【安防知識(shí)網(wǎng)】園區(qū)網(wǎng)絡(luò)是支撐企業(yè)業(yè)務(wù)的核心網(wǎng)絡(luò)。在一個(gè)園區(qū)網(wǎng)絡(luò)中，內(nèi)部的終端數(shù)量龐大，業(yè)務(wù)種類(lèi)豐富。在園區(qū)網(wǎng)從IPv4升級(jí)為IPv6/IPv4雙棧網(wǎng)絡(luò)中，如何考慮所涉及的網(wǎng)絡(luò)設(shè)備、安全以及無(wú)線用戶(hù)接入等方面的部署?

　　一、 IPv6園區(qū)網(wǎng)的整體結(jié)構(gòu)

　　IPv6園區(qū)網(wǎng)建設(shè)經(jīng)過(guò)了多種方案的變化演進(jìn)，從早期的使用隧道接入到部分網(wǎng)絡(luò)采用雙棧組網(wǎng)，再到現(xiàn)在的以雙棧組網(wǎng)為主。這樣的變化是由IPv6業(yè)務(wù)的開(kāi)展及網(wǎng)絡(luò)設(shè)備的不斷創(chuàng)新所推動(dòng)的。

　　圖1. 典型的園區(qū)網(wǎng)絡(luò)

　　圖1是一個(gè)典型的園區(qū)網(wǎng)組網(wǎng)方式，將一個(gè)園區(qū)網(wǎng)絡(luò)分為接入、匯聚、核心的層次性結(jié)構(gòu)。一般的網(wǎng)絡(luò)設(shè)計(jì)中，接入層網(wǎng)絡(luò)為二層網(wǎng)絡(luò)，用戶(hù)的網(wǎng)關(guān)設(shè)置在匯聚層。核心層起到互連匯聚層做高速轉(zhuǎn)發(fā)。在功能模塊的劃分中，園區(qū)網(wǎng)絡(luò)主要由網(wǎng)絡(luò)出口、數(shù)據(jù)中心及用戶(hù)接入三大部分組成。 [nextpage]

　　將該類(lèi)型組網(wǎng)升級(jí)為雙棧網(wǎng)絡(luò)時(shí)，常規(guī)選擇采用雙棧部署，從匯聚層到核心層網(wǎng)絡(luò)開(kāi)始升級(jí)，然后根據(jù)網(wǎng)絡(luò)的情況，升級(jí)防火墻等附加的業(yè)務(wù)設(shè)備;在另外的一些情況中，可以采用雙棧網(wǎng)絡(luò)為主、隧道技術(shù)為補(bǔ)充的升級(jí)方式。在一個(gè)雙棧網(wǎng)絡(luò)升級(jí)后，原有的應(yīng)用服務(wù)器可能無(wú)法同網(wǎng)絡(luò)一起一步到位升級(jí)為雙棧服務(wù)器，在這種情況下如果有一部分純IPv6用戶(hù)需要訪問(wèn)IPv4的服務(wù)器，需要在網(wǎng)絡(luò)中部署NAT-PT設(shè)備，進(jìn)行IPv6，IPv4的協(xié)議轉(zhuǎn)換。

　　可見(jiàn)，將一張僅支持IPv4的園區(qū)網(wǎng)升級(jí)為支持IPv6/IPv4雙棧的網(wǎng)絡(luò)，涉及到多項(xiàng)網(wǎng)絡(luò)技術(shù)，面臨著多種升級(jí)方式的選擇。在這種情況下，對(duì)園區(qū)網(wǎng)絡(luò)進(jìn)行IPv6技術(shù)升級(jí)前，需要制定詳細(xì)的升級(jí)流程：

　　1) 制定網(wǎng)絡(luò)設(shè)備的升級(jí)計(jì)劃。

　　2) 評(píng)估網(wǎng)絡(luò)中的現(xiàn)有產(chǎn)品對(duì)IPv6的支持情況。

　　3) 評(píng)估網(wǎng)絡(luò)中需要升級(jí)到雙棧的網(wǎng)絡(luò)服務(wù)。

　　4) 制定IPv6地址的分配方案。

　　5) 制定詳細(xì)的IPv6網(wǎng)絡(luò)升級(jí)方案。

　　6) 在升級(jí)后進(jìn)行必需的IPv6技術(shù)培訓(xùn)。

　　通過(guò)上述的IPv6升級(jí)步驟，逐步的將園區(qū)升級(jí)為IPv6/IPv4雙棧網(wǎng)絡(luò)，滿(mǎn)足現(xiàn)階段的雙棧用戶(hù)的接入需求。

　　二、 IPv6園區(qū)網(wǎng)的部署

　　1. 雙棧模式的園區(qū)網(wǎng)骨干部署

　　在雙棧模式的園區(qū)網(wǎng)的骨干網(wǎng)絡(luò)進(jìn)行建設(shè)時(shí)，遵循分層的網(wǎng)絡(luò)建設(shè)模式。主要關(guān)注匯聚層與核心層的IPv6技術(shù)部署。

　　圖2. 雙棧園區(qū)網(wǎng)示意圖 [nextpage]

　　部署IPv6后的雙棧園區(qū)骨干網(wǎng)如圖2所示，在核心層和匯聚層使用雙棧交換機(jī)，接入層可使用現(xiàn)有的二層接入交換機(jī)組網(wǎng)或者將不支持IPv6的三層交換機(jī)降為二層使用，用以保護(hù)歷史投資。根據(jù)用戶(hù)帶寬的需要，選用“百兆到桌面”或“千兆到桌面”的模式。

　　在升級(jí)后，IPv6網(wǎng)絡(luò)部分與原有園區(qū)網(wǎng)IPv4部分融合，園區(qū)網(wǎng)中雙棧用戶(hù)可以同時(shí)訪問(wèn)IPv6和IPv4網(wǎng)絡(luò)。對(duì)于雙棧終端，IPv4網(wǎng)關(guān)和IPv6網(wǎng)關(guān)均部署在匯聚三層交換機(jī)上。由于網(wǎng)內(nèi)所有三層設(shè)備均是雙棧設(shè)備，既運(yùn)行IPv4也運(yùn)行IPv6路由協(xié)議。不同協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)路徑可能一致，也可以不同。

　　為提高網(wǎng)絡(luò)的可靠性，匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯(lián)實(shí)現(xiàn)鏈路冗余;匯聚設(shè)備作為用戶(hù)接入點(diǎn)網(wǎng)關(guān)設(shè)備，通過(guò)運(yùn)行VRRP協(xié)議實(shí)現(xiàn)網(wǎng)關(guān)冗余;核心節(jié)點(diǎn)采用雙核心部署保證節(jié)點(diǎn)冗余。

　　在使用了雙棧技術(shù)的網(wǎng)絡(luò)中，所有雙棧的終端用戶(hù)都有明確的IPv6數(shù)據(jù)轉(zhuǎn)發(fā)路徑，IPv6與IPv4層面的數(shù)據(jù)路徑明確，便于網(wǎng)絡(luò)管理及故障定位。雙棧模式的IPv6園區(qū)網(wǎng)絡(luò)建設(shè)是目前最為常見(jiàn)的模式。

　　2. 雙棧園區(qū)網(wǎng)中的隧道技術(shù)部署

　　一些園區(qū)網(wǎng)的用戶(hù)由于預(yù)算、技術(shù)等方面的原因無(wú)法部署雙棧園區(qū)網(wǎng)或只能將部分園區(qū)網(wǎng)升級(jí)為雙棧網(wǎng)絡(luò)，這種情況下可以在園區(qū)網(wǎng)中采用隧道技術(shù)作為補(bǔ)充，將純IPv6終端接入IPv6廣域網(wǎng)絡(luò)。

　　圖3. ISATAP隧道部署 [nextpage]

　　對(duì)于雙棧終端，IPv4網(wǎng)關(guān)部署在匯聚層交換機(jī)上。駐地網(wǎng)內(nèi)所有三層設(shè)備由于均是IPv4設(shè)備，不能完成對(duì)IPv6報(bào)文的轉(zhuǎn)發(fā)，因此需要部署客戶(hù)端到出口路由器的自動(dòng)隧道來(lái)完成。在部署中采用較多的是ISATAP自動(dòng)隧道。在自動(dòng)隧道的部署中，需要考慮設(shè)備的性能，如果網(wǎng)絡(luò)中有較多的IPv6用戶(hù)需要接入，可以增加隧道終結(jié)路由器的數(shù)量，以保證IPv6報(bào)文的轉(zhuǎn)發(fā)能力。

　　使用隧道技術(shù)進(jìn)行IPv6部署能夠保護(hù)原有的設(shè)備投資，原有網(wǎng)絡(luò)拓?fù)浜吐酚蓭缀鯚o(wú)需調(diào)整，只需要增加隧道終結(jié)的設(shè)備就能夠使客戶(hù)端訪問(wèn)廣域的IPv6資源。

　　隧道技術(shù)屬于過(guò)渡技術(shù)，不是最終的理想方案。隧道兩端點(diǎn)設(shè)備需要花費(fèi)額外的系統(tǒng)開(kāi)銷(xiāo)。而且在網(wǎng)絡(luò)中部署隧道技術(shù)后，IPv6用戶(hù)進(jìn)行的IPv6資源訪問(wèn)只能通過(guò)隧道進(jìn)行，無(wú)法像通常情況下，利用匯聚層及核心層網(wǎng)絡(luò)進(jìn)行高速的轉(zhuǎn)發(fā)，同時(shí)，IPv6用戶(hù)之間的互訪的開(kāi)銷(xiāo)也非常大。隧道技術(shù)不適合大規(guī)模IPv6的用戶(hù)進(jìn)行接入，只適合在過(guò)渡網(wǎng)絡(luò)中，滿(mǎn)足小部分用戶(hù)的IPv6訪問(wèn)。

　　3. 雙棧園區(qū)網(wǎng)中的IP地址劃分

　　良好的地址劃分，能夠保證后續(xù)網(wǎng)絡(luò)部署的穩(wěn)定性及可維護(hù)性。IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用以及方便有效的管理網(wǎng)絡(luò)的問(wèn)題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。根據(jù)最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，但協(xié)議并沒(méi)有明確規(guī)定其各自占的bit數(shù)，目前APNIC能夠申請(qǐng)到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強(qiáng)。

　　IP地址的分配與網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，遵循以下分配原則：

　　l 地址資源應(yīng)全網(wǎng)統(tǒng)一分配;

　　l 地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡(jiǎn)化路由表;

　　IP地址分配要盡量給每個(gè)物理區(qū)域分配連續(xù)的IP地址空間;在每個(gè)城域網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

　　l IP地址的規(guī)劃與劃分需要考慮到網(wǎng)絡(luò)的發(fā)展要求;

　　地址使用兼顧到近期的需求、遠(yuǎn)期的發(fā)展以及網(wǎng)絡(luò)的擴(kuò)展，預(yù)留相應(yīng)的地址段。IP地址的分配需要有足夠的靈活性，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)以及各種特殊的業(yè)務(wù)要求、滿(mǎn)足各種用戶(hù)接入的需要。

　　l 充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率;

　　IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。 [nextpage]

　　在園區(qū)網(wǎng)進(jìn)行IPv6地址劃分時(shí)，可以根據(jù)功能劃分為三類(lèi)地址：

　　1) 公共服務(wù)器地址，如DNS，EMAIL，F(xiàn)TP等。

　　2) 網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址

　　根據(jù)IETF IPv6工作組的建議，IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協(xié)議的網(wǎng)絡(luò)中，即使是純IPv6的網(wǎng)絡(luò)也必須要求每個(gè)網(wǎng)絡(luò)設(shè)備擁有IPv4地址。

　　3) 用戶(hù)終端的地址

　　用于最終用戶(hù)接入的地址，可以根據(jù)物理位置進(jìn)行劃分用戶(hù)的接入網(wǎng)段，也可以根據(jù)用戶(hù)所屬的邏輯位置，如部門(mén)類(lèi)型，職務(wù)等進(jìn)行劃分。

　　4. 雙棧園區(qū)網(wǎng)中的安全考慮

　　網(wǎng)絡(luò)安全策略的總體目標(biāo)是保護(hù)網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護(hù)日常園區(qū)網(wǎng)的正常使用。在IPv6/IPv4的網(wǎng)絡(luò)中，不僅要考慮針對(duì)IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設(shè)備升級(jí)為雙棧設(shè)備后，針對(duì)IPv6協(xié)議族的攻擊帶來(lái)的安全問(wèn)題。

　　在雙棧園區(qū)網(wǎng)中的網(wǎng)絡(luò)設(shè)備自身的安全風(fēng)險(xiǎn)主要有：

　　1) 網(wǎng)絡(luò)設(shè)備的安全及網(wǎng)絡(luò)協(xié)議安全

　　網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)主要指設(shè)備對(duì)外提供的網(wǎng)絡(luò)服務(wù)風(fēng)險(xiǎn)，網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)，設(shè)備訪問(wèn)密碼安全等對(duì)于網(wǎng)絡(luò)設(shè)備相關(guān)的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)協(xié)議安全主要指動(dòng)態(tài)路由協(xié)議，VRRP協(xié)議等網(wǎng)絡(luò)的安全問(wèn)題。在IPv6網(wǎng)絡(luò)中，部分網(wǎng)絡(luò)協(xié)議的安全性得到了提高，如OSPFv3可以IPSec進(jìn)行協(xié)議報(bào)文的保護(hù)。 [nextpage]

　　2) 用戶(hù)的非法訪問(wèn)

　　用戶(hù)非法訪問(wèn)的風(fēng)險(xiǎn)主要指IPv4/IPv6雙棧用戶(hù)對(duì)資源的非法訪問(wèn)。低權(quán)限的用戶(hù)非法訪問(wèn)高權(quán)限的資源等風(fēng)險(xiǎn)。

　　3) 接入層攻擊及非法用戶(hù)接入

　　在接入層防止ND攻擊及對(duì)用戶(hù)進(jìn)行身份認(rèn)證防止非法用戶(hù)接入網(wǎng)絡(luò)。

　　圖4. IPv6園區(qū)網(wǎng)安全部署

　　針對(duì)以上安全風(fēng)險(xiǎn)，在IPv6園區(qū)網(wǎng)中可以采用如下網(wǎng)絡(luò)安全技術(shù)：

　　1) 雙棧防火墻

　　專(zhuān)用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網(wǎng)絡(luò)中重要的安全設(shè)備，為網(wǎng)絡(luò)提供快速、安全的保護(hù)。首先，專(zhuān)用的軟硬件，設(shè)備自身安全性很高;其次，提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護(hù)內(nèi)部地址的私密性;第三，提供嚴(yán)格的安全管理策略，除了顯式被允許通過(guò)的數(shù)據(jù)，默認(rèn)其他數(shù)據(jù)都是被拒絕的;第四，多層次的安全級(jí)別，為不同的安全區(qū)域提供差異化的安全級(jí)別;另外它還可以提供多樣的系統(tǒng)安全策略和日志功能。 [nextpage]

　　2) 雙棧用戶(hù)認(rèn)證

　　在用戶(hù)側(cè)首要解決的是“接入安全”的問(wèn)題。為保證接入用戶(hù)的合法性，建議采用傳統(tǒng)的802.1x認(rèn)證。用戶(hù)在通過(guò)認(rèn)證后才可以正常訪問(wèn)網(wǎng)絡(luò)。通過(guò)認(rèn)證后，雙棧用戶(hù)的本地地址信息能夠上傳到認(rèn)證服務(wù)器上，為后續(xù)的用戶(hù)審計(jì)提供了參考依據(jù)。

　　3) 接入層ND防攻擊

　　在IPv6網(wǎng)絡(luò)中，ARP協(xié)議被ND協(xié)議所替代，于是ND防攻擊就成為在IPv6網(wǎng)絡(luò)部署時(shí)一個(gè)必不可少的組成部分。目前ND防攻擊的主要功能有

　　l 防欺騙攻擊：通過(guò)DHCP Snooping/手工配置等手段，建立其可信表項(xiàng)，配合ND異常報(bào)文過(guò)濾特性，對(duì)虛假的NA報(bào)文進(jìn)行過(guò)濾。

　　l 防DoS攻擊：通過(guò)限制網(wǎng)關(guān)上基于VLAN或端口的ND學(xué)習(xí)數(shù)量，保護(hù)網(wǎng)關(guān)上的ND表項(xiàng)避免遭受DoS攻擊。

　　l 防DAD攻擊：防御的方法與欺騙攻擊相同，通過(guò)綁定表項(xiàng)進(jìn)行偽造的ND報(bào)文過(guò)濾。

　　l 防RA攻擊：利用RA TRUST特性，利用可信端口進(jìn)行RA報(bào)文的轉(zhuǎn)發(fā)。

　　5. 雙棧園區(qū)網(wǎng)中的無(wú)線部署

　　當(dāng)進(jìn)行雙棧園區(qū)網(wǎng)的無(wú)線網(wǎng)絡(luò)部署時(shí)不僅需要考慮當(dāng)前的普通IPv4網(wǎng)絡(luò)中的應(yīng)用，而且同時(shí)支持在IPv6網(wǎng)絡(luò)中應(yīng)用。

　　在IPv4/IPv6雙棧園區(qū)網(wǎng)或純IPv6園區(qū)網(wǎng)中，建議部署無(wú)線控制器+FIT AP的集中式無(wú)線局域網(wǎng)。這種部署結(jié)構(gòu)對(duì)無(wú)線設(shè)備的功能進(jìn)行了重新劃分，其中無(wú)線控制器負(fù)責(zé)無(wú)線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制;FIT AP負(fù)責(zé)802.11報(bào)文的加解密、802.11的PHY功能、接受無(wú)線控制器的管理、RF空口的統(tǒng)計(jì)等簡(jiǎn)單功能。

　　在使用集中式無(wú)線網(wǎng)絡(luò)部署時(shí)，F(xiàn)it AP設(shè)備為零配置設(shè)備，對(duì)于AP和AC建立IPv4隧道還是建立IPv6隧道，由Fit AP自動(dòng)進(jìn)行選擇，接入控制器則同時(shí)可以支持IPv4隧道和IPv6隧道。

　　由于接入點(diǎn)為零配置設(shè)備，不能判斷當(dāng)前接入的網(wǎng)絡(luò)為IPv4還是IPv6網(wǎng)絡(luò)。為了解決這一問(wèn)題，以H3C的接入點(diǎn)為例，采用首先在IPv4網(wǎng)絡(luò)進(jìn)行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點(diǎn)無(wú)法成功通過(guò)IPv4網(wǎng)絡(luò)和接入控制器建立鏈接，則接入點(diǎn)會(huì)切換到使用IPv6進(jìn)行接入控制器的發(fā)現(xiàn)和鏈接處理。

　　無(wú)線用戶(hù)的報(bào)文是在AP與AC之間建立的CAPWAP隧道中進(jìn)行的，骨干網(wǎng)絡(luò)是IPv4還是IPv6網(wǎng)絡(luò)對(duì)無(wú)線網(wǎng)絡(luò)是透明的，在無(wú)線局域網(wǎng)設(shè)備上對(duì)無(wú)線接入用戶(hù)數(shù)據(jù)也只進(jìn)行二層轉(zhuǎn)發(fā)。雖然在AC和AP之間會(huì)通過(guò)CAPWAP數(shù)據(jù)隧道實(shí)現(xiàn)轉(zhuǎn)發(fā)，但是無(wú)論在接入點(diǎn)還是接入控制器都是根據(jù)二層信息實(shí)現(xiàn)轉(zhuǎn)發(fā)，而且CAPWAP隧道封裝的載荷也是二層協(xié)議報(bào)文。所以CAPWAP協(xié)議不會(huì)關(guān)心無(wú)線接入用戶(hù)的上層協(xié)議，同樣無(wú)線接入用戶(hù)也不需要關(guān)心CAPWAP數(shù)據(jù)隧道采用IPv4還是IPv6協(xié)議。 [nextpage]

　　基于上述的實(shí)現(xiàn)，無(wú)論是在IPv6/IPv4雙棧網(wǎng)絡(luò)，或者是純IPv6網(wǎng)絡(luò)中，都能夠靈活的部署集中式無(wú)線網(wǎng)絡(luò)，從而實(shí)現(xiàn)無(wú)線用戶(hù)的隨時(shí)、隨地、隨心的接入。

　　圖5所示，在一個(gè)新建的IPv6/IPv4雙棧園區(qū)網(wǎng)絡(luò)中，使用基于IPv6的園區(qū)網(wǎng)提供WLAN接入服務(wù)。

　　圖5. IPv6園區(qū)網(wǎng)無(wú)線局域網(wǎng)部署架構(gòu)

　　在IPv6/IPv4雙棧園區(qū)網(wǎng)中，對(duì)無(wú)線接入服務(wù)的部署上，與在單純的IPv4網(wǎng)絡(luò)中部署沒(méi)有任何差別，無(wú)線網(wǎng)絡(luò)為終端提供了接入到指定網(wǎng)絡(luò)的服務(wù)。在AC與AP之間既能夠基于IPv4建立CAPWAP隧道，完成對(duì)用戶(hù)的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)，也可以基于IPv6建立CAPWAP隧道進(jìn)行轉(zhuǎn)發(fā)。 [nextpage]

　　對(duì)終端用戶(hù)而言，雖然沒(méi)有通過(guò)有線網(wǎng)絡(luò)和指定網(wǎng)絡(luò)連接，但是通過(guò)無(wú)線接入服務(wù)，無(wú)線客戶(hù)端如同直接連接到指定網(wǎng)絡(luò)中。所有的無(wú)線終端相關(guān)報(bào)文數(shù)據(jù)都會(huì)被接入控制器和接入點(diǎn)之間的隧道在無(wú)線終端和接入網(wǎng)絡(luò)之間進(jìn)行轉(zhuǎn)發(fā)，而無(wú)線終端不需要關(guān)心隧道所穿越的網(wǎng)絡(luò)。

　　這樣，通過(guò)部署IPv6無(wú)線方案既可以滿(mǎn)足原有IPv4用戶(hù)的接入要求，又能夠滿(mǎn)足新的IPv6用戶(hù)的無(wú)線接入要求。

　　6. 雙棧園區(qū)網(wǎng)中的管理部署

　　網(wǎng)絡(luò)管理需要實(shí)現(xiàn)的主要功能有：設(shè)備發(fā)現(xiàn)，拓?fù)涔芾恚收细婢芾淼裙δ?。IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)相比，具有地址范圍大，地址比較難以記憶等特點(diǎn)，這些特點(diǎn)除了給網(wǎng)絡(luò)管理員帶來(lái)額外的難度外，給傳統(tǒng)網(wǎng)管也帶來(lái)很大的沖擊。比如，傳統(tǒng)的“路由+子網(wǎng)掃描”發(fā)現(xiàn)方式在IPv6網(wǎng)絡(luò)中幾乎不具備任何可用性，因?yàn)樵贗Pv6路由表中，下一跳地址很可能是一個(gè)本地地址，而網(wǎng)管是無(wú)法訪問(wèn)本地地址的，傳統(tǒng)網(wǎng)管按照路由下一跳進(jìn)行遞歸發(fā)現(xiàn)不具備可行性;另外，傳統(tǒng)網(wǎng)管進(jìn)行子網(wǎng)掃描，用于發(fā)現(xiàn)子網(wǎng)內(nèi)的設(shè)備，但對(duì)于IPv6網(wǎng)絡(luò)，任何一個(gè)子網(wǎng)的地址空間非常大，比如一個(gè)前綴長(zhǎng)度為64bit的子網(wǎng)，地址空間將達(dá)到1.8E19，執(zhí)行完這樣一個(gè)子網(wǎng)掃描將花費(fèi)非常長(zhǎng)的時(shí)間。這些問(wèn)題給網(wǎng)絡(luò)管理的基礎(chǔ)即設(shè)備發(fā)現(xiàn)的方式帶來(lái)了很大的挑戰(zhàn)。

　　當(dāng)前一些支持雙棧網(wǎng)絡(luò)管理的網(wǎng)管軟件在進(jìn)行IPv6網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)時(shí)，通常會(huì)采用ND方式自動(dòng)發(fā)現(xiàn)。該技術(shù)利用設(shè)備的ND信息，過(guò)濾出所有的全局IPv6地址，然后根據(jù)這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備。

　　采用ND方式自動(dòng)發(fā)現(xiàn)，具有下述優(yōu)點(diǎn)(以H3C iMC智能管理中心為例)：

　　l 兼容性好。本技術(shù)基于IPV6-MIB(RFC2452)實(shí)現(xiàn)，該MIB是公有的，只要第三方設(shè)備支持該MIB，iMC就可以支持該設(shè)備的自動(dòng)發(fā)現(xiàn)。

　　l 發(fā)現(xiàn)速度快。本技術(shù)對(duì)于每臺(tái)設(shè)備要做的工作是收集ND信息，然后過(guò)濾出所有全局IPv6地址，根據(jù)這些全局IPv6地址再次遞歸發(fā)現(xiàn)，直到發(fā)現(xiàn)完所有的網(wǎng)絡(luò)設(shè)備為止。這個(gè)過(guò)程計(jì)算量并不大，執(zhí)行會(huì)非常快。

　　l 支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB，iMC在自動(dòng)發(fā)現(xiàn)時(shí)，同時(shí)讀取IPv4和IPv6的鄰居表，然后根據(jù)有效地址再次遞歸發(fā)現(xiàn)。因此iMC自動(dòng)發(fā)現(xiàn)時(shí)，很好的支持了雙棧模式，既可以使用IPv4協(xié)議發(fā)現(xiàn)IPv4網(wǎng)絡(luò)，也可以使用IPv6協(xié)議發(fā)現(xiàn)IPv6網(wǎng)絡(luò)。

　　在完成設(shè)備發(fā)現(xiàn)后，后續(xù)基于設(shè)備的發(fā)現(xiàn)，進(jìn)行拓?fù)涞睦L制及設(shè)備的告警管理，與在IPv4的網(wǎng)絡(luò)中，并未發(fā)生根本的變化，在此不詳細(xì)描述。

　　三、 結(jié)束語(yǔ)

　　在骨干網(wǎng)建設(shè)中，通過(guò)CNGI下一代互聯(lián)網(wǎng)工程的建設(shè)已經(jīng)能夠滿(mǎn)足國(guó)內(nèi)IPv6網(wǎng)絡(luò)的互連。而對(duì)于高校用戶(hù)，大企業(yè)用戶(hù)及政府等行業(yè)的用戶(hù)，通過(guò)將所屬的園區(qū)網(wǎng)建設(shè)為IPv6網(wǎng)絡(luò)完成最后一公里的用戶(hù)接入就成為重要的IPv6網(wǎng)絡(luò)建設(shè)工作。以上介紹了在部署雙棧園區(qū)網(wǎng)涉及到大量的技術(shù)點(diǎn)，從網(wǎng)絡(luò)升級(jí)的技術(shù)選擇到安全產(chǎn)品部署等等多個(gè)方面，在進(jìn)行部署時(shí)，需要進(jìn)行詳細(xì)的規(guī)劃，仔細(xì)的實(shí)施，才能夠收到滿(mǎn)意的效果。