IPv6试验网的设计与组建说明手册Word格式文档下载.docx
《IPv6试验网的设计与组建说明手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IPv6试验网的设计与组建说明手册Word格式文档下载.docx(36页珍藏版)》请在冰豆网上搜索。
有预测表明以目前Internet的发展速度计算,所有IPv4地址将在2012年分配完毕。
这也是推动下一代互联网协议IPv6研究的主要动力。
为了解决IPv4存在的问题,早在1995年,互联网工作组(IETF)就已经开始着手开发下一代互联网技术。
于是IPv6应运而出。
在目前以IPv4为基础的网络技术如此成熟与成功的情况下,不可能马上抛开原有IPv4网络来建IPv6网络。
只能通过分步实施的方法来逐步过渡。
因此,在今后相当长的一段时间内,IPv6网络将和IPv4网络共存。
如何以合理的代价逐步的将IPv4网络过渡到IPv6、解决好IPv4与IPv6互相共存将是我们需要迫切考虑的。
针对以上问题,目前提出了三种主要的过渡技术:
双协议栈(DualStack)、隧道技术(Tunnel)、地址协议转换(NAT-PT)。
当然,这些过渡技术都不是普遍适用的,每一种技术都是适用于某种或几种特定的网络情况,在实际应用时需综合考虑各方面现实情况,然后选择合适的转换机制进行设计和实施。
1.2IPv6建设需求
随着亚太地区进入IPv4地址耗尽的最后阶段,从今年4月开始,CERNET(中国教育和科研计算机网)已经无法再从APNIC获得更多的IPv4地址,现有会员单位也无法获得IPv4地址,新接入会员单位只能依相关政策获得少量基础设施必需的IPv4地址。
CNGI-CERNET专家组成员、北京邮电大学信息网络中心主任马严教授认为:
“向下一代互联网过渡的过程中,面临技术和管理决策方面的问题。
IPv6网络不能直接同IPv4网络通信,但可通过IVI、ISATAP、6to4、NAT等多种技术手段。
IPv6取代IPv4将是一个渐进的长期过程,但尽快启动过渡过程是当前的重点。
”CNGI网络将成为世界上最大的IPv6网络。
通过大规模IPv6网络建设的部署实施及商用探索,在未来的几年内,中国将成为以IPv6为基础的下一代网络领域的领先国家。
隧道技术:
随着ipv6网络的发展,出现了许多局部的ipv6网络,但是这些ipv6网络需要通过ipv4骨干网络相连。
将这些孤立的“ipv6岛”相互联通必须使用隧道技术。
利用隧道技术可以通过现有的运行ipv4协议的Internet骨干网络(即隧道)将局部的ipv6网络连接起来,因而是ipv4向ipv6过渡初期最易于采用的技术。
路由器将ipv6的数据分组封装入ipv4,ipv4分组的源地址和目的地址分别是隧道入口和出口的ipv4地址。
在隧道的出口处,再将ipv6分组取出转发给目的站点。
隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,因而非常容易实现。
但是隧道技术不能实现ipv4主机与ipv6主机的直接通信。
网络地址转换/协议转换技术:
网络地址转换/协议转换技术NAT-PT(NetworkAddressTranslation-ProtocalTranslation)通过与S||T协议转换和传统的ipv4下的动态地址翻译NAT以及适当的应用层网关(ALG)相结合,实现了只安装了ipv6的主机和只安装了ipv4机器的大部分应用的相互通信。
上述技术很大程度上依赖于从支持ipv4的互联网到支持ipv6的互联网的转换,我们期待ipv4和ipv6可在这一转换过程中互相兼容。
目前,6tot4机制便是较为流行的实现手段之一。
首先考虑网络设备对IPv6业务支持的广度。
比如IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLSVPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。
支持的业务种类越多越方便我们进行研究。
我实验小组决定在虚拟服务器中进行实现ipv6的实验。
首先我们在windowsxp系统中进行ipv6配置,再通过对ipv6的静态和动态路由的配置实验进行ipv6的网络构建,最后研究IPv6-over-IPv4手动隧道实验在IPv4和IPv6之间建立隧道,使我们的研究进一步扩展。
第二章IPv6总体网络构架与设计
2.1IPv6的简介与特点
目前我们使用的第二代互联网IPv4技术,核心技术属于美国。
它的最大问题是网络地址资源有限,从理论上讲,编址1600万个网络、40亿台主机。
但采用A、B、C三类编址方式后,可用的网络地址和主机地址的数目大打折扣,以至目前的IP地址近乎枯竭。
其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国截止2010年6月IPv4地址数量达到2.5亿,落后于4.2亿网民的需求。
地址不足,严重地制约了我国及其他国家互联网的应用和发展。
IPv6特点:
(1)IPV6地址长度为128比特,地址空间增大了2的96次方倍;
(2)灵活的IP报文头部格式。
使用一系列固定格式的扩展头部取代了IPV4中可变长度的选项字段。
IPV6中选项部分的出现方式也有所变化,使路由器可以简单路过选项而不做任何处理,加快了报文处理速度;
(3)IPV6简化了报文头部格式,字段只有8个,加快报文转发,提高了吞吐量;
(4)提高安全性。
身份认证和隐私权是IPV6的关键特性;
(5)支持更多的服务类型;
(6)允许协议继续演变,增加新的功能,使之适应未来技术的发展;
2.2IPv6的搭建和框架
Ipv6的安全机制可在两个主机、两个防火墙之间、两个路由器或移动主机和它的家乡代理(HomeAgent)之间连接。
为加强Internet安全性,IETF制定了用于保护IP通信的IP安全(IPSecurity,IPSec)协议。
IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。
IPSec提供了两种安全机制:
认证和加密。
认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。
加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。
通信基础设施为计算机网络提供了承载平台和物理层的保证,计算机网络为教育应用提供信息传输与交换平台,安全保障体系和运行管理体系是支撑网络与应用的重要支柱。
如图2-2:
图2-2
第三章IPv6实验网的详细设计
3.1设计原则:
校园网的建设要为学校的根本利益服务,要使校园网在学校的入才培养、学科建设和科研工作方面发挥最大作用,这是校园网成败的关键。
建设校园网的根本目的是为学校的教学、科研和管理提供先进实用的计算机网络环境,为学校的发展和全球信息资源的共享而服务。
校园网设计是否合理,对校园网的来来发展和效益起着极为重要的作用。
在制定网络建设规划时,应遵循如下原则:
(1)开放性—满足教学、科研和测试的需求,建成开放的公共试验平台;
(2)高起点—坚持高起点,研究、开发采用下一代互联网的体系结构和相应协议,推动下一代互联网应用;
(3)充分利用已有资源—避免重复建设,充分利用已有资源,结合日益进步的科技新技术,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障投资效益;
(4)高性能性和先进性—网络设备必须具备高速处理能力,保证网络的高吞吐能力,系统应有可扩展性的,能够根据实际要求升级;
(5)高可靠性—网络要求具有高可靠性、高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份。
为防止局部故障引起整个网络系统瘫痪,在网络骨干上要提供备份链路和冗余;
(6)安全性—保证网络系统和各层应用系统安全运行。
安全包括4个层面:
网络安全、操作系统安全、数据库安全、应用系统安全。
设备必须支持防火墙、VLAN、数据加密等技术,具有防止和控制病毒传播的功能;
(7)可扩展性—考虑到信息点数目相对稳定,在网络设备的性能升级时可进行扩展;
(8)可管理性—支持网络管理和监测软件,可以实时远程管理网络设备,分析和排除故障,减少网络运营时的管理和维护负担。
3.2IPV6局域网设计与实现
设计原理:
利用IPV6相关知识,构建一个在同一网段能相互通信的静态局域网.配置IPv6协议的PC,设置其IPv6地址,通过Cisco3560系列的交换机连通PC,即可实现PC机在IPv6局域网内的通信.
主要硬件设备:
PC机4台,选取Cisco3650系列的交换机,和Cisco1841系列
的路由器,在IPv6overIPv4实验中选取Cisco7200系列ios版本12.4的路由器
拓扑结构:
图3-1
实验步骤:
1:
按拓扑图连接好PC机和交换机
2:
分别为4台PC机配置IP地址
PC1的IP地址为2001:
1:
:
1/64
PC2的IP地址为2001:
2/64
PC3的IP地址为2001:
3/64
PC4的IP地址为2001:
4/64
如图3-2所示:
图3-2
3:
测试连通性:
在其中一台PC机上ping其他的PC机,如PC4pingPC1应为:
ping2001:
1
如下图3-3所示
图3-3
测试结果:
同一网段中,只要PC机设置了同一网段的IP地址,交换机无需设置,
各PC机之间均能相互通信.
3.3IPV6的静态路由配置:
表3-1IPv6静态路由的优缺点
IPv6静态路由优点
IPv6静态路由缺点
简单、高效、可靠
不适合在大型网络中使用
减小路由器的日常开销
在网络拓扑发生变化时不能自动调节
可以控制路由选择的更新
无法预防配置中可能存在的错误
比动态路由协议需要更少的带宽
构建一个能在不同网段之间相互通信的静态路由
PC机6台,选取Cisco3650系列的交换机,和Cisco1841系列
图3-4
按拓扑图连接好相关设备
设置各PC机的IP地址和网关地址
PC1:
IP地址2001:
1/64网关地址2001:
4
PC2:
2/64网关地址2001:
PC3:
3/64网关地址2001:
PC4:
3:
2
PC5:
4:
3
PC6:
如图3-5所示
图3-5
配置路由
RA:
Router>
enable
Router#configureterminal
Router(config)#hostnameRA
RA(config)#ipv6unicast-routing
RA(config)#interfacef0/0
RA(config-if)#ipv6enable
RA(config-if)#noshutdown
RA(config-if)#ipv6address2001:
RA(config-if)#exit
RA(config)#interfacef0/1
2:
RA(config-if)#ipv6route2001:
0/642001:
RA#
RB,RC与RA类似
如图3-6所示
图3-6
可以通过任意一台PC机与其他PC机通信,如PC1pingPC4ping2001:
1如下图3-7所示
图3-7
在静态局域网中PC机设置了IP地址和网关地址,路由设置了端口IP
和路由列表(PC机的网关地址需要与相连接的路由的端口地址一样),便可实现
全网段通信。
3.4IPV6的动态路由配置:
构建一个PC机自动获取IP地址并能够在不同网段实现相互通信的动
态路由主要硬件设备:
PC机6台,选取Cisco3650系列的交换机,和Cisco1841
系列的路由器,在IPv6overIPv4实验中选取Cisco7200系列ios版本12.4的路
由器.拓扑结构如图3-8:
图3-8
2:
把所有的PC机的IP地址和网关地址设置为自动获取模式
图3-9
3:
RA:
RA(config)#ipv6routerospf110
RA(config-rtr)#router-id1.1.1.1
RA(config-rtr)#interfacef0/0
RA(config-if)#ipv6ospf110area0
RA(config-if)#interfacef0/1
RA(config-if)#ipv6ospf110area0
RA(config)#exit
RB,RC与RA的配置类似
如图所示
图3-10
4:
任意一台PC机可以与其他PC机通信,如PC1pingRB的f0/1端口ping2001:
图3-11
在动态路由中,PC机的IP地址与网关地址配置为自动获取,路由配
置完端口后还需要配置动态路由协议(ospf),最后各PC机均能连通到其他PC
机所在的路由网段,即各PC机之间能够相互通信。
3.5IPv6的访问控制列表
3.5.1基于静态局域网的访问列表配置
设计原理:
掌握在IPv6环境下对访问控制列表的配置配置.IPv6协议的PC,设置其IPv6地址,网关,通过Cisco3560系列的交换机连通PC,于交换机中写入所需要的控制访问列表指令.即可实现IPv6局域网进行控制访问列表
PC机4台,选取Cisco3650系列的交换机,和Cisco1841系列的路由器,在IPv6overIPv4实验中选取Cisco7200系列ios版本12.4的路由器
拓扑结构:
图3-12
如图所示:
图3-13
配置交换机:
Switch>
en
Switch#conft
Switch(config)#ipv6access-listwork
Switch(config-ipv6-acl)#denyipv6anyhost2001:
Switch(config-ipv6-acl)#permitipv6anyany
Switch(config-ipv6-acl)#exit
Switch(config)#intf0/3
Switch(config-if)#noswitchport
Switch(config-if)#ipv6traffic-filterworkin
Switch(config-if)#end
Switch#
未配置访问控制列表之前各PC机可以相互通信,在交换机端口3
配置访问列表后,其他PC不能访问PC3,而其他PC可以相互通信。
配置前连通测试图:
图3-14
图3-15
3.5.2基于静态路由的访问控制列表
掌握在IPv6环境下对访问控制列表的配置.PC同上配置,通过Cisco
1841系列的路由器连通PC,于路由器中输入动态ospf协议并设置路由器每个端
口的ip地址,使PC能正常通信,于路由器中输入所需要的控制访问列表指令.即可
实现IPv6广域网进行控制访问列表.
图3-16
设置PC机网关
如图3-62所示:
图3-17
路由器设置
Router>
Router#configureterminal
Router(config)#hostnameRB
RB(config)#interfacef0/0
RB(config-if)#ipv6enable
RB(config-if)#noshutdown
RB(config-if)#ipv6address2001:
RB(config-if)#exit
RB(config)#ipv6unicast-routing
RB(config)#interfacef0/1
RB(config)#ipv6route2001:
RB(config)#exit
RB#
图3-18
配置访问控制列表
RB(config)#ipv6access-listwork
RB(config-ipv6-acl)#denyicmpanyhost2001:
RB(config-ipv6-acl)#permitipv6anyany
RB(config-ipv6-acl)#exit
RB(config)#intf0/0
RB(config-if)#ipv6traffic-filterworkin
RB(config-if)#end
图3-19
测试连通结果
未配置访问控制列表之前各PC机可以相互通信,在路由器R2中配置访问控制
列表后,PC1与PC4不能相互通信,而PC1与PC4分别可以和其他各PC机相
互通信
实验结果:
图3-20
配置后连通测试图:
3.6ipv6toipv4隧道实验:
构建2个ipV6网络,使其通过ipv4网络连通,并能控制访问列表.PC
同上配置,通过已配置opsf协议与端口设置的Cisco7200系列的路由器连通P