IPv6之旅：全栈园区网络与安全实践

"杨海涛在2010年4月7日的演讲中探讨了全IPv6园区网的解决方案，重点关注了网络的可信接入、核心交换、安全保障和增值应用等方面。演讲内容涵盖有线和无线接入、IPv6地址管理、DHCPv6服务、双栈技术、网络流量分析、安全过滤、以及过渡技术如4over6、移动IPv6和6lowpan。此外，还介绍了如何防止IPv6网络中的攻击，例如防伪装DHCPv6服务器、防伪装前缀公告、防地址耗尽攻击等，并强调了IPv6在多业务双栈承载网中的应用。演讲者特别提到了双栈线速转发、IPv6代理、隧道过渡技术，以及设备如核心路由器DCRS-7608和接入路由器DCRS-5950在IPv6部署中的角色。" 这篇摘要详细阐述了杨海涛在IPv6园区网络建设中的关键点，包括以下几个方面： 1. **可信接入**：通过端口源地址验证、防伪装DHCPv6服务器和防地址耗尽攻击等措施确保接入的安全性，防止IP欺骗和DoS/DDoS攻击。 2. **核心交换**：核心交换机支持IPv4和IPv6，具备IPv6ACL和IPv6MIB，以实现有线和无线接入的IPv6功能，同时提供了图形化配置界面和详细的地址分配日志。 3. **安全保障**：通过防伪装前缀公告、SAVI（Source Address Validation Improvement）等技术防止ND欺骗，提供安全过滤、流量管理和日志审计，确保网络的稳定与安全。 4. **IPv6地址分配与管理**：利用内置的DHCPv6服务器自动配置DNS和域名，提供详细分配记录，定制地址分发，并与SAVI配合，防止地址冒用。 5. **过渡技术**：演讲中提到的4over6、移动IPv6、6lowpan是IPv4向IPv6过渡的解决方案，帮助在不同网络环境间平滑迁移。 6. **网络流量分析**：采用sFlow和IPFIX支持，进行网流分析，以便于网络监控和性能优化。 7. **双栈技术**：支持全系列的双栈转发，利用隧道技术如6PE、6to4、ISATAP和GRE，实现IPv4与IPv6的共存。 8. **多业务承载**：通过多核双栈安全网关，实现IPv4和IPv6的VPNv4/v6承载，确保多业务的安全运行。 9. **设备支持**：DCRS-7608和DCRS-5950等设备作为核心和重要园区接入路由器，支持双10G接口，适应大规模IPv6部署需求。 这些知识点展示了IPv6在园区网络中的实际应用和安全策略，对于理解IPv6网络的构建和运维具有重要的参考价值。