园区网的IPv6技术部署

3. 双栈园区网中的IP地址划分

良好的地址划分，能够保证后续网络部署的稳定性及可维护性。IP地址规划主要涉及到网络资源的利用以及方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。根据最新的IPv6 RFC4291，IPv6地址分为全球可路由前缀和子网ID两部分，但协议并没有明确规定其各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。这样，相比IPv4的地址划分，在IPv6的地址划分上的灵活性更强。

IP地址的分配与网络组织、路由策略以及网络管理等都有密切的关系，具体的IP地址分配通常在工程实施时统一规划实施，遵循以下分配原则：

l 地址资源应全网统一分配；

l 地址划分应有层次性，便于网络互联，简化路由表；

IP地址分配要尽量给每个物理区域分配连续的IP地址空间；在每个城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。

l IP地址的规划与划分需要考虑到网络的发展要求；

地址使用兼顾到近期的需求、远期的发展以及网络的扩展，预留相应的地址段。IP地址的分配需要有足够的灵活性，应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入的需要。

l 充分合理利用已申请的地址空间，提高地址的利用效率；

IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。尽可能和网络层次相对应，应该是自顶向下的一种规划。

在园区网进行IPv6地址划分时，可以根据功能划分为三类地址：

1) 公共服务器地址，如DNS，EMAIL，FTP等。

2) 网络设备互联地址和网络设备的LOOPBACK地址

根据IETF IPv6工作组的建议，IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作为路由协议的网络中，即使是纯IPv6的网络也必须要求每个网络设备拥有IPv4地址。

3) 用户终端的地址

用于最终用户接入的地址，可以根据物理位置进行划分用户的接入网段，也可以根据用户所属的逻辑位置，如部门类型，职务等进行划分。

4. 双栈园区网中的安全考虑

网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护日常园区网的正常使用。在IPv6/IPv4的网络中，不仅要考虑针对IPv4的接入层，汇聚层的安全防御，同样也要考虑在设备升级为双栈设备后，针对IPv6协议族的攻击带来的安全问题。

在双栈园区网中的网络设备自身的安全风险主要有：

1) 网络设备的安全及网络协议安全

网络设备的安全风险主要指设备对外提供的网络服务风险，网络管理协议SNMP非授权访问的风险，设备访问密码安全等对于网络设备相关的安全风险。网络协议安全主要指动态路由协议，VRRP协议等网络的安全问题。在IPv6网络中，部分网络协议的安全性得到了提高，如OSPFv3可以IPSec进行协议报文的保护。

2) 用户的非法访问

用户非法访问的风险主要指IPv4/IPv6双栈用户对资源的非法访问。低权限的用户非法访问高权限的资源等风险。

3) 接入层攻击及非法用户接入

在接入层防止ND攻击及对用户进行身份认证防止非法用户接入网络。

图4. IPv6园区网安全部署

针对以上安全风险，在IPv6园区网中可以采用如下网络安全技术：

1) 双栈防火墙

专用的双栈硬件防火墙/防火墙模块，例如SecPath双栈硬件防火墙/防火墙模块，是IPv6/IPv4双栈网络中重要的安全设备，为网络提供快速、安全的保护。首先，专用的软硬件，设备自身安全性很高；其次，提供网络地址转换功能，把内部地址转换为外部地址，以保护内部地址的私密性；第三，提供严格的安全管理策略，除了显式被允许通过的数据，默认其他数据都是被拒绝的；第四，多层次的安全级别，为不同的安全区域提供差异化的安全级别；另外它还可以提供多样的系统安全策略和日志功能。

2) 双栈用户认证

在用户侧首要解决的是"接入安全"的问题。为保证接入用户的合法性，建议采用传统的802.1x认证。用户在通过认证后才可以正常访问网络。通过认证后，双栈用户的本地地址信息能够上传到认证服务器上，为后续的用户审计提供了参考依据。

3) 接入层ND防攻击

在IPv6网络中，ARP协议被ND协议所替代，于是ND防攻击就成为在IPv6网络部署时一个必不可少的组成部分。目前ND防攻击的主要功能有

l 防欺骗攻击：通过DHCP Snooping/手工配置等手段，建立其可信表项，配合ND异常报文过滤特性，对虚假的NA报文进行过滤。

l 防DoS攻击：通过限制网关上基于VLAN或端口的ND学习数量，保护网关上的ND表项避免遭受DoS攻击。

l 防DAD攻击：防御的方法与欺骗攻击相同，通过绑定表项进行伪造的ND报文过滤。

l 防RA攻击：利用RA TRUST特性，利用可信端口进行RA报文的转发。