网络、安全、管理的优化提升——IPv6校园解决方案杭州华三通信技术有限公司毛小兵2010年10月汇报提纲IPv6校园网发展分析IPv6校园网优化提升的方法与思路H3C的IPv6基石技术在教育行业的发展现状用户应用校园网络骨干网络简单应用与实践(WEB、视频)初期培养发展用户IPv6试商用项目应用课题研究发展校园IPv6业务校园各应用系统向IPv6改造和迁移陆续、逐步实施规模发展IPv6校园用户,并使其普遍接受IPv6?基于过渡技术、双栈技术,实现校园网局部IPv6环境改造CERNET2驻地网出口改造,实现了校园向骨干网互联国家大力支持试商用项目对校园IPv6基础平台改造建立安全、可控、可管和可运营的下一代校园网试商用环境?IPv6实验床技术储备CERNET2骨干提供广泛的高校IPv6接入服务各高校、科研单位IPv6业务与资源共享具备前提基础进一步完善IPv6骨干网承载能力如4over6等READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!READY/Comingsoon!HOW?HOW?校园网建设目标(1)《发改办高技[2008]1811号文件》在2010年底前发展50万以上IPv6试商用用户积极推进下一代互联网由试验向商用的转型带动我国信息产业持续健康发展基于下一代互联网网络资源,在具备条件的高校和中小学继续推进校园网络升级改造,在2010年底前至少将50所高校的网络升级到下一代互联网。结合实际需求,开展远程教育、资源共享、教学实验、网络科普等应用……《“校园网IPv6技术升级”子项目申请指南》到2010年底前,将校园网升级到下一代互联网,建立安全、可控、可管和可运营的下一代校园网试商用环境,实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务我们和目标相距有多远?校园网建设目标(2):《指南》建设内容在现有的校园网基础上,从网络主干(核心、汇聚)到接入层实现IPv4/IPv6技术升级,为用户提供IPv4/IPv6双栈网络服务,实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务。建设一个具有300个以上用户规模的纯IPv6子网,为本单位以及本项目的其他单位开展下一代互联网关键技术试验和应用示范提供试验环境。积极推进校园网IPv6应用和IPv6用户发展,A类学校要求IPv6用户规模达到2万人以上;B类学校要求IPv6用户规模达到1.5万人以上;C类原则上要求IPv6用户规模达到1万人以上。建立可试商用的IPv4/IPv6校园网运行管理支撑系统,包括网络管理与安全监控系统、接入业务管理(包括认证和计费)系统,保证校园网运行的可管、可控和安全。支持基于真实IPv6源地址的用户标识和认证服务、IPv4/IPv6过渡服务和可控组播服务等。完成校园信息资源和应用系统IPv6升级,包括基本网络服务系统和校园信息系统,在校园网范围内逐步实现IPv6访问优先。我们和目标相距有多远?我们离目标有多远?——校园基础网络校园网用户是否能随时随地享受IPv6服务校园网用户如果不能很方便的(不受地点制约)访问IPv6,将会影响其接受IPv6业务的积极性;无线网能拓展IPv6接入,但能否基于IPv6和有线网提供同等服务更普遍的IPv6用户服务,需要在校园数据中心进行整合现有数字校园服务中枢—数据中心,需要平滑升级支持IPv6.IPv6/IPv4业务的并发访问,将对数据中心的安全性和业务可用性形成挑战“校园网IPv6技术升级(国拨)”子项目已经成功实施后续如何实现“更普遍的”用户访问、“更普遍的”用户服务?我们离目标有多远?——校园安全防护ARP攻击历历在目,IPv6ND攻击?攻击者利用IPv4代理进行非法访问?校园内部安全域划分会因为IPv6打破?IPv6用户接入如何判断、审计其身份?IPv6互联网接口会成为安全漏洞?IPv6成为校园安全新漏洞?“更普遍的”用户访问、“更普遍的”用户服务会带来更多的安全问题?亡羊补牢还是未雨绸缪?我们离目标有多远?——校园运维管理IPv6网络资源发现?IPv6拓扑管理?IPv6网元管理?IPv6流量异常?IPv6带宽分配不均?IPv6应用流量趋势?IPv6运维管理IPv6客户端识别?IPv6客户端准入控制?IPv6计费?非法组播源控制?非法组播接收者控制?组播业务套餐式运营?IPv6用户越来越多,IPv6应用越来越多。您是否做好了轻松掌控着一切的准备?汇报提纲IPv6校园网发展分析IPv6校园网优化提升的方法与思路H3C的IPv6基石平台开放与合作安全、可控、可管和可运营的下一代校园网试商用环境IPv6基础平台架构(路由交换平台)无线IPv6IPv6出口防御方案IPv6骨干防御方案IPv6接入防御方案IPv6网络资源管理IPv6应用流量分析IPv6业务运营管理IPv6可控组播管理IPv6IPSANIPv6IP监控IPv6其他应用架构安全管理应用用户IPv6视频会议IPv6网络资源管理IPv6应用流量分析IPv6业务运营管理IPv6可控组播管理IPv6出口防御方案IPv6骨干防御方案IPv6接入防御方案无线IPv6校园基础网络的优化——无线AP无线控制器IPv6资源IPv6有线校园网无线IPv6客户端无线IPv6客户端无线组网支持IPv6环境AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道IPv6管理AP:DNS6DHCPclient6IPv6无线网将为用户提供和有线网近乎同等的应用承载无线控制器:ACL6DNS6TraceRT6Telnet6TFTPIPv6FTPIPv6DHCPclient6Ping6IPv6组播无线交换机支持MLDSnooping配合现有IPv6有线网络,实现IPv6组播业务校园基础网络的优化——数据中心FWNAMDCCoreDCAggregationFWNAMCampusCore数据中心的IPv6安全挑战校园数据中心交换平台迁移至双栈校园数据中心IPv4/IPv6的安全防御同等重要,不能因为缺乏IPv6防护,形成“漏桶效应”H3C提供集成化的IPv6FW防护和IPv6异常流量分析数据中心在叠加IPv6后的性能挑战现有校园数据中心IPv4业务集成度日益庞大;IPv6业务叠加,尤其是视频类业务,将对数据中心交换系统的缓存与QoS能力要求更高.;H3C数据中心级交换平台提供100G交换平台、CLOS架构、分布式缓存等技术校园叠加IPv6业务后对数据中心的新挑战校园安全防护的优化——骨干防御安全管理平台SecCenterSecPath防火墙核心交换机DMZ出口路由器SecPath防火墙数据中心CERNETCERNET2SecBlade集成化防火墙SecBlade集成化防火墙互联网出口防御:利用双栈防火墙进行互联网出口防御。对IPv4的互联网流量,利用原有的防御规则对IPv6的互联网流量,需要利用新的IPv6访问控制策略支持H3CiMC网管平台骨干区域防御:利用H3CSecBlade插卡进行安全防御,结合H3CS95E及S75E实现安全一体化部署对原有的IPv4的内网访问控制,在SecBlade上使用原有的策略对新建的IPv6网络的关键资源保护,需要添加新的IPv6访问控制策略支持H3CiMC网管平台校园安全防护的优化——接入防御正常用户A网关G攻击类型1(虚假NA报文):用户A的MAC更新了已更新攻击者BIPAddressMACType2001::102-2-2Dynamic2001::112-2-3Dynamic2001::122-2-4Dynamic………….Dynamic攻击类型4:伪造RA报文,发送错误的选项攻击类型3:伪造NA报文,影响DAD过程我的地址是:FE80::20f:0001,有没有跟我重复的地址?有,这个地址你不能使用ND攻击类型:欺骗攻击:通过发送伪造NA报文,修改终端或网关上特定用户的MAC地址。DoS攻击:通过发送大量伪造的NS/RS报文,攻击网关,使得网关的ND表项数量溢出DAD攻击:通过伪造的NA报文,阻断终端正常的DAD过程RA攻击:通过发送伪造的RA报文,欺骗网络中的终端,进行错误的网络参数配置ND攻击防御:欺骗攻击:通过NDSnooping/DHCPSnooping/手工配置等手段,建立其可信表项,配合ND异常报文过滤特性,对虚假的NA报文进行过滤DoS攻击:通过限制网关上基于VLAN或端口的ND学习数量,保护网关上的ND表项避免遭受DoS攻击DAD攻击:防御的方法与欺骗攻击相同,通过绑定表项进行伪造的ND报文过滤RA攻击:利用RATRUST特性,利用可信端口进行RA报文的转发校园安全防护的优化——接入认证CERNETCERNET2宿舍区802.1x认证办公区802.1x认证iMC-CAMSiMCCAMS/UAM用户接入管理组件支持部署在iMC智能管理中心上,与H3C交换机等接入设备配合,支持双栈用户安全接入网络。H3C的iNode认证客户端与交换机配合,能够实现用户地址上传功能,使得管理员能够识别双栈用户接入防御“SAVI”防止IPv6接入环境的伪造行为,保障源地址真实可信E100GES7500EE100GES7500E验证IPv6用户准入权限,并记录其审计信息双栈认证客户端dot1x、IPv6portalMLDSnooping双栈认证客户端基于用户,下发IPv6组播权限,并支持运营计费iMCCAMS/UAMIPv6用户管理IPv6运营管理IPv6校园网与传统IPv4校园网,实现同等的用户安全、审计、运营管理,精确化的流量分析集成化IPv6校园网管理部署从基础的网络管理到运营管理平台化的多种IPv6网管套件IPv6规模可控组播运营校园管理运维的优化——资源管理支持对IPv6设备进行发现;支持对IPv6/IPv4双栈网络进行拓扑绘制;支持网络、用户的统一管理,及时掌握网络运行状态;支持对IPv6/IPv4网络的设备及链路的故障进行告警支持IPv6/IPv4双栈网络管理校园管理运维的优化——应用分析支持对IPv6的NetStream日志进行分析;支持对指定时间段的接口上的应用带宽趋势进行分析;支持对流量TOPN的节点及应用的分析;支持IPv6/IPv4双栈网流管理查看指定时间