2. 雙棧園區網中的隧道技術部署

一些園區網的用戶由于預算、技術等方面的原因無法部署雙棧園區網或只能將部分園區網升級為雙棧網絡，這種情況下可以在園區網中采用隧道技術作為補充，將純IPv6終端接入IPv6廣域網絡。

圖3. ISATAP隧道部署

對于雙棧終端，IPv4網關部署在匯聚層交換機上。駐地網內所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉發，因此需要部署客戶端到出口路由器的自動隧道來完成。在部署中采用較多的是ISATAP自動隧道。在自動隧道的部署中，需要考慮設備的性能，如果網絡中有較多的IPv6用戶需要接入，可以增加隧道終結路由器的數量，以保證IPv6報文的轉發能力。

使用隧道技術進行IPv6部署能夠保護原有的設備投資，原有網絡拓撲和路由幾乎無需調整，只需要增加隧道終結的設備就能夠使客戶端訪問廣域的IPv6資源。

隧道技術屬于過渡技術，不是最終的理想方案。隧道兩端點設備需要花費額外的系統開銷。而且在網絡中部署隧道技術后，IPv6用戶進行的IPv6資源訪問只能通過隧道進行，無法像通常情況下，利用匯聚層及核心層網絡進行高速的轉發，同時，IPv6用戶之間的互訪的開銷也非常大。隧道技術不適合大規模IPv6的用戶進行接入，只適合在過渡網絡中，滿足小部分用戶的IPv6訪問。

3. 雙棧園區網中的IP地址劃分

良好的地址劃分，能夠保證后續網絡部署的穩定性及可維護性。IP地址規劃主要涉及到網絡資源的利用以及方便有效的管理網絡的問題，IPv6地址有128位，其中可供分配為網絡前綴的空間有64bit。根據最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網ID兩部分，但協議并沒有明確規定其各自占的bit數，目前APNIC能夠申請到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強。

IP地址的分配與網絡組織、路由策略以及網絡管理等都有密切的關系，具體的IP地址分配通常在工程實施時統一規劃實施，遵循以下分配原則：

1)址資源應全網統一分配;

2)地址劃分應有層次性，便于網絡互聯，簡化路由表;

IP地址分配要盡量給每個物理區域分配連續的IP地址空間;在每個城域網中，相同的業務和功能盡量分配連續的IP地址空間，有利于路由聚合以及安全控制。

3)IP地址的規劃與劃分需要考慮到網絡的發展要求;

地址使用兼顧到近期的需求、遠期的發展以及網絡的擴展，預留相應的地址段。IP地址的分配需要有足夠的靈活性，應考慮到現有業務、新型業務以及各種特殊的業務要求、滿足各種用戶接入的需要。

4)充分合理利用已申請的地址空間，提高地址的利用效率;

IP地址規劃應該是網絡整體規劃的一部分，即IP地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。盡可能和網絡層次相對應，應該是自頂向下的一種規劃。

在園區網進行IPv6地址劃分時，可以根據功能劃分為三類地址：

1) 公共服務器地址，如DNS，EMAIL，FTP等。

2) 網絡設備互聯地址和網絡設備的LOOPBACK地址

根據IETF IPv6工作組的建議，IPv6網絡設備互聯地址采用/64的地址塊。IPv6網絡設備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協議的網絡中，即使是純IPv6的網絡也必須要求每個網絡設備擁有IPv4地址。

3)用戶終端的地址

用于最終用戶接入的地址，可以根據物理位置進行劃分用戶的接入網段，也可以根據用戶所屬的邏輯位置，如部門類型，職務等進行劃分。

4. 雙棧園區網中的安全考慮

網絡安全策略的總體目標是保護網絡不受攻擊，控制異常行為影響網絡高效數據轉發，以及保護日常園區網的正常使用。在IPv6/IPv4的網絡中，不僅要考慮針對IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設備升級為雙棧設備后，針對IPv6協議族的攻擊帶來的安全問題。

在雙棧園區網中的網絡設備自身的安全風險主要有：

1)網絡設備的安全及網絡協議安全

網絡設備的安全風險主要指設備對外提供的網絡服務風險，網絡管理協議SNMP非授權訪問的風險，設備訪問密碼安全等對于網絡設備相關的安全風險。網絡協議安全主要指動態路由協議，VRRP協議等網絡的安全問題。在IPv6網絡中，部分網絡協議的安全性得到了提高，如OSPFv3可以IPSec進行協議報文的保護。

2)用戶的非法訪問

用戶非法訪問的風險主要指IPv4/IPv6雙棧用戶對資源的非法訪問。低權限的用戶非法訪問高權限的資源等風險。

3)接入層攻擊及非法用戶接入

在接入層防止ND攻擊及對用戶進行身份認證防止非法用戶接入網絡。

圖4. IPv6園區網安全部署

針對以上安全風險，在IPv6園區網中可以采用如下網絡安全技術：

1)雙棧防火墻

專用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網絡中重要的安全設備，為網絡提供快速、安全的保護。首先，專用的軟硬件，設備自身安全性很高;其次，提供網絡地址轉換功能，把內部地址轉換為外部地址，以保護內部地址的私密性;第三，提供嚴格的安全管理策略，除了顯式被允許通過的數據，默認其他數據都是被拒絕的;第四，多層次的安全級別，為不同的安全區域提供差異化的安全級別;另外它還可以提供多樣的系統安全策略和日志功能。

2)雙棧用戶認證

在用戶側首要解決的是“接入安全”的問題。為保證接入用戶的合法性，建議采用傳統的802.1x認證。用戶在通過認證后才可以正常訪問網絡。通過認證后，雙棧用戶的本地地址信息能夠上傳到認證服務器上，為后續的用戶審計提供了參考依據。