IPv6试验网的设计与组建说明手册.docx

1、IPv6试验网的设计与组建说明手册IPV6试验网的设计与组建设计说明手册编著：谭进健、潘深凯等目录第一章 引言.11.1 ipv4向ipv6过渡的必要性.11.2 IPv6建设需求.2第二章 IPv6总体网络构架与设计.32.1 IPv6的简介与特点.32.2 IPv6的搭建和框架.3第三章 IPv6实验网的详细设计.53.1 设计原则.53.2 IPV6局域网设计与实现.63.3 IPV6 IPV6的静态路由配置.83.4 IPV6 IPV6的动态路由配置.113.5 IPv6的访问控制列表.153.5.1 基于静态局域网的访问列表配置.153.5.2 基于静态路由的访问控制列表.163.6

2、 ipv6 to ipv4 隧道实验.23第四章 项目方案相关产品简介.32第五章 网络的测试与性能分析.34第六章 结束语.36第一章 引言1.1 ipv4向ipv6过渡的必要性从20世纪70年代开始，互联网技术就以超出人们想像的速度迅猛发展。然而，随着基于IPv4协议的计算机网络特别是Internet迅速发展，互联网在产生了巨大的经济效益和社会效益的同时也暴露出其本身固有的问题，如安全性不高、路由表过度膨胀，特别是IPv4地址的匾乏。随着互联网的进一步发展特别是未来电子、电器设备和移动通信设备对IP地址的巨大需求，IPv4的约42亿个地址空间是根本无法满足要求的。有预测表明以目前Inter

3、net的发展速度计算，所有IPv4地址将在2012年分配完毕。这也是推动下一代互联网协议IPv6研究的主要动力。为了解决IPv4存在的问题，早在1995年，互联网工作组(IETF)就已经开始着手开发下一代互联网技术。于是IPv6应运而出。在目前以IPv4为基础的网络技术如此成熟与成功的情况下，不可能马上抛开原有IPv4网络来建IPv6网络。只能通过分步实施的方法来逐步过渡。因此，在今后相当长的一段时间内，IPv6网络将和IPv4网络共存。如何以合理的代价逐步的将IPv4网络过渡到IPv6、解决好IPv4与IPv6互相共存将是我们需要迫切考虑的。针对以上问题，目前提出了三种主要的过渡技术:双协议

4、栈(DualStack)、隧道技术(Tunnel)、地址协议转换（NAT-PT)。当然，这些过渡技术都不是普遍适用的，每一种技术都是适用于某种或几种特定的网络情况，在实际应用时需综合考虑各方面现实情况，然后选择合适的转换机制进行设计和实施。1.2 IPv6建设需求随着亚太地区进入IPv4 地址耗尽的最后阶段，从今年4 月开始，CERNET(中国教育和科研计算机网)已经无法再从APNIC 获得更多的IPv4 地址，现有会员单位也无法获得IPv4 地址，新接入会员单位只能依相关政策获得少量基础设施必需的IPv4 地址。CNGI-CERNET 专家组成员、北京邮电大学信息网络中心主任马严教授认为：“

5、向下一代互联网过渡的过程中，面临技术和管理决策方面的问题。IPv6 网络不能直接同IPv4 网络通信，但可通过IVI、ISATAP、6to4、NAT 等多种技术手段。IPv6 取代IPv4 将是一个渐进的长期过程，但尽快启动过渡过程是当前的重点。”CNGI网络将成为世界上最大的IPv6网络。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，中国将成为以IPv6为基础的下一代网络领域的领先国家。隧道技术：随着ipv6网络的发展，出现了许多局部的ipv6 网络，但是这些ipv6网络需要通过ipv4 骨干网络相连。将这些孤立的“ipv6 岛”相互联通必须使用隧道技术。利用隧道技术可以通

6、过现有的运行ipv4 协议的Internet 骨干网络（ 即隧道）将局部的ipv6网络连接起来，因而是ipv4向ipv6 过渡初期最易于采用的技术。 路由器将ipv6 的数据分组封装入ipv4，ipv4 分组的源地址和目的地址分别是隧道入口和出口的ipv4地址。在隧道的出口处，再将ipv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，因而非常容易实现。但是隧道技术不能实现ipv4 主机与ipv6 主机的直接通信。 网络地址转换/ 协议转换技术：网络地址转换/ 协议转换技术NAT-PT（Network Address Translation-Protoc

7、al Translation）通过与S|T 协议转换和传统的ipv4 下的动态地址翻译NAT 以及适当的应用层网关（ALG）相结合，实现了只安装了ipv6 的主机和只安装了ipv4机器的大部分应用的相互通信。上述技术很大程度上依赖于从支持ipv4的互联网到支持ipv6 的互联网的转换，我们期待ipv4 和ipv6 可在这一转换过程中互相兼容。目前，6tot4 机制便是较为流行的实现手段之一。首先考虑网络设备对IPv6业务支持的广度。比如IPv6的过渡技术有手工隧道方式，自动隧道方式，有基于MPLS VPN技术的6PE方式，有基于网络地址转换技术的NAT-PT等等，IPv6的单播路由协议有RIP

8、ng,OSPFv3,ISISv6,BGP4+等等，IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的业务种类越多越方便我们进行研究。我实验小组决定在虚拟服务器中进行实现ipv6的实验。首先我们在windows xp系统中进行ipv6配置，再通过对ipv6的静态和动态路由的配置实验进行ipv6的网络构建，最后研究IPv6-over-IPv4手动隧道实验在IPv4和IPv6之间建立隧道，使我们的研究进一步扩展。第二章 IPv6总体网络构架与设计2.1 IPv6的简介与特点目前我们使用的第二代互联网IPv4技术，核心技术属于美国。它的最大问题是网络地址资源有限，

9、从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了我国及其他国家互联网的应用和发展。IPv6特点:（1）IPV6地址长度为128比特，地址空间增大了2的9 6次方倍；（2）灵活的IP报文头部格式。使用一系列固定格式的扩展头部取代了IPV4中可变长度的选项字段。IPV6中选项部分的出现方式也有所变化，使路由器可以简单路过选项而不做任何处理

10、，加快了报文处理速度；（3）IPV6简化了报文头部格式，字段只有8个，加快报文转发，提高了吞吐量；（4）提高安全性。身份认证和隐私权是IPV6的关键特性；（5）支持更多的服务类型；（6）允许协议继续演变，增加新的功能，使之适应未来技术的发展；2.2 IPv6的搭建和框架Ipv6的安全机制可在两个主机、两个防火墙之间、两个路由器或移动主机和它的家乡代理(Home Agent)之间连接。为加强Internet安全性，IETF制定了用于保护IP通信的IP安全(IP Security，IPSec)协议。IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。IPSec提供了两种安全机制：认

11、证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密。通信基础设施为计算机网络提供了承载平台和物理层的保证，计算机网络为教育应用提供信息传输与交换平台，安全保障体系和运行管理体系是支撑网络与应用的重要支柱。如图2-2 ：图2-2第三章 IPv6实验网的详细设计3.1 设计原则：校园网的建设要为学校的根本利益服务，要使校园网在学校的入才培养、学科建设和科研工作方面发挥最大作用，这是校园网成败的关键。建设校园网的根本目的是为学校的教学、科研和管理提供先进实用的计算机网

12、络环境，为学校的发展和全球信息资源的共享而服务。校园网设计是否合理，对校园网的来来发展和效益起着极为重要的作用。在制定网络建设规划时，应遵循如下原则：(1) 开放性满足教学、科研和测试的需求，建成开放的公共试验平台；(2) 高起点坚持高起点，研究、开发采用下一代互联网的体系结构和相应协议，推动下一代互联网应用；(3) 充分利用已有资源避免重复建设，充分利用已有资源，结合日益进步的科技新技术，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障投资效益；(4) 高性能性和先进性网络设备必须具备高速处理能力，保证网络的高吞吐能力，系统应有可扩展性的，能够根据实际要求升级；(5) 高可靠性网络要

13、求具有高可靠性、高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份。为防止局部故障引起整个网络系统瘫痪，在网络骨干上要提供备份链路和冗余；(6) 安全性保证网络系统和各层应用系统安全运行。安全包括4个层面：网络安全、操作系统安全、数据库安全、应用系统安全。设备必须支持防火墙、VLAN、数据加密等技术，具有防止和控制病毒传播的功能；(7) 可扩展性考虑到信息点数目相对稳定，在网络设备的性能升级时可进行扩展；(8) 可管理性支持网络管理和监测软件，可以实时远程管理网络设备，分析和排除故障，减少网络运营时的管理和维护负担。3.2 IPV6局域网设计与实现设计原理：利用IPV6相关知识，构建一个在同

14、一网段能相互通信的静态局域网. 配置IPv6协议的PC,设置其IPv6地址,通过Cisco 3560系列的交换机连通PC,即可实现PC机在IPv6局域网内的通信.主要硬件设备：PC机4台，选取Cisco 3650系列的交换机,和Cisco 1841系列的路由器,在IPv6 over IPv4实验中选取Cisco 7200系列ios版本12.4的路由器拓扑结构：图 3-1实验步骤：1：按拓扑图连接好PC机和交换机2：分别为4台PC机配置IP地址PC1的IP地址为2001:1:1:1/64PC2的IP地址为2001:1:1:2/64PC3的IP地址为2001:1:1:3/64PC4的IP地址为20

15、01:1:1:4/64如图3-2所示：图 3-2 3：测试连通性：在其中一台PC机上ping其他的PC机，如PC4pingPC1应为：ping 2001:1:1:1如下图3-3所示图 3-3测试结果：同一网段中，只要PC机设置了同一网段的IP地址，交换机无需设置，各PC机之间均能相互通信.3.3 IPV6的静态路由配置：表3-1 IPv6静态路由的优缺点IPv6静态路由优点IPv6静态路由缺点简单、高效、可靠不适合在大型网络中使用减小路由器的日常开销在网络拓扑发生变化时不能自动调节可以控制路由选择的更新无法预防配置中可能存在的错误比动态路由协议需要更少的带宽设计原理：构建一个能在不同网段之间相

16、互通信的静态路由主要硬件设备：PC机6台，选取Cisco 3650系列的交换机,和Cisco 1841系列的路由器,在IPv6 over IPv4实验中选取Cisco 7200系列ios版本12.4的路由器拓扑结构： 图 3-4实验步骤：1：按拓扑图连接好相关设备2：设置各PC机的IP地址和网关地址PC1：IP地址2001:1:1:1/64网关地址2001:1:1:4PC2：IP地址2001:1:1:2/64网关地址2001:1:1:4PC3：IP地址2001:1:1:3/64网关地址2001:1:1:4PC4：IP地址2001:1:3:1/64网关地址2001:1:3:2PC5：IP地址20

17、01:1:4:1/64网关地址2001:1:4:3PC6：IP地址2001:1:4:2/64网关地址2001:1:4:3如图3-5所示图 3-5 3：配置路由RA： Routerenable Router#configure terminal Router(config)#hostname RA RA(config)#ipv6 unicast-routing RA(config)#interface f0/0 RA(config-if)#ipv6 enable RA(config-if)#no shutdown RA(config-if)#ipv6 address 2001:1:3:2/64

18、RA(config-if)#exit RA(config)#ipv6 unicast-routing RA(config)#interface f0/1 RA(config-if)#ipv6 enable RA(config-if)#no shutdown RA(config-if)#ipv6 address 2001:1:2:2/64 RA(config-if)#exit RA(config-if)#ipv6 route 2001:1:1:0/64 2001:1:2:1 RA(config-if)#ipv6 route 2001:1:4:0/64 2001:1:2:3 RA(config-i

19、f)#exit RA#RB,RC与RA类似如图3-6所示图3-6测试连通性：可以通过任意一台PC机与其他PC机通信，如PC1pingPC4 ping 2001:1:3:1如下图3-7所示图 3-7 测试结果：在静态局域网中PC机设置了IP地址和网关地址，路由设置了端口IP和路由列表（PC机的网关地址需要与相连接的路由的端口地址一样），便可实现全网段通信。3.4 IPV6的动态路由配置：设计原理：构建一个PC机自动获取IP地址并能够在不同网段实现相互通信的动态路由主要硬件设备：PC机6台，选取Cisco 3650系列的交换机,和Cisco 1841系列的路由器,在IPv6 over IPv4实验

20、中选取Cisco 7200系列ios版本12.4的路由器.拓扑结构如图3-8：图 3-8 2：把所有的PC机的IP地址和网关地址设置为自动获取模式图 3-9 3：配置路由 RA: Routerenable Router#configure terminal Router(config)#hostname RA RA(config)#ipv6 unicast-routing RA(config)#interface f0/1 RA(config-if)#ipv6 enable RA(config-if)#no shutdown RA(config-if)#ipv6 address 2001:1:

21、1:1/64 RA(config-if)#exit RA(config)#ipv6 unicast-routing RA(config)#interface f0/0 RA(config-if)#ipv6 enable RA(config-if)#no shutdown RA(config-if)#ipv6 address 2001:1:2:1/64 RA(config-if)#exit RA(config)#ipv6 router ospf 110 RA(config-rtr)#router-id 1.1.1.1RA(config-rtr)#interface f0/0RA(config-i

22、f)#ipv6 ospf 110 area 0RA(config-if)# interface f0/1RA(config-if)# ipv6 ospf 110 area 0 RA(config)#exit RA#RB,RC与RA的配置类似如图所示 图3-10 4：测试连通性：任意一台PC机可以与其他PC机通信，如PC1pingRB的f0/1端口 ping 2001:1:3:1图 3-11测试结果：在动态路由中，PC机的IP地址与网关地址配置为自动获取，路由配置完端口后还需要配置动态路由协议（ospf）,最后各PC机均能连通到其他PC机所在的路由网段，即各PC机之间能够相互通信。3.5 IPv

23、6的访问控制列表3.5.1基于静态局域网的访问列表配置设计原理: 掌握在IPv6环境下对访问控制列表的配置配置.IPv6协议的PC,设置其IPv6地址,网关,通过Cisco 3560系列的交换机连通PC,于交换机中写入所需要的控制访问列表指令.即可实现IPv6局域网进行控制访问列表主要硬件设备：PC机4台，选取Cisco 3650系列的交换机,和Cisco 1841系列的路由器,在IPv6 over IPv4实验中选取Cisco 7200系列ios版本12.4的路由器拓扑结构:图 3-12实验步骤：1：按拓扑图连接好PC机和交换机2：分别为4台PC机配置IP地址PC1的IP地址为2001:1:

24、1:1/64PC2的IP地址为2001:1:1:2/64PC3的IP地址为2001:1:1:3/64PC4的IP地址为2001:1:1:4/64如图所示:图 3-13 配置交换机：SwitchenSwitch#conf tSwitch(config)#ipv6 access-list workSwitch(config-ipv6-acl)#deny ipv6 any host 2001:1:1:1Switch(config-ipv6-acl)#permit ipv6 any anySwitch(config-ipv6-acl)#exitSwitch(config)#int f0/3Switch

25、(config-if)#no switchportSwitch(config-if)#ipv6 traffic-filter work inSwitch(config-if)#endSwitch #测试连通性：未配置访问控制列表之前各PC机可以相互通信，在交换机端口3配置访问列表后，其他PC不能访问PC3，而其他PC可以相互通信。测试结果：配置前连通测试图：图 3-14图 3-153.5.2基于静态路由的访问控制列表设计原理: 掌握在IPv6环境下对访问控制列表的配置. PC同上配置,通过Cisco 1841系列的路由器连通PC,于路由器中输入动态ospf协议并设置路由器每个端口的ip地址,使

26、PC能正常通信,于路由器中输入所需要的控制访问列表指令.即可实现IPv6广域网进行控制访问列表.主要硬件设备：PC机4台，选取Cisco 3650系列的交换机,和Cisco 1841系列的路由器,在IPv6 over IPv4实验中选取Cisco 7200系列ios版本12.4的路由器拓扑结构:图 3-16实验步骤：1：按拓扑图连接好PC机和交换机2：分别为4台PC机配置IP地址PC1的IP地址为2001:1:1:1/64PC2的IP地址为2001:1:1:2/64PC3的IP地址为2001:1:1:3/64PC4的IP地址为2001:1:1:4/643：设置PC机网关如图3-62所示：图3-

27、17路由器设置RouterenableRouter#configure terminalRouter(config)#hostname RBRB(config)#interface f0/0RB(config-if)#ipv6 enableRB(config-if)#no shutdownRB(config-if)#ipv6 address 2001:1:3:2/64RB(config-if)#exitRB(config)#ipv6 unicast-routingRB(config)#interface f0/1RB(config-if)#ipv6 enableRB(config-if)#no

28、 shutdownRB(config-if)#ipv6 address 2001:1:2:2/64RB(config-if)#exitRB(config)#ipv6 route 2001:1:1:0/64 2001:1:2:1RB(config)#ipv6 route 2001:1:4:0/64 2001:1:2:3RB(config)#exitRB#图3-18配置访问控制列表RB(config)#ipv6 access-list workRB(config-ipv6-acl)#deny icmp any host 2001:1:1:1RB(config-ipv6-acl)#permit ip

29、v6 any anyRB(config-ipv6-acl)#exitRB(config)#int f0/0RB(config-if)#ipv6 traffic-filter work inRB(config-if)#endRB#图3-19测试连通结果未配置访问控制列表之前各PC机可以相互通信，在路由器R2中配置访问控制列表后，PC1与PC4不能相互通信，而PC1与PC4分别可以和其他各PC机相互通信实验结果：配置前连通测试图：图3-20配置后连通测试图：图3-203.6 ipv6 to ipv4 隧道实验：设计原理：构建2个ipV6网络,使其通过ipv4网络连通,并能控制访问列表.PC同上配置, 通过已配置opsf协议与端口设置的Cisco 7200系列的路由器连通P