IPV6及安全解决方案.docx
《IPV6及安全解决方案.docx》由会员分享,可在线阅读,更多相关《IPV6及安全解决方案.docx(69页珍藏版)》请在冰点文库上搜索。
IPV6网络改造建议书
IPV6网络改造
建议书
中国电信集团系统集成有限责任公司陕西分公司
2019年3月
目录
第1章建设背景与需求 6
1.1IPv6网络建设需求 6
1.2建设改造前的思考 6
第2章IPv6网络改造主要过渡策略 8
2.1全双栈模式 8
2.2隧道模式 9
2.3第二平面模式 14
第3章IPV6网架构设计 16
3.1IPv6局域网络设计 16
3.2IPv6地址规划 19
3.3IPv6路由规划 20
第4章IPv6驻地网的管理 25
4.1IPv6网络管理挑战 25
4.2IPv6用户管理方案 25
4.3IPv6网络管理方案 28
第5章IPv6网络的安全防护 29
5.1面临的IPv6安全威胁 29
5.2IPv6网络整体安全防护措施 30
5.2.1设计原则与思想 30
5.2.2内网安全环境设计 33
5.3虚拟化安全环境总体防护设计 40
5.3.1划分虚拟安全域 40
5.3.2南北向流量访问控制 42
5.3.3东西向流量访问控制 42
5.3.4内网安全资源池 43
5.3.5安全域访问控制 44
5.3.6虚拟资产密码管理 45
5.3.7虚拟主机安全防护设计 45
5.4内网虚拟化安全运维平台 46
5.4.1集中账号管理 46
5.4.2统一登录与管控 47
5.4.3记录与审计 49
5.4.4权限控制与动态授权 50
5.5内网安全数据分析 51
5.5.1内网安全风险态势感知 51
5.5.2内网全景流量分析 51
5.5.3基线建模异常流量分析 52
5.5.4流量分析引擎 52
5.5.5异常的互联关系分析 53
5.5.6内网多源威胁情报分析 53
5.6内网安全管控措施 54
5.6.1内网安全风险主动识别 54
5.6.2内部主动防御 56
5.6.3内网统一身份认证与权限管理 56
5.6.4统一用户身份认证设计 57
第6章安全差距分析 59
6.1安全差距分析对比 59
6.2本次整体改造建议清单 68
第1章建设背景与需求
1.1IPv6网络建设需求
根据APNIC最新报告,到2017年6月全球已有超过6.2亿IPv6网络用户,约占全球网民总数的18%。
全球IPv6用户的网络流量已经超过20%。
互联网站和手机APP支持IPv6访问已经成为必须重视的问题。
2016年12月25日国务院发布了《关于印发“十三五”国家信息化规划的通知》明确要求加快网络基础设施的全面IPV6演进升级,积极引导商业网站、政府及公共企事业单位网站向IPV6迁移。
2017年9月国家即将发布《推进IPv6规模部署行动计划》,目标是5-10年在中国建成全球规模最大的IPv6网络,要求:
运营商骨干网、城域网、各级IDC全部支持IPv6。
TOP10IDC、公有云、CDN等互联网基础设施服务商2018年支持IPv6。
政府网站、央企网站、国家级媒体网站、教育机构网站均支持IPv6。
国内TOP50商业网站将于2018年全部升级支持IPv6。
排名前100的手机APP支持IPv6。
通过大规模IPv6网络建设的部署实施及商用探索,在未来的几年内,中国将成为以IPv6为基础的下一代网络领域的领先国家。
1.2建设改造前的思考
在改造IPv6之前,我们首先要考虑部署的总体方针和策略:
首先考虑网络设备对IPv6业务支持的广度。
比如IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLSVPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。
支持的业务种类越多越方便我们进行研究。
考虑IPv6标准的变化性。
目前IPv6标准中仍有许多处于草案阶段,即使已经成为标准的,以后仍有可能进行协议扩充。
部署IPv6网络的时候,应该采用过渡的策略,首先完成IPv6网络接入到运营商网络的目的,其次根据现有网络的实际情况,应用双栈技术和各种过渡技术,在不影响现有IPv4网主体拓扑结构的条件下,使得网络中需要部署IPv6网络的地方能够通过各种隧道技术,随时方便地接入骨干网。
充分考虑IPv6改造带来的安全变化,首先对网络现状进行等级保护差距分析,对现有安全防护措施进行查漏补缺,然后针对IPv6进行关键系统的扩容和升级,使之安全系统达到IPv4与IPv6双栈协议下的统一安全。
第2章IPv6网络改造主要过渡策略
2.1全双栈模式
拓扑简述:
所有网络三层设备均为IPv4/v6双栈设备。
为了实现IPv6网络,新增1台IPv6出口路由器。
IPv6出口路由器通过GE链路连接原有双栈核心交换机。
实现原理:
部署双协议栈网络是最理想的方法,如图所示。
其中IPv4网络部分与原IPv4网络部分融合。
这样对于新建的驻地网中双栈用户可以同时访问访问IPv6和IPv4网络。
对于双栈终端,IPv4网关和IPv6网关均部署在汇聚3层交换机上。
网内所有三层设备由于均是双栈设备,既运行IPv4路由协议也运行IPv6路由协议。
不同协议的数据转发路径可能一致,也可以不同。
双栈模式优点:
从技术角度这是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰。
双栈模式缺点:
由于原有的网络实际上都是IPv4网络,要建设全双栈网络,必须将原有不支持双栈的网络设备淘汰升级,投资过大。
2.2隧道模式
拓扑简述:
原有网络建设已经成熟稳定,所有三层设备均为IPv4设备。
为了实现IPv6网络,新增1台IPv6出口路由器。
IPv6出口路由器通过GE链路连接原有IPv4核心交换机。
实现原理:
对于双栈终端,IPv4网关部署在汇聚3层IPv4交换机上。
网内所有三层设备由于均是IPv4设备,不能完成对IPv6报文的转发,所以需要部署客户端到路由器的自动隧道6to4/ISATAP来完成。
需要把IPv6客户端的网关地址设置为6to4/ISATAP路由器(新增IPv6路由器)的地址。
在6to4/ISATAP路由器上需要配置IPv4ACL以避免驻地网IPv4报文占用IPv6资源。
可以考虑IPv6路由器和原有IPv4路由器的IPv4互通,以便IPv6出口链路断路时可以有6over4的备份路径。
在IPv6的过渡技术中,隧道技术是一项比较重要的应用,以下我们对两种常用的隧道原理和实现方法进行详细阐述。
ISATAP隧道分析
随着IPv6技术的推广,现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。
ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址:
ISATAP地址。
ISATAP地址格式为:
Prefix(64bit):
0:
5EFE:
IPv4ADDR(IPv4ADDR即隧道端点的IPv4源地址,形式为a.b.c.d或者xxxx:
xxxx,其中xxxx:
xxxx是由32位IPv4源地址a.b.c.d转化而来的32位16进制表示)。
通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道的地址格式
ISATAP隧道可以用于在IPv4网络中IPv6路由器—IPv6路由器、主机—路由器的连接。
由于不要求隧道节点具有全球唯一的IPv4地址,可以用于内部私有网络中各双栈主机进行IPv6通信,所以ISATAP隧道适用于在IPv4网络中的IPv6主机之间的通信或IPv4网络中IPv6主机接入到IPv6网络的通信(如下图所示)。
如果是内部主机之间通讯,路由器的作用就是给主机自动分配ISATAP地址,主机利用得到的地址与其他主机通信。
主机—路由器的ISATAP隧道应用
在IPv6网络的建设初期,出于投资的考虑,可能很难实现对原有IPv4网络整体升级至IPv6/IPv4双栈的模式,因此多采用将驻地网的汇聚层或出口设备(如,路由器)首先升级至双栈的模式,而汇聚层设备以下仍保持原有的IPv4网络。
为实现位于IPv4驻地网内部的双栈主机与其他IPv6网络的通信,或IPv6主机之间的通信,即可采用ISATAP主机—路由器的隧道部署方式。
主机—路由器ISATAP隧道配置举例
6to4隧道分析
和ISATAP隧道一样,6to4隧道也是一种自动构造隧道的方式。
6to4隧道是点到多点的自动隧道,主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。
6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
6to4隧道采用特殊的地址:
6to4地址,它以2002开头,后面跟着32位的IPv4地址转化的32位16进制表示,构成一个48位的6to4前缀2002:
IPv4ADDR:
:
/48。
6to4隧道的地址格式
6to4隧道只能将前缀为2002:
:
/16的网络连接起来,但在IPv6网络中也会使用像2001:
:
/16这样的非6to4网络地址。
为了使这些地址可达,必须有一台6to4路由器作为网关转发到IPv6网络的报文,从而实现6to4网络(地址前缀以2002开始)与IPv6网络的互通,这台路由器就叫做6to4中继(6to4Relay)路由器。
6to4隧道的作用就是解决孤立的IPv6站点、IPv6子网,在没有Internet提供商提供IPv6服务的情况下的与其他孤立的IPv6站点、IPv6主干网内部站点之间的通信问题。
通常在这种情况下,隧道是建立在IPv6子网或者IPv6站点的边界路由器上。
起点在源站点的边界路由器上、终点在目的站点的边界路由器上。
6to4隧道的应用
因此在实际网络中,这种隧道可以很好地解决IPv6的分支网络间通过IPv4网络建立6to4隧道实现互联。
而且由于可以实现6to4Relay的功能,使得6to4隧道可以在更加复杂的IPv6路由环境下提供IPv6孤岛间的通信。
隧道模式优点:
保护原有投资(不用把原有设备升级换代),原有网络拓扑和路由几乎无需调整,客户端只要简单设置即可访问全球IPv6资源。
使用隧道完成的主机—路由器隧道,在主机的配置比较简便易行,只需要确定隧道对端路由器接口的IPv4地址即可,同时对于主机的要求是必须都要有IPv4地址。
因此对于用户端而言,配置方面与原有的IPv4环境差异不大,不需为网络中的所有成员重新做地址分配和规划。
隧道模式缺点:
隧道技术属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。
但属于在原有IPv4网络平滑支撑IPv6业务的有效手段。
2.3第二平面模式
拓扑简述:
原有网络建设已经成熟稳定,所有驻地网三层设备均为IPv4设备。
为了实现IPv6驻地网,新增1台IPv6出口路由器。
IPv6出口路由器通过GE链路连接新增双栈交换机,再由双栈交换机把原有接入交换机新配置的上行链路进行汇聚(原有上行链路不变),这条链路需要Trunk所有拥有IPv6终端的VLAN。
实现原理:
对于双栈终端,IPv4网关部署在汇聚3层IPv4交换机上。
驻地网内所有三层设备由于均是IPv4设备,不能完成对IPv6报文的转发,所以将原有二层交换机双归属到上层IPv4和IPv6路由交换机。
需要把IPv6客户端的网关地址设置为新增IPv6交换机的地址。
在新增IPv6交换机上可以不必配置IPv4地址以避免驻地网IPv4报文占用IPv6资源。
模式优点:
开销小,管理简单、IPv4和IPv6的逻辑界面清晰,原有网络拓扑和路由几乎无需调整,客户端只要简单设置即可访问全球IPv6资源。
模式缺点:
改造不彻底,适合过渡或者小型网络使用。
第3章IPV6网架构设计
3.1IPv6局域网络设计
IPV6改造通常分为升级现有网络(核心改造、区域改造,以及全面改造)
只改造核心或者部分区域,有利于低成本快速部署IPv6业务,快速允许用户访问IPv6资源,实现整体TCO的降低。
由于现有网络为IPv4网络且具备相当的用户规模,如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。
针对这种情况,建议采用升级现有IPv4网络的方案。
在现有IPv4网络下分散着若干IPv6/IPv4双栈主机,为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小,可首先将网核心设备(核心交换机)升级为双栈,网络的其他部分保持不变。
核心设备完成升级后,可分别提供至IPv4网络和IPv6网络的出口;IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。
对于原有的IPv4用户不造成任何影响,同时实现了IPv6用户的接入。
对于大型网络,核心设备应考虑节点冗余,因此建议逐步完成对所有核心设备的升级。
升级现有IPv4网络
这种组网只适用少量IPv6/IPv4双栈用户的情况。
首先,由于用户直接接入核心设备,应避免核心设备的负担过重;其次,可以分别针对每个用户的IP地址、VLAN、端口作相应的策略,避免IPv6业务对原有网络的影响,同时保障核心设备的安全。
当IPv6/IPv4用户数量较大时,依然采用上述组网方式会使得配置太繁琐,而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。
对于网络中可能存在IPv6用户相对集中的节点,建议先用一个双栈低端设备作一次汇聚。
这类节点下的IPv6主机可使用IPv6接入交换机接入后,通过双栈直接上联至核心交换机;也可以根据网络实际情况,在IPv6接入交换机与双栈核心交换机间采用IPv6overIPv4隧道方式连接,以穿过核心交换机与主机间可能存在的IPv4网络。
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。
新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6(NativeIPv6)用户对于现有IPv4业务资源的访问。
同时,IPv4用户也会有访问IPv6业务资源的需求。
为实现这两种可能的业务互访的需求,需要考虑如何放置NAT-PT设备。
如果要访问的业务位于网络内部,可以考虑在业务服务器出口处放置双栈路由器,完成NAT-PT功能;如果要访问的业务位于网络外部,由于出口路由器也需要升级为双栈,因此可以考虑在网络出口的路由器上实现NAT-PT功能。
升级现有IPv4网络组网下的IPv6/IPv4互访业务
3.2IPv6地址规划
IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6地址有128位,其中可供分配为网络前缀的空间有64bit。
按照最新的IPv6RFC3513,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。
IPv6的地址使用方式有两类,一类是普通网络申请使用的IP地址,这类地址完全遵从前缀+接口标识符的IP地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示IP地址。
IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6地址规划目前尚没有主流的规则,具体的IP地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则:
l地址资源应全网统一分配
l地址划分应有层次性,便于网络互联,简化路由表
IP地址分配要尽量给每个区域分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制。
lIP地址的规划与划分应该考虑到网络的发展要求
地址使用兼顾到近期的需求与远期的发展以及网络的扩展,预留相应的地址段。
IP地址的分配需要有足够的灵活性,应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入的需要。
l充分合理利用已申请的地址空间,提高地址的利用效率。
IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。
IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。
我们知道全球可聚集IPv6地址的前缀为64位,后64位为主机的interfaceid.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。
IPv6的地址分配原则同IPv4一样遵循CIDR原则。
IPv6的地址规划时考虑三大类地址:
1、公共服务器地址,如DNS,EMAIL,FTP等。
2、网络设备互联地址和网络设备的LOOPBACK地址。
根据IETFIPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。
IPv6网络设备的LOOPBACK地址采用/128的地址。
3、用户终端的业务地址。
此外由于目前网络设备的IPv6MIB信息的获取和OSPFv3中ROUTERID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。
所以一个纯IPv6网络也必须规划IPv4地址(仅需要网络设备互联地址和网络设备的LOOPBACK地址)。
3.3IPv6路由规划
路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对IPv6的支持功能。
从路由协议的应用范围来看,OSPFv3、RIPng和IS-ISv6适用于自治域内部路由,为内部网关协议;BGP4+用来在自治域之间交换网络可达信息,是外部网关协议。
1.域内路由协议选择
支持IPv6的内部网关协议有:
RIPng、OSPFv3、IS-ISv6协议。
从路由协议标准化进程看,RIPng和OSPFv3协议已较为成熟,支持IPv6的IS-IS协议标准草案也已经过多次讨论修改,标准正在形成之中,而且IS-ISv6已经在主流厂家的相关设备得到支持。
从协议的应用范围的角度,RIPng协议适用于小规模的网络,而OSPF和IS-IS协议可用于较大规模的网络。
对于大规模的IP网络,为了保证网络的可靠性和可扩展性,内部路由协议(IGP)必须使用链路状态路由协议,只能在OSPF与IS-IS之间进行选择,下面对两种路由协议进行简单的对比。
目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2,能够支持IPv6路由信息的OSPF版本称为OSPFv3,能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。
OSPFv3
OSPFv3与OSPFv2相比,虽然在机制和选路算法并没有本质的改变,但新增了一些OSPFv2不具备的功能。
OSPFv3只能用来交换IPv6路由信息,ISISv6可以同时交换IPv4路由信息和IPv6路由信息。
OSPF是基于IP层的协议,OSPFv3是为IPv6开发的一套链路状态路由协议。
大体与支持IPv4的OSPFv2版本相似。
对比OSPFv2,在OSPFv3中有以下区别:
虽然OSPFv3是为IPv6设计的,但是OSPF的RouterID、AreaID和LSALinkStateID依然保持IPv4的32位的格式,而不是指定一个IPv6的地址。
所以即使运行OSPFv3也需要为路由器分配IPv4地址。
协议的运行是按照每一条链路(Per-link)进行的,而不是按照每个子网进行的(per-subnet);
把地址域从OSPF包和一些LSA数据包中去除掉,使得成为网络层协议独立的路由协议:
与OSPFv2不同,IPv6的地址不再出现在OSPF包中,而是会在链路状态更新数据包中作为LSA的负载出现;
Router-LSA和Network-LSA也不再包含网络地址,而只是简单的表示拓扑信息;
邻居路由器的识别将一直使用RouterID,而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。
Link-Local地址可以作为OSPF的转发地址。
除了Virtuallink必须使用Globalunicast地址或者使用Site-local地址。
去掉了认证信息。
在OSPFv3中不再有认证方面的信息。
如果需要加密,可以使用IPv6中定义的IPAuthenticationHeader来实现。
OSPF数据包格式发生了一些变化:
OSPF的版本号由2变成了3;
Hello包和Databasedescription包的选项域增加到24位;
认证域去掉了;
Hello信息中不再包含地址信息;
引入了两个新的选项:
R位和V6位;
为实现单链路上多OSPF进程的实现,在OSPF包头中加入了InstanceID域;
类型LSA3名字改为:
Inter-Area-Prefix-LSA,类型LSA4名字改为:
Inter-Area-Router-LSA
OSPFv2和OSPFv3都使用最短路经优先算法,在Area划分、链路类型、LSA传播等方面基本一致。
总的来说,由于OSPF发展成熟,厂商支持广泛,已经成为世界上使用最广泛的IGP,尤其在企业级网络,也是IETF推荐的唯一的IGP。
其他路由协议所能适应的网络和具备的主要优点,OSPF都能适应。
IPv6驻地网的IPv6路由规划,需要考虑到现有用户的使用习惯和主流的应用模式。
IPv6的IGP可以选择ISISv6或者OSPFv3,但是考虑到多数驻地网的习惯以及协议支持的广泛程度,部署OSPFv3可能更为实际。
同时OSPFv3域的设计可以沿用OSPFv2的思路。
网络管理和路由规划等设计细节也可以参考原有的OSPFv2的原则。
改造后驻地网全网部署双协议栈,和原有网平滑对接。
在部署的核心、汇聚、接入(三层)交换机上同时运行OSPFv2和OSPFv3两个路由协议,尽管运行在同一个设备上,这两个路由是互相独立的,OSPFv3的区域规划和OSPFv2可以完全不同。
第4章IPv6驻地网的管理
4.1IPv6网络管理挑战
管理好IPv6用户资源
在原有IPv4网中,用户管理一直是管理聚焦的环节。
IPv6网络建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在一定的用户资源不可控风险。
比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一的问题。
4.2IPv6用户管理方案
IPv6安全准入——基于双栈或纯IPv6协议的802.1x等接入认证技术,验证IPv6用户准入权限,并记录其审计信息;
IPv6可信保障——ND攻击防御、伪DHCP6防御等交换机技术特性(SAVI),防止IPv6接入环境的伪造行为,保障源地址真实可信;
IPv6业务运营——基于交换机MLDSnooping和用户认证管理技术,面向用户下发IPv6组播权限。
4.3IPv6网络管理方案
第5章IPv6网络的安全防护
5.1面临的IPv6安全威胁
实现和部署上的漏洞和不足
- IPv6协议、机制和算法实现中的漏洞
- IPv6地址和配置的复杂度更高,大规模部署中考虑不周
非IP层攻击
IPv6协议和IPv4协议一样工作在网络层,传输数据报的基本机制没有
升级会员 