2. 雙棧園區(qū)網(wǎng)中的隧道技術部署

一些園區(qū)網(wǎng)的用戶由于預算、技術等方面的原因無法部署雙棧園區(qū)網(wǎng)或只能將部分園區(qū)網(wǎng)升級為雙棧網(wǎng)絡，這種情況下可以在園區(qū)網(wǎng)中采用隧道技術作為補充，將純IPv6終端接入IPv6廣域網(wǎng)絡。

圖3. ISATAP隧道部署

對于雙棧終端，IPv4網(wǎng)關部署在匯聚層交換機上。駐地網(wǎng)內(nèi)所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉(zhuǎn)發(fā)，因此需要部署客戶端到出口路由器的自動隧道來完成。在部署中采用較多的是ISATAP自動隧道。在自動隧道的部署中，需要考慮設備的性能，如果網(wǎng)絡中有較多的IPv6用戶需要接入，可以增加隧道終結(jié)路由器的數(shù)量，以保證IPv6報文的轉(zhuǎn)發(fā)能力。

使用隧道技術進行IPv6部署能夠保護原有的設備投資，原有網(wǎng)絡拓撲和路由幾乎無需調(diào)整，只需要增加隧道終結(jié)的設備就能夠使客戶端訪問廣域的IPv6資源。

隧道技術屬于過渡技術，不是最終的理想方案。隧道兩端點設備需要花費額外的系統(tǒng)開銷。而且在網(wǎng)絡中部署隧道技術后，IPv6用戶進行的IPv6資源訪問只能通過隧道進行，無法像通常情況下，利用匯聚層及核心層網(wǎng)絡進行高速的轉(zhuǎn)發(fā)，同時，IPv6用戶之間的互訪的開銷也非常大。隧道技術不適合大規(guī)模IPv6的用戶進行接入，只適合在過渡網(wǎng)絡中，滿足小部分用戶的IPv6訪問。

3. 雙棧園區(qū)網(wǎng)中的IP地址劃分

良好的地址劃分，能夠保證后續(xù)網(wǎng)絡部署的穩(wěn)定性及可維護性。IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用以及方便有效的管理網(wǎng)絡的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡前綴的空間有64bit。根據(jù)最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，但協(xié)議并沒有明確規(guī)定其各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強。

IP地址的分配與網(wǎng)絡組織、路由策略以及網(wǎng)絡管理等都有密切的關系，具體的IP地址分配通常在工程實施時統(tǒng)一規(guī)劃實施，遵循以下分配原則：

1)址資源應全網(wǎng)統(tǒng)一分配;

2)地址劃分應有層次性，便于網(wǎng)絡互聯(lián)，簡化路由表;

IP地址分配要盡量給每個物理區(qū)域分配連續(xù)的IP地址空間;在每個城域網(wǎng)中，相同的業(yè)務和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

3)IP地址的規(guī)劃與劃分需要考慮到網(wǎng)絡的發(fā)展要求;

地址使用兼顧到近期的需求、遠期的發(fā)展以及網(wǎng)絡的擴展，預留相應的地址段。IP地址的分配需要有足夠的靈活性，應考慮到現(xiàn)有業(yè)務、新型業(yè)務以及各種特殊的業(yè)務要求、滿足各種用戶接入的需要。

4)充分合理利用已申請的地址空間，提高地址的利用效率;

IP地址規(guī)劃應該是網(wǎng)絡整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。

在園區(qū)網(wǎng)進行IPv6地址劃分時，可以根據(jù)功能劃分為三類地址：

1) 公共服務器地址，如DNS，EMAIL，F(xiàn)TP等。

2) 網(wǎng)絡設備互聯(lián)地址和網(wǎng)絡設備的LOOPBACK地址

根據(jù)IETF IPv6工作組的建議，IPv6網(wǎng)絡設備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡設備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協(xié)議的網(wǎng)絡中，即使是純IPv6的網(wǎng)絡也必須要求每個網(wǎng)絡設備擁有IPv4地址。

3)用戶終端的地址

用于最終用戶接入的地址，可以根據(jù)物理位置進行劃分用戶的接入網(wǎng)段，也可以根據(jù)用戶所屬的邏輯位置，如部門類型，職務等進行劃分。

4. 雙棧園區(qū)網(wǎng)中的安全考慮

網(wǎng)絡安全策略的總體目標是保護網(wǎng)絡不受攻擊，控制異常行為影響網(wǎng)絡高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護日常園區(qū)網(wǎng)的正常使用。在IPv6/IPv4的網(wǎng)絡中，不僅要考慮針對IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設備升級為雙棧設備后，針對IPv6協(xié)議族的攻擊帶來的安全問題。

在雙棧園區(qū)網(wǎng)中的網(wǎng)絡設備自身的安全風險主要有：

1)網(wǎng)絡設備的安全及網(wǎng)絡協(xié)議安全

網(wǎng)絡設備的安全風險主要指設備對外提供的網(wǎng)絡服務風險，網(wǎng)絡管理協(xié)議SNMP非授權(quán)訪問的風險，設備訪問密碼安全等對于網(wǎng)絡設備相關的安全風險。網(wǎng)絡協(xié)議安全主要指動態(tài)路由協(xié)議，VRRP協(xié)議等網(wǎng)絡的安全問題。在IPv6網(wǎng)絡中，部分網(wǎng)絡協(xié)議的安全性得到了提高，如OSPFv3可以IPSec進行協(xié)議報文的保護。

2)用戶的非法訪問

用戶非法訪問的風險主要指IPv4/IPv6雙棧用戶對資源的非法訪問。低權(quán)限的用戶非法訪問高權(quán)限的資源等風險。

3)接入層攻擊及非法用戶接入

在接入層防止ND攻擊及對用戶進行身份認證防止非法用戶接入網(wǎng)絡。

圖4. IPv6園區(qū)網(wǎng)安全部署

針對以上安全風險，在IPv6園區(qū)網(wǎng)中可以采用如下網(wǎng)絡安全技術：

1)雙棧防火墻

專用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網(wǎng)絡中重要的安全設備，為網(wǎng)絡提供快速、安全的保護。首先，專用的軟硬件，設備自身安全性很高;其次，提供網(wǎng)絡地址轉(zhuǎn)換功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護內(nèi)部地址的私密性;第三，提供嚴格的安全管理策略，除了顯式被允許通過的數(shù)據(jù)，默認其他數(shù)據(jù)都是被拒絕的;第四，多層次的安全級別，為不同的安全區(qū)域提供差異化的安全級別;另外它還可以提供多樣的系統(tǒng)安全策略和日志功能。

2)雙棧用戶認證

在用戶側(cè)首要解決的是“接入安全”的問題。為保證接入用戶的合法性，建議采用傳統(tǒng)的802.1x認證。用戶在通過認證后才可以正常訪問網(wǎng)絡。通過認證后，雙棧用戶的本地地址信息能夠上傳到認證服務器上，為后續(xù)的用戶審計提供了參考依據(jù)。