精华内容
下载资源
问答
  • 工信部提出,将开展VoLTE号码携带技术试验,实施IPv6规模部署行动计划。积极落实“一带一路”倡议,推进5G等领域国际交流合作。 工信部还对开展网络强国建设三年行动进行了部署。工信部提出,要持续提升信息基础设施...

    全国工业和信息化工作会议昨天在北京召开。工信部在部署明年重点工作时提出,将扎实推进5G研发应用、产业链成熟和安全配套保障。

    工信部提出,将开展VoLTE号码携带技术试验,实施IPv6规模部署行动计划。积极落实“一带一路”倡议,推进5G等领域国际交流合作。

    工信部还对开展网络强国建设三年行动进行了部署。工信部提出,要持续提升信息基础设施供给能力,加大网络提速降费力度,加快百兆宽带普及。扎实抓好电信普遍服务试点,全面完成13万个行政村光纤宽带建设和升级改造。抓好“核高基”、新一代移动通信网络等科技重大专项,纵深推进防范打击通讯信息诈骗。制定促进网络安全产业发展指导性文件。加强无线电频率规划和电波秩序维护。

    工信部还提出,2018年要加快重点领域改革,实现移动通信转售业务正式商用,做好电信、军工企业混合所有制改革。

    2018年工信部还将组织实施新一轮重大技术改造升级工程。推动落实发挥民间投资作用推进实施制造强国战略的指导意见。制订发布信息消费发展指南,深化国家信息消费试点示范城市创建。培育壮大消费新增长点,研究制定支持新能源汽车、大型邮轮、智能船舶、清洁能源船舶及通用航空产业发展的政策措施。抓好新能源汽车双积分管理办法的实施。

    按照工信部提出的预期目标,2018年全国规模以上工业增加值增长6%左右,规模以上企业单位工业增加值能耗下降4%,单位工业增加值用水量下降4.5%;电信业务总量、互联网行业、软件和信息技术服务业收入分别增长50%、30%和13%左右。





    本文出处:畅享网
    本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。
    展开全文
  •  CDMA网络的部署不仅为用户提供了高速的无线连接,也为用户接入到互联网提供了更加丰富的接入手段。为在cdma2000网络中向用户提供高速的分组数据业务,3GPP2的无线网络参考模型中引入了分组域功能实体,并定义
  • IPV6相关技术及基本应用培训 1.IPV6基础描述 2.IPV6的基础实现 3.IPV6 的基础配置 4.IPV6路由技术和组播技术 5.IPV6实施部署案例 6.IPV6 的过渡技术
  • 6RD是IPv6快速部署IPv6 Rapid Deployment)的简称,其对应标准为RFC5569,6RD是在6to4基础上发展起来的一种IPv6网络过渡技术方案。通过在现有IPv4网络中增加6RD-BR,向使用IPv6的用户提供IPv6接入;在IPv6用户的...

    6RD技术的实施

    6RD简介

    6RD是IPv6快速部署(IPv6 Rapid Deployment)的简称,其对应标准为RFC5569,6RD是在6to4基础上发展起来的一种IPv6网络过渡技术方案。通过在现有IPv4网络中增加6RD-BR,向使用IPv6的用户提供IPv6接入;在IPv6用户的家庭网关和6RD网关之间建立6in4隧道,从而实现在IPv4网络提供IPv6服务的能力.
    6RD在向IPv6过渡的过程中已经取得了部分成功,因为它容易实施,扩展性强而且可靠,同时它还是无状态的。
    6RD是6to4自动隧道的扩展技术,部署更加灵活。它使得运行商通过已经部署完毕的IPv4网络提供IPv6服务,当然也是通过最常用的把IPv6封装在IPv4中实现。
    6RD和6to4自动隧道的区别:
    6RD不需要特定的使用2002::/16,它可以使用运行商自己的地址块,这大大的增加了实施的便利性。
    32位的IPv4的目标地址需要在IPv6的有效负荷重承载
    思科6RD-从IPv4快速过渡到IPv6部署,从理论到实现讲解

    图7-12 6RD示意图
    如图7-12所示,CE侧为客户的IPv6单播服务,CEs之间可以实现客户的IPv6互访,也可以通过BR(边界中继设备)访问BR后的IPv6网络。数据穿越运营商的现有IPv4网络。
    我们在图7-14中实施6RD,其中R3和R6为CE,而R5为BR设备。各个设备上的环回口5模拟IPv6主机。
    图7-13为6RD隧道的地址格式,后64位是客户自己的地址空间,前64位是授权的地址空间,其中前32位是运行商的前缀,紧更着后边32位是IPv4地址,这32位中分为IPv4通用地址前缀和IPv4通用后缀(本案例通用后缀为0.0.0.0)。
    思科6RD-从IPv4快速过渡到IPv6部署,从理论到实现讲解
    图7-13 6RD隧道的地址格式

    图7-14 6RD实施拓扑

    思科6RD-从IPv4快速过渡到IPv6部署,从理论到实现讲解

    步骤1.完成IPv4网络

    三台设备的配置相同,启用了eigrp作为承载路由的协议
    r```
    outer eigrp 90
    network 172.16.0.0
    CE-R3#show ip eigrp neighbors
    EIGRP-IPv4 Neighbors for AS(90)
    H Address Interface Hold Uptime SRTT RTO Q Seq
    (sec) (ms) Cnt Num
    1 172.16.123.1 Et0/0 13 00:49:29 10 100 0 6
    0 172.16.123.2 Et0/0 14 00:49:30 8 100 0 5
    CE-R3#show ip route eigrp
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
    a - application route

      • replicated route, % - next hop override

    Gateway of last resort is not set

      172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks

    D 172.16.0.1/32 [90/409600] via 172.16.123.1, 00:49:38, Ethernet0/0
    D 172.16.0.2/32 [90/409600] via 172.16.123.2, 00:49:38, Ethernet0/0
    环回口必须数据可达,因为IPv6的通信其实是6RD隧道的源地址之间的通信,而在本案例中,我们6RD隧道的源地址为环回接口
    CE-R3#ping 172.16.0.1 source loopback 0
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
    Packet sent with a source address of 172.16.0.3
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/6 ms
    CE-R3#ping 172.16.0.2 source loopback 0
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds:
    Packet sent with a source address of 172.16.0.3
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/6 ms

    ## 步骤2.实施6RD隧道以及实现IPv6的路由
    BR-R5
    ipv6 general-prefix 6RD 6rd Tunnel1 //6RD隧道1的前缀通过通用前缀获得
    !
    interface Tunnel1
     no ip address
     no ip redirects
     ipv6 address 6RD ::/128 //隧道的地址通过6RD获得
     tunnel source Loopback0 //隧道的源地址为环回口,而在前边的实施中已经使得环回口数据可达
     tunnel mode ipv6ip 6rd //实施隧道的模式为6RD
     tunnel 6rd ipv4 prefix-len 16 //定义6RD隧道的通用IPv4前缀长度为16,没有定义通用IPv4后缀
     tunnel 6rd prefix 2003:AABB::/32 //自定义6RD隧道的前32位
    !
    ipv6 route 2003:AABB::/32 Tunnel1 //定义静态路由,到达2003:AABB::/32前缀的出接口为隧道1
    !
    interface Loopback5
     no ip address
     ipv6 address 2003:8888::1/64 //该接口默认IPv6互联网地址
    CE-R6:
    ipv6 general-prefix 6RD 6rd Tunnel1
    !
    interface Tunnel1
     no ip address
     no ip redirects
     ipv6 address 6RD ::/128
     tunnel source Loopback0
     tunnel mode ipv6ip 6rd
     tunnel 6rd ipv4 prefix-len 16
     tunnel 6rd prefix 2003:AABB::/32
     tunnel 6rd br 172.16.0.1 //在客户侧的CE设备上定义BR,可以通过BR实现互联网访问
    !
    ipv6 route 2003:AABB::/32 Tunnel1 //到达IPv6的通用前缀出接口为隧道1
    ipv6 route ::/0 Tunnel1 2003:AABB:1:: //实施到达IPv6的默认路由出接口为隧道1,下一跳中继到BR的6RD隧道的48位通用前缀。
    !
    interface Loopback5
     no ip address
     ipv6 address 2003:AABB:3:1::1/64
    CE-R3
    ipv6 general-prefix 6RD 6rd Tunnel1
    !
    interface Tunnel1
     no ip address
     no ip redirects
     ipv6 address 6RD ::/128
     tunnel source Loopback0
     tunnel mode ipv6ip 6rd
     tunnel 6rd ipv4 prefix-len 16
     tunnel 6rd prefix 2003:AABB::/32
     tunnel 6rd br 172.16.0.1
    !
    ipv6 route 2003:AABB::/32 Tunnel1
    ipv6 route ::/0 Tunnel1 2003:AABB:1::
    !
    interface Loopback5
     no ip address
     ipv6 address 2003:AABB:2:1::1/64
    验证6RD隧道和IPv6路由
    CE-R2#show tunnel 6rd 
    Interface Tunnel1:
      Tunnel Source: 172.16.0.2
      6RD: Operational, V6 Prefix: 2003:AABB::/32
           V4 Prefix, Length: 16, Value: 172.16.0.0
           V4 Suffix, Length: 0, Value: 0.0.0.0
           Border Relay address: 172.16.0.1
      General Prefix: 2003:AABB:2::/48
    CE-R3#show tunnel 6rd 
    Interface Tunnel1:
      Tunnel Source: 172.16.0.3
      6RD: Operational, V6 Prefix: 2003:AABB::/32
           V4 Prefix, Length: 16, Value: 172.16.0.0
           V4 Suffix, Length: 0, Value: 0.0.0.0
           Border Relay address: 172.16.0.1
      General Prefix: 2003:AABB:3::/48
    BR-R1#show tunnel 6rd 
    Interface Tunnel1:
      Tunnel Source: 172.16.0.1
      6RD: Operational, V6 Prefix: 2003:AABB::/32
           V4 Prefix, Length: 16, Value: 172.16.0.0
           V4 Suffix, Length: 0, Value: 0.0.0.0
      General Prefix: 2003:AABB:1::/48 //BR设备得到的通用路由前缀
    CE-R3#show ipv6 route
    IPv6 Routing Table - default - 6 entries
    Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
           B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
           H - NHRP, I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea
           IS - ISIS summary, D - EIGRP, EX - EIGRP external, NM - NEMO
           ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect
           O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
           ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2, ls - LISP site
           ld - LISP dyn-EID, a - Application
    S   ::/0 [1/0]
         via 2003:AABB:1::, Tunnel1
    S   2003:AABB::/32 [1/0]
         via Tunnel1, directly connected
    LC  2003:AABB:3::/128 [0/0]
         via Tunnel1, receive
    C   2003:AABB:3:1::/64 [0/0]
         via Loopback5, directly connected
    L   2003:AABB:3:1::1/128 [0/0]
         via Loopback5, receive
    L   FF00::/8 [0/0]
         via Null0, receive
    CE-R2#show ipv6 route
    IPv6 Routing Table - default - 6 entries
    Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
           B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
           H - NHRP, I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea
           IS - ISIS summary, D - EIGRP, EX - EIGRP external, NM - NEMO
           ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect
           O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
           ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2, ls - LISP site
           ld - LISP dyn-EID, a - Application
    S   ::/0 [1/0]
         via 2003:AABB:1::, Tunnel1
    S   2003:AABB::/32 [1/0]
         via Tunnel1, directly connected
    LC  2003:AABB:2::/128 [0/0]
         via Tunnel1, receive
    C   2003:AABB:2:1::/64 [0/0]
         via Loopback5, directly connected
    L   2003:AABB:2:1::1/128 [0/0]
         via Loopback5, receive
    L   FF00::/8 [0/0]
         via Null0, receive
    CE-R3#ping 2003:8888::1 source lo5
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 2003:8888::1, timeout is 2 seconds:
    Packet sent with a source address of 2003:AABB:3:1::1
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms
    !
    CE-R2#ping 2003:8888::1 source lo5
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 2003:8888::1, timeout is 2 seconds:
    Packet sent with a source address of 2003:AABB:2:1::1
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
    
    IPv6主机已经可以通信,那么报文又是如何封装的呢,读者可以通过图7-15查看
    
    图7-15 6RD隧道的封装解析
    
    
    ![](https://s1.51cto.com/images/blog/201903/22/94e2ff752d2e689be931ea1d3e7f1b77.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

    转载于:https://blog.51cto.com/enderjoe/2367434

    展开全文
  • Cisco IPv6网络实现技术

    2013-11-24 11:59:20
    Cisco IPv6网络实现技术,随着IPv4的消亡,IPv6却的不断升华着,此文档帮助大家升入理解IPV6部署实施IPv6
  • 说明运营商在IPv6终端规模部署中的难点,结合家庭网关在IPv6网络建设中的关键作用,简要分析了家庭网关的技术原理,提出了路由型家庭网关在IPv6规模部署过程中的技术优势和可实施方案,以帮助运营商和业界加快IPv6...
  • 当然这里有一系列方法通过IPv4来承载IPv6,6rd的方式尤其成功,其主要在于他的实施是一个轻巧、自然地可扩展、有弹性且易于配置的无感知模式。6rd提供的服务是生产质量,使得所有的客户和整个Internet看起似乎是原生...

    一、你将会学到什么?

    IPv6 rapid deployment(6rd)(RFC 5969)是一种无状态隧道机制,它允许一个服务商在不要求升级已存在的IPv4接入网络基础设施的情况下,轻巧安全的快速部署IPv6。当然这里有一系列方法通过IPv4来承载IPv6,6rd的方式尤其成功,其主要在于他的实施是一个轻巧、自然地可扩展、有弹性且易于配置的无感知模式。6rd提供的服务是生产质量,使得所有的客户和整个Internet看起似乎是原生的本地IPv6网络。

    1. 本文提出:
      • 6rd技术描述
      • 6rd部署场景

    1.1 6rd作业概述:


    图 1提供一个6rd作业的视图
    6rd由两个主要的硬件组件组成,CE(Customer Equipment)路由器和BR(Border Relay)路由器。

    1.2 CE路由器(客户边缘路由器):

    CE路由器位置在服务商提供IPv4接入基础设施的边缘和为这些终端用户网络提供IPv6通信。来自于这些终端用户的原生IPv6流量通过CE路由器封装成IPv4,隧道连接到BR路由器和或直接送到相同6rd域的其他CE路由器。反过来,通过BR路由器从Internet网接收到的封装的6rd流量和来自其他CE路由器的6rd流量将会被解封装后,并转发到最终用户节点。

    1.3 BR路由器

    BR路由器提供CE路由器和IPv6网络(公有网络或私有网络)两者之间的通信。CE和BR路由两者都是双栈(IPv4和IPv6)设备,在BR和CE两者之间可以仅是IPv4。
    在CE路由器,如果IPv6报文的目的地址和本地配置的6rd前缀匹配,这个报文会被认为是本地6rd域的一部分,需要被转发到其他CE路由器。在这种情况下,IPv4地址嵌入在IPv6的目的地址中,作为6rd隧道的目的地址使用。本地WAN接口的IPv4地址将被用作6rd隧道的源地址,这个IPv6报文直接封装成IPv4。如果IPv6目的地址和本地配置的6rd前缀不匹配就另说,如果这个报文不属于本地6rd域,这个报文将会通过6rd隧道隧穿到BR路由器。在这种情况下,在CE路由器本地配置的BR IPv4地址将被用作封装作报文的目的地址。

    1.4 6rd作业详述:

    • 6rd的CE LAN侧接口承载IPv6主机来回的流量
    • 多点隧道接口承载隧道封装的往返于IPv6主机的流量
    • 用于6rd隧道封装的是直接的IPv6-in-IPv4的封装。IPv4协议字段被设置为协议号:41。

    6rd委托前缀

    图2展示的网络中,CE路由器给他的网站提供一个范围的前缀。这些前缀称作6rd委托前缀和IPv6域主机配置协议(DHCPv6)的PD前缀相似。一个6rd委托前缀有以下几个元素组成:

    • 服务商选择一个IPv6前缀用于给定6rd部署的通用6rd服务提供前缀;
    • 为CE路由器分配的IPv4地址,这个地址可以是私有的也可以是全局的;6rd不会必须使用IPv4地址整个32bit(在后面的文档中进行解释)。
      思考图3中的示例:

      图3的示例显示了一下内容:
    • 服务提供商选择的前缀是:2001:DB8::/32
    • 每一个6rd CE路由器从10.0.0./8块中使用一个IPv4地址。在6rd中,你可以嵌入少于32bit的IPv4地址到6rd委托前缀。通过引入以下两个概念使该动作成为可能:
      1. IPv4通用前缀:在6rd域中的所有6rd CE路由器和BR路由器可以共享一个通用IPv4前缀用于他们的IPv4地址块。这个通用前缀已分配给6rd域中所有节点,因此不需要IPv6地址携带以标识隧道终点。在图3的示例中,IPv4的通用前缀是10.0.0.0/8。
      2. IPv4通用后缀:所有6rd CE路由器和BR路由器可以统一一个通用的IPv4地址尾部来标识隧道终点。例如,在这个示例中,假设IPv4的通用后缀是0.0.0.1/8。后缀的实现通过隧道传输终点将会使用(在CE路由器上,在6rd CE WAN侧的接口地址是一个典型的IPv4地址,将被用作隧道源地址):
        • CE1:10.1.1.1
        • CE2:10.1.2.1
        • BR: 10.1.3.1
    • IPv4地址块中的这些bit数是独立的,在一个域中不同的6rd CE路由器和BR路由器可以按照以下方式计算:
      32 bits - (IPv4通用前缀长度)-(IPv4通用后缀长度)
      在前面的示例中,值将会是:
      32 - 16 – 8 = 8。
      这8bit需要嵌入在6rd委托前缀中。
    • 因此,6rd委托前缀长度是服务商选择的前缀长度和同一域中6rd CE路由器和BR路由器IPv4地址块中不相同的bit数之和;在前面的示例中,这个长度是:
      32 + 8 = 40
    • 6rd的参数在表1中显示

    示例2:
    很常见的是挑战服务提供商受限于现有服务提供者,导致在6rd地址空间压缩IPv4地址是不行的。因为这个,整个IPv4地址的32bit需要插入6rd IPv6地址,如下图4所示:

    区域注册机构(RIPE、ARIN等)正在研究一种模型,其中一个服务提供商通过6rd提供IPv6服务可以获得一个/29的IPv6地址分配,来替代小于 /32的地址分配。这将为每位终点用户网提供3bit用于分割本地网络,从而为每个终点用户提供8个子网。

    6rd地址隧道终点的确定:
    当目的地是6rd域地址的本机IPv6报文到达一个6rd CE路由器,它将被送到适当的目标CE路由器。6rd隧道的目的IPv4地址通过以下规则来获取:

    • 确定IPv6头中携带的IPv4地址bit数,如下所示:
      (32bits)-(IPv4 通用前缀长度)-(IPv4通用后缀长度)
    • 确定这些bit在IPv6头中的位置。图4展示了6rd域的前缀长度
    • 提取IPv6目的地址头中携带的IPv4地址。现在知道6rd域地址和通用前缀长度就可以执行提取。
    • 起始是IPv4的通用前缀,然后拼接从IPv6头中提取的bit,最后拼接IPv4通用后缀。

      现在应用之前的算法到先前介绍的6rd网络中。思考一个报文的目的主机是2001:DB8:0100::11,它是CE网站1的一个主机。
    • IPv6头中携带的bit数是:
      (32bits)-(IPv4通用前缀长度)-(IPv4通用后缀长度)
      这儿,值是:32 – 16 = 8
    • 确定了位于IPv6头中的这些bit后,6rd本地域前缀长度是32
    • 提取IPv6头中携带的IPv4地址的bit。现在你知道了位置和长度既可执行提取。结果是8位介于33至40bit之间的二进制值。示例如下:
      从2001:DB8:0100::11中32bit开始提取8bit,产生16进制0x01(IPv6地址是十六进制的)。二进制值是:00000001,在十进制编号系统中是1。
      • 重建远程6rd CE路由器地址,以IPv4通用前缀开始,拼接从IPv6头中提取的bit数,在拼接IPv4通用后缀。
        结果是:10.1.1.1,这个是CE1的地址。
        每当CE路由器收到目的地为第六本地域内的目的地的IPv6数据包时,都会运行前面的第六隧道端点确定。
        如果收到本地IPv6报文发往超出了6rd本地域的IPv6 Internet网,6rd BR路由器的IPv4地址将由手动输入提供。

    路由考虑:

    本地路由用于同一6rd域的CE和BR路由器之间。为了实现高可用性,可以配置一个以上的BR路由器。为了达到这个目的,BR路由器必须使用在IPv4内部网关协议(IGP)中通告IPv4任播地址,导致6rd域中有多个6rd BR路由器。CE路由器将会基于IGP的选举规则使用最近的BR路由器。
    服务提供商必须向IPv6 Internet宣布已注册的IPv6地址范围(第6个委托前缀),以实现全球可达性。

    二、一个6rd报文的生命周期

    本节逐步说明数据包如何从CE路由器发送到另一个CE路由器或IPv6 Internet并返回(图7)。

    2.1 CE到CE:

    如果IPv6目标地址落在本地配置的6rd域前缀的范围内,然后需要转发到另一个6rd CE路由器,则将在面向客户的接口上本地接收IPv6流量(图8)。

    这个IPv6报文封装在IPv4标记头中。嵌入的IPv4地址复制到IPv4目的地址中。本地配置的隧道源地址复制为IPv4源地址。IPv4的隧道头的协议字段的类型被设置为41(IPv6 in IPv4)。
    隧道化IPv6数据包的IPv4数据包通过遵循IPv4路由表的IPv4域转发到目标CE路由器。
    目的CE路由器接收这个隧道化的IPv6报文,然后将IPv4头移除。出于安全措施,IPv4头中的源地址将要和嵌入在IPv6头中的IPv4地址做比较。如果不匹配,报文将会被丢弃。如果匹配,这个IPv6报文将会被视为一个本地IPv6报文转发到CE LAN侧的IPv6目标地址去。

    2.2 CE到IPv6 Internet网

    在CE到IPv6 Internet的场景中,IPv6流量在面向用户侧的接口时本地接收的。IPv6目的地址没有填入本地配置的6rd前缀的范围,这意味着它不针对本地6rd域内的目标。在这种情况下,报文需要被转发到6rd BR路由器。
    在CE到CE的场景中,IPv6头封装在IPv4头中。然而,不同之处在于本地配置的BR IPv4地址复制到IPv4的目的地址。此外,本地配置的隧道源地址复制到IPv4源地址。协议字段设置为41(IPv4中的IPv6),然后,按照正常的IPv4路由表将封装的数据包通过IPv4域转发到BR路由器。
    BR路由器接收IPv4数据包并删除IPv4标头封装。 将IPv4标头源地址与嵌入在IPv6源地址中的IPv4地址进行比较。 如果地址不匹配,则丢弃该数据包。 否则,IPv6数据包将本地转发到IPv6目标地址。

    2.3 IPv6 Internet到CE

    在从IPv6 Internet到CE的场景中,BR路由器从其面向IPv6网络的接口之一接收本地IPv6数据包。 IPv6目标地址属于本地配置的6rd前缀的范围,这意味着它以本地第6个域内的目标为目标。 在这种情况下,需要将数据包转发到适当的CE路由器(图9)。

    6rd BR路由器会将IPv6数据包封装在IPv4标头中。 IPv6标头中嵌入的IPv4地址用作IPv4目标地址。 隧道的源地址将是在6rd BR路由器的6rd隧道接口上配置的IPv4地址。 标头中的IPv4数据包的协议字段设置为41(IPv4中的IPv6)。 然后,数据包由第六BR路由器使用传统的IPv4转发路径转发到第六CE路由器。

    当CE路由器接收到隧道化的6rd IPv4报文,为了暴露封装的IPv6报文将会移除IPv4头。首先,IPv4头源地址将和本地配置的6rd BR IPv4地址进行比较。如果地址不匹配报文将被丢弃。如果匹配,则6rd CE路由器通过IPv6将IPv6报文本地转发到IPv6目标地址。

    三、配置:

    6rd CE路由器委派的IPv6地址是从本地WAN接口IPv4地址与第六个前缀组合得出的。 可以手动配置地址。但是,通常会通过DHCPv4从连接的服务提供商接收IPv4地址。
    除了此IPv4地址,还必须配置其他信息。

    • 6rd前缀:这是在整个6rd域中使用的通用前缀,它确定数据包是针对6rd域内部还是外部的目的地;
    • 6rd前缀长度:此参数提供有关第6个前缀中的值位的信息;
    • IPv4掩码长度:此参数指定在所有6rd CE和BR路由器IPv4地址中共有多少位,因此可以在站点的6rd前缀内压缩。 在Cisco IOS软件内,可以压缩来自IPv4前缀和后缀的位。

    3.1 Cisco的基本配置:

    BR Router
    
    IPv6 general-prefix DELEGATED_PREFIX 6rd Tunnel0
    interface Loopback0
    ip address 10.0.0.1 255.255.255.0
    !
    interface Tunnel0
    tunnel source Loopback0
    tunnel mode IPv6ip 6rd
    tunnel6rd IPv4 prefix-len 8
    tunnel6rd prefix 2001:db80::/32
    IPv6 address DELEGATED_PREFIX::/128 anycast
    !
    IPv6 route 2001:db80::/32 Tunnel0
    IPv6 route ::/0 2001:babe::1
    CE Router
    
    IPv6 general-prefix DELEGATED_PREFIX6rd Tunnel0
    interface Dialer0
    ip address dhcp ! (10.1.1.1)
    !
    interface Tunnel0
    tunnel source Dialer0
    tunnel mode IPv6ip 6rd
    tunnel 6rd IPv4 prefix-len 8
    tunnel 6rd prefix 2001:db80::/32
    tunnel 6rd br 10.1.3.1
    IPv6 address DELEGATED_PREFIX ::/128 anycast
    !
    interface Ethernet0
    IPv6 address DELEGATED_PREFIX ::/64 eui-64
    !
    IPv6 route 2001:db80::/28 Tunnel0
    IPv6 route ::/0 Tunnel0, 2001:db80:a000:0010::
    IPv6 route 2001:db80:0:A00::/56 Null0
    

    3.2 Linux的配置步骤:

    三台Linux虚拟构建网络拓扑。

    #配置CE设备
    ip address add 192.168.110.27 dev eth0
    ip link set eth0 up
    ip tunnel add kali006rd mode sit local 192.168.110.27
    ip tunnel 6rd dev kali006rd 6rd-prefix 2012:db8::/32 6rd-relay_prefix 192.168.147.136/32
    ip link set kali006rd up
    ip -6 addr add 2012:db8:c0a8:6e1b::1/64 dev kali006rd 
    ip -6 route add 2012:db8::/32 dev kali006rd
    ip -6 route add default via ::192.168.147.136
    
    #配置ISP
    ip address add 192.168.147.1 dev eth0
    ip link set eth0 up
    ip address add 192.168.110.1 dev eth1
    ip link set eth1 up
    
    #配置BR设备
    ip address add 192.168.147.136 dev eth0
    ip link set eth0 up
    ip tunnel add kali006rd mode sit local 192.168.147.136
    ip tunnel 6rd dev kali006rd 6rd-prefix 2012:db8::/32
    ip link set kali006rd up
    ip -6 addr add 2012:db8:c0a8:9388::1/64 dev kali006rd 
    ip -6 route add 2012:db8::/32 dev kali006rd
    
    #在CE设备测试连通性:
    root@kalimk:~# ping6 2012:db8:c0a8:9388::1 -c 5
    PING 2012:db8:c0a8:9388::1(2012:db8:c0a8:9388::1) 56 data bytes
    64 bytes from 2012:db8:c0a8:9388::1: icmp_seq=1 ttl=64 time=0.759 ms
    64 bytes from 2012:db8:c0a8:9388::1: icmp_seq=2 ttl=64 time=1.64 ms
    64 bytes from 2012:db8:c0a8:9388::1: icmp_seq=3 ttl=64 time=0.769 ms
    64 bytes from 2012:db8:c0a8:9388::1: icmp_seq=4 ttl=64 time=0.606 ms
    64 bytes from 2012:db8:c0a8:9388::1: icmp_seq=5 ttl=64 time=0.710 ms
    
    --- 2012:db8:c0a8:9388::1 ping statistics ---
    5 packets transmitted, 5 received, 0% packet loss, time 4065ms
    rtt min/avg/max/mdev = 0.606/0.897/1.642/0.376 ms
    
    #在BR设备创建一个IPv6/IPv4 Internet
    ip link del kaliBr0
    ip link add dev kaliBr0 type bridge
    ip link set kaliBr0 up
    ip -6 addr add 2233:ccc::1/64 dev kaliBr0
    
    #在CE设备测试连通性:
    root@kalimk:~# ping6 2233:ccc::1 
    PING 2233:ccc::1(2233:ccc::1) 56 data bytes
    64 bytes from 2233:ccc::1: icmp_seq=1 ttl=64 time=0.723 ms
    64 bytes from 2233:ccc::1: icmp_seq=2 ttl=64 time=0.424 ms
    64 bytes from 2233:ccc::1: icmp_seq=3 ttl=64 time=0.722 ms
    64 bytes from 2233:ccc::1: icmp_seq=4 ttl=64 time=1.69 ms
    64 bytes from 2233:ccc::1: icmp_seq=5 ttl=64 time=0.887 ms
    64 bytes from 2233:ccc::1: icmp_seq=6 ttl=64 time=1.62 ms
    64 bytes from 2233:ccc::1: icmp_seq=7 ttl=64 time=0.603 ms
    64 bytes from 2233:ccc::1: icmp_seq=8 ttl=64 time=0.642 ms
    64 bytes from 2233:ccc::1: icmp_seq=9 ttl=64 time=0.596 ms
    64 bytes from 2233:ccc::1: icmp_seq=10 ttl=64 time=0.677 ms
    
    --- 2233:ccc::1 ping statistics ---
    10 packets transmitted, 10 received, 0% packet loss, time 9138ms
    rtt min/avg/max/mdev = 0.424/0.858/1.687/0.413 ms
    

    注意:CE和BR之间,只能存在IPv4网络,需要将网卡的IPv6都禁用掉。
    我的环境是KaliLinux:

    四、其他考虑:

    • 最大传输单元和分片
    • 6rd和6to4
      6rd是自动6to4隧道机制(RFC 3056)的一般化。 它克服了6to4自动隧道机制最大的缺点:对所有6to4站点使用众所周知的固定前缀2002 :: / 16。 该IPv6前缀由IPv6 Internet上的许多路由器(也称为6to4中继路由器)注入。 直接后果是,流量可能不对称,服务提供商无法控制返回路径的6to4中继,并且当本机IPv6可用时,站点必须重新编号。 第六种机制通过允许每个服务提供商为每个客户使用唯一的IPv6前缀来消除这些缺点,从而有助于确保不需要其他不受信任的第三方中继。
    展开全文
  • IPv6之DNS安全

    2019-05-07 09:10:28
    导读 中国互联网正在向IPv6时代全面演进。在这个阶段,必须要高度重视DNS安全问题。 DNS(Domain Name System )域名系统是支撑互联网运行的重要核心基础...随着中国推进IPv6规模部署行动计划快速实施,中国三大...
    导读 中国互联网正在向IPv6时代全面演进。在这个阶段,必须要高度重视DNS安全问题。

    DNS(Domain Name System )域名系统是支撑互联网运行的重要核心基础设施,因此DNS系统也成为互联网攻击的最主要目标。DNS安全意义重大,一旦发生重大DNS攻击事件,将可能会影响大范围互联网的正常运行,并给社会带来巨大经济损失。
    随着中国推进IPv6规模部署行动计划快速实施,中国三大电信运营商的固定和4G LTE网络已经大范围部署IPv6协议,随着一批TOP ICP网站和APP支持IPv6协议,目前中国已经有超过5亿用户获得IPv6地址,开始使用IPv6网络服务。中国互联网正在向IPv6时代全面演进。在这个阶段,必须要高度重视DNS安全问题。

    IPv6之DNS安全IPv6之DNS安全

    1. 递归DNS的运行机制

    DNS系统可以分为:根DNS服务器、顶级域名DNS服务器(TLD)、权威DNS服务器、递归DNS服务器等几类。
    用户访问互联网,第一步需要向本地递归DNS申请域名解析。递归DNS查询缓存或向上一级DNS进行递归,获得域名解析结果并返回给用户,然后用户浏览器就可以访问目标网站和网页。从互联网DNS体系架构来看,递归DNS是一个综合体系,包含多个层级。用户向低级递归DNS查询,低级向高级递归DNS查询,高级递归DNS向根DNS、顶级域名DNS、权威DNS服务器查询,这样一级一级递归查询。权威DNS解析出来域名的IP地址再一级一级返回,最后发给用户主机。
    递归DNS在日志里面将会记录用户的DNS查询记录,包括用户主机的源IP地址、目标网站、查询时间、返回DNS查询结果(目标网站的IP地址)等等。

    2. IPv6 与IPv4环境下递归DNS运行机制的差异及风险

    IPv6网络环境下,DNS的运行机制与IPv4网络环境下存在一些差异。
    由于IPv4地址资源缺乏,所以IPv4网络通常会在出口部署NAT设备,内网主机向递归DNS申请域名解析申请时,递归DNS收到的是NAT设备IP地址,无法获得用户主机的IP地址。
    IPv6协议提供了海量IP地址资源,所有用户主机/联网终端都配置真实IPv6地址。IPv6主机(或联网终端)使用真实IPv6地址向递归DNS发起域名解析申请,递归DNS服务器向用户主机返回域名解析结果,并在日志中记录用户的真实IPv6地址。
    互联网IP地址扫描探测是黑客常用的攻击手段。由于IPv6协议设计有海量地址,原有IPv4地址段扫描的探测方式在IPv6网络上基本失效,所以黑客需要获得用户的真实IPv6地址,就需要找到一个拥有大量用户真实IPv6地址记录的系统,入侵破解之后获取用户IP地址数据。而递归DNS服务器恰恰能够满足黑客的探测需求,无论是内网递归DNS系统,还是公共递归DNS系统,在DNS日志文件里面都记录了海量用户的真实IPv6地址与域名解析记录。

    3. IPv6网络环境中窃取将成为递归DNS重要攻击方式

    对递归DNS系统的攻击,主要包括破坏、投毒、窃取三种方式。

    IPv4时代对DNS的攻击以破坏为主,包括DDOS攻击等,目的是造成DNS服务停止。这种攻击发生后很快就会被发现,并在12-24小时内修复。
    DNS缓存投毒是指递归DNS向上级DNS申请查询,攻击者仿冒上级DNS服务器向递归DNS 服务器发送伪造应答包抢先完成应答,用虚假数据污染递归DNS 缓存,从而使递归DNS向用户主机返回错误的解析IP结果,将用户访问重定向到危险网站。
    进入IPv6时代,由于获取用户真实IPv6地址变得困难,因此窃取将成为递归DNS攻击的重要方式。黑客入侵DNS后,不干扰DNS正常运行,而是长期潜伏起来,持续窃取DNS服务器的日志数据,从日志数据中即时获取海量用户的真实IPv6地址,并作为网络探测的目标。
    

    如果黑客入侵并攻破校园网、政务网,企业网的递归DNS服务器,以及公共DNS服务商的递归DNS系统,就可以获取DNS日志并抓取大量新鲜有效的用户IPv6地址,以进行精准IPv6地址扫描探测。潜伏窃取是静默无声并且长期的,其带来的风险要远远大于DDOS攻击破坏和DNS缓存投毒。
    目前很多园区网、企业网的DNS服务器安全防护薄弱,随着用户网络IPv6升级和DNS系统IPv6升级,将可能成为黑客重点攻击目标。

    4. IPv6网络随意配置和使用公共DNS的风险

    目前网上有很多文章推荐国外的公共DNS,
    包括:

    GooglePublic DNS (IPv4:8.8.8.8;IPv6:2001:4860:4860::8888);
    IBMQuad9 DNS (IPv4:9.9.9.9;IPv6:2620:fe::fe);
    CloudflareDNS (IPv4:1.1.1.1;IPv6:2606:4700:4700::1111);
    CiscoOpenDNS (IPv4:208.67.222.222;IPv6:2620:0:ccc::2);
    HurricaneElectric Public DNS (IPv4:74.82.42.42;IPv6:2001:470:20::2 )
    

    由于国内网络受互联互通、国际出口拥堵等情况的影响,一些网站访问速度较慢。在一些介绍全球公共DNS的网络技术文章影响下,很多用户在自己的电脑上设置国内、国外公共DNS作为首选DNS,以求实现网络加速。还有一些企业没有内网DNS服务器,网管技术人员往往在路由器上将DNS设置为公共DNS的IP地址,内网用户直接使用公共DNS的域名解析服务。这种情况在IPv4网络环境下的问题不大,因为主机都在NAT设备之后配置内网IP,没有publicIP地址。但是在IPv6网络中,所有主机都将配置真实IPv6 Public IP地址,一旦IP地址暴露,即可被精准扫描。
    Google、IBM、Cloudflare等全球公共DNS系统为全球互联网用户提供免费的DNS解析服务,正面看是一种公益和慈善,但从IPv6网络安全的角度看,其实也是一个全球主机IP地址收集器。如果用户主机DNS设置直接写入这些公共DNS的IP地址,或者小企业出口路由器的DNS设置直接写入这些公共DNS的IP地址,那么用户主机发起DNS解析请求时,这些公共DNS将直接获得用户主机(或企业内网主机)的真实IPv6地址。假设某个公共DNS系统的日志数据库与网军的IP地址扫描探测系统直联共享,那么情况简直不堪设想。

    5. 在中国IPv6规模部署初期就要重视IPv6网络安全

    两办《推进IPv6规模部署行动计划》文件中明确提出了“两并举三同步”原则:“发展与安全并举,同步推进网络安全系统规划、建设、运行”。
    中国IPv6规模部署刚刚进入发展期,已经有超过5亿部手机实现了IPv6联网,一批高校、政府、企业的网络正在升级支持IPv6协议。在目前阶段,重视IPv6网络安全问题处于最佳阶段,而不能等到发生事故之后再亡羊补牢。可以预见,在不远的将来,IPv6 DNS安全将成为IPv6网络安全的最重点问题之一,必须要予以高度重视,提前做好网络安全防护。

    本文地址:https://www.linuxprobe.com/?p=142487

    展开全文
  • IPv6全网解决方案

    2021-01-22 17:41:09
    IPv6全网解决方案 应用背景 IPv4协议是目前广泛部署的因特网协议,然而,随着Internet的发展,该协议在历经了20...IPv6支持流标签能力,便于QoS的实施 IPv6集成了安全特性 IPv6具备更有效的报头结构,提高处理性能 I
  • docker nginx网站 ipv6改造方案和...二、为以后全面扩展ipv6实施做基础工作。因为ipv6将全面取代ipv4. ipv6和ipv4基础知识 IPv4可提供4,294,967,296个地址,IPv6将原来的32位地址空间增du大到128位,数目是2的128次方
  • IPv6网络中DNS的风险分析

    千次阅读 2019-04-16 20:18:42
    IPv6网络中DNS的风险分析 DNS(Domain Name System )域名系统是支撑互联网运行的重要核心基础设施,... 随着中国推进IPv6规模部署行动计划快速实施,中国三大电信运营商的固定和4G LTE网络已经大范围部署IPv6协议...
  • ​​​IPv6协议(在规范上)是否比其IPv4对应协议更安全,或者,IPv6部署是否比IPv4部署更安全,如果人们在协议级别比较IPv6和IPv4,则可能会得出结论,IPv6复杂性的增加导致攻击向量的数量增加-也就是说,执行不同...
  • 比如:央行就在1月10日发布了关于金融行业贯彻《推进IPv6规模部署行动计划》实施意见,到2019年底,金融服务机构门户网站支持IPv6连接访问,到2020年底,金融服务机构面向公众服务互联网应用系统支持IPv6连接访问,...
  • 本节书摘来自异步社区《Cisco IPv6网络实现技术(修订版)》一书中的...Cisco IPv6网络实现技术(修订版)IP地址空间耗尽的演示导致这样一个共识:有足够的时间设计、实施和测试一个功能增强的新协议,而不是部署一...
  • 普遍认为IPv6因有IPSec而比IPv4更安全,但IPv6网络在实际部署中往往没有实施IPSec。IPv6协议在没有IPSec时的安全性,特别是过渡时期和IPv6协议自身的安全性问题值得深入研究。主要研究了IPv6在没有IPSec时的安全性。...
  • 重点研究了基于SDN的IPv6过渡技术,首次创新性地提出了在运营商网络中引入基于SDN的IPv6过渡技术的主要应用场景及实施优势、系统实现架构、关键技术及相关部署要求,该方案的提出对于运营商网络中基于SDN的IPv6过渡...
  • 由于某些客观条件的限制,IPv6网络在我国的发展还没有进入到广泛部署实施阶段。而高校校园网肩负科研、应用以及教育信息化的重任,有很强的代表性。CERNET2正式提供服务,实现了全国200余所高校下一代互联网IPv6的...
  • 由于某些客观条件的限制,IPv6网络在我国的发展还没有进入到广泛部署实施阶段。而高校校园网肩负科研、应用以及教育信息化的重任,有很强的代表性。CERNET2正式提供服务,实现了全国200余所高校下一代互联网IPv6的...
  • 导读为贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》,工业和信息化部将采取实施LTE网络端到端IPv6改造、加快固定网络基础设施IPv6改造、推进应用基础设...
  • 日前,工信部和发改委联合发布《关于全面推进IPV6在LTE网络中部署应用的实施意见》,提出启动“中国LTEv6工程”,加快基于IPv6的下一代互联网建设。根据该意见确定的目标,到2016年末,通过LTE(4G)网络建设将带动...
  • Pv6之DNS安全

    2019-04-30 21:22:48
    DNS(Domain Name System )域名系统是支撑互联网运行的重要核心基础设施,...随着中国推进IPv6规模部署行动计划快速实施,中国三大电信运营商的固定和4G LTE网络已经大范围部署IPv6协议,随着一批TOP ICP网站和APP...
  • 银发【2018】343号文

    2019-02-14 14:48:54
    银发【2018】343号文,IPv6部署行动规划文件。 加快推进基于下一代互联网在金融行业规模部署,提出的实施意见。
  • 全面理解IPv6技术机制、Cisco IOS软件技术的IPv6新功能、Cisco路由器与IPv6实现的互操作性对实施可扩展的、可靠的IPv6网络是最基本的。 因此,本书重点介绍Cisco IPv6的实现,以及在Cisco路由器上设计、配置、部署...
  • 2019年,人民银行同银保监会、证监会联合发布《关于金融行业贯彻〈推进互联网协议第六版(IPv6)规模部署行动计划〉的实施意见》(以下简称《意见》)。对此,郑州银行积极响应,于2019年初成立专项领导小组,绘制...
  • 帮助用户轻松进行无线网络部署实施和管理维护,实现有线无线网络管理的统一、用户帐号的统一、计费认证的统一、IPv6及QoS部署的统一、终端准入控制(EAD)策略的统一,使得H3C一体化移动网络解决方案能够快速地...
  • 帮助用户轻松进行无线网络部署实施和管理维护,实现有线无线网络管理的统一、用户帐号的统一、计费的统一、IPv6及QoS部署的统一、终端准入控制(EAD)策略的统一,使得H3C一体化移动网络解决方案能够快速地部署到...
  • 1 本人近期需要开发一个局域网通信的小程序,用qt组播接收和发送,现场部署实施后,在A地设备可以正常接收和发送, 在B地,出现了异常,设备只能发送数据,不能接收数据。(A地和B地设备完全一样,操作系统为win7 ...
  •  本书除了面向众多备考的准CCIE以及需要通过再认证的CCIE之外,还非常适合从事大型IP网络规划、设计和实施工作的工程技术人员及网络管理员参考。 作者简介 Jeff Doyle,(CCIE#1919)是科罗拉多州丹佛市...

空空如也

空空如也

1 2
收藏数 33
精华内容 13
热门标签
关键字:

ipv6实施部署