基于ipv6的中小型企業(yè)網(wǎng)的設(shè)計和實現(xiàn)

1、<p>　　畢 業(yè) 設(shè) 計（論 文）</p><p>　　題 目： 基于ipv6的中小型企業(yè)網(wǎng)的設(shè)計和實現(xiàn) </p><p>　　專 業(yè)： </p><p>　　學(xué)生姓名： </p><p>　　班級

2、學(xué)號： </p><p>　　指導(dǎo)教師： </p><p>　　指導(dǎo)單位： </p><p>　　日期：2016年 03月 18日至2016年06月07日</p><p><b>　　摘 要</b></p>

3、<p>　　2011年宣布IPv4地址空間的耗盡后，現(xiàn)有的網(wǎng)絡(luò)面臨許多問題，網(wǎng)絡(luò)規(guī)模越來越龐大，管理維護(hù)越來越復(fù)雜，網(wǎng)絡(luò)設(shè)備的配置越來越多。這些問題與挑戰(zhàn)對企業(yè)而言是個巨大的負(fù)擔(dān)，也正是因此企業(yè)迫切需要一個新的網(wǎng)絡(luò)協(xié)議來從根本上解決這些目前存在的問題。所以IPv6協(xié)議誕生了，IPv6是繼IPv4以后的下一代互聯(lián)網(wǎng)協(xié)議。 </p><p>　　對于中小型企業(yè)而言，IPv6的部署既是挑戰(zhàn)也是機(jī)

4、遇，對于IPv6網(wǎng)絡(luò)的需求也十分強(qiáng)烈。本文首先對IPv6協(xié)議進(jìn)行了深入的研究，簡要分析了IPv6協(xié)議的主要功能，并且將IPv6協(xié)議和IPv4協(xié)議進(jìn)行比較，分析他們的不同之處，找出IPv6協(xié)議的優(yōu)缺點(diǎn)。并且根據(jù)3種典型方案對IPv4和IPv6過渡階段的兼容性進(jìn)行了分析。在此基礎(chǔ)上構(gòu)建了一個中小型企業(yè)網(wǎng)的IPv6網(wǎng)絡(luò)架構(gòu)解決IPv6與IPv4兼容性，并通過GNS 3軟件進(jìn)行仿真模擬。在模擬實驗中完成預(yù)期目標(biāo)，用ICMP協(xié)議測試網(wǎng)絡(luò)連通性。&

5、lt;/p><p>　　關(guān)鍵詞：IPv6；企業(yè)網(wǎng)；網(wǎng)絡(luò)規(guī)劃；IPv6與IPv4兼容性</p><p><b>　　Abstract</b></p><p>　　After the 2011 IPv4 address space is exhausted, the existing network faces many problems, the n

6、etwork scale becomes larger and larger, the management and maintenance becomes more and more complex, and the network equipment configuration is more and more. These problems and challenges are a huge burden to the enter

7、prise, and it is also the urgent need for a new network protocol to solve these problems. So the IPv6 protocol was born, IPv6 is the next generation Internet protocol after IPv4.</p><p>　　For small and mediu

8、m enterprises, the deployment of IPv6 is both a challenge and an opportunity, the demand for IPv6 network is also very strong. Firstly the IPv6 protocol were in-depth study, briefly analyses the main function of IPv6 pro

9、tocol, and compare IPv4 and IPv6 protocol, analysis of the differences between them, find out the advantages and disadvantages of IPv6 protocol. And the compatibility of IPv4 and IPv6 in the transition phase is analyzed

10、according to the 3 typical schemes. On th</p><p>　　KEYWORDS: IPv6；Enterprise Network；Network Planning；Compatibility between IPv6 and IPv4</p><p><b>　　目 錄</b></p><p>&

11、lt;b>　　第一章 緒論1</b></p><p>　　1.1研究背景及意義1</p><p>　　1.2國內(nèi)外研究部署現(xiàn)狀2</p><p><b>　　1.3研究內(nèi)容2</b></p><p>　　1.4論文整體結(jié)構(gòu)3</p><p>　　第二章IPv6協(xié)議研究

12、4</p><p>　　2.1 IPv6協(xié)議的簡介4</p><p>　　2.2 IPv6協(xié)議的優(yōu)缺點(diǎn)4</p><p>　　2.3 IPv6和IPv4協(xié)議兼容性6</p><p>　　2.3.1 IPv6/IPv4雙協(xié)議棧技術(shù)：6</p><p>　　2.3.2隧道技術(shù)7</p><p&

13、gt;　　2.3.3 NAT-PT10</p><p>　　第三章 方案總體設(shè)計14</p><p>　　3.1 方案架構(gòu)及需求14</p><p>　　3.1.1 總體需求14</p><p>　　3.1.2 拓?fù)浼軜?gòu)及描述14</p><p>　　3.2 網(wǎng)絡(luò)設(shè)計17</p><p&

14、gt;　　3.2.1整體環(huán)境介紹17</p><p>　　3.2.2 GNS 3 軟件介紹17</p><p>　　3.2.3總體方案設(shè)計18</p><p>　　3.2.4 設(shè)計中可能存在的問題24</p><p>　　3.2.5 解決方案26</p><p><b>　　第四章 測試30<

15、;/b></p><p>　　4.1 需求測試30</p><p>　　4.2 性能測試34</p><p><b>　　總結(jié)和展望37</b></p><p><b>　　致 謝39</b></p><p><b>　　參考文獻(xiàn)40</b

16、></p><p><b>　　第一章 緒論</b></p><p>　　本章節(jié)主要介紹了研究背景及意義，說明IPv6在國內(nèi)外部署的現(xiàn)狀。闡述本次研究的內(nèi)容，并將論文的總體結(jié)構(gòu)進(jìn)行說明。</p><p>　　1.1研究背景及意義</p><p>　　在2015年，我國互聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模平穩(wěn)增長、行業(yè)應(yīng)用持續(xù)深化和不斷創(chuàng)

17、新、對國民經(jīng)濟(jì)的影響逐步加強(qiáng)。預(yù)計2016年，中國互聯(lián)網(wǎng)將更加迅速發(fā)展。不但電子政務(wù)云平臺實施效果將會進(jìn)一步體現(xiàn)，公共服務(wù)信息平臺和城市管理信息化將會在新型城市建設(shè)中承擔(dān)更重要的職責(zé)。而且在人們?nèi)粘Ｉ钜率匙⌒械确椒矫婷娑加芯W(wǎng)絡(luò)的介入，例如網(wǎng)上購物平臺，網(wǎng)絡(luò)視頻，微博，網(wǎng)絡(luò)游戲等。因此在互聯(lián)網(wǎng)領(lǐng)域中，中小型企業(yè)的發(fā)展成為產(chǎn)業(yè)重心。</p><p>　　也正是因為互聯(lián)網(wǎng)的急速發(fā)展，網(wǎng)絡(luò)規(guī)模也越來越大。IPv4網(wǎng)絡(luò)中

18、的缺陷問題日益凸顯，制約了當(dāng)前網(wǎng)絡(luò)發(fā)展的道路。目前主要是存在以下幾個問題：</p><p>　　1.IPv4地址資源的限制。截止于2015年12月，我國IP地址數(shù)量為3.37億個，遠(yuǎn)遠(yuǎn)小于中國網(wǎng)民6.68億的需求。IP地址的匱乏嚴(yán)重影響我國互聯(lián)網(wǎng)的發(fā)展。</p><p>　　2.骨干路由表過于龐大。有相關(guān)機(jī)構(gòu)統(tǒng)計，僅在2000年就大約有120,000條路由存放在路由器中，而且還保持著60%

19、~100%的增長率。這使得網(wǎng)絡(luò)設(shè)備由于處理速度的限制，經(jīng)常性未到使用年限就遭到淘汰。</p><p>　　所以建設(shè)IPv6網(wǎng)絡(luò)的需求迫切。主要是因為IPv6網(wǎng)絡(luò)能夠解決目前IPv4網(wǎng)絡(luò)所存在的兩大基本問題。也就是能解決IP地址匱乏和減小骨干路由表大小。IPv6協(xié)議使用128位的地址替代32位的IPv4地址，這樣大約可以產(chǎn)生3.4×1038個可用地址。在可預(yù)見的未來，這個地址數(shù)目將可以滿足人們生產(chǎn)生活中的

20、需求，而且也為將來的納米機(jī)器人聯(lián)網(wǎng)提供了基礎(chǔ)。IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,使得IPv6能夠用一條路由表示一整片子網(wǎng)，從而減小了路由表的長度。</p><p>　　企業(yè)對于網(wǎng)絡(luò)升級的需求增大，而針對于中小型企業(yè)的升級換代并沒有十分完美的設(shè)計方案。根據(jù)調(diào)查，為企業(yè)進(jìn)行網(wǎng)絡(luò)升級的網(wǎng)絡(luò)公司，大部分只為大型企業(yè)提供網(wǎng)絡(luò)升級服務(wù)。目前在中小型企業(yè)網(wǎng)絡(luò)升級上存在盲區(qū)。基本是在為大型網(wǎng)絡(luò)公

21、司的設(shè)計方案上更改，沒有實際考慮中小型企業(yè)網(wǎng)絡(luò)構(gòu)架和企業(yè)承載能力。本文所要研究的就是在中小型企業(yè)網(wǎng)絡(luò)構(gòu)架的基礎(chǔ)上，考慮實際生產(chǎn)、投資、環(huán)境等因素，設(shè)計構(gòu)建出一個在骨干網(wǎng)絡(luò)仍為IPV4時，企業(yè)網(wǎng)平滑過渡為IPv6的升級規(guī)劃方案。</p><p>　　1.2國內(nèi)外研究部署現(xiàn)狀</p><p>　　在國外IPv6業(yè)務(wù)已經(jīng)進(jìn)入到了實際部署階段。從IPv6滲透率來看，部分國家已超過15%，比如比利時

22、為32%，德國14%，盧森堡12%，瑞士10%，而中國仍不到1%。從Google公司的訪問統(tǒng)計來年，目前通過IPv6來訪問谷歌的流量超過了4%，基本上是每半年翻一番，照此速度發(fā)展下去，到2017年，將有50%的用戶是通過IPv6來訪問Google的。在國內(nèi)IPv6尚未開始大規(guī)模商業(yè)化部署，IPv6資源十分稀少大部分集中于科研教育機(jī)構(gòu)。</p><p>　　目前，至少我國有100所大學(xué)的校園網(wǎng)基礎(chǔ)設(shè)施、門戶網(wǎng)站和主

23、要信息系統(tǒng)已經(jīng)完成業(yè)務(wù)轉(zhuǎn)化，能夠允許IPv6協(xié)議運(yùn)行。根據(jù)網(wǎng)絡(luò)建設(shè)的“十二五”計劃，現(xiàn)在我國東部地區(qū)的政府機(jī)構(gòu)已經(jīng)能夠支持IPv6業(yè)務(wù)訪問，并且中西部地區(qū)的政府網(wǎng)絡(luò)升級改造計劃也在穩(wěn)步實施，預(yù)計在2016年中期將完成改造。然而排除科研機(jī)構(gòu)和政府機(jī)關(guān)，我國的IPv6資源十分匱乏。僅有排位前100的部分商業(yè)網(wǎng)站完成了IPv6的升級，能夠支持IPv6地址訪問。但是工信部于2014年曾發(fā)布過我國將于2016年全面推行IPv6建設(shè)的意見。并且我國

24、的三大電信運(yùn)營商也在積極推進(jìn)IPv6進(jìn)程，已經(jīng)完成了IPv6商業(yè)化部署的前期準(zhǔn)備，IPv6的大規(guī)模商業(yè)化部署正在穩(wěn)步建設(shè)。</p><p><b>　　1.3研究內(nèi)容</b></p><p>　　隨著IPv6網(wǎng)絡(luò)的普及，以及企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大，業(yè)務(wù)負(fù)載的不斷增加。IPv6的商業(yè)化進(jìn)程開始不斷的加快。為了提高網(wǎng)絡(luò)利用率，防止關(guān)鍵業(yè)務(wù)受阻，作為互聯(lián)網(wǎng)領(lǐng)域中的發(fā)展亮點(diǎn)，IPv

25、6協(xié)議越來越被企業(yè)所重視。正是因為業(yè)務(wù)的拓展和網(wǎng)絡(luò)整體的升級，企業(yè)需要進(jìn)行IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的升級換代。</p><p>　　本文主要研究內(nèi)容為了解什么是IPv6協(xié)議，IPv6協(xié)議的功能。并且通過和IPv4協(xié)議進(jìn)行對比，分析出IPv6協(xié)議的優(yōu)缺點(diǎn)。在通過文獻(xiàn)資料了解當(dāng)下解決IPv6和IPv4協(xié)議兼容性問題的解決方案。通過案例分析出各類解決方案優(yōu)缺點(diǎn)。</p><p>　　在上述理論

26、知識為基礎(chǔ)的條件下，為中小型企業(yè)設(shè)計一個基于IPv6的網(wǎng)絡(luò)構(gòu)架，并針對于IPv4協(xié)議和IPv6協(xié)議的兼容性問題作出解決方案。</p><p>　　通過GNS3軟件搭建實驗平臺，模擬真實企業(yè)網(wǎng)的構(gòu)架，用來開展基礎(chǔ)實驗和驗證基于IPv6的中小型企業(yè)網(wǎng)的規(guī)劃方案。能夠?qū)崿F(xiàn)在運(yùn)營商是IPv4網(wǎng)絡(luò)時，IPv6企業(yè)網(wǎng)不但能夠和IPv4用戶進(jìn)行正常業(yè)務(wù)，而且能夠和異地子公司進(jìn)行數(shù)據(jù)交流。除此之外，IPv6企業(yè)網(wǎng)還能夠正常訪問I

27、Pv6公網(wǎng)數(shù)據(jù)，處理IPv6網(wǎng)絡(luò)業(yè)務(wù)。最后進(jìn)行試驗測試，用來測試此網(wǎng)絡(luò)構(gòu)架能否達(dá)到預(yù)期目的。</p><p><b>　　1.4論文整體結(jié)構(gòu)</b></p><p>　　本文正文部分分為四個章節(jié)，各部分內(nèi)容如下：</p><p>　　第一章緒論主要描述本文研究的背景，說明研究的意義。簡要的敘述出國內(nèi)外IPv6部署的現(xiàn)狀。然后概述了本文的具體內(nèi)容

28、和文章的整體結(jié)構(gòu)。</p><p>　　第二章IPv6協(xié)議的研究主要描述IPv6協(xié)議的特征，并與原有的IPv4協(xié)議相比較，分析IPv6協(xié)議的優(yōu)缺點(diǎn)。并簡要分析現(xiàn)有的三種能夠解決IPv6與IPv4協(xié)議兼容性問題的解決方案，他們分別為IPv6/IPv4雙協(xié)議棧技術(shù)，隧道技術(shù)，NAT-PT技術(shù)。通過用同一個例子進(jìn)行對比，總結(jié)出各自方案的優(yōu)劣性。</p><p>　　第三章方案的總體設(shè)計主要是說明

29、本文中設(shè)計的基于IPv6的中小型企業(yè)網(wǎng)的整體構(gòu)架。首先提出了這個方案的總體需求，然后根據(jù)總體需求進(jìn)行網(wǎng)絡(luò)規(guī)劃，設(shè)計二層和三層網(wǎng)絡(luò)拓?fù)?。在搭建實驗環(huán)境，在仿真軟件上進(jìn)行模擬實驗。針對試驗中的關(guān)鍵點(diǎn)和可能出現(xiàn)的問題，提出解決方案。</p><p>　　第四章測試主要內(nèi)容為兩項。第一項是需求測試，按照方案的總體需求來進(jìn)行網(wǎng)絡(luò)功能測試。第二項是性能測試，利用ICMP協(xié)議中的PING命令發(fā)送多個數(shù)據(jù)包，通過發(fā)送的成功率計算

30、丟包率，從而判斷網(wǎng)絡(luò)通信性能。</p><p>　　第二章IPv6協(xié)議研究</p><p>　　本章節(jié)主要是研究IPv6協(xié)議特性，分析IPv6協(xié)議的優(yōu)缺點(diǎn)。通過研究三種解決IPv6和IPv4兼容性問題的解決方案，總結(jié)出各自優(yōu)缺點(diǎn)。</p><p>　　2.1 IPv6協(xié)議的簡介</p><p>　　IPv6是Internet Protocol

31、 Version 6的縮寫，其中Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。IPv6是IETF（互聯(lián)網(wǎng)工程任務(wù)組，Internet Engineering Task Force）設(shè)計的用于替代現(xiàn)行版本IP協(xié)議（IPv4）的下一代IP協(xié)議。目前使用最為廣泛IP協(xié)議的版本號是4號（簡稱為IPv4），下一個版本就是IPv6。IPv6協(xié)議能夠使每個人、每個終端都成為內(nèi)容提供者，也就是說人們不但能獲取信息，也能提供信息。與此同時，IPv

32、6協(xié)議不但能滿足下一代網(wǎng)絡(luò)中對于多媒體數(shù)據(jù)例如：語音、圖片、視頻等資源的通信要求，而且能夠保護(hù)信息通信安全，保障通信質(zhì)量，為移動設(shè)備提供了良好的支持。</p><p>　　IPv6地址長度為128位，地址空間增加了2的128次方，極大的擴(kuò)展了地址空間，解決了IPv4協(xié)議資源不足的問題。</p><p>　　IPv6簡化了包頭頭部格式，加快了數(shù)據(jù)包的轉(zhuǎn)發(fā)速度，并且存在可拓展頭部。能夠較為靈活

33、的合并和擴(kuò)展部分包頭字段。</p><p>　　IPv6還有更好的安全性，與IPsec的功能融合。將IPsec整合在IPv6的內(nèi)部安全協(xié)議內(nèi)，而不是類似IPv4那樣使用疊加的方式進(jìn)行數(shù)據(jù)通信的加密。</p><p>　　IPv6的支持能夠支持自動配置功能，不但能夠支持DHCP的地址下發(fā)，而且能夠自動生成主機(jī)默認(rèn)路由。簡化了網(wǎng)絡(luò)配置，利于企業(yè)的管理運(yùn)維。</p><p&g

34、t;　　2.2 IPv6協(xié)議的優(yōu)缺點(diǎn)</p><p>　　與IPV4相比，IPV6具有以下幾個優(yōu)勢：</p><p>　　1.IPv6協(xié)議擁有更加龐大的地址池。因為在IPv4網(wǎng)絡(luò)中的IP地址位的長度是32位，因此IPv4地址池的大小為2的32次方。然而在IPv6中IP地址的長度為128位，也就是說最大地址個數(shù)為2的128次方。與32位地址空間相比，其地址空間增加了2^128-2^32個。&

35、lt;/p><p>　　2.IPv6極大的縮減路由表的大小。因為IPv6的地址分配遵循聚類（Aggregation）的原則，所以路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，從而大大減小了路由器中路由表的長度，進(jìn)而提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)的速度。</p><p>　　3.IPv6增加了增強(qiáng)的組播（Multicast）支持以及對流的控制（Flow Control），這不但使得網(wǎng)絡(luò)上的多媒體

36、應(yīng)用有能后長遠(yuǎn)發(fā)展的機(jī)會，也為服務(wù)質(zhì)量（QoS，Quality of Service）控制提供了良好的平臺。</p><p>　　4.IPv6協(xié)議能夠支持自動配置（Auto Configuration）。這個功能是DHCP協(xié)議功能的進(jìn)一步開發(fā)，不但擴(kuò)展了很多新功能，而且改進(jìn)了原協(xié)議的缺陷之處。因此在實際生產(chǎn)生活中，IPv6的自動配置功能對于企業(yè)而言，減小了對于網(wǎng)絡(luò)的管理和維護(hù)成本。</p><

37、p>　　5.IPv6協(xié)議與IPv4協(xié)議相比，它擁有更好數(shù)據(jù)報頭格式。他的格式使其選項和基本模塊分開，并且按照實際需要，能夠?qū)⒖蛇x項插入基本報文頭部與上層通信數(shù)據(jù)間隔中。也因此簡化和加速了路由選擇過程。</p><p>　　6.IPv6擁有新的選項。IPV6可擴(kuò)展的選項來實現(xiàn)附加的功能。</p><p>　　雖然IPv6有很多優(yōu)點(diǎn)，但是目前主要所使用的還是IPv4，而這種和IPv6共存

38、的情況會出現(xiàn)不少的安全隱患，這些問題只有在IPv6大規(guī)模推廣應(yīng)用后，才會充分暴露出來：</p><p>　　1.雖然IPv4地址資源緊缺，但到目前為止，IPv6網(wǎng)絡(luò)的發(fā)展還是缺少商業(yè)需求，可以預(yù)見在很長一段時間內(nèi)，IPv4與IPv6將同時存在。同時，由于IPv6地址的擴(kuò)展、IPv4與IPv6間的非對稱性、過渡形式的多樣性等系列問題，過渡期間安全防護(hù)將面臨更為復(fù)雜的形勢。</p><p>　

39、　2.再IPv4向IPv6逐漸過渡期間，主要以雙棧和隧道機(jī)制兩種技術(shù)手段，解決兼容性問題。但黑客可以利用雙棧機(jī)制中兩種協(xié)議間存在的安全漏洞或過渡協(xié)議的問題來逃避安全監(jiān)測乃至實施攻擊行為。 對于隧道機(jī)制而言，它只是對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封，并不對IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查。因此，造成防火墻可能輕易被“穿透”。</p><p>　　3.因為IPv6協(xié)議尚未開始大規(guī)模商業(yè)化運(yùn)作，

40、因此十分缺乏大規(guī)模部署運(yùn)行的數(shù)據(jù)。雖然目前已經(jīng)檢測出了IPv6的部分缺陷，并且用科學(xué)分析法預(yù)測了一些可能出現(xiàn)的問題。但是并不能保證不會有新的問題出現(xiàn)，從而影響到整個網(wǎng)絡(luò)安全。</p><p>　　4.IPv6因為嵌入的IPSec機(jī)制，所以提供了一種更好的端到終端之間通信的隱私保護(hù)能力。但是由于是基于OSI七層模型中的網(wǎng)絡(luò)層的安全措施，所以對于其他層次的安全問題，例如：位于應(yīng)用層的安全漏洞，IPv6協(xié)議自身的脆弱性

41、，數(shù)據(jù)包的源地址偽造等，無法得到解決。</p><p>　　5.IPv6本身存在缺陷。IPv6傳輸數(shù)據(jù)的最基本的傳輸機(jī)制并沒有發(fā)生變化，仍然與IPv4網(wǎng)絡(luò)的傳輸機(jī)制一樣。因此原來存在于IPv4網(wǎng)絡(luò)中的攻擊方式，在IPv6網(wǎng)絡(luò)中將依舊存在。 而且因為IPv6龐大的地址池的原因，針對于大量地址的查詢將變得更加繁瑣。</p><p>　　6. IPv6協(xié)議新特性會被黑客利用。黑客可能利用IPv6

42、報文的擴(kuò)展報頭(可選且有多種擴(kuò)展報頭) ，通過自制畸形(違背IPv6標(biāo)準(zhǔn)報文格式)或者特定格式的惡意數(shù)據(jù)包來攻擊路由器和主機(jī)。也可能通過鄰居發(fā)現(xiàn)協(xié)議的特點(diǎn)向路由器宣告錯誤的地址消息，或者發(fā)送非法重定向信息，使黑客能夠攔截竊聽數(shù)據(jù)包，修改數(shù)據(jù)內(nèi)容，封鎖數(shù)據(jù)和拒絕服務(wù)。</p><p>　　2.3 IPv6和IPv4協(xié)議兼容性</p><p>　　對于此次設(shè)計中的關(guān)鍵內(nèi)容，也就是對于

43、IPV4網(wǎng)絡(luò)和IPV6網(wǎng)絡(luò)的兼容性問題，共有3種方法：IPv6/IPv4雙棧技術(shù)，隧道技術(shù)，NAT-PT（Network Address Translation-Protocol Translation）技術(shù)【1】【8】。根據(jù)實際生產(chǎn)條件可以有多種方案。</p><p>　　2.3.1 IPv6/IPv4雙協(xié)議棧技術(shù)：</p><p>　　僅從技術(shù)的角度來講，能夠完美解決IPv4網(wǎng)絡(luò)和IP

44、v6網(wǎng)絡(luò)兼容性的方法是采用IPv6/IPv4雙協(xié)議棧技術(shù)。也就是說，令整個網(wǎng)絡(luò)同時運(yùn)行IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)，數(shù)據(jù)包根據(jù)本身協(xié)議選擇不同的網(wǎng)絡(luò)傳輸，互不影響實現(xiàn)兼容。</p><p>　　雙棧協(xié)議方案，從小到單一設(shè)備的運(yùn)行，大到整個骨干核心網(wǎng)絡(luò)，都實施運(yùn)行。唯一的要求是所用的設(shè)備能夠同時支持兩種協(xié)議運(yùn)行，并且在設(shè)備的使用接口上都配有兩種協(xié)議的地址。</p><p>　　圖2.1雙棧節(jié)點(diǎn)

45、示意圖</p><p>　　雙棧節(jié)點(diǎn)具有三種工作模式：</p><p>　　只運(yùn)行IPv6協(xié)議，表現(xiàn)為IPv6節(jié)點(diǎn)；</p><p>　　只運(yùn)行IPv4協(xié)議，表現(xiàn)為IPv4節(jié)點(diǎn)；</p><p>　　雙棧模式，同時打開IPv6和IPv4協(xié)議。</p><p>　　雙棧技術(shù)是IPv4向IPv6過渡的基礎(chǔ)，所有其它的過渡技

46、術(shù)都以此為基礎(chǔ)【2】【7】。</p><p>　　D. Ferguson 【5】【10】提出了以雙棧技術(shù)為基礎(chǔ)，對于IPv6企業(yè)網(wǎng)的方案如下：</p><p>　　圖2.2雙棧模式結(jié)構(gòu)</p><p><b>　　1.拓?fù)浜喪?lt;/b></p><p>　　在此網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)三層設(shè)備均為IPv4/v6雙棧設(shè)備。為了實施雙

47、棧方案模式的IPv6網(wǎng)絡(luò)建設(shè)，新增l臺IPv6出口路由器。IPv6出口路由器連接原有雙棧核心交換機(jī)。</p><p><b>　　2.雙棧模式優(yōu)點(diǎn)</b></p><p>　　這是在技術(shù)層面上最理想的解決兼容性的辦法，能夠較為完美的解決兩種不同協(xié)議的兼容性問題。不必針對于每臺設(shè)備進(jìn)行更改。</p><p><b>　　3.雙棧模式缺點(diǎn)

48、</b></p><p>　　首先它不能實現(xiàn)IPv4和IPv6之間直接通信，雖然互相分離，但是無法相互通信，數(shù)據(jù)包只能根據(jù)自身的協(xié)議來尋址。其次若要使用此項技術(shù)，整個網(wǎng)絡(luò)中的所有設(shè)備必須滿足支持雙棧協(xié)議的基本條件。對于正要對網(wǎng)絡(luò)進(jìn)行升級的企業(yè)來說一次性投入成本過大，需要更換全部設(shè)備以便于支持雙棧協(xié)議的運(yùn)行?！?】【5】。綜上所述，這種方法僅僅適合那些新建網(wǎng)絡(luò)的情況。</p><p&

49、gt;<b>　　2.3.2隧道技術(shù)</b></p><p>　　隧道（tunnel）是指將一種協(xié)議的數(shù)據(jù)包封裝到另外一種協(xié)議數(shù)據(jù)包中的技術(shù)。隧道技術(shù)只要求隧道兩端（也就是兩種協(xié)議邊界的相交點(diǎn)）的物理機(jī)支持兩種協(xié)議，也就是它是在雙棧技術(shù)的基礎(chǔ)上成立的。在tunnel隧道技術(shù)中，存在有6to4隧道模式，該模式的原理就是先將底層通道建立，也就是在IPv4協(xié)議下先連接兩端，使兩端設(shè)備能夠正常通信。

50、在此基礎(chǔ)上通過隧道機(jī)制，將原來的IPv6的包頭數(shù)據(jù)整體當(dāng)做數(shù)據(jù)內(nèi)容開始依次封裝在IPv4的包頭中。成為一個新的IPv4的包頭數(shù)據(jù)，通過IPv4網(wǎng)絡(luò)傳遞到另一端，再分布解封裝還原成原來的IPv6包頭數(shù)據(jù)。從而實現(xiàn)跨越IPv4傳遞IPv6數(shù)據(jù)的目的。</p><p>　　IPv6網(wǎng)絡(luò)邊緣設(shè)備收到IPv6網(wǎng)絡(luò)的IPv6報文后，將IPv6報文封裝在IPv4報文中，成為一個IPv4報文，在IPv4網(wǎng)絡(luò)中傳輸?shù)侥康腎Pv6網(wǎng)

51、絡(luò)的邊緣設(shè)備后，解封裝去掉外部IPv4頭，恢復(fù)原來的IPv6報文，進(jìn)行IPv6轉(zhuǎn)發(fā)【3】【7】。</p><p>　　圖2.3 IPv6穿越IPv4隧道</p><p>　　用于IPv6穿越IPv4網(wǎng)絡(luò)的隧道技術(shù)主要有【6】：</p><p>　　IPv6手工配置隧道</p><p><b>　　6to4自動隧道</b>

52、</p><p>　　ISATAP自動隧道</p><p>　　IPv6 over IPv4 GRE隧道</p><p><b>　　6PE隧道</b></p><p>　　A. Conta 和 S. Deering【8】 提出了以隧道模式為基礎(chǔ)的網(wǎng)絡(luò)方案如下：</p><p>　　圖2.4 隧道

53、模式結(jié)構(gòu)</p><p><b>　　1.拓?fù)浜喪?lt;/b></p><p>　　原有網(wǎng)絡(luò)建設(shè)已經(jīng)成熟穩(wěn)定，所有原有的三層設(shè)備均為IPv4設(shè)備。為了實施隧道式的IPv6企業(yè)網(wǎng)建設(shè)，需要新增1臺IPv6出口路由器。IPv6出口路由器通過GE鏈路連接原有IPv4核心交換機(jī)。</p><p><b>　　2.隧道模式優(yōu)點(diǎn)</b>&

54、lt;/p><p>　　升級后的新網(wǎng)絡(luò)不用把所有的原有設(shè)備進(jìn)行升級換代，而且原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)能夠基本保持不變，僅在關(guān)鍵點(diǎn)部位進(jìn)行改動，在個別網(wǎng)關(guān)路由器上進(jìn)行tunnel隧道模式的設(shè)置和調(diào)整，就可以正常訪問IPv6公網(wǎng)資源。而且在邊界網(wǎng)關(guān)路由器上的配置比較簡便，只需要了解tunnel隧道的另一端的設(shè)備接口處的IPv4地址。同時要保證低層通信正常，這個對端接口的IPv4地址必須是本地可以到達(dá)的。因此對于網(wǎng)絡(luò)而言，配置方面

55、與原有的IPv4環(huán)境基本沒有存在很大的差別，不需為網(wǎng)絡(luò)中的所有節(jié)點(diǎn)重新分配網(wǎng)段。</p><p><b>　　3.隧道模式缺點(diǎn)</b></p><p>　　隧道模式屬于過渡技術(shù)，并不是最終理想方案：隧道兩段設(shè)備需要花費(fèi)額外的開銷。但屬于在原有IPv4網(wǎng)絡(luò)平滑支撐IPv6業(yè)務(wù)，平穩(wěn)過渡的最佳手段【3】。</p><p>　　2.3.3 NAT-P

56、T</p><p>　　NAT-PT（Network Address Translation-Protocol Translation），允許只支持IPv6協(xié)議的主機(jī)與只支持IPv4協(xié)議的主機(jī)進(jìn)行互聯(lián)，一個位于IPv4和IPv6網(wǎng)絡(luò)邊界的設(shè)備負(fù)責(zé)在IPv4報文與IPv6報文之間進(jìn)行翻譯轉(zhuǎn)換。NAT-PT把SIIT協(xié)議轉(zhuǎn)換技術(shù)和IPv4網(wǎng)絡(luò)中動態(tài)地址轉(zhuǎn)換技術(shù)（NAT）結(jié)合在一起，它利用了SIIT技術(shù)的工作機(jī)制，同時

57、又5利用傳統(tǒng)的IPv4下的NAT技術(shù)來動態(tài)地給訪問IPv4節(jié)點(diǎn)的IPv6節(jié)點(diǎn)分配IPv4地址，很好地解決了SIIT技術(shù)中全局IPv4地址池規(guī)模有限的問題。同時，通過傳輸層端口轉(zhuǎn)換技術(shù)使多個IPv6主機(jī)共用一個IPv4地址。</p><p>　　NAT-PT設(shè)備上需要設(shè)置IPv4主機(jī)的轉(zhuǎn)換規(guī)則、IPv6主機(jī)的轉(zhuǎn)換規(guī)則、IPv6主機(jī)使用的IPv4地址。報文經(jīng)過NAT-PT設(shè)備時，根據(jù)NAT-PT的轉(zhuǎn)換規(guī)則對報文進(jìn)行協(xié)

58、議轉(zhuǎn)換。轉(zhuǎn)換規(guī)則分為如下幾種：</p><p>　　IPv4主機(jī)的靜態(tài)規(guī)則：一個IPv4主機(jī)對應(yīng)一個虛擬的IPv6地址。</p><p>　　IPv4主機(jī)的動態(tài)規(guī)則：一組IPv4主機(jī)的地址如何映射成IPv6地址。通常是指定一個96位的前綴添加在原IPv4地址前面組成一個IPv6地址。</p><p>　　IPv6主機(jī)的靜態(tài)轉(zhuǎn)換規(guī)則：一個IPv6主機(jī)對應(yīng)一個虛擬IPv

59、4地址。</p><p>　　IPv6主機(jī)的動態(tài)轉(zhuǎn)換規(guī)則：一組IPv6主機(jī)與IPv4地址的對應(yīng)關(guān)系，IPv4地址是多個IPv6主機(jī)共享的資源。</p><p>　　如下圖所示，IPv4側(cè)主機(jī)采用了靜態(tài)映射，而IPv6側(cè)主機(jī)采用動態(tài)映射。當(dāng)IPv6主機(jī)PC1向IPv4主機(jī)PC2發(fā)送報文時，其源地址為1::3，目的地址1234::9。NAT-PT網(wǎng)關(guān)接受到這條信息報文后，會根據(jù)規(guī)則進(jìn)行地址轉(zhuǎn)化

60、。因為目的地址符合之前定義好的IPv4靜態(tài)規(guī)則，所以IPv4報文的目的地址為1.2.2.9。</p><p>　　而IPv6報文的源地址符合IPv6主機(jī)的動態(tài)規(guī)則，則從規(guī)則的地址池中選擇一個未使用的地址，假設(shè)是1.4.2.8，作為IPv4報文的源地址。那么轉(zhuǎn)換后的IPv4報文就是源1.4.2.8，目的地址為1.2.2.9。</p><p>　　圖2.5動態(tài)NAT-PT示意圖</p&g

61、t;<p>　　動態(tài)NAT-PT與靜態(tài)NAT-PT相比便捷了許多，首先它改進(jìn)了靜態(tài)NAT-PT中配置繁瑣，以及在NAT地址池中需要使用大量的IPv4地址的不足。他的特性就是能夠使用一對多，也就是通過某種映射方式，在地址池中將一個IPv4地址對應(yīng)多個IPv6地址，從而達(dá)到節(jié)省地址資源的目的。但是，因為動態(tài)映射的關(guān)系，反過來發(fā)起連接時，由于不知道IPv6主機(jī)應(yīng)用映射后的結(jié)果，所以無法直接向IPv6主機(jī)連接。這需要結(jié)合DNS A

62、LG來實現(xiàn)。</p><p>　　ALG（Application Level Gateway），是應(yīng)用層網(wǎng)關(guān)的含義。有些應(yīng)用，比如DNS、FTP等服務(wù)中，包含著存在于應(yīng)用層的信息，在這樣的條件下就需要對傳輸數(shù)據(jù)的包頭上的IP地址通過NAT進(jìn)行轉(zhuǎn)換。通過DNS ALG，可以做到IPv4與IPv6網(wǎng)絡(luò)中任一方均可主動發(fā)起連接，只需要配置一個DNS服務(wù)器的靜態(tài)映射即可。</p><p>　　IP

63、v4主機(jī)要訪問IPv6主機(jī)www.xxx.com，首先向IPv6網(wǎng)絡(luò)中的DNS發(fā)出名字解析請求，報文類型為“X”類查詢報文。這個請求到達(dá)NAT-PT后，NAT-PT對報文頭部按普通報文進(jìn)行轉(zhuǎn)換。同時，由于DNS報文需要進(jìn)行ALG處理，把“X”類查詢請求轉(zhuǎn)換成“X”或“X6”類型，然后將此報文轉(zhuǎn)發(fā)給IPv6網(wǎng)絡(luò)內(nèi)的DNS。</p><p>　　IPv6網(wǎng)絡(luò)中的DNS服務(wù)器收到報文后，查詢自己的記錄表，解析出主機(jī)ww

64、w.xxx.com的IPv6地址是1::3，回應(yīng)查詢結(jié)果。此報文被NAT-PT對報文頭進(jìn)行轉(zhuǎn)換后，同時，DNS ALG將其中的DNS應(yīng)答部分也進(jìn)行修改，把“XXX”或“X6”類轉(zhuǎn)成“X”類應(yīng)答，并從IPv4地址池中分配一個地址1.4.2.6，替換應(yīng)答中的IPv6地址1::3，并記錄二者之間的映射信息。</p><p>　　圖2.6 NAT-PT DNS ALG示意圖</p><p>　　I

65、Pv4主機(jī)在收到此DNS應(yīng)答之后，就知道了主機(jī)www.a.com的IPv4地址是1.4.2.6。于是發(fā)起到主機(jī)www.a.com的連接。由于在NAT-PT中已經(jīng)記錄了IPv4地址1.4.2.6與IPv6地址1::3之間的映射信息，因此可以對地址進(jìn)行轉(zhuǎn)換。</p><p>　　NAT-PT不需要更改舊IPv4網(wǎng)絡(luò)就可實現(xiàn)升級后的網(wǎng)絡(luò)中的IPv4和IPv6網(wǎng)絡(luò)的兼容，達(dá)到IPv4客戶主機(jī)能夠訪問IPv6企業(yè)網(wǎng)。且通過

66、動態(tài)NAT-PT的映射關(guān)系，用多對一的方式節(jié)省了稀缺的IPv4地址資源。所以是一個很優(yōu)秀的IPv4與IPv6網(wǎng)絡(luò)之間的過渡技術(shù)。但NAT-PT也有它的缺點(diǎn)，屬于同一會話的請求和響應(yīng)都要通過同一NAT-PT設(shè)備，對NAT-PT設(shè)備的性能要求很高【7】【8】。</p><p>　　P. Srisuresh 和 G. Tsirtsis 【8】【11】提出了基于NAT-PT技術(shù)的網(wǎng)絡(luò)方案如下：</p>&l

67、t;p>　　圖2.7 NAT-PT模式結(jié)構(gòu)</p><p><b>　　1.拓?fù)浜喪?lt;/b></p><p>　　原有網(wǎng)絡(luò)已經(jīng)成熟，需要更換核心IPv4三層交換機(jī)，能夠支撐NAT-PT運(yùn)行處理。新增1臺IPV6出口路由器，IPv6出口路由器通過GE鏈路連接原有HSRP。</p><p>　　2.NAT-PT模式優(yōu)點(diǎn)</p>

68、<p>　　保護(hù)大部分原有的設(shè)備（不用把全部更新?lián)Q代），變相實現(xiàn)類似雙棧模式的效果。</p><p>　　3.NAT-PT模式缺點(diǎn)</p><p>　　屬于同一會話的請求和響應(yīng)都要通過同一NAT-PT設(shè)備，占用網(wǎng)絡(luò)資源，存在一定的安全隱患，原有網(wǎng)絡(luò)設(shè)置需要很大調(diào)整。并且對NAT-PT設(shè)備的性能要求很高，若性能存在問題，在高峰期容易引發(fā)網(wǎng)絡(luò)癱瘓。</p><p&

69、gt;　　第三章 方案總體設(shè)計</p><p>　　本章節(jié)的主要內(nèi)容先是提出方案的總體需求，然后根據(jù)總體需求設(shè)計網(wǎng)絡(luò)拓?fù)?。再搭建模擬環(huán)境，利用仿真軟件仿真模擬。根據(jù)仿真的現(xiàn)象提出可能出現(xiàn)的問題，并提出解決方案。</p><p>　　3.1 方案架構(gòu)及需求</p><p>　　3.1.1 總體需求</p><p>　　公司內(nèi)網(wǎng)能夠互聯(lián)互通，各個

70、部門之間要相互隔離保證數(shù)據(jù)安全，但是又需要互相能夠通信正常保證業(yè)務(wù)安全。公司內(nèi)網(wǎng)在核心網(wǎng)和邊界網(wǎng)關(guān)保持正常的情況下，核心網(wǎng)絡(luò)能夠與邊界網(wǎng)絡(luò)正常通信。在本次模擬實驗中也就是交換機(jī)R1，R2能與路由器R3，R4，R5正常通信。</p><p>　　公司內(nèi)網(wǎng)能夠正常訪問公網(wǎng)數(shù)據(jù)。也就是說內(nèi)網(wǎng)能夠和IPv6大公網(wǎng)進(jìn)行數(shù)據(jù)交換，能夠通過IPv6運(yùn)營商訪問公網(wǎng)上的IPv6應(yīng)用服務(wù)。在本次模擬實驗中，就是要R1能夠通過服務(wù)器的

71、DNS服務(wù)訪問外網(wǎng)網(wǎng)站。</p><p>　　普通IPv4客戶正常訪問公司。也就是說客戶要能通過運(yùn)行著IPv4網(wǎng)絡(luò)的運(yùn)營商和公司網(wǎng)絡(luò)通信，已完成舊網(wǎng)絡(luò)的公司業(yè)務(wù)處理。在本次模擬試驗中，就是要IPv4user能夠通過IPv4ISP1運(yùn)營商正常訪問R2。</p><p>　　公司要與在異地的子公司保持正常通信。也就是要不同地點(diǎn)的IPv6網(wǎng)絡(luò)能夠跨越中間存在的IPv4運(yùn)營商網(wǎng)絡(luò)，達(dá)到正常通信的地

72、步。在本次模擬試驗中就是要IPv6user能夠跨越與公司內(nèi)網(wǎng)之間存在的IPv4ISP2，和公司的R1保持正常的通信。</p><p>　　3.1.2 拓?fù)浼軜?gòu)及描述</p><p>　　本文中設(shè)計的基于IPv6的中小型企業(yè)網(wǎng)架構(gòu)如圖3.1所示，此圖為三層網(wǎng)絡(luò)拓?fù)洌?lt;/p><p>　　3.1 三層網(wǎng)絡(luò)拓?fù)?lt;/p><p>　　內(nèi)網(wǎng)部分：由兩臺

73、三層交換機(jī)R1，R2（以下簡稱為交換機(jī)R1，R2）充當(dāng)HSRP的角色，由兩根以太線連接，形成雙線備份，組成內(nèi)網(wǎng)核心部分。邊界網(wǎng)關(guān)路由器R3，R4，R5（以下簡稱為路由器R3，R4，R5）分別與兩臺核心交換機(jī)用以太線路進(jìn)行連接，因為其中一條線路充當(dāng)備份鏈路，故而在邏輯拓?fù)鋱D上表現(xiàn)為一根以太線路。由三層交換機(jī)R1和R2，路由器R3，R4，R5共同構(gòu)建成中小型企業(yè)IPv6內(nèi)網(wǎng)架構(gòu)。</p><p>　　區(qū)域1部分：此部

74、分主要是用來模擬處于大公網(wǎng)上的IPv6運(yùn)營服務(wù)。以便于測試企業(yè)內(nèi)網(wǎng)與IPv6公網(wǎng)的數(shù)據(jù)交換，檢測能否與正常訪問IPv6站點(diǎn)。所以在這個區(qū)域中，使用一臺路由器來模擬內(nèi)網(wǎng)與公網(wǎng)直接的IPv6的運(yùn)營商（以下簡稱IPv6ISP1）。并用使用一臺支持IPV6協(xié)議的服務(wù)器（以下簡稱為IPv6server）模擬公網(wǎng)上的IPv6資源，因硬實驗環(huán)境的硬件設(shè)備計算資源限制，僅運(yùn)行DNS服務(wù)用來訪問IPv6資源的網(wǎng)站。IPv6server與IPv6ISP1用

75、一根以太線路進(jìn)行連接，再由IPv6ISP1與企業(yè)內(nèi)網(wǎng)的路由器R3用以太線連接，共同組成了區(qū)域1 部分。</p><p>　　區(qū)域2部分：此部分主要用來模擬處于IPv4運(yùn)營商管理下的普通IPv4用戶登錄公司對外網(wǎng)絡(luò)。以便于測試用戶能否與更新網(wǎng)絡(luò)后為IPv6網(wǎng)絡(luò)的公司通信。檢測公司正常對外業(yè)務(wù)的工作情況。所以在這個區(qū)域中使用一臺路由器模擬公司與客戶之間的IPv4運(yùn)營商（以下簡稱為IPv4ISP1）。以及一臺由路由器模

76、擬的電腦充當(dāng)客戶終端（以下簡稱為IPv4user）。IPv4user首先與IPv4ISP1用以太線路連接，然后IPv4ISP1在用以太線和企業(yè)內(nèi)網(wǎng)的路由器R4相連，從而組成整個區(qū)域2。</p><p>　　區(qū)域3部分：此部分主要用來模擬同樣進(jìn)行了網(wǎng)絡(luò)升級變成IPv6網(wǎng)絡(luò)的異地子公司或者分公司，跨越運(yùn)行著不同IP協(xié)議的IPv4運(yùn)營商，從而與母公司進(jìn)行通信，保障業(yè)務(wù)來往、備份重要數(shù)據(jù)。所以在這個區(qū)域中同樣使用了一臺路

77、由器模擬子公司與母公司之間的IPv4運(yùn)營商（以下簡稱為IPv4ISP2）。以及一臺三層交換機(jī)模擬IPv6子公司的網(wǎng)絡(luò)（以下簡稱為IPv6user）。IPv6user首先與IPv4ISP2用以太線相連，然后IPv4ISP2在用以太線和企業(yè)內(nèi)網(wǎng)的路由器R5相連，從而組成整個區(qū)域3。</p><p>　　然而在公司內(nèi)網(wǎng)中對于二層網(wǎng)絡(luò)拓?fù)淙缦聢D3.2二層網(wǎng)絡(luò)拓?fù)渌荆?lt;/p><p>　　圖3.2

78、 二層網(wǎng)絡(luò)拓?fù)?lt;/p><p>　　在二層網(wǎng)絡(luò)中簡單模擬出了公司的3個部門的網(wǎng)絡(luò)拓?fù)?，分別為人事部網(wǎng)絡(luò)，財務(wù)部網(wǎng)絡(luò)，技術(shù)部網(wǎng)絡(luò)。</p><p>　　首先在低層接入層中，將部門的各臺電腦分別用以太網(wǎng)線接入到各自部門所屬的交換機(jī)中。在本次模擬實驗中，是將各個部門的4臺主機(jī)分別接入到SW3，SW4，SW5上，其中SW3為人事部接入交換機(jī)，SW4為財務(wù)部接入交換機(jī)，SW5為技術(shù)部接入交換機(jī)。&l

79、t;/p><p>　　其次在匯聚層上，公司網(wǎng)絡(luò)匯聚層有兩臺以太網(wǎng)交換機(jī)SW1和SW2。令接入層設(shè)備與這兩臺交換機(jī)分別相連，就是讓SW3，SW4，SW5與SW1，SW2分別用以太線連接。每臺接入層的交換機(jī)都與兩臺匯聚層交換機(jī)之間相連。這樣做的目的是用來做熱備份，以便于其中一條線路故障時能夠快速切換到另一條線路上，保障業(yè)務(wù)不存在明顯的中斷。</p><p>　　最后在核心層上，由匯聚層的SW1，S

80、W2與核心層R1，R2分別連接。同匯聚層和接入層的線路連接相同，也是用兩根以太線分別相連。同樣是為了做熱備份，在發(fā)生線路故障時，保證業(yè)務(wù)的連續(xù)性。</p><p><b>　　3.2 網(wǎng)絡(luò)設(shè)計</b></p><p>　　3.2.1整體環(huán)境介紹</p><p>　　整體設(shè)計環(huán)境如表3.1網(wǎng)絡(luò)環(huán)境所示。</p><p>&

81、lt;b>　　表3.1網(wǎng)絡(luò)環(huán)境</b></p><p>　　3.2.2 GNS 3 軟件介紹</p><p>　　GNS3是一種能夠仿真復(fù)雜網(wǎng)絡(luò)的圖形化網(wǎng)絡(luò)模擬器，它允許在計算機(jī)中運(yùn)行Cisco的IOS(Internet Operating Systems)。Dynagen的圖形化前端環(huán)境工具軟件就是GNS3，而Dynamips是仿真cisco的IOS操作系統(tǒng)的核心程序。

82、Dynagen運(yùn)行在Dynamips基礎(chǔ)架構(gòu)之上，這樣做的目的為了提供一個使用更加舒適的、基于一種文本界面的用戶操作界面。從而使得用戶可以利用Dynagen設(shè)計建造一個類似于Windows操作系統(tǒng)中的ini類型文件類似的類型文件，它可以用來描述的網(wǎng)絡(luò)拓?fù)鋱D形。</p><p>　　GNS3軟件允許運(yùn)行在Windows、Linux系統(tǒng)上。它能支持的路由器平臺、防火墻平臺(PIX)的類型是多種多樣的。個人用戶不但可以

83、通過軟件界面在路由器后插槽中配置上各種板卡，如EtherSwitch卡，也可以根據(jù)板卡來尋找能夠支持使用的設(shè)備進(jìn)行仿真。當(dāng)前市場上存在多種不同類型的路由器模擬器，但是這些模擬軟件都存在或多或少的缺點(diǎn)。</p><p>　　其中大部分的模擬器軟件支持的路由器命令較少，所以在進(jìn)行相關(guān)實驗的時會發(fā)生不支持某些命令或參數(shù)的現(xiàn)象。然而另一些模擬軟件在用戶使用時通常也只能看到所模擬路由器的輸出結(jié)果，無法看到實際過程，因此這就

84、造成了仿真軟件的結(jié)果與真實的設(shè)備存在一定的差異性，導(dǎo)致仿真的不確定性，無法保證仿真效果。然而在GNS3模擬軟件中，其中所運(yùn)行的是就是真實的IOS，換句話說真實設(shè)備能夠支持的命令，都可以使用，即能夠使用IOS操作系統(tǒng)中的所有命令和參數(shù)。最關(guān)鍵的一點(diǎn)就是GNS3是一種開源軟件，它是無償免費(fèi)使用的。但是，GNS3本體中不包含IOS操作系統(tǒng)的映像文件。因此，用戶需要的IOS操作系統(tǒng)需要從另外的地點(diǎn)導(dǎo)入。</p><p>

85、　　GNS3軟件的主界面分為四個主要區(qū)域。</p><p>　　在GNS3的左半部分列出了所支持的網(wǎng)絡(luò)設(shè)備類型(node type)，十分明顯，有不同平臺的路由器圖標(biāo)、Ethernet交換機(jī)、Frame relay交換機(jī)、一個PIX防火墻、ATM bridge以及一個Cloud(云)。 而在GNS3的右半部分顯示了所創(chuàng)建網(wǎng)絡(luò)構(gòu)架和網(wǎng)絡(luò)整體拓?fù)涞目傮w信息，在建立復(fù)雜的網(wǎng)絡(luò)拓?fù)涞臅r候，這些信息能夠幫助你更好的

86、理解網(wǎng)絡(luò)。</p><p>　　GNS3的中央窗口部分包括兩個部分。上面是進(jìn)行創(chuàng)建網(wǎng)絡(luò)拓?fù)渚C合指令區(qū)用來啟動、暫停、結(jié)束建立的網(wǎng)絡(luò)設(shè)備，下面是控制臺(console)，可以在這里使用配置命令來錄入。 </p><p>　　圖3.3 GNS 3 界面</p><p>　　3.2.3總體方案設(shè)計</p><p>　　對于公司二層網(wǎng)絡(luò)的方案設(shè)計：&

87、lt;/p><p>　　由總體需求提出的要求，要保證公司網(wǎng)絡(luò)中各部門之間的網(wǎng)絡(luò)隔離，同時保證數(shù)據(jù)通信正常。這樣的要求在本次模擬實驗中的體現(xiàn)就是要各部門之間通信不能在二層匯聚層交換機(jī)上的廣播域進(jìn)行數(shù)據(jù)交流，只能通過核心層經(jīng)過路由協(xié)議轉(zhuǎn)發(fā)通信。這樣做的好處就是可以在核心層上進(jìn)行QOS策略或者設(shè)置ACL訪問控制列表，讓允許通過的流量通過，禁止通過的流量禁止轉(zhuǎn)發(fā)。具體的訪問控制策略是可以根據(jù)企業(yè)實際需求進(jìn)行操作，此項不是本文

88、重點(diǎn)所以并不會過多描述。</p><p>　　因此為滿足這個要求，已經(jīng)有十分成熟的技術(shù)能夠完成。只要在匯聚層交換機(jī)上將各個部門劃分不同的VLAN就好。VLAN能夠隔離廣播域，在劃分不同VLAN后，各部門之間的信息交流就在交換機(jī)上相互隔絕，因此不同VLAN之間的通信就必然由核心層進(jìn)行路由轉(zhuǎn)發(fā)，因此隔絕二層廣播機(jī)制。達(dá)到了網(wǎng)絡(luò)需求，實現(xiàn)了相互隔離。</p><p>　　因為VLAN技術(shù)已經(jīng)十分

89、成熟，而且本文重點(diǎn)是描述如何解決IPv6和IPv4的兼容性問題，故而此處網(wǎng)絡(luò)設(shè)計并非重心。僅以描述帶過。</p><p>　　將創(chuàng)建VLAN 10，VLAN 20，VLAN 30。分別將人事部，財務(wù)部，技術(shù)部的交換機(jī)所對應(yīng)的接口劃入。</p><p>　　以人事部交換機(jī)SW3配置為例：</p><p>　　vlan 10 //// 創(chuàng)建

90、vlan 10</p><p>　　int range f0/0 – 5 //// 進(jìn)入f0/0到f0/5的接口</p><p>　　sw mo ac //// 設(shè)置交換模式為access模式</p><p>　　sw ac vlan 10 //// 將接口劃入到vlan 10內(nèi)</p><

91、;p>　　對于公司的三層網(wǎng)絡(luò)的方案設(shè)計：</p><p>　　企業(yè)內(nèi)網(wǎng)運(yùn)行IPv6協(xié)議，所有路由器和交換機(jī)的端口都配置一個IPv6地址，為滿足要求，路由協(xié)議運(yùn)行OSPFv3 路由協(xié)議，在內(nèi)網(wǎng)中設(shè)置骨干區(qū)域號為0。交換機(jī)R1，R2組件核心區(qū)域，互做HSRP。一下用R1舉例：</p><p>　　interface Ethernet0/0</p><p>　　no

92、 ip address</p><p>　　half-duplex</p><p>　　ipv6 address 2016:21::1/64 //// 配置的IPv6地址</p><p>　　ipv6 ospf 100 area 0 //// 在接口下運(yùn)行OSPF協(xié)議</p><p><b>　　!<

93、/b></p><p>　　interface Ethernet0/1</p><p>　　no ip address</p><p>　　half-duplex</p><p>　　ipv6 address 2016:12::1/64 //// 配置的IPv6地址</p><p>　　ipv6 ospf

94、 100 area 0 //// 在接口下運(yùn)行OSPF協(xié)議</p><p><b>　　!</b></p><p>　　interface Ethernet0/2</p><p>　　no ip address</p><p>　　half-duplex</p><p>　　ip

95、v6 address 2016:13::1/64 //// 配置的IPv6地址</p><p>　　ipv6 ospf 100 area 0 //// 在接口下運(yùn)行OSPF協(xié)議</p><p><b>　　!</b></p><p>　　interface Ethernet0/3</p><p>

96、;　　no ip address</p><p>　　half-duplex</p><p>　　ipv6 address 2016:15::1/64 //// 配置的IPv6地址</p><p>　　ipv6 ospf 100 area 0 //// 在接口下運(yùn)行OSPF協(xié)議</p><p><b>　　

97、!</b></p><p>　　ipv6 router ospf 100 //// 在路由器上運(yùn)行OSPF協(xié)議</p><p>　　router-id 1.1.1.1 //// OSPF協(xié)議的router-id為1.1.1.1</p><p>　　因為邊界路由器R3，R4，R5作為企業(yè)內(nèi)網(wǎng)的邊界網(wǎng)關(guān)路由器，因此

98、除了運(yùn)行OSPFv3路由協(xié)議外，還另外運(yùn)行公網(wǎng)協(xié)議即BGP路由協(xié)議。BGP路由協(xié)議的AS號為12345。</p><p>　　圖3.4中小型企業(yè)IPv6內(nèi)網(wǎng)結(jié)構(gòu)</p><p>　　區(qū)域1是運(yùn)營商為IPv6網(wǎng)絡(luò)的公網(wǎng)，用一個IPv6服務(wù)器模擬IPv6公網(wǎng)資源，IPv6ISP1 與 IPv6server，R3之間運(yùn)行BGP路由協(xié)議。IPv6sever與IPv6ISP1為IBGP鄰居關(guān)系，他們

99、AS號同為65111。并且IPv6ISP1與路由器R3建立EBGP鄰居關(guān)系。因為要模擬公網(wǎng)上的IPv6服務(wù)，所以要在IPv6server上運(yùn)行DNS服務(wù)。令I(lǐng)Pv6server成為DNSserver，并地址翻譯，使www.baidu.com相應(yīng)的IPv6地址對應(yīng)，讓公司內(nèi)網(wǎng)在訪問網(wǎng)址時能夠自動翻譯到對應(yīng)IPv6地址。因此在R3上的BGP協(xié)議配置如下：</p><p>　　router bgp 12345

100、 //// 在路由器上開啟BGP協(xié)議，AS號為12345</p><p>　　bgp router-id 3.3.3.3 //// 設(shè)置BGP的router-id為3.3.3.3</p><p>　　bgp log-neighbor-changes</p><p>　　neighbor 2016:B13::B1 remote-as 65111</

101、p><p>　　! //// 和運(yùn)營商IPv6ISP1物理口建立鄰居</p><p>　　address-family ipv4</p><p>　　no neighbor 2016:B13::B1 activate</p><p>　　no auto-summary //// 關(guān)閉自動匯總&l

102、t;/p><p>　　no synchronization //// 關(guān)閉同步</p><p>　　exit-address-family </p><p><b>　　!</b></p><p>　　address-family ipv6 //// 開啟IPv6地址簇</p>&l

103、t;p>　　neighbor 2016:B13::B1 activate //// 在IPv6地址簇下激活BGP鄰居</p><p>　　redistribute ospf 100 match internal external 1 external 2 include-connected</p><p>　　! //// 在BGP下重分發(fā)

104、OSPF協(xié)議</p><p>　　no synchronization //// 關(guān)閉同步</p><p>　　exit-address-family</p><p><b>　　!</b></p><p><b>　　圖3.5區(qū)域1結(jié)構(gòu)</b></p><p>　　

105、區(qū)域2是客戶通過IPv4ISP1，訪問公司網(wǎng)絡(luò)完成業(yè)務(wù)交流。其中R4啟用雙棧協(xié)議，在與IPv4ISP1相連的接口上配置IPv4地址。首先在IPv4的網(wǎng)絡(luò)下達(dá)到R4和IPv4user能夠相互通信，也就是在IPv4下R4和IPv4ISP1建立EBGP鄰居，IPv4和IPv4ISP1也建立EBGP鄰居。在R4上的BGP配置如下：</p><p>　　router bgp 12345 //// 在路由

106、器上開啟BGP協(xié)議，AS號12345</p><p>　　no synchronization</p><p>　　bgp log-neighbor-changes</p><p>　　redistribute ospf 100 //// 在BGP協(xié)議下重分發(fā)OSPF協(xié)議</p><p>　　neighbor 192.168.10

107、1.1 remote-as 65222</p><p>　　! //// 和運(yùn)營商IPv4ISP1物理口建立BGP鄰居</p><p>　　no auto-summary //// 關(guān)閉自動匯總</p><p><b>　　!</b></p><p>　　確保R4和

108、IPv4user能夠在IPv4下通信后，建立tunnel隧道，令R4與IPv4user建立連接穿越IPv4ISP1的網(wǎng)絡(luò)直接相連。在R4上tunnel配置如下：</p><p>　　interface Tunnel0 //// 創(chuàng)建tunnel隧道命名為tunnel0</p><p>　　no ip address //// 不配置IPv4地址<

109、;/p><p>　　no ip redirects</p><p>　　ipv6 address 2002:C0A8:6504::1/64 //// 配置IPv6 tunnel隧道地址</p><p>　　tunnel source Ethernet0/0 //// tunnel隧道的源地址為E0/0</p><p>