兆 万兆
南教学区三期 7510
千兆
南教学区
7510
千兆 千千兆兆千千兆千兆兆千兆
千兆 千兆
6513
路由协议部署建议 ➢ IPv6中提供了多种路由协议，在部署中可以进行如下选择：
✓ 自治系统间建议部署BGP4＋或静态路由。 ✓ 自治系统内建议部署OSPFv3或ISISv6，根据情况进行区域划分。 ✓ Stub网络建议部署静态路由或RIPng。
IPv6网络规划考虑—DNS规划
DNS规划原则 ➢ 可靠性：IPv4与IPv6中的DNS服务要分开，增强健壮性。 ➢ 可扩展性：尽量少用静态解析，多使用现有的DNS服务器资源。 ➢ 安全性：DNS服务器易遭受攻击，需重点保护。
✓ 向双栈及IPv6主机下发IPv6DNS服务器地址 ✓ 双栈主机由操作系统和应用程序决定使用IPv6还是IPv4DNS解析
IPv6网络规划考虑—接入层安全规划
CERNET
CERNET2
iMC-CAMS
802.1x认证
802.1x认证
接入用户认证：支持对网络接入的用户进行
802.1X认证，以保证接入用户身份是可控的及可 靠的。
地址分配方式 ➢ IPv6网络提供了多种地址分配的手段，在实际部署中，可以进行如下选择：
✓ 建议部署DHCP有状态地址分配，以提高地址分配安全性及可靠性。 ✓ 在原有使用静态IPv4地址的站点，可以使用手工配置的IPv6地址，此地址可以通过IPv4地
址生成，即将IPv4地址放入IPv6地址的低32bit。 ✓ 其余可以使用无状态自动地址分配。
DNS部署建议 ➢ DNS服务器部署：
✓ 建立新的IPv6DNS服务器，增加IPv6域名记录；增加到IPv4DNS服务器和公网IPv6DNS服 务器的迭代记录
✓ 升级原有IPv4DNS服务器为双栈，增加相关IPv6域名记录 ✓ 部署NAT-PT，连接IPv4DNS服务器与IPv6DNS服务器
➢ DNS用户部署：
IPv6网络规划考虑—出口安全规划
CERNET
出口防火墙
数据中心 SecBlade 集成化防火墙
CERNET2
出口防火墙 核心交换机
SecCenter
互联网出口防御：
利用双栈防火墙进行互联网出口防御。 对非法的IPv6入站报文进行过滤。 对IPv4的互联网流量，利用原有的防御 规则。 在防火墙上终结ISATAP，对隧道内的 地址进行过滤，避免非法地址访问IPv6 网络。 在一些规模较小的网络中，也可以使用 汇聚层防火墙插卡替代出口防火墙
IPv6网络规划与实施案例
目录
IPv6网络规划 IPv6部署案例
IPv6网络规划考虑—IP地址规划
地址分配原则 ➢ 层次性：网络地址的分配应有层次，每个站点从CERNET分配的前缀都是48bit的， 主机的前缀是64bit的，还有16bit可供分配子网使用。在层次化的分配后，路由前 缀应当能够在汇聚层进行前缀汇聚。子网的划分可以根据物理位置，也可以根据功 能进行划分。 ➢ 连续性：网络中子网地址的分配应具有连续性。 ➢ 可扩展性：在进行IP地址分配时，要考虑到后续的应用扩展，由于IPv6的地址空间 巨大，所以相对于IPv4，IPv6网络的可扩展性的提高是巨大的。 ➢ 唯一性：分配给每一个网络设备的IP地址必须唯一。
用户审计：通过记录双栈用户的登陆信息(用户
名，双栈登陆地址，登陆时间等)，结合网流分析系 统，能够对用户的上网情况进行审计。
IPv6网络规划考虑—汇聚层安全规划
CERNET
出口防火墙
数据中心 SecBlade 集成化防火墙
CERNET2
出口防火墙
SecCenter
核心交换机
安全管理平台
SecBlade 集成化防火墙
双栈用户处理：802.1x认证是基于链路层进行
的，与网络层地址无关。在IPv6层面，客户端软件 识别一个双栈用户的全球单播地址，并通过认证设 备将其上传到认证服务器上。
用户绑定：通过客户端将双栈用户的地址上传到
服务器上，在服务器上能够将双栈用户的 IPv4/IPv6地址进行绑定，提高了接入用户的可信 性。适用于静态配置IPv4/IPv6用户地址的网络中 。
S7502E C12404
万兆 万兆
万兆
万兆
北家属区
千兆
千兆 千兆
千兆 千兆
千兆
千兆
千兆 千兆
8610
杂碎楼7510 新科技楼7510
学生宿舍7510
老科技楼7510
主大楼7510 红楼7510
新大楼7510
S5500
S5500
S5500
北教学区
IPv6网络部署案例1－IPv6地址规划
IPv6地址设计： 申请的IPv6地址：2001:DA8:E000::/48 互联网段使用2001:DA8:E000:9000::/59。各设备间互连地址使用/64地址段。 业务网段均使用/64地址段，采用无状态地址方式分配前缀；预留部分地址段以便于扩 展。 全网使用2001:DA8:E000:9040:: /64作为设备管理地址(loopback地址)
DMZ
汇聚层IPv6安全部署：
利用H3C SecBlade插卡进行安全防御 ，结合H3C S95E及S75E实现安全一体化 部署 能够与原有的IPv4的安全策略共存 IPv6的网络过滤也在双栈防火墙上部署 ，无需增加新的硬件设备，同时IPv6的 过滤策略对IPv4网络不产生任何影响 在防火墙上终结ISATAP，对隧道内的 地址进行过滤，避免非法地址访问IPv6 网络。
Leabharlann Baidu万兆
千兆
8610
万兆
8800
千兆x2
链路负载均衡
千兆
ace5000
千兆
中心机房
千兆x2
千兆 ace3000
万兆
千兆
千兆
9513
7506e
万兆
千兆
服务器
NPE50 NPE50
部署特点：
IPv4/v6双栈
教育网
千兆接入，核心万兆线速
转发
路由协议使用
电信网
OSPF/OSPFv3
纯Ipv6
万兆
万兆 千兆
万兆