华为——IPv6网络规划.ppt

IPv6网络规划,数据通信工程部,Page 2,IPv6网络规划与IPv4网络规划,与IPv4网络规划极为相似，会规划IPv4就会规划IPv6？,Page 3,IPv6网络规划要点,端口、系统命名IP地址规划路由协议规划安全规划互连互通骨干网部署城域网部署铁通CNGI规划实例,Page 4,端口、系统命名,按照局方规定确定端口描述包含：本地设备、端口号，远端设备、端口号，带宽类型，（传输编号）系统命名：地域位置、承载业务、序号,Page 5,IP地址规划,IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，IPV6地址有128位，其中可供分配为网络前缀的空间有64bit，按照最新的IPV6 RFC3513，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。普通网络申请使用的IPv6地址，完全遵从前缀接口标识符的IP地址表示方法；WLAN的移动终端也是使用正常的IP地址分配方式，/32的地址数目是足够使用的，为了保证未来3G、NGN等业务利用同一IPv6网络，因此3G终端的地址空间最好在相同的地址中分配。,Page 6,为了规划IPv6地址，排除在站点使用的/48地址空间，因此能够在网络中分配的地址为483216 比特。/65/128间的地址区域属于链路标识符空间，对于普通用户一般不再这个区域划分，由于网络上的设备众多，尤其是路由器等设备，一个端口就要占用一个地址段，因此在遵从RFC3513的基础上，对于网络设备的接口以及LoopBack地址，划分到一个大网段中，在具体使用时，可以考虑/126作为网络设备互联接口间的地址，而直接在三层接入用户的接口则不在这个区域内，而是以用户地址区域的地址段/64考虑。,Page 7,IP地址规划,由于IPV6的地址空间巨大，因此尽可能减少对路由表容量是非常重要的。IPv6地址分配主要根据两个因素：地域和业务，有些网络首先根据业务子网对地址进行划分；有些网络只根据地域进行地址划分，其中的主要原因在于网络开展的目的和应用不同。目前，为便于管理和保证地址空间分配的有效合理，部分运营商的IPv4网络已经在进行扁平化的改建，因此，IPV6网络需要借鉴已有网络扁平化的思路，采用大骨干网络和大城域网络相结合的扁平化思路建设，而不建议采用类似行政区划的多级网络地址分配方式。,Page 8,IP地址规划,骨干网络应有足够的连续地址组成独立的自治域，并为今后的扩展留有余地。分配地址应连续，相邻地区的地址也应连续。地址划分应有层次性，便于网络互联，简化路由表。可以根据当地的业务状况、发展前景、当前地址资源等情况综合考虑，分配给不同的IP地址容量，为了充分合理地利用地址资源，用可变长子网掩码VLSM技术，分配IP地址网段。采用CIDR技术，减少路由表大小，加快路由收敛，并减少网络中广播的路由信息数量。,Page 9,IP地址规划,特殊地址兼容地址用于IPv6 over IPv4自动隧道，0:0:0:0:0:0:IPv4-address，其高阶96bits均为0，其低阶32bits是一个IPv4地址。该IPv4地址必须是IPv4网络中可达的IPv4地址，且不能是组播地址、广播地址、环回地址或未指定的地址（0.0.0.0）。6to4地址2002:IPv4地址:子网ID:接口ID6to4地址的前缀是2002:IPv4地址，前缀长度为48bits ISATAP隧道地址ISATAP隧道时，需要使用ISATAP格式地址，其结构如下：Prefix(64bit):5EFE:IPv4-Address,Page 10,IP地址规划,与业务相关的设备（如：高端路由器、IP电话网关、IP电话网守、各种Internet服务器、防火墙、边缘或接入路由器等设备）应分配给合法IP地址。VPN与采用VPN方式进行的服务可以在VPN内部分配私有地址。为了保证网络的发展，应私有一定数量的IP地址，当备用地址小于一定数量时应申请新的IP地址。,Page 11,互连互通,双栈、隧道和协议转换双栈，在平滑过渡或者隧道端点使用。隧道，不会大规模部署，在IPv4海洋中互连IPv6孤岛或者IPv6海洋中互连IPv4孤岛。NAT-PT会较大规模部署从用户发展的角度考虑，NAT-PT的容量不宜过小，建议采用千兆线速NAT-PTNAT-PT建设不宜过于集中，宜分散集中两结合，在简化维护管理和避免单点故障问题间取折中方案。,Page 12,路由部署策略,路由优先级顺序修改为一致私网路由过滤对路由掩码长度的限制控制接收的路由控制发布的路由Community属性的传递对AS_path的控制（删除私有as号，是否作为transit_as）邻居加密快收敛措施缺省路由的发布RR的部署流量控制策略黑洞路由的必要性同一个AS内部避免使用1套以上IGP动态路由协议,Page 13,静态路由规划,目的网段/掩码下一跳出接口优先级防止路由迭代,Page 14,RIPng规划,协议优先级，策略修改优先级聚合、过滤缺省路由发布，强制发布邻居加密 快收敛措施 定时器调整外部路由引入，可以设置引入的cost值等值路由 当前支持6条接口的Cost值接口的附加花费值毒性逆转水平分割多进程,Page 15,OSPFv3规划,Process ID（1-65535），缺省为1，本地有效，隔离LSDBRouter-id，必须手工配置才能启动OSPFv3，如果在同一台路由器上运行了多个OSPFv3进程，必须为不同的进程指定不同的Router ID。为IPv4地址格式。Area-id，划分区域的目的：减小LSDB大小，降低链路振荡影响的范围，便于路由聚合，减小路由表规模。区域类型聚合、过滤等值路由缺省路由下发：强制、非强制配置为沉默端口，不同的进程可以对同一接口禁止收发OSPFv3报文，但silent-interface命令只对本进程已经使能的OSPFv3接口起作用，不对其它进程的接口起作用。接口加密，区域加密。OSPF v3中不再有认证方面的信息。如果需要加密，可以使用IPv6中定义的IP Authentication Header来实现 快收敛措施，定时器调整，spf算法优化，修改逻辑P2P的互连广播链路的链路类型为P2P。外部路由的引入接口的COST值，自动计算对ABR的高要求COST值叠加的方向性选路规则,Page 16,ISIS v6规划,Area ID 采用电话区号（86.0020）System-id，仍然建议通过全球唯一的公网IPv4地址扩展。聚合、过滤等值路由缺省路由下发：强制、非强制配置为沉默端口，不同的进程可以对同一接口禁止收发ISIS报文，但silent-interface命令只对本进程已经使能的ISIS接口起作用，不对其它进程的接口起作用。接口加密，路由域加密。一个区域中所有的路由器的验证类型必须一致，一个网段中所有路由器的验证字口令也必须一致。快收敛措施，定时器调整，spf算法优化，修改逻辑P2P的互连广播链路的链路类型为P2P。外部路由的引入接口的COST值，自动计算对Leve1-leve2路由器的高要求COST值叠加的方向性选路规则,Page 17,BGP+规划,在实现中，为了管理IPv6路由，BGP4+既可以在既有的IPv4 Peer间传播IPv6路由，也可以在纯IPv6网络中，建立IPv6 Peer，传播IPv6路由。路由通告原则BGP+属性选路策略BGP dampingAS号划分RR,Page 18,网络安全设备的安全措施,流过滤和流分析配置安全 SSH、Radius、Tacasc协议认证 路由协议、网管,Page 19,骨干网部署,互连拓扑协议部署分担策略路由接受策略路由发布策略地址规划与IPv4的互通,Page 20,骨干网部署互连拓扑,核心层物理全连接、高带宽接入层双归属到核心层,Page 21,骨干网部署协议部署,IGP选用ISISlevel2-only根据情况部署多级RR与城域网运行静态路由与城域网运行IGP路由协议多进程与城域网运行EBGP，便于策略控制利用IGP下发缺省路由ISIS路由协议作为IGP协议，维护核心网本身的连通性，它仅承载骨干网的设备管理地址和内部链路的路由。其它路由，如城域网路由、ipv6 CPN路由、其他业务系统的路由，采用BGP承载。,Page 22,骨干网部署分担策略,根据IGP COST值实现分担BGP负载分担的三种方式LOOPBACK口建立BGP邻居maximum load-balancingRR上修改下一跳（Anycast nexthop）通过MED、LP、AS_PATH等控制（很少使用）,Page 23,骨干网部署路由接受策略,只接受公网路由只接受规划给对端的路由对接受路由掩码长度的要求接受城域网发送的BGP属性（控制接受BGP属性，强制修改为默认值）,Page 24,骨干网部署路由发布策略,骨干网不始发路由，只传递路由（除非大客户直接接入骨干网），完成城域网的互连互通只通告公网路由规定通告的路由掩码长度传递BGP属性,Page 25,骨干网部署地址规划,LOOPBACK地址，选用128位掩码，全网LOOPBACK地址连续，并预留合适的地址段，网络层次越高的地址选用LOOPBACK地址越小。必须使用Global单播地址互连地址规划，如果是逻辑点对点链路，选用126位掩码，尽量不使用站点本地地址用户业务网段地址，2种思路：先地域后业务，先业务后地域。由于IPv6地址的海量供应，长远考虑应该是先地域后业务更合适。NAT-PT地址池一个AS号内的地址段尽量连续，便于公网路由发布的聚合，从而减少核心网路由条目,Page 26,骨干网部署与IPv4互通,集中设置NAT-PT网关，冗余设置分布设置NAT-PT网关，分担互通流量，起到备份效果,Page 27,城域网部署,互连拓扑协议部署分担策略路由接受策略路由发布策略地址规划与IPv4的互通,Page 28,城域网部署互连拓扑,出口尽量部署冗余链路根据当前流量和预期选用合适带宽,Page 29,城域网部署协议部署,根据城域网规模和出口设备支持情况与骨干网间运行静态路由与骨干网间运行IGP路由，使用多进程隔离与骨干网间运行EBGP，便于部署策略内部使用ISISlevel2-only与其他设备,Page 30,城域网部署分担策略,通过路由策略或者策略路由的部署，达到流量链路均担的目的，尽量避免主备链路（除非链路带宽差别较大）,Page 31,城域网部署与IPv4的互通,初期通过骨干网NATPT网关的集中设置，达到互访的目的随着互访流量增大，每个城域网要单独部署NATPT，只负责本城域网的转换需求,Page 32,城域网部署路由接受策略,接受骨干网下发的缺省路由接受骨干网通过BGP下发的运营商内部汇总路由接受骨干网通过BGP下发的所有属性不接受其他AS发送的缺省路由指定接受路由的特点（掩码长度、前缀网段、BGP属性等）,Page 33,城域网部署路由发布策略,要承担以所发布路由为目的地址的数据转发的职责如果发布了非始发于自身的网段要承担Transit的责任只发布始发于自己的网段只发布全球单播地址给骨干网不发布任何链路本地地址不发布站点本地地址通过BGP携带Community属性通过发布BGP策略影响骨干AS的流量模型,Page 34,城域网部署地址规划,LOOPBACK地址，选用128位掩码，全网LOOPBACK地址连续，并预留合适的地址段，网络层次越高的地址选用LOOPBACK地址越小。互连地址规划，如果是逻辑点对点链路，选用126位掩码，尽量不使用站点本地地址用户业务网段地址，2种思路：先地域后业务，先业务后地域。由于IPv6地址的海量供应，长远考虑应该是先地域后业务更合适。NAT-PT地址池,Page 35,铁通CNGI规划,核心(NE5000E),汇聚(NE5000E),汇聚(NE5000E),网关(NE5000E),接入(NE40-8),接入(NE40-8),教育网互连中心,北京节点,沈阳节点,Gi2/0/0,Gi2/0/0,POS1/0/1,POS1/0/0,POS1/0/0,POS1/0/0,POS1/0/3,Gi2/0/0,Gi2/0/0,Gi1/0/0,Gi2/0/0,Gi2/0/0,中国铁通CNGI北京节点拓扑图,Page 36,IP总体规划分布情况,IPV6地址规划：,IPV4公网地址规划：,北京：221.174.34.0-221.174.35.255北京节点loopback地址范围：221.174.34.0-221.174.34.63北京节点设备互连地址范围：221.174.34.64-221.174.34.127剩余地址范围：221.174.34.128-221.174.35.255,Page 37,loopback&ISIS NET ID：,IP总体规划分布情况,Page 38,cpn 地址：,IP总体规划分布情况,Page 39,IPv6网络发展展望,骨干网先于城域网完成搭建和互连互通（各国IPv6骨干网），因此IPv6孤岛通过IPv4海洋隧道互通情况少网络部署重点在协议转换，根据流量的大小和设备的处理性能，选择IPv6与IPv4的协议转换位置（集中设置分散设置）NAT-PT的重要性，从IPv6业务和网络的开始、发展、对等贯穿到IPv4的消亡双栈是IPv4向IPv6网络平滑割接的必须技术随着基于IPv6的应用的发展和基于IPv4的应用的扩展，当IPv6核心网与IPv4业务网网间的业务量增大时，可以在对应IPv4的业务网与IPv6核心网之间设置高带宽的直达物理电路，同时在IPv4业务网中局部使用双协议栈技术，将IPv4网络中重要的应用直接使用IPv6协议，为IPv6网中的用户提供服务。,Page 40,IPv6网络发展展望,防攻击配置IP地址欺骗，为了获得访问权，入侵者生成一个带有伪造源地址的报文 Land攻击，把TCP SYN包的源地址和目标地址都设置成受害者的IP地址。Smurf攻击，简单的Smurf攻击，用来攻击一个网络。方法是发ICMP应答请求，该请求包的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。高级的Smurf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显 SYS flood攻击由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，其源地址是伪造的、或者一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。ICMP、UDP flood攻击地址扫描、端口扫描ICMP重定向、不可达报文攻击 网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。TRACERT攻击,Page 41,IPv6网络发展展望,QOS部署组播部署IPV6 BGP MPLS VPN流量工程移动IPv6Netstream部署,Page 42,问题,？,