神州数码IPV6实施部署方案v2

目目 录录 一、XXOpenRouter 功能介绍2 二、新核心部署方案.3 2.1实施前拓扑图.3 2.2老核心配置文件.3 2.3实施方案描述.3 2.3.1需求分析3 2.3.2替换方案4 2.3.3新核心配置脚本5 2.3.4老核心修改44 三、测试新核心工作状态.44 一、 XXOpenRouter 功能介绍 XX 创新研发的 OpenRouter 的架构，由 openrouter 交换机、控制器、网络协议管理模 块组成。其中最下层是交换机硬件设备，作为数据转发层，本项目中采用神州数码 OpenRouter；中间为控制器，作为网络操作系统， 屏蔽的底层硬件的不同，可以在上面运行 不同网络协议管理模块； 最上层为网络协议管理模块， 它的运算结果通过控制器控制下发到 底层硬件，控制其转发行为，本系统中对应的是IPv6 网络管控模块 OFCPF； 网络中 OpenRouter 交换机在端口定期采样报文，并将其接口、 IPv6 地址和路由信息定 期发送给控制器， 控制器端域内源地址验证系统通过控制器集中计算全局网络拓扑得到报文 的正确传输路径（即源地址前缀，目的地址前缀， 入接口） ，最上层的 IPv6 网络管控模块根 据已经计算好的正确传输路径，判断报文IPv6 源地址是否真实，如果发现假冒，则马上报 警，并将过滤表通过控制器下发到交换机的ACL 中，阻断网络中非法 IPv6 源地址伪造报文 的传输。 二、二、 新核心部署方案 2.12.1实施前拓扑图实施前拓扑图 2.22.2老核心配置文件老核心配置文件 2.32.3实施方案描述实施方案描述 2.3.12.3.1 需求分析需求分析 本项目神码交换机按照 XX OpenRouter 架构的要求进行针对性的软件开发， 配合硬件服 务器及在它上面运行的控制器及IPV6 网络管控模块 OFCPF 实现对发现 IPV6 假冒 IP 攻击进 行立即报警，动态产生相应的 ACL 过滤虚假的 IP 源数据流，实现在攻击源头直接阻断 IP 欺骗攻击的目的。 由于 XX 采购的服务器的服务器尚未到位， 目前 OpenRouter 交换机的按照 相关技术要求先行进行部署， 从底层为控制器和 IPV6 网络管控模块提供 OpenRouter 功能测 试所需的基本环境和必备条件。 设备部署要求： 1. 交换机启三层路由功能； 2. 汇聚下端有 IPv6 的流量； 3. 交换机与 XX 的控制器(IPV4 地址)路由可达； XX 区老核心目前启动了很多功能，且XX 用户量大概两千左右，同时神码新核心交换机 DCRS-7608E 本项目除了业务模块外只配了一块管理引擎和一块电源模块，所以不建议作为 整个 XX 区的核心交换机对老核心进行整机替换。 2.3.22.3.2 替换方案替换方案 根据对 XX 区老核心配置的分析及前面章节的考虑，实施方案采用: 1) 将老核心 IPV6 部分的网关地址迁移到神码OpenRouter 新交换机上 2)老核心其它部分配置包括链路连接关系都保持不变 3)新老核心之间互联的端口设置为trunk 模式 4)新核心直接和老核心的上一级核心交换机进行互联。 5)新核心上联端口同时配置IPV6 和 IPV4 地址，下联用户 vlan 只配置 IPV6 地址 6)新核心暂时启用 IPV6 dhcp server 功能，由于IPV6 用户量比较大（1500 用户以上）将会 占用交换机较大 CPU 和内存， 建议后期设置专门的 DHCP SERVER， 交换机只启用 DHCPv6 RELAY功能以减少交换机压力。 拓扑图如下： 2.3.32.3.3 新核心配置脚本新核心配置脚本 enable password level 15 0 wlzxly_1507 username admin privilege 15 password 0 wlzxly_1507 snmp-server enable snmp-server community ro 0 public vlan 2-220 vlan 1501-1505 vlan 600 exit interfaceethernet1/1 switchport mode trunk des TO-HuaWei interfaceethernet1/2 switchportaccessvlan600 des TO-SW2 exit // 全局启用 dhcpv6 service dhcpv6 // 配置各 vlan 的 ipv6 dhcp pool ipv6 dhcp pool v6pool-vlan11 network-address 2001:DA8:5000:4C00:0:0:0:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan12 network-address 2001:DA8:5000:4C00:0:0:1:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan13 network-address 2001:DA8:5000:4C00:0:0:2:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan14 network-address 2001:DA8:5000:4C00:0:0:3:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan15 network-address 2001:DA8:5000:4C00:0:0:4:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan16 network-address 2001:DA8:5000:4C00:0:0:5:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan21 network-address 2001:DA8:5000:4C00:0:0:6:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan22 network-address 2001:DA8:5000:4C00:0:0:7:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan23 network-address 2001:DA8:5000:4C00:0:0:8:0 112 dns-server 2001:4860:4860::8888 exit ipv6 dhcp pool v6pool-vlan24 network-address 2001:DA8:5000:4C00:0:0:9:0 112 dns-serv