部署IPv6网络的思路探讨与对安全因素的考虑.pptVIP

部署IPv6网络的思路探讨及对安全因素的考虑 提纲 前言 部署方法简论 双栈 Tunnel 附录：参考材料 前言 IPv6标准的发展进程 操作系统对IPv6的支持状况 国家对发展IPv6的推动作用 仁人志士对IPv6的关心呵护 IPv6标准的发展进程－1 IPv6标准的发展进程－2 在2006年3月30日，更新了一批协议。 地址分配和管理 RFC3513－》RFC4291 ICMPv6 RFC2461、RFC2462、RFC2463 DNS DHCPv6 RFC3513 支持IPv6 路由协议 OSPFv3，RIPNG，BGP4＋，IS-ISv6 Mobile IPv6 移动IP 2004年6月，RFC 3775 Transition 转换 Network Management 网络管理 操作系统的支持 Linux和BSD 完善了Linux对IPv6的支持 通过USAGI 开发团队(1998/03~) UniverSAl playGround for Ipv6 / 完善了BSD对IPv6的支持 通过Kame 开发团队（1998/03~2006/03) 完善了FreeBSD、OpenBSD、NetBSD、BSD/OS。 已经融入到各种BSD的代码库中 HP-UX11i和 IBM AIX 国家对发展IPv6的支持 2005年10月：中共十六届五中全会将“自主创新”战略上升到与“改革开放”平行的高度。 能人志士对IPv6的推动 比如我们浙江网络技术专委会 比如我们这次与会代表 提纲 前言 部署方法简论 双栈 Tunnel 附录：参考材料 部署方法简论 部署方法 考虑要素 IPv6的部署 部署时考虑的要素 领导（政策）的支持 费用的高低 操作的复杂性 性能的高低 已有的IPv4 NAT 隧道方式 6to4 用于主机与路由器、路由器与路由器、路由器与主机之间的沟通 ISATAP Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) 站内自动隧道地址协议 方便灵活，容易部署，不影响 Configured Tunnels 手工配置 管理工作量大 Tunnel Broker 自动灵活 系统压力大 6over4 IPv4网络需要支持组播功能 DSTM Teredo 6PE 协议转换 NAT-PT 需要ALG Application Layer Gateway SIIT BIA BIS Socks TRT 优先考虑的部署方式 Dual-Stack 6to4+ISATAP Configured Tunnels Tunnel Broker DSTM 6PE SIIT BIA BIS NAT-PT 避免使用的方式 Teredo 部署复杂，管理困难，破坏路由汇聚 6over4(Virtual Ethernet)* 破坏了路由汇聚、需要具备组播功能的IPv4网络、产品费用高 Socks 基于NEC的私有协议. 提纲 前言 部署方法简论 双栈 Tunnel 附录：参考材料 双栈形式 安全考虑 IGMPv3中的ND欺骗 类似与IPv4中ARP欺骗、ARP病毒 IPSec能勇挑重任吗？ 先有鸡 or 先有蛋？ 你能把自己拉出地球吗？ IP源地址欺骗 被扫描探测的可能性降低 2^64 NMAP甚至不支持IPv6地址扫描功能 SixXS的影响 通过v6网络进入v4网络进行非法操作 路由器哄骗 SixXS的影响 通过IPv6网络访问IPv4网络 如何解决 启用IPv4中被广泛应用的802.1x认证。 比如锐捷网络SAM系统 接入层交换机抑制非法设备的“路由宣告”。 比如锐捷网络的21交换机 提纲 前言 部署方法简论 双栈 Tunnel 附录：参考材料 6to4+ISATAP隧道方式 安全考虑 网络设备 6to4 Relay Router 没有身份验证机制 Relay Router被当做傀儡机 对其他设备发动DoS攻击 网络终端 通过IPv6网络进入IPv4网络进行破坏 信息安全（Sixxs） 提纲 前言 部署方法简论 双栈 Tunnel 附录：参考材料 参考材料来源 IETF 与IPv6相关的工作组 /html.charters/ipv6-charters.html /html.charters/ngtrans-charter.html /html.charters/v6ops-charter.html Microsoft /ipv6 《Understanding IPv6》 FreeBSD Linux 锐捷网络IPv6配置文档 IPv6 Forum Sixxs, 如果应用程序使用的目的地址是IPv4地址，则使用IPv4协议 如果