a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

园区网的IPv6技术部署

园区网络是支撑企业业务的核心网络。
资讯频道文章B

【安防知识网】园区网络是支撑企业业务的核心网络。在一个园区网络中,内部的终端数量庞大,业务种类丰富。在园区网从IPv4升级为IPv6/IPv4双栈网络中,如何考虑所涉及的网络设备、安全以及无线用户接入等方面的部署?

  一、 IPv6园区网的整体结构

  IPv6园区网建设经过了多种方案的变化演进,从早期的使用隧道接入到部分网络采用双栈组网,再到现在的以双栈组网为主。这样的变化是由IPv6业务的开展及网络设备的不断创新所推动的。

  图1. 典型的园区网络

  图1是一个典型的园区网组网方式,将一个园区网络分为接入、汇聚、核心的层次性结构。一般的网络设计中,接入层网络为二层网络,用户的网关设置在汇聚层。核心层起到互连汇聚层做高速转发。在功能模块的划分中,园区网络主要由网络出口、数据中心及用户接入三大部分组成。 [nextpage]

  将该类型组网升级为双栈网络时,常规选择采用双栈部署,从汇聚层到核心层网络开始升级,然后根据网络的情况,升级防火墙等附加的业务设备;在另外的一些情况中,可以采用双栈网络为主、隧道技术为补充的升级方式。在一个双栈网络升级后,原有的应用服务器可能无法同网络一起一步到位升级为双栈服务器,在这种情况下如果有一部分纯IPv6用户需要访问IPv4的服务器,需要在网络中部署NAT-PT设备,进行IPv6,IPv4的协议转换。

  可见,将一张仅支持IPv4的园区网升级为支持IPv6/IPv4双栈的网络,涉及到多项网络技术,面临着多种升级方式的选择。在这种情况下,对园区网络进行IPv6技术升级前,需要制定详细的升级流程:

  1) 制定网络设备的升级计划。

  2) 评估网络中的现有产品对IPv6的支持情况。

  3) 评估网络中需要升级到双栈的网络服务。

  4) 制定IPv6地址的分配方案。

  5) 制定详细的IPv6网络升级方案。

  6) 在升级后进行必需的IPv6技术培训。

  通过上述的IPv6升级步骤,逐步的将园区升级为IPv6/IPv4双栈网络,满足现阶段的双栈用户的接入需求。

  二、 IPv6园区网的部署

  1. 双栈模式的园区网骨干部署

  在双栈模式的园区网的骨干网络进行建设时,遵循分层的网络建设模式。主要关注汇聚层与核心层的IPv6技术部署。

  图2. 双栈园区网示意图 [nextpage]

  部署IPv6后的双栈园区骨干网如图2所示,在核心层和汇聚层使用双栈交换机,接入层可使用现有的二层接入交换机组网或者将不支持IPv6的三层交换机降为二层使用,用以保护历史投资。根据用户带宽的需要,选用“百兆到桌面”或“千兆到桌面”的模式。

  在升级后,IPv6网络部分与原有园区网IPv4部分融合,园区网中双栈用户可以同时访问IPv6和IPv4网络。对于双栈终端,IPv4网关和IPv6网关均部署在汇聚三层交换机上。由于网内所有三层设备均是双栈设备,既运行IPv4也运行IPv6路由协议。不同协议的数据转发路径可能一致,也可以不同。

  为提高网络的可靠性,汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备,通过运行VRRP协议实现网关冗余;核心节点采用双核心部署保证节点冗余。

  在使用了双栈技术的网络中,所有双栈的终端用户都有明确的IPv6数据转发路径,IPv6与IPv4层面的数据路径明确,便于网络管理及故障定位。双栈模式的IPv6园区网络建设是目前最为常见的模式。

  2. 双栈园区网中的隧道技术部署

  一些园区网的用户由于预算、技术等方面的原因无法部署双栈园区网或只能将部分园区网升级为双栈网络,这种情况下可以在园区网中采用隧道技术作为补充,将纯IPv6终端接入IPv6广域网络。

  图3. ISATAP隧道部署 [nextpage]

  对于双栈终端,IPv4网关部署在汇聚层交换机上。驻地网内所有三层设备由于均是IPv4设备,不能完成对IPv6报文的转发,因此需要部署客户端到出口路由器的自动隧道来完成。在部署中采用较多的是ISATAP自动隧道。在自动隧道的部署中,需要考虑设备的性能,如果网络中有较多的IPv6用户需要接入,可以增加隧道终结路由器的数量,以保证IPv6报文的转发能力。

  使用隧道技术进行IPv6部署能够保护原有的设备投资,原有网络拓扑和路由几乎无需调整,只需要增加隧道终结的设备就能够使客户端访问广域的IPv6资源。

  隧道技术属于过渡技术,不是最终的理想方案。隧道两端点设备需要花费额外的系统开销。而且在网络中部署隧道技术后,IPv6用户进行的IPv6资源访问只能通过隧道进行,无法像通常情况下,利用汇聚层及核心层网络进行高速的转发,同时,IPv6用户之间的互访的开销也非常大。隧道技术不适合大规模IPv6的用户进行接入,只适合在过渡网络中,满足小部分用户的IPv6访问。

  3. 双栈园区网中的IP地址划分

  良好的地址划分,能够保证后续网络部署的稳定性及可维护性。IP地址规划主要涉及到网络资源的利用以及方便有效的管理网络的问题,IPv6地址有128位,其中可供分配为网络前缀的空间有64bit。根据最新的IPv6 RFC4291,IPv6地址分为全球可路由前缀和子网ID两部分,但协议并没有明确规定其各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。这样,相比IPv4的地址划分,在IPv6的地址划分上的灵活性更强。

  IP地址的分配与网络组织、路由策略以及网络管理等都有密切的关系,具体的IP地址分配通常在工程实施时统一规划实施,遵循以下分配原则:

  l 地址资源应全网统一分配;

  l 地址划分应有层次性,便于网络互联,简化路由表;

  IP地址分配要尽量给每个物理区域分配连续的IP地址空间;在每个城域网中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制。

  l IP地址的规划与划分需要考虑到网络的发展要求;

  地址使用兼顾到近期的需求、远期的发展以及网络的扩展,预留相应的地址段。IP地址的分配需要有足够的灵活性,应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入的需要。

  l 充分合理利用已申请的地址空间,提高地址的利用效率;

  IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。尽可能和网络层次相对应,应该是自顶向下的一种规划。 [nextpage]

  在园区网进行IPv6地址划分时,可以根据功能划分为三类地址:

  1) 公共服务器地址,如DNS,EMAIL,FTP等。

  2) 网络设备互联地址和网络设备的LOOPBACK地址

  根据IETF IPv6工作组的建议,IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址,所以在采用OSPFv3作为路由协议的网络中,即使是纯IPv6的网络也必须要求每个网络设备拥有IPv4地址。

  3) 用户终端的地址

  用于最终用户接入的地址,可以根据物理位置进行划分用户的接入网段,也可以根据用户所属的逻辑位置,如部门类型,职务等进行划分。

  4. 双栈园区网中的安全考虑

  网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络高效数据转发,以及保护日常园区网的正常使用。在IPv6/IPv4的网络中,不仅要考虑针对IPv4的接入层,汇聚层的安全防御,同样也要考虑在设备升级为双栈设备后,针对IPv6协议族的攻击带来的安全问题。

  在双栈园区网中的网络设备自身的安全风险主要有:

  1) 网络设备的安全及网络协议安全

  网络设备的安全风险主要指设备对外提供的网络服务风险,网络管理协议SNMP非授权访问的风险,设备访问密码安全等对于网络设备相关的安全风险。网络协议安全主要指动态路由协议,VRRP协议等网络的安全问题。在IPv6网络中,部分网络协议的安全性得到了提高,如OSPFv3可以IPSec进行协议报文的保护。 [nextpage]

  2) 用户的非法访问

  用户非法访问的风险主要指IPv4/IPv6双栈用户对资源的非法访问。低权限的用户非法访问高权限的资源等风险。

  3) 接入层攻击及非法用户接入

  在接入层防止ND攻击及对用户进行身份认证防止非法用户接入网络。

  图4. IPv6园区网安全部署

  针对以上安全风险,在IPv6园区网中可以采用如下网络安全技术:

  1) 双栈防火墙

  专用的双栈硬件防火墙/防火墙模块,例如SecPath双栈硬件防火墙/防火墙模块,是IPv6/IPv4双栈网络中重要的安全设备,为网络提供快速、安全的保护。首先,专用的软硬件,设备自身安全性很高;其次,提供网络地址转换功能,把内部地址转换为外部地址,以保护内部地址的私密性;第三,提供严格的安全管理策略,除了显式被允许通过的数据,默认其他数据都是被拒绝的;第四,多层次的安全级别,为不同的安全区域提供差异化的安全级别;另外它还可以提供多样的系统安全策略和日志功能。 [nextpage]

  2) 双栈用户认证

  在用户侧首要解决的是“接入安全”的问题。为保证接入用户的合法性,建议采用传统的802.1x认证。用户在通过认证后才可以正常访问网络。通过认证后,双栈用户的本地地址信息能够上传到认证服务器上,为后续的用户审计提供了参考依据。

  3) 接入层ND防攻击

  在IPv6网络中,ARP协议被ND协议所替代,于是ND防攻击就成为在IPv6网络部署时一个必不可少的组成部分。目前ND防攻击的主要功能有

  l 防欺骗攻击:通过DHCP Snooping/手工配置等手段,建立其可信表项,配合ND异常报文过滤特性,对虚假的NA报文进行过滤。

  l 防DoS攻击:通过限制网关上基于VLAN或端口的ND学习数量,保护网关上的ND表项避免遭受DoS攻击。

  l 防DAD攻击:防御的方法与欺骗攻击相同,通过绑定表项进行伪造的ND报文过滤。

  l 防RA攻击:利用RA TRUST特性,利用可信端口进行RA报文的转发。

  5. 双栈园区网中的无线部署

  当进行双栈园区网的无线网络部署时不仅需要考虑当前的普通IPv4网络中的应用,而且同时支持在IPv6网络中应用。

  在IPv4/IPv6双栈园区网或纯IPv6园区网中,建议部署无线控制器+FIT AP的集中式无线局域网。这种部署结构对无线设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。

  在使用集中式无线网络部署时,Fit AP设备为零配置设备,对于AP和AC建立IPv4隧道还是建立IPv6隧道,由Fit AP自动进行选择,接入控制器则同时可以支持IPv4隧道和IPv6隧道。

  由于接入点为零配置设备,不能判断当前接入的网络为IPv4还是IPv6网络。为了解决这一问题,以H3C的接入点为例,采用首先在IPv4网络进行接入控制器的发现和链接处理,如果接入点无法成功通过IPv4网络和接入控制器建立链接,则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。

  无线用户的报文是在AP与AC之间建立的CAPWAP隧道中进行的,骨干网络是IPv4还是IPv6网络对无线网络是透明的,在无线局域网设备上对无线接入用户数据也只进行二层转发。虽然在AC和AP之间会通过CAPWAP数据隧道实现转发,但是无论在接入点还是接入控制器都是根据二层信息实现转发,而且CAPWAP隧道封装的载荷也是二层协议报文。所以CAPWAP协议不会关心无线接入用户的上层协议,同样无线接入用户也不需要关心CAPWAP数据隧道采用IPv4还是IPv6协议。 [nextpage]

  基于上述的实现,无论是在IPv6/IPv4双栈网络,或者是纯IPv6网络中,都能够灵活的部署集中式无线网络,从而实现无线用户的随时、随地、随心的接入。

  图5所示,在一个新建的IPv6/IPv4双栈园区网络中,使用基于IPv6的园区网提供WLAN接入服务。

  图5. IPv6园区网无线局域网部署架构

  在IPv6/IPv4双栈园区网中,对无线接入服务的部署上,与在单纯的IPv4网络中部署没有任何差别,无线网络为终端提供了接入到指定网络的服务。在AC与AP之间既能够基于IPv4建立CAPWAP隧道,完成对用户的数据报文转发,也可以基于IPv6建立CAPWAP隧道进行转发。 [nextpage]

  对终端用户而言,虽然没有通过有线网络和指定网络连接,但是通过无线接入服务,无线客户端如同直接连接到指定网络中。所有的无线终端相关报文数据都会被接入控制器和接入点之间的隧道在无线终端和接入网络之间进行转发,而无线终端不需要关心隧道所穿越的网络。

  这样,通过部署IPv6无线方案既可以满足原有IPv4用户的接入要求,又能够满足新的IPv6用户的无线接入要求。

  6. 双栈园区网中的管理部署

  网络管理需要实现的主要功能有:设备发现,拓扑管理,故障告警管理等功能。IPv6网络和IPv4网络相比,具有地址范围大,地址比较难以记忆等特点,这些特点除了给网络管理员带来额外的难度外,给传统网管也带来很大的冲击。比如,传统的“路由+子网扫描”发现方式在IPv6网络中几乎不具备任何可用性,因为在IPv6路由表中,下一跳地址很可能是一个本地地址,而网管是无法访问本地地址的,传统网管按照路由下一跳进行递归发现不具备可行性;另外,传统网管进行子网扫描,用于发现子网内的设备,但对于IPv6网络,任何一个子网的地址空间非常大,比如一个前缀长度为64bit的子网,地址空间将达到1.8E19,执行完这样一个子网扫描将花费非常长的时间。这些问题给网络管理的基础即设备发现的方式带来了很大的挑战。

  当前一些支持双栈网络管理的网管软件在进行IPv6网络拓扑发现时,通常会采用ND方式自动发现。该技术利用设备的ND信息,过滤出所有的全局IPv6地址,然后根据这些全局IPv6地址再次执行ND扫描,从而递归发现所有的网络设备。

  采用ND方式自动发现,具有下述优点(以H3C iMC智能管理中心为例):

  l 兼容性好。本技术基于IPV6-MIB(RFC2452)实现,该MIB是公有的,只要第三方设备支持该MIB,iMC就可以支持该设备的自动发现。

  l 发现速度快。本技术对于每台设备要做的工作是收集ND信息,然后过滤出所有全局IPv6地址,根据这些全局IPv6地址再次递归发现,直到发现完所有的网络设备为止。这个过程计算量并不大,执行会非常快。

  l 支持双栈模式。IPv4的ARP公有MIB是RFC1213-MIB,iMC在自动发现时,同时读取IPv4和IPv6的邻居表,然后根据有效地址再次递归发现。因此iMC自动发现时,很好的支持了双栈模式,既可以使用IPv4协议发现IPv4网络,也可以使用IPv6协议发现IPv6网络。

  在完成设备发现后,后续基于设备的发现,进行拓扑的绘制及设备的告警管理,与在IPv4的网络中,并未发生根本的变化,在此不详细描述。

  三、 结束语

  在骨干网建设中,通过CNGI下一代互联网工程的建设已经能够满足国内IPv6网络的互连。而对于高校用户,大企业用户及政府等行业的用户,通过将所属的园区网建设为IPv6网络完成最后一公里的用户接入就成为重要的IPv6网络建设工作。以上介绍了在部署双栈园区网涉及到大量的技术点,从网络升级的技术选择到安全产品部署等等多个方面,在进行部署时,需要进行详细的规划,仔细的实施,才能够收到满意的效果。

参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2020 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈