“统一安全”引领IPv6技术新风尚

C114讯:技术发展到21世纪,IP技术一统江湖已经很多年,独步天下并没有让IP技术固步自封,相反,人们一刻不停的寻求着对现有IPv4协议的改进和完善。IPv6正是目前被业界公认的,有可能完全替代IPv4协议的下一代IP协议。

相比于IPv4协议,IPv6具有更大的地址空间,IPv6中IP地址的长度为128(IPv4地址长度为32),理论上有2的128次方个地址,能够为地球上每平方厘米的土地分配若干亿个地址,从根本上解决IPv4地址短缺的问题。

不仅如此,IPv6使用更小的路由表、定长的包头,能够提高网络设备转发数据包的效率;IPv6增加了增强的组播(Multicast)支持以及对流控的支持(Flow Control),使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台;IPv6加入了对自动配置(Auto Configuration)的支持,这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。

正是因为IPv6具备上述优点,业界对IPv6也怀着巨大的期望。全世界最大的IPv6网络——Cernet2已经投入了试商用;中国电信启动了全世界规模最大的IPv6试商用试验;中国联通、中国移动也在非常积极的推动IPv6的现网实验和部署。可以说,中国已经成为全世界IPv6技术实际部署的排头兵。

正当IPv6从标准走向商用的时候,人们逐渐发现,在IPv6诸多吸引人的特性背后,很多问题都和IPv4时代一样,困扰着我们。比如,我们如何保证用户安全的接入,如何保证合法用户正常使用网络,如何网络资源不受到DDos(Distributed Denial of service分布式拒绝服务攻击),如何在攻击之后有效的溯源等等。在IPv6的环境下,保证用户至少得到IPv4时代的安全,保证网管人员不比IPv4时代更头疼,这实在是人们最低的期望,如果不解决好这方面的问题,IPv6很可能“出师未捷身先死”。

在非常多的业内人士在关注IPv6业务发展、IPv6与IPv4过渡技术的同时,开始有部分人士关注到了前文提到的安全性问题,把研究重点放到了接入安全方面,而中兴通讯则率先提出了“统一安全”的概念,旨在从接入到核心的网络中,对IPv4和IPv6的接入均进行完善的控制和溯源,这一理念一经推出,就受到了业界的广泛认可,同时掀起了一场IPv6安全接入的风潮。

在这一套“统一安全”的架构下,分为IPv4部分和IPv6部分,分别对IPv4和IPv6的接入产生作用,而一些控制手段则进行高度的融合以提高系统的处理效率,针对IPv4或者IPv6协议独有的部分,通过特定的模块进行完善。

IPv4的安全接入问题由来已久,而在IPv4的网络中,解决方法已经比较成熟:通过部署PPPoE(point-to-point protocol over ethernet)技术和BRAS(Broadband Remote Access Server)设备,或者部署IP source guard、DHCP (Dynamic Host Configuration Protocol)snooping和DAI(Dynamic ARP Inspection)技术,能够很有效做到安全接入和溯源。统一安全的IPv4部分在充分利用了成熟方法的技术的同时,扩展了很多日志功能以及对未知/非法报文的操作方法,能够更精细的进行溯源和定义策略,做到“不错杀三千,更不放过一个”。

而“统一安全”的IPv6部分,则在IPv4安全接入的思想下进行了非常大的延伸——通过DHCP snooping v6来保证DHCP server的合法和安全;通过DHCP 的option来进行精确的位置识别;通过对DHCP v6以及NDP (neighbor discovery protocol)协议的侦听,来进行用户精确的绑定;后续的转发严格按照自身建立的绑定表进行(见图2)。通过这种机制,不仅保证了DHCP接入的用户安全,更加解决了IPv6所新引入的ND机制带来的安全性问题。

图2:IPv6安全接入场景及设备绑定表

不仅如此,“统一安全”还考虑到了路由协议的安全、不同AS域间的安全问题、日志的更新以及格式定义等问题,提供了一整套的解决思路和框架。可以说在“统一安全”的架构下,IPv6的安全性不仅达到了目前IPv4同等的可运营、可管理的水平,更大程度的为将来IPv6实际运营提供了理论和技术指导——IPv4/IPv6综合考虑,效率至上。

安全的问题始终是矛与盾的问题,在有效性和复杂程度中最平衡的方案一定是最终的胜利者,而“统一安全”追求的正是这样一种境界——不一定是最安全的框架,但一定是现实网络部署中效率最高的安全技术和框架。中兴通讯从ZXR10 89E系列核心交换机到ZXR10 29E系列安全接入交换机,均秉承着这一理念,引领了业界新一代交换机产品的新风尚。随着IPv6技术的加速普及和商用,产业链上也有了越来越多的“统一安全”的支持者,可以说,目前IPv4/IPv6“统一安全”正是整个行业的一个风向标,将指引未来很长时间内技术和产品的发展。

作者:中兴通讯 黄鸿儒   来源:C114中国通信网

原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/safety/20101015537.html

(0)
中国IPv6网的头像中国IPv6网
上一篇 2010年10月14日
下一篇 2010年10月17日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注