IPv6网络规划与实施案例目录IPv6网络规划考虑—IP地址规划IPv6网络规划考虑—路由协议规划IPv6网络规划考虑—DNS规划安全管理平台安全管理平台目录部署特点：IPv4/v6双栈千兆接入，核心万兆线速转发路由协议使用OSPF/OSPFv3IPv6地址设计：申请的IPv6地址：2001:DA8:E000::/48互联网段使用2001:DA8:E000:9000::/59。各设备间互连地址使用/64地址段。业务网段均使用/64地址段，采用无状态地址方式分配前缀；预留部分地址段以便于扩展。全网使用2001:DA8:E000:9040::/64作为设备管理地址(loopback地址)IPv6路由设计：采用OSPFv3动态路由协议，同时汇聚层采用IPv6静态路由接入核心层OSPFv3区域编号与IPv4的OSPF区域编号保持一致OSPFv3使用的RouterID与OSPF相同现状：现用域名为www.csg.cn。内部有DNS服务器，提供给内部用户解析使用外部DNS服务由中国万网www.net.cn提供，只解析IPv4地址DNS服务器设计：外部IPv4DNS服务器（万网DNS服务器）负责www.csg.cn、IPv6.csg.cn及其他外网IPv4域名解析内部IPv4DNS服务器负责内部IPv4用户的内部域名解析及其他域名解析的代理；上一级为外部IPv4DNS服务器内部IPv6DNS服务器负责内部IPv6用户的IPv6.csg.cn解析及其他域名解析的代理；上一级为CNGIIPv6DNS服务器CNGIIPv6DNS服务器负责IPv6用户除IPv6.csg.cn外的域名解析用户DNS设计：内部部署有NAT-PT内部IPv4用户的DNS服务器地址为内部IPv4DNS服务器；内部双栈用户的DNS服务器地址为内部IPv4DNS服务器和内部IPv6DNS服务器地址；但访问时优先使用内部IPv4DNS服务器进行解析内部纯IPv6用户的DNS服务器地址为内部IPv6DNS服务器地址外部用户通过外部IPv4DNS服务器访问IPv6.csg.cn由三层交换机通过无状态地址分配方式给一般用户分配IPv6前缀重要的iMC服务器及部分用户配置静态地址，并在相应端口进行静态绑定在接入层交换机S5100－EI上配置NDDetection和NDSnooping特性，使交换机建立可信任转发表项，过滤攻击源在S5100－EI上配置802.1x，与CAMS配合实现认证、计费、IPv6地址上传等配置了静态IPv6地址和MAC地址的绑定后，交换机只转发被绑定主机发送的ND及业务报文，过滤其它报文配置了NDSnooping后，交换机根据最初接入主机的ND报文而建立可信任表项，只转发可信任表项中的主机发送的ND及业务报文，过滤其它报文可防止地址欺骗攻击、DAD攻击在端口上配置ND学习的数量，限制上送CPU的ND报文，减轻设备负担在网关上可以基于三层口配置，也可以基于物理端口配置配置了NDdetection后，交换机只在Trust端口转发RA报文可防止人为网络连接错误、RA攻击采用802.1x认证可降低攻击风险在CAMS上配置IPv6地址绑定，可限定一个登录用户只能使用指定的一个或多个IPv6地址，否则不予接入网络。在CAMS上可查看到用户的IPv6地址