IPv6校园网解决方案建议书模板—(共59页).docx

精选优质文档-倾情为你奉上XXX大学IPv6校园网络建设方案建议书杭州华三通信技术有限公司All rights reserved版权所有 侵权必究目录第1章 建设背景与需求1.1 IPv6驻地网建设需求2003年8月份，由国家发展改革委员会牵头，信息产业部、科学技术部、中国工程院、国家自然科学基金委员会、教育部等8大部委联合发起的国家级专项中国下一代互联网示范项目CNGI(China Next Generation Internet)正式启动，并通过国务院批复。CNGI核心网络建设目标是在2003年到2005年的时间内，采用IPv6技术，完成CNGI主干网（覆盖20个城市39个核心节点）以及国内与国际互联中心的建设，并实现与国际下一代互联网的高速连接。截至2006年底，各CNGI骨干网建设基本就绪。此项目涉及八大部委、六大全国性网络运营商（中国电信、中国网通、中国联通、中国移动、中国铁通、中国教育和科研网CERNET）、一百多所高校和研究单位、几十个设备制造商，工作量大、参加人多，在中国通信网络科技工程建设史上是第一次，对我国下一代互联网技术和产业的发展具有深刻影响。CNGI网络将成为世界上最大的IPv6网络。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，中国将成为以IPv6为基础的下一代网络领域的领先国家。1.2 XX大学IPv6驻地网建设需求（一下部分仅供参考，请根据项目具体情况做修改替换）在XXX大学部署IPv6之前，我们首先要考虑部署的总体方针和策略：首先考虑网络设备对IPv6业务支持的广度。比如IPv6的过渡技术有手工隧道方式，自动隧道方式，有基于MPLS VPN技术的6PE方式，有基于网络地址转换技术的NAT-PT等等，IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的业务种类越多越方便我们进行研究。其次考虑网络设备对IPv6业务支持的深度。IPv6首先应该部署在运营网络。这是因为在IPv6网络里没有私网地址概念（Site local 地址类型已经被IPv6工作组取消），永远不出现NAT（指类似IPv4私有地址访问公有地址的方式）。IPv6网络的复杂度应该大于IPv4的电信运营网络。最后考虑IPv6标准的变化性。目前IPv6标准中仍有许多处于草案阶段，即使已经成为RFC标准的，以后仍有可能进行协议扩充。综上所述，XXX大学部署IPv6网络的时候，应该采用过渡的策略，首先完成IPv6网络接入到教育CNGI网络的目的，其次根据现有XXX大学驻地网内的实际情况，应用双栈技术和各种过渡技术，在不影响现有IPv4园区网主体拓扑结构的条件下，使得驻地网中需要部署IPv6网络的地方能够通过各种隧道技术，随时方便地接入CNGI骨干网。显然，只有路由器而不是三层交换机能够提供如此广度和深度的IPv6业务能力，同时基于CPU的软件处理方式或基于NP网络处理器硬件编程，硬件处理的路由器，完全适应IPv6标准发展的变化性。对于性能有要求的地方，比如连接CNGI骨干网的出口路由器应采用基于NP网络处理器技术（可编程，以适应IPv6标准的变化性）的高端路由器。第2章 XXX大学IPv6驻地网架构设计2.1 IPv6局域网络设计根据不同学校的建设情况不同，通常分为升级现有网络（核心改造、区域改造，以及全面改造）或者新建（空白建设，或者平行于现有网络建设IPv6第二平面）。对于升级类型，只改造核心或者部分区域，有利于低成本快速部署IPv6业务，快速允许用户访问IPv6资源。但是难以解决部署IPv6后带来的管理问题以及安全防护问题等，建议直接进行全面改造，虽然前期资金成本有所增加，但是有利于运营成本和机会成本的降低，以实现整体TCO的降低。对于新建，空白建设或第二平面建设并无本质差异，都是需要全新部署。只是第二平面模式，需要解决布线系统资源，第二平面作为开展IPv6新业务的平台，同时分流现有压力较大的IPv4业务，甚至在网络升级、故障等特殊断网的备份平台。同时建议考虑利用无线网络部署IPv6作为有线网的有效补充及备份。2.1.1 升级/改造现有IPv4网络由于现有网络为IPv4网络且具备相当的用户规模，如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。针对这种情况，建议采用升级现有IPv4网络的方案。1. 组网思路在现有IPv4网络下分散着若干IPv6/IPv4双栈主机，为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小，可首先将园区网核心设备（核心交换机）升级为双栈，网络的其他部分保持不变。核心设备完成升级后，可分别提供至IPv4网络和IPv6网络的出口；IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响，同时实现了IPv6用户的接入。对于大型的园区网，核心设备应考虑节点冗余，因此建议逐步完成对所有核心设备的升级。图2-1 园区网典型组网方案 升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP地址、VLAN、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。由于园区网中可能存在IPv6用户相对集中的节点，如，驻地网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。针对这种情况，建议先用一个双栈低端设备作一次汇聚。这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。从整网的角度来看，这样的组网也具有更好的可扩展性。根据实际用户的带宽情况，可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。同时，IPv4用户也会有访问IPv6业务资源的需求。为实现这两种可能的业务互访的需求，需要考虑如何放置NAT-PT设备。如果要访问的业务位于园区网内部，可以考虑在业务服务器出口处放置双栈路由器（如，SR路由器系列，或者支持NATPT的SecBlade系列的防火墙产品），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NAT-PT功能。图2-2 升级现有IPv4网络组网下的IPv6/IPv4互访业务2.1.2 新建IPv6网络随着IPv6网络规模的扩大，需要建设全新的IPv6网络。可以采用华为三康的全系列IPv6产品建设IPv6/IPv4双栈园区网。1. 组网思路新建IPv6网络相对前一种组网模式简单，选取支持双栈的交换机设备，按照现有的园区网建设模式组建网络即可。核心层和汇聚层可选用双栈交换机，接入层建议使用具备IPv6环境下的安全防护功能、管理功能、组播功能的交换机组网。建议采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。为提高网络的可靠性，汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余；汇聚设备作为用户接入点网关设备；核心节点采用双核心部署保证节点冗余。IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。为解决IPv4用户对于IPv6的访问、以及纯IPv6用户对于IPv4访问，同样需要考虑NAT-PT设备的放置问题。2.1.3 IPv6无线网络概述无线管理中心无线网策略管理中心无线交换机运营管理中心室内型热点无线覆盖图书馆阅览室办公室会议室/学术厅室外型热点无线覆盖广场室外集会干道有线骨干网PoE供电接入无线业务应用移动数据业务Wi-Fi语音漫游组网模式采用FIT AP+ Wireless Switch + 无线网管软件 + 认证计费系统实现组网；无线交换机可以配合认证计费系统实现802.1x和WEB Portal的认证和计费（可选）。FIT AP的组网模式通过将AP上的功能“剥离”出来集中到“Wireless Switch”（无线交换机）上来处理，包括动态密钥生成、认证的终结等，减轻了单个AP的负担和成本；同时，因为增加了Wireless Switch和无线网管系统，Wireless Switch配合FIT AP能够实现更多的增值业务功能。H3C自适应无线网通过4个关键组件（无线交换机、AP、PoE交换机、无线业务管理系统）可实现在现有有线网基础上灵活、平滑的叠加室外区域和主要楼宇的无缝覆盖，实现有线无线的统一管理。IPv6无线网部署无线IPv6网应该具备的基本要求：支持IPv6环境有线网IPv6已经是必须技术，无线网IPv6是必然趋势。如果不支持IPv6势必造成将来改造成本再投入。H3C通过部署AP与无线交换机互联基于IPv6的隧道，支持IPv6环境下的无线组网需求；IPv6 ACL、IPv6组播无线网实现IPv6，需要对用户按照不同策略进行访问控制；IPv6组播往往是园区IPv6业务的支撑技术；支持ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6实现IPv6有线无线网的同等管理。第3章 IPv6地址规划与路由规划3.1 IPv6地址规划IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。IPv6的地址使用方式有两类，一类是普通网络申请使用的IP地址，这类地址完全遵从前缀+接口标识符的IP地址表示方法；另外一类就是取消接口标识符的方法，只使用前缀来表示IP地址。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，IPv6地址规划目前尚没有主流的规则，具体的IP地址分配通常在工程实施时统一规划实施，可以遵循一些分配原则：l 地址资源应全网统一分配l 地址划分应有层次性，便于网络互联，简化路由表地址规划采用扁平化的规划思路，全网拓朴分为两个层次：骨干网和城域网。各个骨干网络或者特殊区域网络按照业务量需求，在骨干区域分配不同的地址段；对于城域网，考虑IETF对IPv6地址空间的/48的分配建议，结合大城域网的地址空间需求，划分为两级：城域区域和站点区域，其中城域区域划分为骨干区域到/48地址之间的地址空间，而站点区域，按照IETF的建议，使用/48到/64之间的地址空间。IP地址分配要尽量给每个区域分配连续的IP地址空间；在每个城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。l IP地址的规划与划分应该考虑到网络的发展要求地址使用兼顾到近期的需求与远期的发展以及网络的扩展，预留相应的地址段。IP地址的分配需要有足够的灵活性，应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入（如，小区用户、专线用户，等）的需要。l 充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。我们知道全球可聚集IPv6地址的前缀为64位，后64位为主机的interface id.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。IPv6的地址分配原则同IPv4一样遵循CIDR原则。IPv6的地址规划时考虑三大类地址：1、公共服务器地址，如DNS，EMAIL，FTP等。2、网络设备互联地址和网络设备的LOOPBACK地址。根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6 MIB信息的获取和OSPFv3中ROUTER ID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址（仅需要网络设备互联地址和网络设备的LOOPBACK地址）。3.2 IPv6路由规划路由协议分为域内路由协议和域间路由协议，目前主要的路由协议都增加了对IPv6的支持功能。从路由协议的应用范围来看，OSPFv3、RIPng和IS-ISv6适用于自治域内部路由，为内部网关协议；BGP4+用来在自治域之间交换网络可达信息，是外部网关协议。1. 域内路由协议选择支持IPv6的内部网关协议有：RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看，RIPng和OSPFv3协议已较为成熟，支持IPv6的IS-IS协议标准草案也已经过多次讨论修改，标准正在形成之中，而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度，RIPng协议适用于小规模的网络，而OSPF和IS-IS协议可用于较大规模的网络。对于大规模的IP网络，为了保证网络的可靠性和可扩展性，内部路由协议（IGP）必须使用链路状态路由协议，只能在OSPF与IS-IS之间进行选择，下面对两种路由协议进行简单的对比。目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2，能够支持IPv6路由信息的OSPF版本称为OSPFv3，能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。OSPFv3OSPFv3与OSPFv2相比，虽然在机制和选路算法并没有本质的改变，但新增了一些OSPFv2不具备的功能。OSPFv3只能用来交换IPv6路由信息，ISISv6可以同时交换IPv4路由信息和IPv6路由信息。OSPF是基于IP层的协议，OSPF v3是为IPv6开发的一套链路状态路由协议。大体与支持IPv4的OSPF v2版本相似。对比OSPF v2，在OSPF v3中有以下区别：虽然OSPFv3是为IPv6设计的，但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式，而不是指定一个IPv6的地址。所以即使运行OSPF v3也需要为路由器分配IPv4地址。协议的运行是按照每一条链路（Per-link）进行的，而不是按照每个子网进行的（per-subnet）；把地址域从OSPF包和一些LSA数据包中去除掉，使得成为网络层协议独立的路由协议：与OSPFv2不同，IPv6的地址不再出现在OSPF包中，而是会在链路状态更新数据包中作为LSA的负载出现；Router-LSA和Network-LSA也不再包含网络地址，而只是简单的表示拓扑信息；邻居路由器的识别将一直使用Router ID，而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。Link-Local地址可以作为OSPF的转发地址。除了Virtual link必须使用Global unicast地址或者使用Site-local地址。去掉了认证信息。在OSPF v3中不再有认证方面的信息。如果需要加密，可以使用IPv6中定义的IP Authentication Header来实现。OSPF数据包格式发生了一些变化：§OSPF的版本号由2变成了3；§Hello包和Database description包的选项域增加到24位；§认证域去掉了；§Hello信息中不再包含地址信息；§引入了两个新的选项：R位和V6位；§为实现单链路上多OSPF进程的实现，在OSPF包头中加入了Instance ID域；§类型LSA 3名字改为：Inter-Area-Prefix-LSA，类型LSA 4名字改为：Inter-Area-Router-LSAOSPF v2和OSPF v3都使用最短路经优先算法，在Area划分、链路类型、LSA传播等方面基本一致。总的来说，由于OSPF发展成熟，厂商支持广泛，已经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都能适应。IPv6驻地网的IPv6路由规划，需要考虑到现有用户的使用习惯和主流的应用模式。IPv6的IGP可以选择ISISv6或者OSPFv3，但是考虑到多数驻地网的习惯以及协议支持的广泛程度，部署OSPFv3可能更为实际。同时OSPFv3域的设计可以沿用OSPFv2的思路。网络管理和路由规划等设计细节也可以参考原有的OSPFv2的原则。改造后驻地网全网部署双协议栈，和原有网平滑对接。在部署的核心、汇聚、接入（三层）交换机上同时运行OSPFv2和OSPFv3两个路由协议，尽管运行在同一个设备上，这两个路由是互相独立的，OSPFv3的区域规划和OSPFv2可以完全不同。驻地网IPv6出口的路由规划：通常来讲，按照国际上IPv6地址的分配规则，教育网会分配一块或几块 IPv6 PREFIX :/48的地址给驻地网。对于单出口的情况，可能较为简单。教育网网接入路由器将指向驻地网的静态路由引入到IBGP4+中宣告出去。第4章 IPv6驻地网的安全防护4.1 驻地网面临的IPv6安全威胁实现和部署上的漏洞和不足IPv6协议、机制和算法实现中的漏洞IPv6地址和配置的复杂度更高，大规模部署中考虑不周非IP层攻击IPv6协议和IPv4协议一样工作在网络层，传输数据报的基本机制没有发生改变，IPv4网络中除IP层以外的其他6层中出现的攻击在IPv6网络中依然会存在过渡时期的安全问题双栈协议：必须同时考虑IPv4和IPv6的安全性，一种协议的漏洞会影响另外一种。隧道技术：隧道的入口和出口可以进行安全认证，因此首选配置隧道。自动隧道容易引入DoS、地址盗用和服务欺骗，需要在入口处实施严格的过滤：IPv4数据过滤、IPv6数据过滤、协议端口过滤。NAT-PT：破坏了网络层端到端的安全特性，需实施保护措施，并保证算法不会收到DoS攻击。IPv6特有的安全问题扫描和探测：IPv6的子网数量巨大，增大了传统的扫描扫描和蠕虫类攻击的难度。但熟知的地址为攻击者提供了明确的攻击目标，如所有节点地址FF01:1和FF02:1、所有路由器地址FF01:2、FF02:2，等。无状态地址自动分配：非授权用户可以更容易的接入和使用网络。ICMPv6：作为IPv6重要的组成部分，需要防止DoS攻击、反射攻击等。邻居发现协议：等同于IPv4中的ARP协议，需防止DoS攻击、中间人攻击等。4.2 IPv6骨干安全防护的部署n 互联网出口防御：n 利用双栈防火墙/IPS进行互联网出口防御。n 对IPv4的互联网流量，利用原有的防御规则n 对IPv6的互联网流量，需要利用新的IPv6访问控制策略n 支持H3C iMC网管平台n 骨干区域防御：n 利用H3C SecBlade插卡进行安全防御，结合H3C S95E及S75E实现安全一体化部署n 对原有的IPv4的内网访问控制，在SecBlade上使用原有的策略n 对新建的IPv6网络的关键资源保护，需要添加新的IPv6访问控制策略n 支持H3C iMC网管平台4.3 IPv6接入安全防护的部署邻居发现协议（Neighbor Discovery Protocol，以下称ND协议）是IPv6的一个关键协议，可以说，ND协议是IPv4某些协议在IPv6中综合起来的升级和改进，如ARP、ICMP路由器发现和ICMP重定向等协议。当然，作为IPv6的基础性协议，ND还提供了其他功能，如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。在IPv4网络中，ARP攻击问题已经为广大的网络管理者，设备厂商所认识，ARP攻击能够造成大面积网络不能正常访问外网，使得正常用户深受其害。针对ARP攻击，大部分的网络设备厂商都推出了自己的ARP防攻击解决方案，在很大程度上解决了ARP攻击的问题。而伴随着IPv6网络的建设，在IPv6协议族中的NDP协议越来越被重视，而在ND协议的设计与ARP协议一样并未提供认证机制，导致网络中的主机是不可信的，从而使得针对ND协议的攻击非常容易。4.3.1 地址欺骗攻击攻击者可以使用RS/NS/NA报文来修改受害主机或网关上受害主机的MAC地址，造成受害主机无法与网络进行正常的通信。如下图所示： 图1 RS/NS/NA仿冒攻击示意图如上图所示，攻击者能够伪造NS/NA报文，发送给网关或受害主机，通过这种方式来对网关上受害主机的MAC地址或受害主机上的特定的MAC地址进行修改，这样就造成了受害用户无法接收到正常的数据报文。4.3.2 DAD攻击当受害主机进行DAD查询的时候，攻击者通过NS或NA报文进行干扰，使得受害主机的DAD过程失败，无法获取到IP地址，这种攻击的概率和NS/NA的欺骗攻击相比，相对较少。见下图：图2 DAD攻击示意图如上图所示，在受害者进行DAD检测时，攻击者可以伪造NS报文，与受害者产生冲突，也可以伪造NA报文，应答受害者的NS报文。这两种情况，受害主机都无法获取地址，进行正常的网络通信。4.3.3 RA攻击RA能够携带很多网络配置信息，包括默认路由器，网络前缀列表，是否使用DHCP服务器进行有状态地址分配等网络配置的关键信息。如果受害者接收了虚假的RA信息，会造成网络配置错误，从而引发欺骗攻击。图3 RA攻击示意图如上图所示，攻击者发送伪造的RA报文，其中可以造成多种攻击：1)伪造不存在的前缀，修改受害主机的路由表。2)伪造网关的MAC及lifetime，造成受害主机的默认网关改变。3)伪造DHCP服务器，同时伪造RA中的M bit，造成受害主机使用DHCP服务器分配到虚假的地址。4.3.4 针对网关的泛洪攻击通过发送大量的NS/RS报文，造成网关的表项溢出。图4 泛洪攻击示意图攻击者通过伪造大量的NS/RS报文，发送给网关，使得网关的表项溢出，造成网关无法提供正常的服务。4.3.5 ND防攻击解决方案通过对上述的ND攻击类型的介绍。我们可以推出发现当前ND攻击防御的关键所在：如何获取到合法用户和网关的IPv6地址-MAC对应关系，并如何利用该对应关系对ND报文进行检查，过滤掉非法ND报文。H3C公司解决这一关键问题的思路是，通过自动的ND 监控模式、DHCP监控模式与手工配置的方式，获取到合法用户的IP-MAC对应关系。再配合RA trust与DHCP trust对RA报文与DHCP报文进行限制，从而解决不同环境下的ND防攻击问题。同时，为了避免网关的ND表项被异常的ND报文打满溢出造成DoS攻击，在网关上能够针对端口配置最大的ND表项学习数量，能够缓解此类攻击。信任表项与ND Detection从前文的描述，我们知道，在局域网中ARP或ND攻击的根本原因是无法对所交互的ARP或ND报文进行验证，从而无法得知正确的用户IP、MAC、端口的绑定信息，所以无法对异常的ND报文进行过滤，使得网络中可能发生ARP/ND攻击。H3C通过ND snooping、DHCP snooping、手工配置等手段在接入层交换机上建立的一张IP、MAC、Port的可信表项，获取可靠的用户IP地址与MAC地址的对应关系。通过这张表项，结合ND Detection技术，对异常的ND报文进行过滤，达到防止ND攻击的效果。H3C的ND snooping与DHCP snooping是一种动态获取用户IP、MAC、Port对应关系的技术，下面分别对这两种技术进行简要描述：ND snooping：ND协议报文的交互过程在上文已经进行了描述，在ND snooping中，监听ND协议的DAD交互过程，获取用户的IP、MAC、Port的对应关系。DHCP snooping：通过监听DHCP的交互过程，获得用户的IP、MAC、Port的绑定表项。手工绑定表项：手工绑定是一种常用的技术，在一些规模不大的网络中，或者对安全性要求较高且不经常变化的网络中，使用手工绑定来建立可信表项。在建立了绑定表项之后，能够保证一个已经获取了IP地址的用户只能使用已获取的地址进行通信，过滤掉所有的不在绑定表项中的IPv6的非法用户发送的IP报文。ND Detection是H3C在ND防攻击方面的创新技术，通过结合已经建立的绑定表项，这个绑定表项可以是使用ND snooping，DHCP snooping，手工来进行配置的，通过比较已经获取到的可信表项中的IP与MAC地址，对ND报文进行过滤，丢弃异常的报文。相比单纯使用ACL进行的用户绑定，ND Detection技术结合绑定表项对ND报文进行过滤，能够较好的防御ND攻击。RA Trust与DHCP TrustRA Trust与DHCP Trust的功能不同，但是思路是相同的，管理员可以在相应的连接DHCP服务器或网关的接口上进行配置，通过手工指定连接DHCP服务器与连接发送RA的设备的接口接口(通常是网关)，能够避免网络中DHCP报文与RA报文的任意发送。当进行了RA Trust与DHCP Trust后，DHCP的服务器端报文与RA报文只能从配置了TRUST的端口进入，避免了DHCP服务器欺骗与RA攻击，提升了局域网安全性。综上所述，H3C的ND防攻击解决方案，通过在网络设备学习可信的用户接入表项，同时配合ND Detection技术，对非法报文进行过滤，提高了用户侧ND报文的可信性及安全性。再配合DHCP Trust与RA Trust功能，禁止非法的DHCP报文与RA报文发送，从多方面提升了ND协议的安全性，解决了在IPv6网络中存在的ND攻击问题。4.4 IPv6外网流量的分析控制随着园区IT技术的飞速发展，网络正逐步改变着科研人员的工作方式和生活方式，丰富的数字化应用成为当今数字化发展的一个主题。网络的开放性，互连性，共享性程度的扩大，使网络安全问题变得越来越重要。然而网络安全问题，也明显出现了上升态势，经常可以在网络中心的工作记录上看到像网上发布非法言论、发送带病毒附件的邮件、P2P带宽滥用、DDoS攻击、PC机不装杀毒软件、Windows终端不打补丁、ARP攻击、篡改IP/MAC地址等各种网络信息安全相关问题。显然做好安全加固工作刻不容缓，安全问题已经威胁了驻地网的前进和发展的步伐。外网流量分析控制包括了应用控制网关和用户安全执行中心，完成行为识别、行为控制、行为审计三大环节。行为识别：ACG采用H3C专利技术UAAE（智能应用感知引擎），具备强大的应用识别能力，可识别P2P、非法网站访问等行为；行为控制：ACG通过阻断、限流、过滤等方式实现用户行为精细化控制控制，有效解决带宽滥用、访问非法网站感染病毒等问题；行为审计：用户安全执行中心对ACG检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NAT日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据。管控基本原理1、行为识别在出口上实现用户行为管控，首先必须对用户行为做到精确识别，ACG通过深度应用流量识别，可根据特征识别网络中的各种P2P应用协议和流量，同时可以通过深度行为分析识别用户各种上网行为；防火墙对相关应用进行NAT地址转换并作记录。2、行为控制在精确识别用户行为的基础上，必须能对非法的行为进行控制。根据驻地网的实际情况，在ACG上配置流控策略和过滤策略，ACG在识别用户行为后根据相关策略，对用户行为进行细粒度的控制。3、行为审计根据公安部82号令的要求，网络管理者或者运营者必须记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名等信息，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系，并保留3个月以上的上网日志信息备查。用户安全执行中心收集ACG记录的用户应用访问信息和防火墙发送的NAT日志，对HTTP、Email、FTP、IM等行为进行分析，记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容，实时输出用户行为审计报告，满足公安部第82号令和驻地网上网行为审计要求。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源，对潜在的破坏者可起到威慑作用。实践应用之：P2P带宽滥用访问控制1、ACG根绝特征识别网络中的各种P2P应用协议和流量，可支持Thunder（迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、PPLive等常见P2P应用。2、ACG基于用户、IP、应用、时间段的任意组合进行多维度细粒度的控制，可提供阻断、限流等多种控制方式，并可提供应用控制黑白名单功能，实现对于P2P的带宽控制。3、用户安全执行中心根据ACG发送的信息，提供P2P的分布和趋势、P2P协议的排名、单协议的流量分布和趋势、TOPN用户分布、用户流量数据和趋势等分析，帮助管理员分析网络中的P2P流量。实践应用之：非法HTTP访问控制1、ACG通过URL识别用户对非法网站的访问，可通过自定义IP地址、主机名、正则表达式等方式设置URL特征库；防火墙进行NAT地址转换并记录相关信息。2、ACG进行URL及关键字过滤、上传下载文件过滤、并可根据不同的URL策略和时间表设置不同的响应方式，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。3、用户安全执行中心记录防火墙发送的NAT前后地址信息，记录ACG发送的网页IP、域名、访问用户、访问时间等信息，满足公安部82号令要求。用户安全执行中心记录防火墙发送的NAT前后地址信息，记录ACG发送的发送的邮件服务器IP、用户IP、收发件人、邮件标题、附件标题、时间等信息，满足公安部82号令要求。通过出口行为管控，不但解决了驻地网用户通过P2P下载造成网速变慢问题，还解决了通过访问非法网站带来的安全和政治问题，并且可以实现详尽的用户上网行为审计，同时满足了驻地网网络的管理要求和合规性要求。第5章 IPv6组播业务部署5.1 组播技术概述组播是指在IP网络中将数据包以尽力传送的形式发送到某个确定的节点集合（即组播组），其基本思想是：源主机（即组播源）只发送一份数据，其目的地址为组播组地址；组播组中的所有接收者都可收到同样的数据拷贝，并且只有组播组内的主机可以接收该数据，而其它主机则不能收到。组播技术有效地解决了单点发送、多点接收的问题，实现了IP网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。作为一种与单播和广播并列的通信方式，组播的意义不仅在于此。更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务，如在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等互联网的信息服务领域。5.2 IPv6组播技术介绍组播技术的实现需要解决以下几方面问题：² 组播源向一组确定的接收者发送信息，而如何来标识这组确定的接收者？² 接收者通过加入组播组来实现对组播信息的接收，而接收者是如何动态地加入或离开组播组的？² 组播报文在网络中是如何被转发并最终到达接收者的？IPv6组播地址在IPv6中，使用组播组地址来确定一个组播组的接收者。一个节点可能属于多个组播组。发往组播地址的报文被组播地址标识的所有接口接收。图5 IPv6组播地址格式IPv6组播地址的格式如上图所示，其中各字段的含义如下：(1)0xFF：最高8比特为，标识此地址为组播地址。(2)Flags：4比特。如图2所示，Flags字段中各位的取值如下：图6 Flags字段格式ü 最高位为保留位，必须为 0。ü R bit：取0表示非内嵌RP的组播地址；取1则表示内嵌RP的组播地址，此时P、T位都必须置1。ü P bit：取0表示非基于单播前缀的组播地址；取1则表示基于单播前缀的组播地址，此时T位也必须置1。ü T bit：取0表示永久分配组播地址；取1则表示非永久分配的组播地址。(3)Scope：4比特，用于标识此组播组的应用范围，其取值及含义如表1所示。表1 Scope字段的取值及其含义(4)Group ID：112比特，组播组标识号。用来在由Scope字段所指定的范围内唯一标识组播组，该标识可能是永久分配的或临时的，这由Flags字段的T位决定。IPv6组播MAC地址IPv6组播MAC地址的高16位为0x3333，低32位为IPv6组播地址的低32位。如下图所示，是IPv6组播地址FF1E:F30E:101的MAC地址映射举例。图7 IPv6组播MAC地址如上图所示，IPv6的组播MAC地址为将128 bit的IPv6组播地址的低32bit：F30E0101直接映射到了MAC地址的低32bit中。组播组管理协议组成员关系管理是指在路由器/交换机上建立直联网段内的组成员关系信息，具体说，就是管理各接口/端口下有哪些组播组的成员。在IPv6中使用MLD协议作为组播组管理协议，MLD是运行于主机和与主机直连的路由器之间，其实现的功能是双向的：一方面，主机通过MLD报告通知路由器希望接收某个特定组播组的信息；另一方面，路由器通过MLD查询周期性地查询局域网内的组播组成员是否处于活动状态，实现所连网段组成员关系的收集与维护。通过MLD协议，在路由器中记录的信息是某个组播组是否在本地有组成员，而不是组播组与主机之间的对应关系。目前MLD有以下两个版本：M