锯床厂家
免费服务热线

Free service

hotline

010-00000000
锯床厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

神州数码郭献峰安全的IPv6网络升级之道

发布时间:2020-02-03 09:59:48 阅读: 来源:锯床厂家

神州数码高教行业总监郭献峰

4月15日消息,2009全球IPv6暨移动互联网峰会今天在北京召开。

以下为神州数码网络有限公司高教行业总监郭献峰做主题为“实用、安全的IPv6网络升级之道”的演讲:

主持人:谢谢毛伟主任,域名非常重要,刚才我们讲到温家宝总理第一次提到三网融合,现在是计算机网加在里面了。所以,域名和互联网密切相关,安全性等不言而喻。

下面请神州数码网络有限公司高教行业总监郭献峰先生演讲,大家欢迎。

郭献峰:大家好,我是神州数码网络公司的郭献峰。我报告的内容是实用、安全的IPv6网络升级之道。

讲什么呢?因为我们从上午到现在,前面的各位专家都讲了很多我们的理论体系,我们的一些进展。也包括国内的域名的一些发展方向。神州数码做什么?神州数码讲什么?跟大家讲一些跟我们具体的企业网、园区网、校园网,这个级别的网络,如果说要真正的部署IPv6,我们需要做什么?

换句话说在之前的几年,神州数码年年都参与到这样的活动当中来,我们经过了几年IPv6网络升级过程当中,发现有哪些问题?作为一个具体的用户,我们应该注意什么?然后我们怎么样去解决它,以及我们神州数码网络在这方面是怎么样解决的,这是我报告的核心内容。

首先,这里面一句话,IPv6的园区网目前的升级现状。或者我们理解IPv6网络升级,目前基本上常见的这三种方式。第一种是新建双栈网络,第二种是在现有的网络基础之上补充一些IPv6的支持能力。第三种是隧道接入。现在有很多企业网、校园网新建的时候,无论是不是真的需要IPv6,大家通常会要求采购的设备、方案要支持IPv6。至少我现在我不需要,当我需要用的时候,我可以通过调试而不是升级购买的方式来实现支持IPv6。补充IPv6支持能力,这是对以前的很多老用户,我没有大规模的网络建设的计划,我可能对我的核心或者是一部分进行升级,来实现我网络的补充IPv6的支持能力。第三种方式是涉及到接入,我现有的网络不需要动,只要我的网络里面只要有一台支持IPv6,支持隧道可以通过这样的方式覆盖现有的IPv4的网络,当然这是IPv6的接入技术。

这是现在在园区网级别常见的三种升级的方式,前面的专家讲了很多,不管怎么讲,最后的园区网的层面还是得落地的。我们以校园网为例,这里面举例。如果我的校园网要支持IPv6,我的核心设备要支持,我的汇聚设备要支持。如果说我一直到接入交换机的层面,全部核心接入全部都支持IPv6的话,我可以说这是全面的直联的IPv6、IPv4双栈的网站。如果我是科研的机构,我需要一些纯的IPv6的支持,这里从汇聚到接入全部都可以到接到IPv6的方式。

图的右边是现有的IPv4的网络,而且我现在的核心网络也不支持IPv6,这个时候我通过隧道支持了。常见的隧道像前面提了6to4等等都有,哪种方式更合适取决于用户的需求。

可能在2005年,我这张图放在这里来讲我的校园网升级,IPv6的升级,把这张图放出来已经讲得很清楚了。但是2009年的今天我还讲这张图肯定有人骂我,不可能一成不变。我们看看这些年神州数码这几年我们升级了很多校园网升级方案,在座的如果有最终用户的时候,你们以后在升级的时候需要注意什么?我们来看看。

经过这几年我们看到了一些问题,IPv6在用户端落地的时候,第一个网络转发性能的问题,我原来的设备只需要支持IPv4就可以了,但是现在我需要IPv4、IPv6同时都支持。不可避免的我CPU原来是多少?主频是多少的?内容是多少的,现在要做两份工作,性能是实实在在地受影响。不能说有技术原来支持IPv4,支持IPv4、IPv6之后性能跟原来一样是不可能的。

第二个问题是IPv6网络出口安全的问题,我们在实践的过程当中,也包括我今天看上午的一些专家们的报告里面,在画网络升级拓扑图的时候都有这样的问题,请看上页的PPT。从核心交换机到CERNET2,不知道朋友们有没有注意到这样的问题,很多拓扑图是这样画的。IPv4是这样的吗?出口的地方要不然是路由器,要不是防火墙,因为防火墙可以做很多路由器做不了的事情。但是IPv6防火墙成熟的可商用的在哪里?

第三个是认证计费的问题,这在校园网领域真正计费是在各大高校,学生宿舍上网的时候会开通,尤其是认证。我做了IPv4、IPv6双栈之后,我怎么样把现有的IPv4的计费模式,计费策略直接沿袭到我的IPv6来。大家知道CERNET2以前是不收费用的,也不代表说永远不收费用,也不代表者网络的代表者不去管理这个问题。所以,计费问题也是在限制网络升级前的一个问题。

再往下是安全接入控制的问题,这几年不管是互联网还是我们自己内部的企业网、园区网、校园网安全问题频发。这些我们都比较熟悉了,我们常见的ARP防护,等等手段,我可以通过几元素的绑定,等等。在IPv6时代,ARP防护,IPv6已经没有了ARP了,有邻居发现,我针对的我应该做什么?我的安全绑定策略能不能在IPv6下面继续完美的执行,这都是问题。答案是如果不做任何努力的话,这些问题得不到良好的解决,它是不可能自然支持的,一定是需要做功课的。

地址可管理性差的问题,通过这两年IPv6的技术文档我们可以知道,IPv6可以无状态进行地址的配址,这个完了之后,如果仅仅从我上IPv6的网络来讲是可以的。但是从网络管理者的角度来讲这是不行的。我们现在在IPv4时代,地址分配和地址管理是很有规律的,包括他的控制和他的定位都是有规律的。但是IPv6时代如果是无状态,地址配址的话,基本上是后64位不可读。至少在大部分的普通人来看我们的眼睛看到了一堆乱码。

第六个问题是组播不可控,在IPv6时代,现在在CERNET2之上第一大应用是通过IPv6骨干网看高清视频,这是很现实也很无奈的事情,尽管我们建网络不是为了看高清视频的。高清视频很多是点播,正在进行组播的转化。组播也有问题,我在企业网里面,在园区网里面,广泛地部署了组播之后有了结果,当我所有的路由设备都全部开启了组播功能之后,会发现任何一个人想往上发一个组播源,只要遵从组播协议的原理就能发上去。任何人想发组播只要是遵从了组播协议就可以看,这没有考虑安全控制因素。在国内我们想说很多的敏感词汇,很多敏感视频是不能到处传播的。我怎么样进行控制?我总得有一些手段。

以上的六点是我们认为在目前的IPv6升级环境中,除了把基础网络设施升级到IPv6支持以外,还得补充的一些东西。看看这些问题神州数码是怎么样给的解决的方法。

第一个是性能的问题,同一个CPU执行更多的程序,不可能每个程序性能最优化,最好的办法是升级CPU,升级设备。我们看到这是神州数码在2009年我们的主打产品线。这里面我们叫IPv6万兆大台群星荟萃。

这是我们刚刚在3月26日发布的9800系列,下一代旗舰核心交换机,分别是16个槽和8个槽的高端核心交换机,从这些交换机的本身CPU和内存,包括芯片表象都大幅度提高。由此,可以实现在原来的基础上,我的IPv4、IPv6可以高速运行,我觉得这是根本性的解决办法。

路由器我们有三个型号的万兆路由器,还有万兆防火墙,在业界万兆防火墙不是新消息。对我们来讲,支持IPv6采取多核万兆防火墙,对神州数码产品来讲是历史性的产品升级换代,这是在去年10月份我们实现的。

这个产品的型号,可以看到在前面面板左侧是12个千兆SFP,右侧是一些接口。我们的万兆防火墙,它本质上跟X86架构的防火墙已经不再一样了。是通过多核多核处理器,实现了万兆高性能的防火墙。

刚才讲了网络性能的问题,我们通过更高性能的产品来实现,访问它的性能。我可以在支持IPv4和IPv6的同时保证我的网络速度。刚才我们也提到了安全控制的问题,我们DSAP这样的一些地址管理的问题。我们接着看这是神州数码截至到目前网络操作系统,DCNS660能实现的IPv6的特性级。刚才我们提了认证计费、地址的管理,组播的问题、受控组播、隧道组播等等问题,在我们的DCNS660里面都能囊括。

在座的都知道刚刚对我们这些产品进行了测试,有一些特性没有在测试的选项里面,包括了很多DNS的细节选项。这个页面是我们的认证计费系统,现在我们的DCBI是完全兼容的IPv4/6认证计费系统,这解决了大家电信计费难的问题。这包括了图片的内容,包括地址,包括属性的配置。

这是我们实现的功能,我们的交换机可以通过IPv4也可以通过IPv6交换,可以传输IPv4的内容和IPv6的内容。同时,我们可以配套地来做DCHP Snooping的问题,另外还解决了IPv4的一些属性。

认证客户端,刚才我们讲了地址管理的问题,DHCPIPv6目前是不被XP支持的,我们在客户端里面集成了客户端的代码,可以自动安装DHCP IPv6的客户端。

我们看看DHCPv6对我们来讲意味着什么?在IPv4时,我们常常使用静态的地址不麻烦,记得主。但是v6的时代太长了记不住。自动配置有缺陷,不能自动分配DNS,没有记录,地址不可读不可控。我们可以通过DHCPv6来实现,所以IPv6时代,DHCP协议更加重要。这可以给我们带来管理的网络,轻松记录分配的地址,定向分配地址,提供绑定的功能,并且实现了更全面管理的网络,提供了DNS服务器的配置,提供域名的配置。现在没有点实施的话谈得没有这么深刻,在座的很多部署了IPv6园区网的客户来讲,你们会发现DHCPv6非常好使。

我们的IPv4去年也推出了叫IPv6的DHCP的认证,神州数码也是第一个响应,也通过了。操作系统包括我们现在讲的Windows vista都支持,但是XP不支持。

受控组播,刚才讲了不受控组播在V6时代是恐怖的,不管是曾经发生的什么事件,这些事情在v6时代不可控的话,每个人都是网络的主角。所以,组播是可控的。这可以给我们带来想要非法插播节目,不想看也得看我控制你你插不进来。还有一些人士是我要观看受控节目,不给看也要看,我通过信源受控可以控制。实现只有我允许你看的内容才可以看,允许我能发布的内容才能发布。

最后一个话题是刚才我们提到的安全的问题,本身在IPv4时代存在的安全问题在IPv6时代依然存在,而且有一些方面还会容易一些,人们的关注度会少一些。比如说非法用户随便接入,如果不做控制的话可以接入。另外是用户访问全县无法有效控制。非法的网络行为不能有效监督,比如说黑客入侵行为。无法通过审计信息快速找出违法违规者。这些都是IPv4时代存在的问题,在IPv6时代大多数也依然存在,这个时候怎么办?

我们除了刚才讲到的问题之外,在2009年我们在安全方面在推广实名制的安全网络体系,但是实名制不完全是最终的实名制,我们可以约束到用户名对照人来采取间接实名制的方法。

我们看实名制安全网络就是这样的一个,首先实名制是安全协同产品,不是靠一个产品来实现的,是很多产品协同在一起并肩作战。然后是以TrustCenter管理中心为核心,我们可以的都可以跟它进行互动,互动的核心是用户。可以获得这个用户有什么权限?安全权限、计费权限等等都可以通过TrustCenter来实现。以其他网络设备为基础等等。

我们看看实名制的基础,包括认证系统,员工就是我们讲到具体到某一个人和员工ID的对应。包括人和终端设备的对应,人IPv4和IPv6地址的对应。通过这样的绑定,我们能够实现他的网络行为和人是完全对应的,间接实现实名制。

这是它的流程,认证接入系统根据用户判别接入授权,边界安全网关可基于用户制定访问控制策略,流量整形设备可基于用户制定带宽控制策略等等。这是我们TrustCenter的功能模块。

综合我刚才讲的上述的内容,我们最终的目标是想实现一个IPv4与IPv6全兼容,所有的设备能够完美地支持IPv4和IPv6同步双栈化,最终实现一个实名制的IPv6的安全网络整体解决方案。

我介绍的内容就到这里,谢谢大家。

模特yumi福利

美女与野兽图片福利

女生相机大全

毛晓彤性感福利