I pv6 ipv6網路管理與安全_企業網路課程_0901

主題: IPv6網路管理與安全

-企業網路課程

主講人:張宏義

1

大綱:

1. IPv6介紹

(1) IPv4回顧與IPv6介紹

(2) IPv6機制介紹

(3) 台灣與國際IPv6發展現況介紹

(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)

2. IPv4 到IPv6 轉移技術深入探討

3. IPv6 的安全威脅及防範方法

4.基礎網路與服務系統升級介紹

2

大綱:

1. IPv6介紹








今日的 Internet

3

4

全球IPv4位址配發狀況

美國雖擁有接近全球半數之已配發IPv4位址數量，但也是目前推動IPv6最積極的國家其所分配到的IPv4位址空間並非全數分配到終端用戶

每人平均分配到的IPv4位址仍不足以滿足用戶基本連網需求（例如手機、平板、電腦以及相關穿戴式裝置）

中、印、俄和巴西人口眾多，但IP數/人小於1

參考來源：http://trace.twnic.net.tw/ipstats/, 2014/2/5

http://trace.twnic.net.tw/ipstats/

5

位址枯竭解決方案 - IPv6

IPv6使用128 位元的位址空間，也就是最高可有2128的位址空間

特性 IPv4 IPv6

位址數量 232 = 4.3 109 2128 = 3.41038

網路位址轉換器(NAT)

大量使用 NAT，用戶端戶連技術複雜，成本提高

不須使用 NAT，用戶自由互連，有利應用服務發展

用戶端位址配置

需手動配置或需設置系統來協助

支援自動組態，位址自動配置，隨插隨用

網路安全性 IPSec需另外設定內建IPSec加密機制

行動性支援支援度低，不易支援跨網段漫游連線

支援度高，有利於解決跨網段漫游的連線障礙

QoS機制 QoS支援度低表頭設計直接支援QoS機制

IPv4 與 IPv6 的差異

IPv4位址 IPv6位址

由32個位元（bits）的0與1組成由128個位元（bits）的0與1組成

每8位元轉成十進位用．區隔每16位元轉成十六進位用：區隔

分為 Classful 與 Classless 只有 Classless

Multicast 位址為 224.0.0.1/4 Multicast 位址為 FF::/8

Loopback 位址為 127.0.0.1 Loopback 位址為 ::1

Public IP 位址 Global IP位址 (2:: /3 或 3:: /3)

Private IP 位址 Site-Local IP 位址 (FEC0::/10)

APIPA 位址（169.254.0.0/16） Link-Local IP 位址 (FE8:: /10)

6

IPv4與IPv6封包的差異

minimum

20 octets

maximum

65535 octets

IPv4 PDU

Fixed

40 octets

maximum

65535 octets

IPv6 PDU

0 or more

IPv4 Header Data Field

Transport-level PDU IPv6

Header

Extension

Header

Extension

Header

7

IPv4與IPv6封包標頭比較

Destination Address

Source Address

Ver IHL Service

Type

Identification Flags Offset

TTL Protocol Header Checksum

Source Address

Destination Address

Options + Padding

Ver Flow Label

Payload Length Next

Header Hop

Limit

Traffic

Class

IPv4 Packet Header IPv6 Packet Header

32 bits

8

Header比較—IPv4 Header 20 Octets + Option (13 fields)

9

10

大綱:

1. IPv6介紹








IPv4位址的表示方法

11


12


13


14


15


16

17

大綱:

1. IPv6介紹








18

國際 IPv6 發展狀況 (1/3)

2010/09美國國家標準和科技機構(NIST)公佈美國政府最新IPv6時程表

e-Government、Email

2012/9/30日前導入IPv6

政府部門內部基礎網路

2014/9/30日前導入IPv6

各政府部門指派IPv6

移轉負責主管

2010/10/30日前提報

Source：http://www.cio.gov/documents/IPv6MemoFINAL.pdf 18

19


2010/04中國大陸北京下一代互聯網高峰會議提出

中國工程院宣示IPv6為戰略性工作，物聯網、3G、三網融合為中國大陸既定重點推動項目。

中國電信公佈IPv6部署日程表，即日起至2011年為試用性商業運轉，2012-2015年為大規模商業運轉

2010/10日本IPv4 Exhaustion TF 公佈Action plan

日本總務省與產學研各界共同於2008成立IPv4 Exhaustion

Task Force，推動IPv6的發展。

NTT 將於 2011/04 開始 IPv6 NGN 雙協定服務。

ISP/ICP最遲2012 第二季全面完成IPv6建置。

20


韓國

2008年韓國政府開始申裝IPv6，打開IPv6網路與應用 “雞與蛋誰先”僵局，並規定政府必須採購支援IPv6設備。

韓國政府宣示與業界合力成立IPv6 transition committee，並規劃將IPv6的需求納入政府預算。

歐洲 - 歐盟社會資訊總司

2011年歐盟國家將大規模部署IPv6，並達成25%企業使用IPv6

的目標。

21

中華電信IPv6發展歷程

22

RIPE 統計之全球骨幹網路IPv6 比例 13.62% 17.73%

http://v6asns.ripe.net/v/6

23

大綱:

1. IPv6介紹








24

IPv4/IPv6互通的三種技術

IPv4/IPv6雙協定︰Dual Stack – RFC 4213

在同一條線路及設備上，同時提供IPv6及IPv4通訊協定

為主流移轉技術，可一勞永逸解決問題，但建設成本較高

IPv6通道機制︰Tunneling – 6to4、Tunnel Broker、ISATAP、Teredo、6RD等技術

在現有的兩個IPv4的端點間，建IPv6的隧道，使兩端後的使用Dual Stack作業系統的使用者能以IPv6互通

為快速提供IPv6服務的過渡技術，但效能較差

IPv4/IPv6通訊協定轉換︰Translation – SIIT、NAT-PT、BIS、ALG、IVI等技術

透過通訊協定轉換(黑盒子)，可讓僅支援IPv4的使用者與僅支援IPv6的主機互相連線

技術複雜，容易成為網路瓶頸，技術尚未真正成熟

IPv6通道設定展示

demonstration

25

26

大綱:

1. IPv6介紹








雙重IP階層

Application

Layer

Host-to-Host

Layer

IPv6

Network

Interface Layer

Application

Layer

Host-to-Host

Layer

IPv6

Network

Interface Layer

IPv4

Application

Layer

Host-to-Host

Layer

IPv4

Network

Interface Layer

IPv6-only IPv6/IPv4 IPv4-only

27

28

雙協定堆疊(Dual Stack)技術優缺點比較表

IPv6 over IPv4 Tunneling

IPv6 Extension

headers Upper layer PDU

IPv6 Extension

headers Upper layer PDU IPv4

IPv6 packet

IPv4 packet

IP Protocol field set to 41 (IPv6 header)

29

30

穿隧(Tunneling)技術優缺點比較表

31

轉換(Translation)技術優缺點比較表

32

大綱:

1. IPv6介紹








33

IPv6 的安全威脅及防範方法

1. 網路偵蒐攻擊及防範方法

2. 非法存取攻擊及防範方法

3. 竊聽攻擊及防範方法

4. 封包碎片攻擊及防範方法

5. 病毒及蠕蟲攻擊及防範方法

6. IP位址偽冒攻擊及防範方法

7. DHCP攻擊及防範方法

34

網路偵蒐攻擊

35

網路偵蒐攻擊(1/2)

網路偵蒐為駭客進行任何一項攻擊行動的第一步，此過程主要為決定要對那一個（些）目標進行後續的攻擊行動，而這些目標可能位於組織內網或網際網路上。

一般網路偵蒐的作法為藉由ARIN的WHOIS資料庫取得目標公司所分配的IP網段及其網域名稱伺服器資訊，接著使用dig工具進一步獲得該公司的網頁伺服器及郵件伺服器等資訊，最後再以traceroute工具來獲得該公司邊界路由器的IP位址，至此該目標網路大致的輪廓即可描繪出來。在蒐集完目標網路的情報後，接著會進行掃瞄，其主要目的為取得目標網路主機（含網路裝置）的開啟狀況及其使用的作業系統類型，典型的工具為nmap。

36

網路偵蒐攻擊(2/2)

37

網路偵蒐攻擊在 IPv6 上的問題

相對於IPv4的掃瞄，對IPv6網路掃瞄就較不實際，原因在於以IPv4 Class C為例，其位址數量僅有256

個，大約僅花5-30秒即可完成掃瞄，但對IPv6的預設子網 /64（共有2^64=18.446.744.073.709.551.616

部可能的主機）的區塊位址來進行掃瞄的話，可能要花上數年以上才能完成，故目前的掃瞄器如nmap僅支援對單一主機的掃瞄。

38

IPv6偵蒐攻擊可行及有效的方式

對IPv6-enable的DNS伺服器下手，由該伺服器來得知重要的主機位址。

對群播位址來作ping sweep，如對link-local all-node-

multicast位址FF02::1做ping的動作，來獲取所有內網主機的回應訊息或對 all-router-multicast位址FF05::2做ping的動作，來獲取所有路由器的回應訊息或對all-DHCP-multicast位址FF05::3做ping的動作，以獲取所有DHCP伺服器的回應訊息。

39

對IPv6偵蒐攻擊之防禦對策

1) 不要使用容易猜測的位址。

2) 使用私有擴展位址（Privacy extensions）：私有擴展位址會定期更新自己的Global Unicast IP位址，來達到防禦外部對內進行偵蒐攻擊的目的。

3) 在機構的邊界路由器或防火牆上啟用ICMPv6的過濾機制，禁止不需要的ICMP echo封包進出機構內部。

4) 在防火牆上將不需要的服務（埠號）過濾掉。

5) 強化主機系統及應用程式本身之安全，如定期做作業系統之patch、安裝主機型的入侵偵測系統、主機型防火牆及防毒軟體等。

40

非法存取攻擊

41

非法存取攻擊

非法存取泛指任何一個不為信任的來源端有意或無意地對一經保護的網路（含主機及網路設備等）進行存取的動作。

IPv6在某些對非法存取之防禦觀念上與IPv4非常相似，如使用路由器上的存取控制清單(ACL)及防火牆來對第三層的IPv6來源及目的位址、IPv6的基本封包欄位及某些封包擴充欄位做檢查。

IPv6支援暫時性位址的觀念，稱私有位址（Private

Address），該私有位址為隨機配置並定期更新，故可有效降低駭客達成非法存取攻擊的成功機率。

IPv6 存取控制清單 (ACL)

ipv6 access-list ipv6_163_out

permit tcp any any established

permit udp any host 2001:288:9000::1 eq 53

permit udp any eq 53 host 2001:288:9000::1

permit icmp any any

42

IPv6 存取控制清單設定展示

demonstration

43

44

各類 IPv6位置存取範圍討論

IPv6有類似IPv4使用的RFC1918私用位址，稱Site-

Local Address，因其不得將路由發佈到公用網路上，故對於由外對內之非法存取攻擊上可完全得到保障。另一個IPv6特有的位址為Link-local Address，有別於Site-local Address之有效範圍及於整個機構，Link-local Address僅在某一網段下有效，故其位址之有效範圍更窄。第三個為Unique Global Address，其為Public Address，位址有效範圍及於全球。

45

利用 IPSec 來增加存取安全性

IPSec提供雙方對等的認證機制（使用AH；Authentication Header），對於非法存取提供更安全的保障。不同於IPv4，IPv6強制將IPSec納入協定本身來設計，使得IPv6更能抵擋非法存取的攻擊。除了 AH 外， IPSec 也可經由使用 ESP

（Encapsulating Security Payload）加密機制來滿足資料的私密性需求。

46

IPv6 防火牆對ICMPv6的過濾政策

ICMP協定在故障檢測上提供許多有用的機制，像測試主機是否為開機運作中（Alive），或追蹤某一目的地所經過的節點資訊等，而ICMPv6在IPv6

中如同IPSec一樣為IPv6協定的一部分，故相較於IPv4的ICMP更顯重要。下表為建議的IPv6防火牆對ICMPv6的過濾政策。

47

對IPv6非法取存攻擊之防禦對策

1) 使用公認的網路前綴於防火牆的過濾政策中，並僅允許正面表列的流量通過，其餘禁止。

2) 使用位址Scoping來限制位址的有效範圍：Link-

local及Site-local位址僅用於機構內部，Unique-

global位址才可供外部存取。

3) 使用IPSec AH來作為兩端連線的相互認證。

4) 禁止使用Source-Routing機制。

5) 設定邊緣防火牆僅允許需要的ICMPv6訊息項目通過防火牆，並限定接受ICMPv6流量的速率，以防止其誤用。

6) 使用Privacy Addressing會在固定時間間隔更新IP

位址，故亦可防止非法存取的攻擊。

48

竊聽攻擊

49

竊聽攻擊

竊聽也稱Sniffing，使用tcpdump或ethereal工具來對網路中傳送的封包進行解析，例如對Telnet連線的登入資訊進行窺視，以得到使用者名稱及密碼資訊。

在IPv4中最常用來反制竊聽的方式為使用網路交換器，另外就是使用IPSec中的加密機制來防止竊聽，封包加密除了保障傳輸時免於被竊聽外，也可避免被傳輸路徑中的節點窺視或竄改封包內容。但其缺點為路由器不再能經由檢視第四層的header來管理QoS，防火牆也不能看到TCP的Header及Payload，而僅能對ESP連線來進行允許或拒絕的動作。

50

對IPv6竊聽攻擊之防禦對策

1) 使用 IPv6 IPSec 來提供資料來源的認證、payload

的加密及封包完整性的確保。

2) 當使用 IPSec ESP 時，記得在主機內安裝主機型的防火牆及入侵偵測系統，以有效防止有意或無意的惡意攻擊。

51

封包碎片攻擊

52

封包碎片攻擊(1/2)

碎片攻擊在IPv4為一個很普遍的攻擊方式，主要目的為規避防火牆及入侵偵測系統的偵測，攻擊技巧為將易被察覺的惡意資料簽章（ data

signature）分散到數個封包，造成防火牆及入侵偵測系統難以有效偵測出其原封包的意圖。

在IPv6僅有來源端可分割封包，其被分割的封包大小可依來源端到目的端路徑所測得的最大MTU

（Maximum Transmit Unit）來指定，一般正常的IPv6封包為1280 bytes，也就是IPv6最小的封包大小，而最後一個傳送的封包大小通常會小於1280

bytes。

53

封包碎片攻擊(2/2)

要處理重疊的碎片為相當困難的一件事，原因在於不同的目地端系統使用不同的方式來重組封包。

對IPv6而言，根據RFC 2460的規定，重疊碎片是不被允許的，而且就算有重疊碎片被傳送到網路上，網路裝置或終端主機也應該要拒絕處理，因此可防止此類的攻擊發生。但不同的系統對IPv6

實作方式迴異，因此對處理碎片及重疊碎片的作法可能也有差異，故這類的攻擊在某些情況下可能仍然有效。

碎片攻擊在某種情況下常會造成阻斷服務的攻擊效果，尤其當網路裝置忙於處理碎片的檢查及重組時會降低網路裝置整體的處理效能。

54

對IPv6碎片攻擊之防禦對策

1) 部署網路型及主機型的安全裝置。

2) 隨時監測網路中碎片的數量。

3) 拒絕重疊的封包流量。

55

病毒及蠕蟲攻擊

56

病毒及蠕蟲攻擊(1/2)

病毒，特別是蠕蟲，對企業及整個網際網路造成許多安全威脅，這些威脅大多來自其惡意的Payload。一般的傳播方式為使用位址空間掃瞄，來對掃瞄到的線上主機進行傳染，而一旦某主機被感染後，又會運用同樣的方式來向外傳播，建立大量的連線，因此造成非常大的網路流量，進而使整個網路癱瘓。

病毒主要為感染檔案，其會將自己植入到既有的程式內，主要的傳播方式為透過分享的媒介或程式的交換等途徑。而蠕蟲具有自體複製的能力，主要的傳播方式為透過網路，如E-Mail或直接的網路連線等，其快速散播的特性使得它對網路的破壞程度叫人咋舌。

57

病毒及蠕蟲攻擊(2/2)

在公元2003年八月的疾風蠕蟲於數小時內快速地經由網路感染了20萬部主機，損失不計其數。但因為 IPv6 的位址空間太大，以掃瞄來散播蠕蟲的方式將很容易遭到遏止。

另外，針對適應IPv6環境而設計的蠕蟲將會有不同於IPv4的特性，如降低其掃瞄範圍，或以從某網站獲得的存取日誌中的IP位址為基礎，做為第一波傳染的對象。

58

對IPv6病毒及蠕蟲攻擊之防禦對策

1) 對IPv4的反制策略仍適用於IPv6，如即時Patch系統。

2) 使用主機型及網路型的入侵偵測系統來監督網路掃瞄活動，並運用主機型入侵防護系統來保護主機。

3) 在重要的網路出入點部署封包過濾器，如防毒牆等，以遏阻其漫延。

4) 避免將每個用戶的IP位址指定成連續的IP位址，應該儘量分散其IP的指定，及使用隨機產生的位址前綴，如此可有效降低掃瞄器掃瞄的效率。

5) 使用代理伺服器，如HTTP Proxy，以避免Web客戶端的IP被Cache，或使用暫時的Privacy Address，以避免因位址被鎖定而成為被攻擊的目標。

59

IP位址偽冒攻擊

60

IP位址偽冒攻擊(1/2)

IP位址偽冒一般用於偽冒來源端的位址，使得受害者無法追蹤到惡意封包的實際發送者，或來源位址根本不存在。這種攻擊方式也常用來做為阻斷服務攻擊、發送垃圾郵件攻擊及蠕蟲的傳播等。

此種攻擊的效果通常會有兩個受害者，一為被攻擊的目標，另一為被偽冒IP的主機（當有回應封包到達時），這類型的攻擊方式如有大量回應封包時即產生放大效果，而造成阻斷服務。

IPv6對位址前綴的指定及分配相當規律，使得下游的ISP的IP位址會總是落在上游服務商的匯總位址空間內，對ISP而言，因易於實現入口過濾機制，故可有效遏阻此類攻擊。

61

對IPv6位址偽冒攻擊之防禦對策(1/2)

1) 在各個網路出入點實做入口過濾機制。

2) 有些位址偽冒攻擊使用非法或未經配置的IP位址空間，故可在邊緣路由器實作存取控制列表機制，僅允許合法位址的流量通過路由器。

3) 部署入侵偵測系統來監督Link-local的流量，特別是一些well-known的群播位址及監督一些可疑流量型態的門檻值(threshold)。

4) 除遵循IPv6基本規範中之ICMPv6錯誤訊息的傳送速率限制外，也應考量對ICMPv6中之一般及其他訊息的傳送速率限制在一個合理的門檻值。

62

對IPv6位址偽冒攻擊之防禦對策(2/2)

5) 丟棄以群播為來源位址的封包。

6) 若在路由器上具 uRPF(unicast Reverse Path

Forwarding)功能，請啟用此項功能，此項功能可核對封包於接收時所流經的路由器介面與回傳時所流經的介面是否一致，若有出入即表示來源位址曾被修改過，此封包應予丟棄。

63

DHCP攻擊

64

DHCP攻擊(1/4)

DHCP攻擊為IPv4與IPv6共通的威脅，主要為將DHCP客戶端或伺服機端的資源耗盡，以達成阻斷服務的目的。例如一部非法的客戶主機重覆對伺服主機進行IP配置的請求，以致於因所有可用IP位址皆已分配出去，故真正合法的客戶主機反而得不到服務，造成伺服機端無法提供應有的服務，而合法的客戶端也因得不到IP的配置而無法正常運作。

65

DHCP攻擊(2/4)

不同於IPv4的DHCP使用廣播的方式進行協定的操作，DHCPv6使用群播（IPv6不支援廣播），故一種新的DHCPv6攻擊方式為使用群播泛洪攻擊 (Multicast-flooding attack) ，針對一個 well-

known的 site-local群播位址做攻擊，因所有DHCPv6伺服器皆會聆聽此位址，故只要攻擊者將惡意封包送往此位址，就可一併攻擊多個DHCPv6伺服器。

另一種攻擊方式為在合法的客戶主機內暗藏DHCPv6服務，發送假的”reconfigure”訊息到網路上，導致所有合法的客戶主機皆會再度去向伺機主機詢問新的組態配置資料，這樣的結果會同時影響到合法的客戶端及伺服端主機。

66

DHCP攻擊(3/4)

不同於IPv4的DHCP使用廣播的方式進行協定的操作，DHCPv6使用群播（IPv6不支援廣播），故一種新的DHCPv6攻擊方式為使用群播泛洪攻擊 (Multicast-flooding attack) ，針對一個 well-

known的 site-local群播位址做攻擊，因所有DHCPv6伺服器皆會聆聽此位址，故只要攻擊者將惡意封包送往此位址，就可一併攻擊多個DHCPv6伺服器。

另一種攻擊方式為在合法的客戶主機內暗藏DHCPv6服務，發送假的”reconfigure”訊息到網路上，導致所有合法的客戶主機皆會再度去向伺機主機詢問新的組態配置資料，這樣的結果會同時影響到合法的客戶端及伺服端主機。

67

DHCP攻擊(4/4)

其他像使用非法的DHCPv6伺服主機提供錯誤的IP

組態設定資料給合法的客戶端主機，導致客戶端無法得到正確的資料而無法運作，或客戶端依所得之錯誤資訊連線到惡意的應用伺服器等，也是一般常見的攻擊方式。

最後一種攻擊型式為中間人(Man-in-the-middle)攻擊，如一部非法的DHCPv6伺服器攔截到客戶主機對伺服器的請求，並將之中繼到合法伺服器，但卻在伺服器回應的封包上動手腳等。

解決此類攻擊的最佳解決方案為使用DHCP身份鑑別選項(DHCP Authentication Option)，這選項會在客戶端及伺服端間進行交換，以驗證雙方的身份，若驗證失敗則會忽略對方的請求或回應封包，但目前支援這選項的DHCPv6伺服器並不多見。

68

對DHCPv6攻擊之防禦對策

1) 使用DHCPv6身份鑑別選項可有效反制中間人攻擊及阻斷服務攻擊。

2) 實作DHCP Snooping：某些網路交換器實作DHCP

Snooping機制，可在特定埠口上設定允許那些DHCP的訊息通過，或設定僅允許某特定埠口可銜接DHCP伺服器，借此來降低私接非法主機所造成的問題。

3) 使用IPSec來確保DHCPv6中繼器及伺服器間的安全連線，以IPSec的AH來認證來源及封包的完整性，以ESP來進行封包的加密。

4) 部署入偵測系統來監督不尋常的DHCPv6訊息。

69

大綱:

1. IPv6介紹








IPv6 帶給企業及營運商的影響(1/2)

推動IPv6 的建設對網路服務的發展與連續性至關重要，也是國家資訊網路實力是否繼續領先國際的重要關鍵。基於IPv6 網路未能立即創造商機，民營業界發展速度較慢，因此目前由政府帶頭示範宣示推動IPv6 的決心，以加速整體的發展。藉由政府網路及電子化政府網站服務啟動IPv6 網路升級，將引導我國網路線路服務商、網路設備廠商、網路內容開發商及系統整合服務商投入相關產品及服務的研發與生產。

70

IPv6 帶給企業及營運商的影響(2/2)

藉由政府網路優先啟動IPv6網路升級，引導系統整合業者提供IPv6 網路技術服務、民間資訊訓練機構儲備IPv6專業師資並規劃相關課程、資通設備業者加速研發支援IPv6

相關設備。而網際網路服務提供者(ISP)及網際網路內容提供者(ICP)也將感受到政府推動IPv6決心，以及網路升級至IPv6 的必然性及急迫性，而加速進行IPv6移轉的工作，因應政府優先升級養成的IPv6 技術服務能量也將可以順勢提供業界的需求。

71

全球企業及營運商IPv6發展現況

依據Google量測全球用戶以IPv6瀏覽其網站比例，截至2014/05使用IPv6用戶百分比約3.0%，自ISOC於2012/6/6

舉辦World IPv6 Launch活動以來，約每九個月成長一倍。

依據APNIC使用網頁廣告量測全球IPv6用戶數統計資料顯示，IPv6部署以歐洲最積極，依序為美洲、亞洲、大洋洲及非洲；亞洲IPv6部署，則以日本、新加坡最積極，中國大陸也在政府主導下也趨積極。

2013年瑞士Swisscom、德國電信、法國Free、羅馬尼亞RCS&RDS、美國Verizon Wireless、AT&T、Comcast、Time Warner、日本KDDI、Softbank及新加坡Starhub、M1等網際網路提供者均有顯著IPv6用戶數成長。

72

國際組織IPv6位置規劃建議

依照APNIC 『IPv6 Best Current Practices』之分配建議

<文件部分> 紀錄哪些位址使用於基礎設施，哪些位址屬於用戶網段

利用文件、試算表或資料庫方式紀錄

<Infrastructure部分> 可挑選第一段/48用作基礎設施，位址較短便於設定

ex:2001:df8:0000::/48 ->2001:df8::/48

所有路由器的loopback應設為/128，並從基礎設施/48中，指定一段/64作為loopback使用

可挑選第二段/48作為點對點連線使用，若不足則增加/48數量

針對每一個點對點連線保留一個/64，實際設定時盡量使用/127，可避免Neighbor Cache DoS攻擊

伺服主機使用的LAN則以/64為單位

73

基礎設施規劃建議-架構圖

74

75

IPv6 主機設備採購規範建議(1/2)

1) 必要項目：必須通過IPv6 Ready Logo Phase-2 Core

for Host 的測試規範。

2) 安全選項：IPv6 Ready Logo Phase-2 IPSec for End-

Node 的測試規範。

3) 網管選項：IPv6 Ready Logo Phase-2 SNMP for

Agent 的測試規範。建議以SNMPv2C 和RFC 4293

IP MIB 為參考標準，惟考量網路演進趨勢，將有一段長時間之IPv4/IPv6 並存時期，故可暫以提供IPv4 SNMP 功能為近期之要求，待市場設備普遍成熟時再納入必要選項。

76

IPv6 主機設備採購規範建議(2/2)

4) 移動性選項：IPv6 Ready Logo Phase-2 Mobility for

Mobile Node 或Correspondent Node 的測試規範。

5) DNS 選項：建議需支援 RFC 3596 DNS Extensions

to Support IP Version 6。

6) DHCPv6 選項：IPv6 Ready Logo Phase-2 DHCPv6

for Client，建議需支援Client 模式，相關標準為RFC 3315 Dynamic Host Config Protocol (DHCPv6)。

7) 應用程式選項：目前已有 IPv6 Ready Logo Phase-2

SIPv6 for User Agent，但可考慮 Email、Web 等服務或是註明相關應用程式必須同時支援IPv4/IPv6

通訊協定。(目前大部分作業系統皆已經支援IPv6)。

77

IPv6路由器設備採購規範建議(1/2)

1) 必要項目：必須通過IPv6 Ready Logo Phase-2 Core

for Router 測試規範。

2) 安全選項： IPv6 Ready Logo Phase-2 IPSec for

Secure Gateway 測試規範。

3) 網管選項： IPv6 Ready Logo Phase-2 SNMP for

Agent 的測試規範。建議以SNMPv 2c 和RFC 4293

IP MIB 為參考標準，惟考量網路演進趨勢，將有一段長時間之IPv4/IPv6 並存時期，故可暫以提供IPv4 SNMP 功能為近期之要求，待市場設備普遍成熟時再納入必要選項。

78

IPv6路由器設備採購規範建議(1/2)

4) 移動性選項： IPv6 Ready Logo Phase-2 Mobility for

Home Agent 的測試規範。

5) DNS 選項：建議需支援RFC 3596 DNS Extensions

to Support IP Version

6) DHCPv6 選項：IPv6 Ready Logo Phase-2 DHCPv6

for Server，建議需支援Server 或Relay Agent 模式，相關標準為RFC 3315 Dynamic Host Config Protocol

(DHCPv6)。

7) 路由選項：須根據路由器之容量及使用地點，決定適當通訊協定，通常SOHO Router 只要支援RIPNG

(RFC 2080)，而大容量Router 建議需支援OSPFv3

(RFC 5340)和BGP-4 + (RFC 2545、RFC 4271)。

END

Documents

I pv6 ipv6網路管理與安全_企業網路課程_0901