您的位置:首页网络冲浪网络其他 → “统一安全”引领IPv6技术新风尚

“统一安全”引领IPv6技术新风尚

时间:2010/11/3 18:19:01来源:C114中国通信网作者:佚名我要评论(0)

技术发展到21世纪,IP技术一统江湖已经很多年,独步天下并没有让IP技术固步自封,相反,人们一刻不停的寻求着对现有IPv4协议的改进和完善。IPv6正是目前被业界公认的,有可能完全替代IPv4协议的下一代IP协议。

  相比于IPv4协议,IPv6具有更大的地址空间,IPv6中IP地址的长度为128(IPv4地址长度为32),理论上有2的128次方个地址,能够为地球上每平方厘米的土地分配若干亿个地址,从根本上解决IPv4地址短缺的问题。

  不仅如此,IPv6使用更小的路由表、定长的包头,能够提高网络设备转发数据包的效率;IPv6增加了增强的组播(Multicast)支持以及对流控的支持(Flow Control),使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台;IPv6加入了对自动配置(Auto Configuration)的支持,这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。

  正是因为IPv6具备上述优点,业界对IPv6也怀着巨大的期望。全世界最大的IPv6网络——Cernet2已经投入了试商用;中国电信启动了全世界规模最大的IPv6试商用试验;中国联通、中国移动也在非常积极的推动IPv6的现网实验和部署。可以说,中国已经成为全世界IPv6技术实际部署的排头兵。

  正当IPv6从标准走向商用的时候,人们逐渐发现,在IPv6诸多吸引人的特性背后,很多问题都和IPv4时代一样,困扰着我们。比如,我们如何保证用户安全的接入,如何保证合法用户正常使用网络,如何网络资源不受到DDos(Distributed Denial of service分布式拒绝服务攻击),如何在攻击之后有效的溯源等等。在IPv6的环境下,保证用户至少得到IPv4时代的安全,保证网管人员不比IPv4时代更头疼,这实在是人们最低的期望,如果不解决好这方面的问题,IPv6很可能“出师未捷身先死”。

  在非常多的业内人士在关注IPv6业务发展、IPv6与IPv4过渡技术的同时,开始有部分人士关注到了前文提到的安全性问题,把研究重点放到了接入安全方面,而中兴通讯则率先提出了“统一安全”的概念,旨在从接入到核心的网络中,对IPv4和IPv6的接入均进行完善的控制和溯源,这一理念一经推出,就受到了业界的广泛认可,同时掀起了一场IPv6安全接入的风潮。

  在这一套“统一安全”的架构下,分为IPv4部分和IPv6部分,分别对IPv4和IPv6的接入产生作用,而一些控制手段则进行高度的融合以提高系统的处理效率,针对IPv4或者IPv6协议独有的部分,通过特定的模块进行完善。

“统一安全”引领IPv6技术新风尚

  IPv4的安全接入问题由来已久,而在IPv4的网络中,解决方法已经比较成熟:通过部署PPPoE(point-to-point protocol over ethernet)技术和BRAS(Broadband Remote Access Server)设备,或者部署IP source guard、DHCP (Dynamic Host Configuration Protocol)snooping和DAI(Dynamic ARP Inspection)技术,能够很有效做到安全接入和溯源。统一安全的IPv4部分在充分利用了成熟方法的技术的同时,扩展了很多日志功能以及对未知/非法报文的操作方法,能够更精细的进行溯源和定义策略,做到“不错杀三千,更不放过一个”。

  而“统一安全”的IPv6部分,则在IPv4安全接入的思想下进行了非常大的延伸——通过DHCP snooping v6来保证DHCP server的合法和安全;通过DHCP 的option来进行精确的位置识别;通过对DHCP v6以及NDP (neighbor discovery protocol)协议的侦听,来进行用户精确的绑定;后续的转发严格按照自身建立的绑定表进行(见图2)。通过这种机制,不仅保证了DHCP接入的用户安全,更加解决了IPv6所新引入的ND机制带来的安全性问题。

“统一安全”引领IPv6技术新风尚

  图2:IPv6安全接入场景及设备绑定表

  不仅如此,“统一安全”还考虑到了路由协议的安全、不同AS域间的安全问题、日志的更新以及格式定义等问题,提供了一整套的解决思路和框架。可以说在“统一安全”的架构下,IPv6的安全性不仅达到了目前IPv4同等的可运营、可管理的水平,更大程度的为将来IPv6实际运营提供了理论和技术指导——IPv4/IPv6综合考虑,效率至上。

  安全的问题始终是矛与盾的问题,在有效性和复杂程度中最平衡的方案一定是最终的胜利者,而“统一安全”追求的正是这样一种境界——不一定是最安全的框架,但一定是现实网络部署中效率最高的安全技术和框架。中兴通讯从ZXR10 89E系列核心交换机到ZXR10 29E系列安全接入交换机,均秉承着这一理念,引领了业界新一代交换机产品的新风尚。随着IPv6技术的加速普及和商用,产业链上也有了越来越多的“统一安全”的支持者,可以说,目前IPv4/IPv6“统一安全”正是整个行业的一个风向标,将指引未来很长时间内技术和产品的发展。

相关视频

    没有数据

相关阅读 IPv6是什么网络 IPv6网络是什么意思百度计划第三季度推IPv6访问服务我国IPv4地址资源临近枯竭 转网IPv6迫在眉睫带你了解IPv6网络安全策略IPV4资源即将耗尽 转移IPV6困难重重IPV6的设置指南Windows XP的IPV6配置方法

文章评论
发表评论

热门文章 优酷路由宝在哪里买 优QQ空间2015新年签在哪盘点2013年热门手机排2013年9月份手机发布大

最新文章 a站会关闭吗 acfun网页腾讯公益小朋友画廊是 优酷路由宝在哪里买 优酷路由宝购买地址QQ空间2015新年签在哪 QQ空间2015新年签怎么斗鱼TV卡顿解决方法新版新浪微博V6全新体验为你而变

人气排行 斗鱼TV卡顿解决方法iphone4使用教程公共wifi密码大全苹果ios6什么时候出?发布时间是什么时候?微博小尾巴修改教程:教你伪装iphone5s新浪大智慧昨日瘫痪 全国用户均受影响盘点2013年热门手机排行榜黄色网站侵染手机网络 涉黄WAP网站被关闭