園區(qū)網(wǎng)的IPv6技術(shù)部署

3)接入層ND防攻擊

在IPv6網(wǎng)絡(luò)中，ARP協(xié)議被ND協(xié)議所替代，于是ND防攻擊就成為在IPv6網(wǎng)絡(luò)部署時(shí)一個(gè)必不可少的組成部分。目前ND防攻擊的主要功能有

1、防欺騙攻擊：通過DHCP Snooping/手工配置等手段，建立其可信表項(xiàng)，配合ND異常報(bào)文過濾特性，對虛假的NA報(bào)文進(jìn)行過濾。

2、防DoS攻擊：通過限制網(wǎng)關(guān)上基于VLAN或端口的ND學(xué)習(xí)數(shù)量，保護(hù)網(wǎng)關(guān)上的ND表項(xiàng)避免遭受DoS攻擊。

3、防DAD攻擊：防御的方法與欺騙攻擊相同，通過綁定表項(xiàng)進(jìn)行偽造的ND報(bào)文過濾。

4、防RA攻擊：利用RA TRUST特性，利用可信端口進(jìn)行RA報(bào)文的轉(zhuǎn)發(fā)。

5. 雙棧園區(qū)網(wǎng)中的無線部署

當(dāng)進(jìn)行雙棧園區(qū)網(wǎng)的無線網(wǎng)絡(luò)部署時(shí)不僅需要考慮當(dāng)前的普通IPv4網(wǎng)絡(luò)中的應(yīng)用，而且同時(shí)支持在IPv6網(wǎng)絡(luò)中應(yīng)用。

在IPv4/IPv6雙棧園區(qū)網(wǎng)或純IPv6園區(qū)網(wǎng)中，建議部署無線控制器+FIT AP的集中式無線局域網(wǎng)。這種部署結(jié)構(gòu)對無線設(shè)備的功能進(jìn)行了重新劃分，其中無線控制器負(fù)責(zé)無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制;FIT AP負(fù)責(zé)802.11報(bào)文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計(jì)等簡單功能。

在使用集中式無線網(wǎng)絡(luò)部署時(shí)，F(xiàn)it AP設(shè)備為零配置設(shè)備，對于AP和AC建立IPv4隧道還是建立IPv6隧道，由Fit AP自動進(jìn)行選擇，接入控制器則同時(shí)可以支持IPv4隧道和IPv6隧道。

由于接入點(diǎn)為零配置設(shè)備，不能判斷當(dāng)前接入的網(wǎng)絡(luò)為IPv4還是IPv6網(wǎng)絡(luò)。為了解決這一問題，以H3C的接入點(diǎn)為例，采用首先在IPv4網(wǎng)絡(luò)進(jìn)行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點(diǎn)無法成功通過IPv4網(wǎng)絡(luò)和接入控制器建立鏈接，則接入點(diǎn)會切換到使用IPv6進(jìn)行接入控制器的發(fā)現(xiàn)和鏈接處理。

無線用戶的報(bào)文是在AP與AC之間建立的CAPWAP隧道中進(jìn)行的，骨干網(wǎng)絡(luò)是IPv4還是IPv6網(wǎng)絡(luò)對無線網(wǎng)絡(luò)是透明的，在無線局域網(wǎng)設(shè)備上對無線接入用戶數(shù)據(jù)也只進(jìn)行二層轉(zhuǎn)發(fā)。雖然在AC和AP之間會通過CAPWAP數(shù)據(jù)隧道實(shí)現(xiàn)轉(zhuǎn)發(fā)，但是無論在接入點(diǎn)還是接入控制器都是根據(jù)二層信息實(shí)現(xiàn)轉(zhuǎn)發(fā)，而且CAPWAP隧道封裝的載荷也是二層協(xié)議報(bào)文。所以CAPWAP協(xié)議不會關(guān)心無線接入用戶的上層協(xié)議，同樣無線接入用戶也不需要關(guān)心CAPWAP數(shù)據(jù)隧道采用IPv4還是IPv6協(xié)議。

基于上述的實(shí)現(xiàn)，無論是在IPv6/IPv4雙棧網(wǎng)絡(luò)，或者是純IPv6網(wǎng)絡(luò)中，都能夠靈活的部署集中式無線網(wǎng)絡(luò)，從而實(shí)現(xiàn)無線用戶的隨時(shí)、隨地、隨心的接入。

圖5所示，在一個(gè)新建的IPv6/IPv4雙棧園區(qū)網(wǎng)絡(luò)中，使用基于IPv6的園區(qū)網(wǎng)提供WLAN接入服務(wù)。

圖5. IPv6園區(qū)網(wǎng)無線局域網(wǎng)部署架構(gòu)

在IPv6/IPv4雙棧園區(qū)網(wǎng)中，對無線接入服務(wù)的部署上，與在單純的IPv4網(wǎng)絡(luò)中部署沒有任何差別，無線網(wǎng)絡(luò)為終端提供了接入到指定網(wǎng)絡(luò)的服務(wù)。在AC與AP之間既能夠基于IPv4建立CAPWAP隧道，完成對用戶的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)，也可以基于IPv6建立CAPWAP隧道進(jìn)行轉(zhuǎn)發(fā)。

對終端用戶而言，雖然沒有通過有線網(wǎng)絡(luò)和指定網(wǎng)絡(luò)連接，但是通過無線接入服務(wù)，無線客戶端如同直接連接到指定網(wǎng)絡(luò)中。所有的無線終端相關(guān)報(bào)文數(shù)據(jù)都會被接入控制器和接入點(diǎn)之間的隧道在無線終端和接入網(wǎng)絡(luò)之間進(jìn)行轉(zhuǎn)發(fā)，而無線終端不需要關(guān)心隧道所穿越的網(wǎng)絡(luò)。

這樣，通過部署IPv6無線方案既可以滿足原有IPv4用戶的接入要求，又能夠滿足新的IPv6用戶的無線接入要求。

6. 雙棧園區(qū)網(wǎng)中的管理部署

網(wǎng)絡(luò)管理需要實(shí)現(xiàn)的主要功能有：設(shè)備發(fā)現(xiàn)，拓?fù)涔芾恚收细婢芾淼裙δ?。IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)相比，具有地址范圍大，地址比較難以記憶等特點(diǎn)，這些特點(diǎn)除了給網(wǎng)絡(luò)管理員帶來額外的難度外，給傳統(tǒng)網(wǎng)管也帶來很大的沖擊。比如，傳統(tǒng)的“路由+子網(wǎng)掃描”發(fā)現(xiàn)方式在IPv6網(wǎng)絡(luò)中幾乎不具備任何可用性，因?yàn)樵贗Pv6路由表中，下一跳地址很可能是一個(gè)本地地址，而網(wǎng)管是無法訪問本地地址的，傳統(tǒng)網(wǎng)管按照路由下一跳進(jìn)行遞歸發(fā)現(xiàn)不具備可行性;另外，傳統(tǒng)網(wǎng)管進(jìn)行子網(wǎng)掃描，用于發(fā)現(xiàn)子網(wǎng)內(nèi)的設(shè)備，但對于IPv6網(wǎng)絡(luò)，任何一個(gè)子網(wǎng)的地址空間非常大，比如一個(gè)前綴長度為64bit的子網(wǎng)，地址空間將達(dá)到1.8E19，執(zhí)行完這樣一個(gè)子網(wǎng)掃描將花費(fèi)非常長的時(shí)間。這些問題給網(wǎng)絡(luò)管理的基礎(chǔ)即設(shè)備發(fā)現(xiàn)的方式帶來了很大的挑戰(zhàn)。

當(dāng)前一些支持雙棧網(wǎng)絡(luò)管理的網(wǎng)管軟件在進(jìn)行IPv6網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)時(shí)，通常會采用ND方式自動發(fā)現(xiàn)。該技術(shù)利用設(shè)備的ND信息，過濾出所有的全局IPv6地址，然后根據(jù)這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備。

采用ND方式自動發(fā)現(xiàn)，具有下述優(yōu)點(diǎn)(以H3C iMC智能管理中心為例)：

1、兼容性好。本技術(shù)基于IPV6-MIB(RFC2452)實(shí)現(xiàn)，該MIB是公有的，只要第三方設(shè)備支持該MIB，iMC就可以支持該設(shè)備的自動發(fā)現(xiàn)。

2、發(fā)現(xiàn)速度快。本技術(shù)對于每臺設(shè)備要做的工作是收集ND信息，然后過濾出所有全局IPv6地址，根據(jù)這些全局IPv6地址再次遞歸發(fā)現(xiàn)，直到發(fā)現(xiàn)完所有的網(wǎng)絡(luò)設(shè)備為止。這個(gè)過程計(jì)算量并不大，執(zhí)行會非?？臁?

3、支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB，iMC在自動發(fā)現(xiàn)時(shí)，同時(shí)讀取IPv4和IPv6的鄰居表，然后根據(jù)有效地址再次遞歸發(fā)現(xiàn)。因此iMC自動發(fā)現(xiàn)時(shí)，很好的支持了雙棧模式，既可以使用IPv4協(xié)議發(fā)現(xiàn)IPv4網(wǎng)絡(luò)，也可以使用IPv6協(xié)議發(fā)現(xiàn)IPv6網(wǎng)絡(luò)。

在完成設(shè)備發(fā)現(xiàn)后，后續(xù)基于設(shè)備的發(fā)現(xiàn)，進(jìn)行拓?fù)涞睦L制及設(shè)備的告警管理，與在IPv4的網(wǎng)絡(luò)中，并未發(fā)生根本的變化，在此不詳細(xì)描述。

三、結(jié)束語

在骨干網(wǎng)建設(shè)中，通過CNGI下一代互聯(lián)網(wǎng)工程的建設(shè)已經(jīng)能夠滿足國內(nèi)IPv6網(wǎng)絡(luò)的互連。而對于高校用戶，大企業(yè)用戶及政府等行業(yè)的用戶，通過將所屬的園區(qū)網(wǎng)建設(shè)為IPv6網(wǎng)絡(luò)完成最后一公里的用戶接入就成為重要的IPv6網(wǎng)絡(luò)建設(shè)工作。以上介紹了在部署雙棧園區(qū)網(wǎng)涉及到大量的技術(shù)點(diǎn)，從網(wǎng)絡(luò)升級的技術(shù)選擇到安全產(chǎn)品部署等等多個(gè)方面，在進(jìn)行部署時(shí)，需要進(jìn)行詳細(xì)的規(guī)劃，仔細(xì)的實(shí)施，才能夠收到滿意的效果。