- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
园区网的IPv6技术部署
3)接入层ND防攻击
在IPv6网络中,ARP协议被ND协议所替代,于是ND防攻击就成为在IPv6网络部署时一个必不可少的组成部分。目前ND防攻击的主要功能有
1、防欺骗攻击:通过DHCP Snooping/手工配置等手段,建立其可信表项,配合ND异常报文过滤特性,对虚假的NA报文进行过滤。
2、防DoS攻击:通过限制网关上基于VLAN或端口的ND学习数量,保护网关上的ND表项避免遭受DoS攻击。
3、防DAD攻击:防御的方法与欺骗攻击相同,通过绑定表项进行伪造的ND报文过滤。
4、防RA攻击:利用RA TRUST特性,利用可信端口进行RA报文的转发。
5. 双栈园区网中的无线部署
当进行双栈园区网的无线网络部署时不仅需要考虑当前的普通IPv4网络中的应用,而且同时支持在IPv6网络中应用。
在IPv4/IPv6双栈园区网或纯IPv6园区网中,建议部署无线控制器+FIT AP的集中式无线局域网。这种部署结构对无线设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。
在使用集中式无线网络部署时,Fit AP设备为零配置设备,对于AP和AC建立IPv4隧道还是建立IPv6隧道,由Fit AP自动进行选择,接入控制器则同时可以支持IPv4隧道和IPv6隧道。
由于接入点为零配置设备,不能判断当前接入的网络为IPv4还是IPv6网络。为了解决这一问题,以H3C的接入点为例,采用首先在IPv4网络进行接入控制器的发现和链接处理,如果接入点无法成功通过IPv4网络和接入控制器建立链接,则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。
无线用户的报文是在AP与AC之间建立的CAPWAP隧道中进行的,骨干网络是IPv4还是IPv6网络对无线网络是透明的,在无线局域网设备上对无线接入用户数据也只进行二层转发。虽然在AC和AP之间会通过CAPWAP数据隧道实现转发,但是无论在接入点还是接入控制器都是根据二层信息实现转发,而且CAPWAP隧道封装的载荷也是二层协议报文。所以CAPWAP协议不会关心无线接入用户的上层协议,同样无线接入用户也不需要关心CAPWAP数据隧道采用IPv4还是IPv6协议。
基于上述的实现,无论是在IPv6/IPv4双栈网络,或者是纯IPv6网络中,都能够灵活的部署集中式无线网络,从而实现无线用户的随时、随地、随心的接入。
图5所示,在一个新建的IPv6/IPv4双栈园区网络中,使用基于IPv6的园区网提供WLAN接入服务。
图5. IPv6园区网无线局域网部署架构
在IPv6/IPv4双栈园区网中,对无线接入服务的部署上,与在单纯的IPv4网络中部署没有任何差别,无线网络为终端提供了接入到指定网络的服务。在AC与AP之间既能够基于IPv4建立CAPWAP隧道,完成对用户的数据报文转发,也可以基于IPv6建立CAPWAP隧道进行转发。
对终端用户而言,虽然没有通过有线网络和指定网络连接,但是通过无线接入服务,无线客户端如同直接连接到指定网络中。所有的无线终端相关报文数据都会被接入控制器和接入点之间的隧道在无线终端和接入网络之间进行转发,而无线终端不需要关心隧道所穿越的网络。
这样,通过部署IPv6无线方案既可以满足原有IPv4用户的接入要求,又能够满足新的IPv6用户的无线接入要求。
6. 双栈园区网中的管理部署
网络管理需要实现的主要功能有:设备发现,拓扑管理,故障告警管理等功能。IPv6网络和IPv4网络相比,具有地址范围大,地址比较难以记忆等特点,这些特点除了给网络管理员带来额外的难度外,给传统网管也带来很大的冲击。比如,传统的"路由+子网扫描"发现方式在IPv6网络中几乎不具备任何可用性,因为在IPv6路由表中,下一跳地址很可能是一个本地地址,而网管是无法访问本地地址的,传统网管按照路由下一跳进行递归发现不具备可行性;另外,传统网管进行子网扫描,用于发现子网内的设备,但对于IPv6网络,任何一个子网的地址空间非常大,比如一个前缀长度为64bit的子网,地址空间将达到1.8E19,执行完这样一个子网扫描将花费非常长的时间。这些问题给网络管理的基础即设备发现的方式带来了很大的挑战。
当前一些支持双栈网络管理的网管软件在进行IPv6网络拓扑发现时,通常会采用ND方式自动发现。该技术利用设备的ND信息,过滤出所有的全局IPv6地址,然后根据这些全局IPv6地址再次执行ND扫描,从而递归发现所有的网络设备。
采用ND方式自动发现,具有下述优点(以H3C iMC智能管理中心为例):
1、兼容性好。本技术基于IPV6-MIB(RFC2452)实现,该MIB是公有的,只要第三方设备支持该MIB,iMC就可以支持该设备的自动发现。
2、发现速度快。本技术对于每台设备要做的工作是收集ND信息,然后过滤出所有全局IPv6地址,根据这些全局IPv6地址再次递归发现,直到发现完所有的网络设备为止。这个过程计算量并不大,执行会非常快。
3、支持双栈模式。IPv4的ARP公有MIB是RFC1213-MIB,iMC在自动发现时,同时读取IPv4和IPv6的邻居表,然后根据有效地址再次递归发现。因此iMC自动发现时,很好的支持了双栈模式,既可以使用IPv4协议发现IPv4网络,也可以使用IPv6协议发现IPv6网络。
在完成设备发现后,后续基于设备的发现,进行拓扑的绘制及设备的告警管理,与在IPv4的网络中,并未发生根本的变化,在此不详细描述。
三、结束语
在骨干网建设中,通过CNGI下一代互联网工程的建设已经能够满足国内IPv6网络的互连。而对于高校用户,大企业用户及政府等行业的用户,通过将所属的园区网建设为IPv6网络完成最后一公里的用户接入就成为重要的IPv6网络建设工作。以上介绍了在部署双栈园区网涉及到大量的技术点,从网络升级的技术选择到安全产品部署等等多个方面,在进行部署时,需要进行详细的规划,仔细的实施,才能够收到满意的效果。
上一篇:FIFO芯片IDT72V3680的功能特点及应用
下一篇:DSP芯片TMS320C30与A/D转换器MAX153和D/A转换器MX7545接口的设计