電子發燒友App
園區網絡是支撐企業業務的核心網絡。在一個園區網絡中,內部的終端數量龐大,業務種類豐富。在園區網從IPv4升級為IPv6/IPv4雙棧網絡中,如何考慮所涉及的網絡設備、安全以及無線用戶接入等方面的部署?
一、IPv6園區網的整體結構
IPv6園區網建設經過了多種方案的變化演進,從早期的使用隧道接入到部分網絡采用雙棧組網,再到現在的以雙棧組網為主。這樣的變化是由IPv6業務的開展及網絡設備的不斷創新所推動的。
圖1. 典型的園區網絡
圖1是一個典型的園區網組網方式,將一個園區網絡分為接入、匯聚、核心的層次性結構。一般的網絡設計中,接入層網絡為二層網絡,用戶的網關設置在匯聚層。核心層起到互連匯聚層做高速轉發。在功能模塊的劃分中,園區網絡主要由網絡出口、數據中心及用戶接入三大部分組成。
將該類型組網升級為雙棧網絡時,常規選擇采用雙棧部署,從匯聚層到核心層網絡開始升級,然后根據網絡的情況,升級防火墻等附加的業務設備;在另外的一些情況中,可以采用雙棧網絡為主、隧道技術為補充的升級方式。在一個雙棧網絡升級后,原有的應用服務器可能無法同網絡一起一步到位升級為雙棧服務器,在這種情況下如果有一部分純IPv6用戶需要訪問IPv4的服務器,需要在網絡中部署NAT-PT設備,進行IPv6,IPv4的協議轉換。
可見,將一張僅支持IPv4的園區網升級為支持IPv6/IPv4雙棧的網絡,涉及到多項網絡技術,面臨著多種升級方式的選擇。在這種情況下,對園區網絡進行IPv6技術升級前,需要制定詳細的升級流程:
1) 制定網絡設備的升級計劃。
2) 評估網絡中的現有產品對IPv6的支持情況。
3) 評估網絡中需要升級到雙棧的網絡服務。
4) 制定IPv6地址的分配方案。
5) 制定詳細的IPv6網絡升級方案。
6) 在升級后進行必需的IPv6技術培訓。
通過上述的IPv6升級步驟,逐步的將園區升級為IPv6/IPv4雙棧網絡,滿足現階段的雙棧用戶的接入需求。
二、IPv6園區網的部署
1. 雙棧模式的園區網骨干部署
在雙棧模式的園區網的骨干網絡進行建設時,遵循分層的網絡建設模式。主要關注匯聚層與核心層的IPv6技術部署。
圖2. 雙棧園區網示意圖
部署IPv6后的雙棧園區骨干網如圖2所示,在核心層和匯聚層使用雙棧交換機,接入層可使用現有的二層接入交換機組網或者將不支持IPv6的三層交換機降為二層使用,用以保護歷史投資。根據用戶帶寬的需要,選用“百兆到桌面”或“千兆到桌面”的模式。
在升級后,IPv6網絡部分與原有園區網IPv4部分融合,園區網中雙棧用戶可以同時訪問IPv6和IPv4網絡。對于雙棧終端,IPv4網關和IPv6網關均部署在匯聚三層交換機上。由于網內所有三層設備均是雙棧設備,既運行IPv4也運行IPv6路由協議。不同協議的數據轉發路徑可能一致,也可以不同。
為提高網絡的可靠性,匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯實現鏈路冗余;匯聚設備作為用戶接入點網關設備,通過運行VRRP協議實現網關冗余;核心節點采用雙核心部署保證節點冗余。
在使用了雙棧技術的網絡中,所有雙棧的終端用戶都有明確的IPv6數據轉發路徑,IPv6與IPv4層面的數據路徑明確,便于網絡管理及故障定位。雙棧模式的IPv6園區網絡建設是目前最為常見的模式。
2. 雙棧園區網中的隧道技術部署
一些園區網的用戶由于預算、技術等方面的原因無法部署雙棧園區網或只能將部分園區網升級為雙棧網絡,這種情況下可以在園區網中采用隧道技術作為補充,將純IPv6終端接入IPv6廣域網絡。
圖3. ISATAP隧道部署
對于雙棧終端,IPv4網關部署在匯聚層交換機上。駐地網內所有三層設備由于均是IPv4設備,不能完成對IPv6報文的轉發,因此需要部署客戶端到出口路由器的自動隧道來完成。在部署中采用較多的是ISATAP自動隧道。在自動隧道的部署中,需要考慮設備的性能,如果網絡中有較多的IPv6用戶需要接入,可以增加隧道終結路由器的數量,以保證IPv6報文的轉發能力。
使用隧道技術進行IPv6部署能夠保護原有的設備投資,原有網絡拓撲和路由幾乎無需調整,只需要增加隧道終結的設備就能夠使客戶端訪問廣域的IPv6資源。
隧道技術屬于過渡技術,不是最終的理想方案。隧道兩端點設備需要花費額外的系統開銷。而且在網絡中部署隧道技術后,IPv6用戶進行的IPv6資源訪問只能通過隧道進行,無法像通常情況下,利用匯聚層及核心層網絡進行高速的轉發,同時,IPv6用戶之間的互訪的開銷也非常大。隧道技術不適合大規模IPv6的用戶進行接入,只適合在過渡網絡中,滿足小部分用戶的IPv6訪問。
3. 雙棧園區網中的IP地址劃分
良好的地址劃分,能夠保證后續網絡部署的穩定性及可維護性。IP地址規劃主要涉及到網絡資源的利用以及方便有效的管理網絡的問題,IPv6地址有128位,其中可供分配為網絡前綴的空間有64bit。根據最新的IPv6 RFC4291,IPv6地址分為全球可路由前綴和子網ID兩部分,但協議并沒有明確規定其各自占的bit數,目前APNIC能夠申請到的IPv6地址空間為/32的地址。這樣,相比IPv4的地址劃分,在IPv6的地址劃分上的靈活性更強。
IP地址的分配與網絡組織、路由策略以及網絡管理等都有密切的關系,具體的IP地址分配通常在工程實施時統一規劃實施,遵循以下分配原則:
1)址資源應全網統一分配;
2)地址劃分應有層次性,便于網絡互聯,簡化路由表;
IP地址分配要盡量給每個物理區域分配連續的IP地址空間;在每個城域網中,相同的業務和功能盡量分配連續的IP地址空間,有利于路由聚合以及安全控制。
3)IP地址的規劃與劃分需要考慮到網絡的發展要求;
地址使用兼顧到近期的需求、遠期的發展以及網絡的擴展,預留相應的地址段。IP地址的分配需要有足夠的靈活性,應考慮到現有業務、新型業務以及各種特殊的業務要求、滿足各種用戶接入的需要。
4)充分合理利用已申請的地址空間,提高地址的利用效率;
IP地址規劃應該是網絡整體規劃的一部分,即IP地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。盡可能和網絡層次相對應,應該是自頂向下的一種規劃。
在園區網進行IPv6地址劃分時,可以根據功能劃分為三類地址:
1) 公共服務器地址,如DNS,EMAIL,FTP等。
2) 網絡設備互聯地址和網絡設備的LOOPBACK地址
根據IETF IPv6工作組的建議,IPv6網絡設備互聯地址采用/64的地址塊。IPv6網絡設備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址,所以在采用OSPFv3作為路由協議的網絡中,即使是純IPv6的網絡也必須要求每個網絡設備擁有IPv4地址。
3)用戶終端的地址
用于最終用戶接入的地址,可以根據物理位置進行劃分用戶的接入網段,也可以根據用戶所屬的邏輯位置,如部門類型,職務等進行劃分。
4. 雙棧園區網中的安全考慮
網絡安全策略的總體目標是保護網絡不受攻擊,控制異常行為影響網絡高效數據轉發,以及保護日常園區網的正常使用。在IPv6/IPv4的網絡中,不僅要考慮針對IPv4的接入層,匯聚層的安全防御,同樣也要考慮在設備升級為雙棧設備后,針對IPv6協議族的攻擊帶來的安全問題。
在雙棧園區網中的網絡設備自身的安全風險主要有:
1)網絡設備的安全及網絡協議安全
網絡設備的安全風險主要指設備對外提供的網絡服務風險,網絡管理協議SNMP非授權訪問的風險,設備訪問密碼安全等對于網絡設備相關的安全風險。網絡協議安全主要指動態路由協議,VRRP協議等網絡的安全問題。在IPv6網絡中,部分網絡協議的安全性得到了提高,如OSPFv3可以IPSec進行協議報文的保護。
2)用戶的非法訪問
用戶非法訪問的風險主要指IPv4/IPv6雙棧用戶對資源的非法訪問。低權限的用戶非法訪問高權限的資源等風險。
3)接入層攻擊及非法用戶接入
在接入層防止ND攻擊及對用戶進行身份認證防止非法用戶接入網絡。
圖4. IPv6園區網安全部署
針對以上安全風險,在IPv6園區網中可以采用如下網絡安全技術:
1)雙棧防火墻
專用的雙棧硬件防火墻/防火墻模塊,例如SecPath雙棧硬件防火墻/防火墻模塊,是IPv6/IPv4雙棧網絡中重要的安全設備,為網絡提供快速、安全的保護。首先,專用的軟硬件,設備自身安全性很高;其次,提供網絡地址轉換功能,把內部地址轉換為外部地址,以保護內部地址的私密性;第三,提供嚴格的安全管理策略,除了顯式被允許通過的數據,默認其他數據都是被拒絕的;第四,多層次的安全級別,為不同的安全區域提供差異化的安全級別;另外它還可以提供多樣的系統安全策略和日志功能。
2)雙棧用戶認證
在用戶側首要解決的是“接入安全”的問題。為保證接入用戶的合法性,建議采用傳統的802.1x認證。用戶在通過認證后才可以正常訪問網絡。通過認證后,雙棧用戶的本地地址信息能夠上傳到認證服務器上,為后續的用戶審計提供了參考依據。
3)接入層ND防攻擊
在IPv6網絡中,ARP協議被ND協議所替代,于是ND防攻擊就成為在IPv6網絡部署時一個必不可少的組成部分。目前ND防攻擊的主要功能有
1、防欺騙攻擊:通過DHCP Snooping/手工配置等手段,建立其可信表項,配合ND異常報文過濾特性,對虛假的NA報文進行過濾。
2、防DoS攻擊:通過限制網關上基于VLAN或端口的ND學習數量,保護網關上的ND表項避免遭受DoS攻擊。
3、防DAD攻擊:防御的方法與欺騙攻擊相同,通過綁定表項進行偽造的ND報文過濾。
4、防RA攻擊:利用RA TRUST特性,利用可信端口進行RA報文的轉發。
5. 雙棧園區網中的無線部署
當進行雙棧園區網的無線網絡部署時不僅需要考慮當前的普通IPv4網絡中的應用,而且同時支持在IPv6網絡中應用。
在IPv4/IPv6雙棧園區網或純IPv6園區網中,建議部署無線控制器+FIT AP的集中式無線局域網。這種部署結構對無線設備的功能進行了重新劃分,其中無線控制器負責無線網絡的接入控制,轉發和統計、AP的配置監控、漫游管理、AP的網管代理、安全控制;FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統計等簡單功能。
在使用集中式無線網絡部署時,Fit AP設備為零配置設備,對于AP和AC建立IPv4隧道還是建立IPv6隧道,由Fit AP自動進行選擇,接入控制器則同時可以支持IPv4隧道和IPv6隧道。
由于接入點為零配置設備,不能判斷當前接入的網絡為IPv4還是IPv6網絡。為了解決這一問題,以H3C的接入點為例,采用首先在IPv4網絡進行接入控制器的發現和鏈接處理,如果接入點無法成功通過IPv4網絡和接入控制器建立鏈接,則接入點會切換到使用IPv6進行接入控制器的發現和鏈接處理。
無線用戶的報文是在AP與AC之間建立的CAPWAP隧道中進行的,骨干網絡是IPv4還是IPv6網絡對無線網絡是透明的,在無線局域網設備上對無線接入用戶數據也只進行二層轉發。雖然在AC和AP之間會通過CAPWAP數據隧道實現轉發,但是無論在接入點還是接入控制器都是根據二層信息實現轉發,而且CAPWAP隧道封裝的載荷也是二層協議報文。所以CAPWAP協議不會關心無線接入用戶的上層協議,同樣無線接入用戶也不需要關心CAPWAP數據隧道采用IPv4還是IPv6協議。
基于上述的實現,無論是在IPv6/IPv4雙棧網絡,或者是純IPv6網絡中,都能夠靈活的部署集中式無線網絡,從而實現無線用戶的隨時、隨地、隨心的接入。
圖5所示,在一個新建的IPv6/IPv4雙棧園區網絡中,使用基于IPv6的園區網提供WLAN接入服務。
圖5. IPv6園區網無線局域網部署架構
在IPv6/IPv4雙棧園區網中,對無線接入服務的部署上,與在單純的IPv4網絡中部署沒有任何差別,無線網絡為終端提供了接入到指定網絡的服務。在AC與AP之間既能夠基于IPv4建立CAPWAP隧道,完成對用戶的數據報文轉發,也可以基于IPv6建立CAPWAP隧道進行轉發。
對終端用戶而言,雖然沒有通過有線網絡和指定網絡連接,但是通過無線接入服務,無線客戶端如同直接連接到指定網絡中。所有的無線終端相關報文數據都會被接入控制器和接入點之間的隧道在無線終端和接入網絡之間進行轉發,而無線終端不需要關心隧道所穿越的網絡。
這樣,通過部署IPv6無線方案既可以滿足原有IPv4用戶的接入要求,又能夠滿足新的IPv6用戶的無線接入要求。
6. 雙棧園區網中的管理部署
網絡管理需要實現的主要功能有:設備發現,拓撲管理,故障告警管理等功能。IPv6網絡和IPv4網絡相比,具有地址范圍大,地址比較難以記憶等特點,這些特點除了給網絡管理員帶來額外的難度外,給傳統網管也帶來很大的沖擊。比如,傳統的“路由+子網掃描”發現方式在IPv6網絡中幾乎不具備任何可用性,因為在IPv6路由表中,下一跳地址很可能是一個本地地址,而網管是無法訪問本地地址的,傳統網管按照路由下一跳進行遞歸發現不具備可行性;另外,傳統網管進行子網掃描,用于發現子網內的設備,但對于IPv6網絡,任何一個子網的地址空間非常大,比如一個前綴長度為64bit的子網,地址空間將達到1.8E19,執行完這樣一個子網掃描將花費非常長的時間。這些問題給網絡管理的基礎即設備發現的方式帶來了很大的挑戰。
當前一些支持雙棧網絡管理的網管軟件在進行IPv6網絡拓撲發現時,通常會采用ND方式自動發現。該技術利用設備的ND信息,過濾出所有的全局IPv6地址,然后根據這些全局IPv6地址再次執行ND掃描,從而遞歸發現所有的網絡設備。
采用ND方式自動發現,具有下述優點(以H3C iMC智能管理中心為例):
1、兼容性好。本技術基于IPV6-MIB(RFC2452)實現,該MIB是公有的,只要第三方設備支持該MIB,iMC就可以支持該設備的自動發現。
2、發現速度快。本技術對于每臺設備要做的工作是收集ND信息,然后過濾出所有全局IPv6地址,根據這些全局IPv6地址再次遞歸發現,直到發現完所有的網絡設備為止。這個過程計算量并不大,執行會非常快。
3、支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB,iMC在自動發現時,同時讀取IPv4和IPv6的鄰居表,然后根據有效地址再次遞歸發現。因此iMC自動發現時,很好的支持了雙棧模式,既可以使用IPv4協議發現IPv4網絡,也可以使用IPv6協議發現IPv6網絡。
在完成設備發現后,后續基于設備的發現,進行拓撲的繪制及設備的告警管理,與在IPv4的網絡中,并未發生根本的變化,在此不詳細描述。
三、結束語
在骨干網建設中,通過CNGI下一代互聯網工程的建設已經能夠滿足國內IPv6網絡的互連。而對于高校用戶,大企業用戶及政府等行業的用戶,通過將所屬的園區網建設為IPv6網絡完成最后一公里的用戶接入就成為重要的IPv6網絡建設工作。以上介紹了在部署雙棧園區網涉及到大量的技術點,從網絡升級的技術選擇到安全產品部署等等多個方面,在進行部署時,需要進行詳細的規劃,仔細的實施,才能夠收到滿意的效果。
責任編輯:gt
工商網監
評論