1、*网络 IPv6 演进方案江苏*网络技术有限公司2018 年 3 月 13 日网络安全加固方案2 / 15目 录1 概述 31.1 项目背景概述 .32 需求分析 .32.1 IPV6 网络演进 52.1.1 IPv6 发展初期阶段 .62.1.2 IPv6 与 IPv4 共存阶段 62.1.3 IPv6 主导阶段 .62.2 需要考虑的问题 .62.2.1 IPv6 演进模式 .72.2.2 IPv6 业务支持 .72.2.3 IPv6 可管理性 .72.2.4 针对不同的网络环境进行建设 .73 解决方案 .83.1 网络建设总体要求 .83.2 交通电子政务网络划分 93.3 方案说明
2、.103.3.1 组网思路 .10 IPv6 用户的接入方式 .11 业务实现分析 .113.3.2 广域网 IPv6 组网 11 企业分支节点接入 .113.3.3 IPv6 地址规划 .123.3.4 IPv6 路由规划 .143.3.5 基于真实 IPv6 源地址的用户标识和认证服务 .15网络安全加固方案3 / 151 概述1.1 项目背景概述Internet 的成功与发展促进了 IP 网络的发展,不过 IPv4 地址已然耗尽,下一代互联网使用 IPv6 技术已成为互联网发展的必然趋势。 2011 年 2 月 3 日,全球互联网数字分配机构(IANA)正式宣布已无新的 IPv4 地址分
3、配。而随着物联网、移动互联网等新型应用的快速发展,将会需求大量的地址资源,这势必会对我国互联网持续稳定的发展产生影响,因此解决 IPv4 地址短缺的问题迫在眉睫。从技术本质上讲,解决 IPv4 地址短缺,可以采用两种不同的技术路线,一种是多级 NAT(如 NAT444)技术,另一种是 IPv6 技术,这两种技术是完全对立的。从长远来看,NAT 技术并不能从根本上解决地址短缺的问题,而且会增加网络结构的复杂性。 2017 年 11 月 26 日,中办、国办联合印发了推进互联网协议第六版(IPv6)规模部署的行动计划(以下简称计划)。从该 计划可以看到,政府横向要求政府机构、中央媒体、中央企业网站
4、完成 IPv6 的升级改造,纵向从终端、网络到典型应用整个垂直行业要求支持 IPv6 的演进。这充分反映了国家战略和政府在此次 IPv6 规模部署行动的决心。为了满足*区交通运输管理局未来的网络信息系统的建设需要,减少新业务与应用的 IT 成本,以及物联网及大数据在交通业务方面的应用需求。 IPv6网络的部署及演进已是必然趋势,需提前做好相应的技术规划,未雨绸缪。2 需求分析目前,在*区交通系统的网络信息系统中,部分业务系统是通过 IPV4 NAT 技术实现交通局和下辖单位网络的互联互通,与互联网业务的访问也是通过 NAT 技术实现。拓扑网络如下图:网络安全加固方案4 / 15图 2-1 *系
5、统网络拓扑图NAT 技术的使用,虽然能解决 IPv4 地址的紧缺和网络自治区域间的互联互通,但也为网络的使用带来消极影响;NAT 是一种救急措施而非最终解决方案。NAT 网络的弊端如下: 破坏的 IP 的端到端模型,增加网络复杂性,提高网络运维成本 地址和端口转换需要额外处理,影响网络性能,降低流媒体业务质量 保存连接状态,存在单点失效问题,降低了网络的可靠性 面临非 NAT 友好应用问题,某些新业务需升级 NAT 设备由于 IPv4 与 IPv6 协议的不兼容,引入 IPv6 技术关键在于即要保证原有IPv4 业务的应用,同时又要考虑通过 IPv6 引入减轻 IPv4 地址不足所面临的压力。
6、因此产生了大量的 IPv6 演进方案,包括双栈技术、 NAT444、DS-Lite、NAT64、IVI、6to4、4over6、6RD、6PE 等多种解决方案。具体采用哪种解决方案,需要结合*区交通局网络信息系统的现有情况及今后的业务场景需求,选择对应的 IPv6 演进策略。没有任何一个技术可以解决所有问题,需要具体问题具体分析。未来网络的最终模型必然是单栈 IPv6 网络已成为业界共识,因此在选择IPv6 演进方案时,更多的需要考虑所选择的技术架构是需要符合未来的发展趋势,同时也可以避免多次升级所带来的各种问题。受限于应用系统或终端局限等问题,不能在短时间内大规模升级到 IPv6,且大量业务
7、仍是基于 IPv4 的业务应用,因此在未来一段时间内,网络中主要的应用还是基于 IPv4 的。为加快IPv6 的演进,需要加快引进 IPv6 业务的进度。目前,*局网络在 IPv6 部署演进中主要会面临三大挑战:业务、终端与网络边缘。网络安全加固方案5 / 15由于网络边缘设备涉及到相对复杂的网络路由管理、安全、业务感知等功能,且会存在一定数量现网设备不具备软件升级支持 IPv6 的能力,会面临替换的问题,但相对来讲,在三大挑战中这是最容易解决的。对于终端和业务部分而言,终端因涉及到规模庞大、应用软件种类多、总体成本高等原因,是 IPv6 网络演进的主要困难。没有创新的应用也就难以为IPv6
8、特色业务的开发和规模提供有效平台,整个 IPv6 演进就难以进入良性循环。2.1 IPv6 网络演进当前大量的网络是 IPv4 网络,随着 IPv6 的部署,很长一段时间是 IPv4与 IPv6 共存的过渡阶段。通常将 IPv6 的部署划分为以下个阶段:图 2-2 IPv6 的部署方案2.1.1 IPv6 发展初期阶段在 IPv6 网络部署初期,IPv6 站点的规模不大,因此在 IPv4 网络中形成了一个个“IPv6 孤岛”。业务应用上以原有的 IPv4 应用为主,需要保证 IPv6 站点与 IPv4 网络之间的通信,以及 IPv6 站点之间的互连。2.1.2 IPv6 与 IPv4 共存阶段
9、随着 IPv6 网络规模的扩大,纯 IPv6 网络与纯 IPv4 网络并存。基于 IPv6的传统业务逐渐开始大量部署,需要保证 IPv6 与 IPv4 之间的通信。2.1.3 IPv6 主导阶段纯 IPv6 网络最终形成,原有的 IPv4 网络大部分升级为 IPv6,只剩下少数的 IPv4 站点成为“IPv4 孤岛”。此时适用于 IPv6 的各种新型业务开始成为主流业务。网络安全加固方案6 / 152.2 需要考虑的问题在*区交通系统部署 IPv6 之前,我们首先要考虑部署的总体方针和策略:2.2.1 IPv6 演进模式在交通网中部署 IPv6 可以有全双栈模式和隧道模式。全双栈模式组网是最理
10、想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4 和 IPv6 的逻辑界面清晰。隧道模式属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。2.2.2 IPv6 业务支持如:IPv6 的过渡技术有手工隧道方式,自动隧道方式,有基于 MPLS VPN 技术的 6PE 方式,有基于网络地址转换技术的 NAT-PT 等等, IPv6 的单播路由协议有 OSPFv3,ISISv6,BGP4+等等,IPv6 的组播路由协议有 PIM-SM,PIM-SSM 等等。2.2.3 IPv6 可管理性在本次网络建设后,应充分考虑网络部署 IPv6 的可管理及可维护性,
11、要能够满足日常业务的需要和网络安全管理方面的需求。2.2.4 针对不同的网络环境进行建设主干网络设备可以考虑直接扩容为全双栈模式,适当兼顾只支持 IPv4 协议栈的终端;并可根据交通局业务的的实际情况,可以先建设部分双栈网络,其他部分采用隧道模式允许用户 IPv6 业务,逐步将不支持 IPv6 的设备进行换代升级。综上所述,本次部署 IPv6 网络的时候,建议有条件的网络中采用全双栈部署,完成本次驻地网的大部分改造,其次根据现有交通网内的实际业务应用情网络安全加固方案7 / 15况,采用部分过渡技术,在不影响现有 IPv4 网络主要业务的条件下,使得交通专网中需要部署 IPv6 网络的地方能够
12、通过隧道技术,接入业务服务区域或CERNET2。3 解决方案3.1 网络建设总体要求1、安全保密性严格遵循国家安全保密法规,从技术、管理角度,加强网络和信息的安全防范,确保涉密信息安全,实现与非专网业务如因特网业务的严格逻辑隔离,保障三级纵向专网的安全。2、业务承载灵活性在保证网络及信息安全保密的同时,还需兼顾业务承载、系统架构和数据交换实际需要,按照“强化业务网”的思路开展网络及应用系统建设。3、提高资源利用率按照统筹规划、统一布署、分步实施的原则,从全局出发,打破部门界限,实现三级交通运输系统各部门的互联互通和资源共享,使交通系统已有的各类信息资源发挥出最大效益,避免重复建设,杜绝资源浪费
13、。3.2 交通电子政务网络划分根据省政府关于电子政务建设的有关要求,全省交通电子政务网络分为电子政务内网和电子政务外网。*电子政务网络结构示意图从上图可以看出,交通电子政务网络逻辑上分为两套网络,即电子政务内网和电子政务外网,物理上分为三套网络,即涉密网、交通业务专网和外网。网络安全加固方案8 / 15电子政务内网与电子政务外网须物理隔离,交通行业业务专网和交通行业外网之间应采用安全等级较高设备(如防火墙、网闸)进行隔离,提高网络之间的安全性。3.3 方案说明由于现有网络为 IPv4 网络且具备相当的用户规模,如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。针对这种
14、情况,建议采用升级现有 IPv4 网络的方案。3.3.1 组网思路在现有 IPv4 网络下分散着若干 IPv6/IPv4 双栈主机,为使这些主机接入到IPv6 网络当中且对现网的原有应用的影响最小,可首先将交通网络的核心设备(核心交换机)升级为双栈,网络的其他部分保持不变。核心设备完成升级后,可分别提供至 IPv4 网络和 IPv6 网络的出口;IPv6/IPv4 双栈主机可以采用ISATAP 隧道的方式直接接入核心交换机。对于原有的 IPv4 用户不造成任何影响,同时实现了 IPv6 用户的接入(如下图) 。核心设备应考虑节点冗余,因此建议逐步完成对所有核心设备的升级。 IPv6 用户的接入
15、方式在节点 1 下,由于网络中汇聚层依然是原有的 IPv4 交换机,接入层是原有的 IPv4 交换机或 L2 交换机,为完成 IPv6 用户到核心交换机的连接,可采用ISATAP 隧道的方式。在节点 2 和节点 3 下,用户通过双栈方式或 IPv6 over IPv4 隧道方式完成连接。 业务实现分析通过升级,原有的 IPv4 网络下的 IPv4 用户的业务不受影响。新增的网络安全加固方案9 / 15IPv6/IPv4 双栈用户可以正常访问 IPv6 网络和 IPv6 业务以及 IPv4 网络和 IPv4业务。在 IPv6 建设初期,IPv6 业务资源相对较少,因此需要考虑纯 IPv6 用户对
16、于现有 IPv4 业务资源的访问。同时,IPv4 用户也会有访问 IPv6 业务资源的需求。为实现这两种可能的业务互访的需求,需要考虑如何放置 NAT-PT 设备。3.3.2 广域网 IPv6 组网广域网组网侧重于“IPv6 孤岛”之间跨越广域网的连接,如,交通局总部与下辖单位、下辖段位之间通过 IPv6 连接等网络情况,都可适用。 企业分支节点接入若新建部分 IPv6 分支,为了实现与分支节点的 IPv6 连接,可将分支机构作为汇聚节点的路由器设备升级为双栈。这样,原有的 IPv4 分支与交通局的连接保持不变,新建的 IPv6 分支节点出口设备采用双栈路由器,可接入到交通局的双栈设备上。根据
17、实际组网需要,分支与交通局之间可运行 OSPFv3 路由协议。3.3.3 IPv6 地址规划IP 地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6地址有 128 位,其中可供分配为网络前缀的空间有 64bit。按照最新的 IPv6 RFC3513,IPv6 地址分为全球可路由前缀和子网 ID 两部分,协议并没有明确的规定全球可路由前缀和子网 ID 各自占的 bit 数,目前 APNIC 能够申请到的 IPv6地址空间为/32 的地址。网络安全加固方案10 / 15IPv6 的地址使用方式有两类,一类是普通网络申请使用的 IP 地址,这类地址完全遵从前缀+接口标识符的 IP
18、地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示 IP 地址。IP 地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6地址规划目前尚没有主流的规则,具体的 IP 地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则: 地址资源应全网统一分配 地址划分应有层次性,便于网络互联,简化路由表 IP 地址的规划与划分应该考虑到网络的发展要求 充分合理利用已申请的地址空间,提高地址的利用效率。IP 地址规划应该是网络整体规划的一部分,即 IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对应,应该是自顶向下的
19、一种规划。IPv6 的地址规划时考虑三大类地址:1、公共服务器地址,如 DNS,EMAIL,FTP 等。2、网络设备互联地址和网络设备的 LOOPBACK 地址。根据 IETF IPv6 工作组的建议 IPv6 网络设备互联地址采用/64 的地址块。IPv6网络设备的 LOOPBACK 地址采用/128 的地址。3、用户终端的业务地址。此外由于目前网络设备的 IPv6 MIB 信息的获取和 OSPFv3 中 ROUTER ID 等均要求即使是一个纯 IPv6 网络也必须要求每个网络设备拥有 IPv4 地址。网络安全加固方案11 / 15所以一个纯 IPv6 网络也必须规划 IPv4 地址(仅需
20、要网络设备互联地址和网络设备的 LOOPBACK 地址)。3.3.4 IPv6 路由规划路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对 IPv6 的支持功能。从路由协议的应用范围来看,OSPFv3 、RIPng 和 IS-ISv6 适用于自治域内部路由,为内部网关协议;BGP4+用来在自治域之间交换网络可达信息,是外部网关协议。 域内路由协议选择支持 IPv6 的内部网关协议有:RIPng、OSPFv3、IS-ISv6 协议。从路由协议标准化进程看,RIPng 和 OSPFv3 协议已较为成熟,支持 IPv6 的 IS-IS 协议标准草案也已经过多次讨论修改,标准正在形成
21、之中,而且 IS-ISv6 已经在主流厂家的相关设备得到支持。从协议的应用范围的角度,RIPng 协议适用于小规模的网络,而 OSPF 和 IS-IS 协议可用于较大规模的网络。对于大规模的 IP 网络,为了保证网络的可靠性和可扩展性,内部路由协议(IGP)必须使用链路状态路由协议,只能在 OSPF 与 IS-IS 之间进行选择,下面对两种路由协议进行简单的对比。目前在 IPv4 网络中大量使用的 OSPF 路由协议版本号为 OSPFv2,能够支持IPv6 路由信息的 OSPF 版本称为 OSPFv3,能够支持 IPv6 路由信息交换的 ISIS 路由协议称为 IS-ISv6。OSPFv3:O
22、SPFv3 与 OSPFv2 相比,虽然在机制和选路算法并没有本质的改变,但新增了一些 OSPFv2 不具备的功能。 OSPFv3 只能用来交换 IPv6 路由信息,ISISv6 可以同时交换 IPv4 路由信息和 IPv6 路由信息。网络安全加固方案12 / 15OSPF 是基于 IP 层的协议, OSPF v3 是为 IPv6 开发的一套链路状态路由协议。大体与支持 IPv4 的 OSPF v2 版本相似。对比 OSPF v2,在 OSPF v3 中有以下区别:虽然 OSPFv3 是为 IPv6 设计的,但是 OSPF 的 Router ID、Area ID 和 LSA Link Stat
23、e ID 依然保持 IPv4 的 32 位的格式,而不是指定一个 IPv6 的地址。所以即使运行 OSPF v3 也需要为路由器分配 IPv4 地址。协议的运行是按照每一条链路(Per-link)进行的,而不是按照每个子网进行的(per-subnet );把地址域从 OSPF 包和一些 LSA 数据包中去除掉,使得成为网络层协议独立的路由协议:与 OSPFv2 不同, IPv6 的地址不再出现在 OSPF 包中,而是会在链路状态更新数据包中作为 LSA 的负载出现;Router-LSA 和 Network-LSA 也不再包含网络地址,而只是简单的表示拓扑信息;邻居路由器的识别将一直使用 Rou
24、ter ID,而不是像 OSPFv2 一样在某些使用端口会将端口地址作为标识。Link-Local 地址可以作为 OSPF 的转发地址。除了 Virtual link 必须使用 Global unicast 地址或者使用 Site-local 地址。去掉了认证信息。在 OSPF v3 中不再有认证方面的信息。如果需要加密,可以使用 IPv6 中定义的 IP Authentication Header 来实现。网络安全加固方案13 / 153.3.5 基于真实 IPv6 源地址的用户标识和认证服务基于真实 IPv6 源地址的用户标识和认证服务即保证用户的 IPv6 地址的使用必须是经过授权的,具
25、体应用与场景相关,可分为路由转发流量和本地接入流量的源地址验证。1、路由转发流量:交通局网络内转发,可采用 OSPFv3 或 ISIS 等,ISIS 可以通过 MD5 加密,OSPF 可以使用 IPSEC 加密,保证 IPv6 路由来源的可靠性,然后通过 URPF 或ACL 来检查报文的源地址是否来源于正确的端口。2、本地接入流量:此环境下和接入层组网、地址分配方式、接入设备密切相关。接入层典型的组网由客户端(主机 Host)、接入设备(NAS )、 AAA 服务器组成。地址分配包括无状态地址分配(ND,以及扩展的 SEND、Privacy Extensions)、有状态地址分配(DHCP)、
26、手工配置等,采用有状态分配地址,组网中要加入 DHCP 服务器。接入设备 NAS 有路由器、交换机、AC/AP 等,对应的接入链路层包括ADSL、 Ethernet、WiFi 等,其上都可以直接承载 IPv6 数据报文。如果二层本身就可以隔离或加密,则部署较简单,只需要在认证环节确保安全、然后将二层信息与 IPv6 地址进行绑定即可,否则需要考虑后续的每报文的安全性处理。接入认证协议有 802.1x、PPPoE、PORTAL、802.11i、WAPI 等,可以将 MAC地址、端口与 IPv6 地址绑定,无线协议是共享端口的,可以将 IPv6 地址与二层传输密钥绑定。绑定的过程,视地址分配方式而不同,手工配置只能静态绑定,ND/DHCP 则可以动态绑定。对于 ND 协议,其安全性需要提高,可以采用类似ARP 的方案来补充: ND 源抑制功能、ND 防 IP 报文攻击功能、ND 的主动确认、网络安全加固方案14 / 15源 MAC 地址固定的 ND 攻击检测、ND 报文源 MAC 一致性检查、ND 报文限速、授权 ND、ND Detection、ND Proxy 等。
