教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

时间:2024-03-24 20:35:36

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在这节课中将介绍IPv6的基本原理,以及如何在你的FortiGate上配置它。本课程还包括如何在IPv6环境中启用安全功能的示例。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在完成这一课程之后,你应该具备在FortiGate上配置IPv6网络所必需的实用技能。你还应该对IPv6路由和防火墙有一个坚实的理解。过渡技术,如双栈、NAT64和隧道和兼容IPv6安全性配置文件。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 人们通常会问的第一件事是,当IPv4仍在工作时,他们为什么需要IPv6。他们认为IPv6是为了未来,而不是现在。但这个问题已经过时了。未来就是现在。大多数网络设备已经具备了IPv6能力,尽管许多管理员没有意识到这一功能。根据谷歌(http://www.google.ca/intl/en/ipv6/statistics.html),1月5日,2016年,43%的来自比利时的请求所涉及设备支持IPv6和采用IPv6在美国是25%。*,如美国和中国的*,对IPv6兼容性有指导和要求。除了*机构之外,一些网络服务提供商,如康卡斯特和威讯,已经开始将客户放在IPv6上。这是因为IPv4地址空间耗尽已经发生在顶层,而区域枯竭正在发生。

  IPv6提供了更多的地址。

  但是,由于主机已经在IPv6网络上,它既是攻击者的新目标,也是攻击者的藏身之处。

  因此,即使你的用户不需要内部的IPv6连接,你也需要了解Internet上的IPv6以及它的安全影响。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 即使你没有在你的内部网络上实现IPv6,在互联网上,IPv6的使用也在加速。由于IPv4地址耗尽,许多被添加到互联网上的主机,尤其是在快速发展的国家的智能手机,现在只有一个公开的IPv6地址。IPv6的采用几乎每年都在翻倍。

  提供本地IPv6的服务器的出现正在迅速增加,以支持只支持IPv6的客户端。因此,在未来的几年内,你的网络安全很可能需要支持IPv6。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 许多人不知道的是IPv6解决的不仅仅是IP地址耗尽的问题。我们今天使用的许多服务和现实实际上是在IPv4限制下添加的。这些包括:

  • 网络地址转换

  • 安全通信,如v*n和SSL

  • DHCP

  当你实现IPv6时,你可能不需要一些旧的IPv4服务。

  IPv4是在1980年设计的,并在1983年首次部署在ARPANET上,这是互联网的前身。这是在智能手机和平板电脑出现之前,在安全漏洞成为日常事件之前,在为远程工作者提供v*n之前,在硬件存在快速、强大的加密和解密之前。

  IPv6是在1998年设计的。因此,这还远远不是新问题,但它足以影响我们使用网络的许多变化。为了确保一个优雅的过渡时期,IPv6设计包括了遗留IPv4与IPv6网络连接的方法。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 首先,让我们看一下如何在FortiGate的GUI上显示IPv6设置。默认情况下,它们隐藏在GUI中,只在CLI中可用。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 无论你是在你的网络上运行IPv6,还是仅仅是想让自己免受使用IPv6的攻击者的攻击,好消息是Fortinet设备,比如FortiGate,已经在支持IPv6了。

  为了使FortiGate的GUI简单和性能水平较高,并不是所有的功能最初都显示在GUI中。你可以从功能选择页面显示IPv6功能。

  与其他高级功能一样,只有少数的IPv6设置在CLI中可用。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 一旦你在GUI中打开了IPv6设置,就会出现两种新的策略类型:IPv6防火墙策略和IPv6拒绝服务(DoS)策略。

  你还将注意到IPv6网络接口地址和路由。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 既然IPv6设置是可见的,那么支持哪些功能呢?

  显然,正如我们刚刚提到的,IPv6防火墙策略得到了支持。恶意软件和应用程序层的威胁很大程度上独立于IP版本,因此在新的IPv6防火墙策略中支持安全配置文件。

  就像IPv4的公共地址一样,公共Internet上的IPv6地址可以映射到ISP路由器所在的区域,因此有一个地理数据库。

  还有一些不太明显但必要的转换特性。FortiGate通常部署在双堆栈路由中,管理员将IPv4和IPv6地址分配给接口。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 一旦你启用了IPv6设置,你就需要知道这些问题的答案:

  • 在IPv6中,与IPv4的工作方式相同吗?

  • IPv6与IPv4有什么不同?

  • 需要哪些升级?

  • 如何在IPv4和IPv6网络之间移动?

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 你可能不需要在你的网络上升级任何东西。许多设备,包括家庭无线路由器和Windows电脑,已经支持IPv6很长一段时间了。他们会自动工作。但是,你应该验证他们的支持,特别是如果你有更老的设备,VoIP,打印机,或者ISP调制解调器。IPv6不能向后兼容IPv4设备:头文件太不一样了。如果你使用不支持IPv6的设备,你可以配置你的FortiGate以使用过渡技术。转换技术的帮助是通过重写数据包的IP报头,这些包必须在IPv4和IPv6之间沿着它们的路径移动。过渡技术包括:

  • NAT64

  • 隧道

  • 双堆叠

  那么,IPv4和IPv6头的区别是什么呢?

  第一个明显的区别是版本号。下一个呢?地址长度。IPv6地址要长得多,128位而不是32位。因此有一个新的符号,我们很快就会解释。

  标题的其他部分是相同的,尽管它们可能有不同的名称:TOS/DSCP位现在被命名为流量类,而TTL现在被命名为hop limit。协议,表示包中的下一个协议层,在IPv6中被称为下一个标头。为什么这个名字改变了?IPv6可能在IP报头和下一个协议之间有一个扩展头的链表。让我们看看扩展头是如何工作的。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 很容易看出,你需要更多的位元来获得更大的IP地址。除此之外,为什么IPv6标题不同呢?

  一个原因是提高效率。还记得下一个标头字段吗?IPv6可以缩写的数据包。包只使用它们需要的头。例如,不需要路由的包不需要路由消息头。在IPv6头和有效负载之间的这些可选头文件被命名为扩展头。在IPv4中有许多扩展头,加上新的头文件。扩展标头的例子包括:

  • Hop by Hop(数据由包路径中的所有路由器进行处理)

  • ICMPv6

  • TCP

  • UDP

  • 分裂

  • 路由

  • 目的地选项(必须由目的地主机处理的参数/数据)

  • 身份验证(AH,IPsec)

  • 加密(ESP, IPsec)

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在IPv4中,IPsec v*n被加入了。在IPv6中,它是IPv6堆栈的一个组成部分,它是定义的扩展头的一部分。因此,它可以与任何实现一起使用。该规范定义了身份验证头(AH)和封装安全有效负载(ESP)报头的协议。

  ESP报头提供了IPv4和IPv6的安全服务组合。ESP可以单独应用。ESP报头要么在IP报头之后插入,要么在下一个层协议头(在传输模式)之前,或者在一个封装的IP报头(在隧道模式)之前。

  ESP可用于提供机密性、数据源身份验证、无连接完整性、反重放服务(部分序列完整性的一种形式)和(有限的)流量机密性。所提供的服务集取决于在安全关联(SA)建立时所选择的选项,以及在网络拓扑中实现的位置。

  这里显示的标题图适用于IPv4和IPv6。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在IPv6报头中有两个字段可以用于服务质量(QoS):流量类和流标签。

  IPv6报头中的8位流量类字段可供路由器或流量源使用,以识别和区分不同的类或IPv6数据包的优先级。在RFC 2474中指定了流量类字段,并为流量类字段引入了DS字段。该规范的目标是扩散路由器有一组已知的DS例程,这是由DS场的值决定的。转发路径行为包括单个包接收的微分处理,由队列服务规程或队列管理规程实现。这些单跳行为在网络节点中是很有用的,并且需要提供对数据包的不同处理。

  IPv6报头中的20位流Labelfield可能被一个流量源用来标记它想要IPv6路由器以一种特殊的方式处理的数据包序列,如非默认的服务质量或实时服务。流标签字段是在RFC 6437中指定的。包分类器可以使用流标签、源地址和目标地址字段的三元组来标识特定数据包所属的流。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 大多数传输和应用程序层协议都是独立于IP寻址的,所以你不需要为IPv6支持升级或配置它们。简单地配置服务器的IPv6地址。

  对于HTTP,冒号字符(它们是常规IPv6地址的一部分)也被用来表示端口号。因此,如果你想要访问IPv6 URI,以解决不确定的问题,请将IP地址封装在方括号([])中,这样浏览器就能正确地解释冒号的字符。例如,要访问这个URI:

  2001:DB8:2a:1005:230:48ff:fe73:989d

  在你的浏览器中,你将输入:

  [2001:DB8:2a:1005:230:48ff:fe73:989d]

  在你的网站的DNS服务器上,你需要添加AAAA记录。

  大多数的网站证书都是基于他们的域名,但是如果你的网站是通过服务器的IPv4地址来识别主机的,那就为IPv6地址添加一个证书。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 现在我们已经看到了IPv6包结构,让我们检查一下新的128位源地址和目标地址字段。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 关于IPv6地址,你可能注意到的第一件事是它们很大,包括字母。任何IPv6主机(或在IPv6术语中的节点)可以在同一个网络接口卡(NIC)上拥有许多IPv6地址。在IPv4中,接口通常需要手动配置,因此在每个NIC中输入大型IPv6地址的想法似乎有些令人生畏。但这并不像看上去的那么难。在IPv4,DHCP是为了减轻管理负担而演化的。IPv6有一个更先进的机制。你不需要配置许多IPv6地址。事实上,在Windows、Mac OS X和其他平台上的隐私扩展可能会让地址暂时消失。

  即使你需要键入或编写一个地址,你也可以将其缩写。看看本例中显示的第一个地址。将它与第二个地址进行比较。你可以跳过前面的0,就像我们通常写1而不是0001一样。现在,将它与最后一个最简短的地址进行比较:如果地址在多个16位块中有连续的0,那么你可以简单地省略两个冒号(::)之间的所有0。当然,你您输入地址时,设备必须将其解释为完整的长度地址。如果允许使用多个双冒号缩写,那么设备就必须猜测如何扩展一个地址,比如2001::1:1。

  它会被扩展为:

  • 2001:0000:1:0000:0000:0000:0000:0001

  • 2001:0000:0000:0000:0000:1:0000:0001

  解决将是不确定的。这就是为什么每个IPv6地址只能有一个双冒号缩写。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在IPv4中,有多种类型的地址:广播、多播等等。但是,在IPv6中呢?

  在IPv6中,有三种类型的地址:单播、任播和多播。

  • 单播:识别一个接口或接口组。(对于链接负载平衡,多个接口可能使用同一个地址,只要它们作为主机的IPv6实现的一个接口。)

  • 任播:标识多个接口,通常属于不同的节点。发送到一个任播地址的数据包被传送到其中一个接口(根据路由协议的距离的度量,最近的一个)。

  • 多播:也标识多个接口,但是发送到一个多播地址的数据包被传送到该地址标识的所有接口。

  为什么没有广播地址?

  从技术上讲,它不是必要的。广播只是简单的多播,包括所有的地址,而不是一个子集。但是,从工程角度来看,IPv4广播也被证明是有问题的。广播风暴和与大型广播域有关的性能问题,由于IPv6的更多地址可能会造成巨大的影响,可能会在未来更好的通过IPv6的广播。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 和IPv4一样,每个网络接口卡都有一个单一的地址。一个单一的地址是由一个网络ID(第一个n位,取决于子网中主机地址的数量)和一个接口ID(剩余位)组成的。

  在网络上,每个IP地址的第一个位都是相同的,地址的最后一部分是特定于每个接口的。然而,在IPv6中,如果地址是自动生成的,地址的接口ID可能对应于网络接口卡的物理MAC地址。有多个地址也是很常见的:一个用于通信的范围。奇怪的是,这取决于地址的范围,它不能保证在全球范围内是独一无二的。由于大量的地址,两个IPv6接口的地址是相同的,这是非常不可能的,但是从理论上来说这是可能的。然而,在每一个范围,没有重复,IPv6有内置的机制(我们将很快解释),以检测和避免重复的地址,避免IP地址冲突的经典IPv4问题。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 IPv6子网被定义为在IPv4中,使用IP地址的第一个比特。在IPv6中,它被称为前缀。

  与IPv4不同的是,在IPv6中,我们只使用无类的跨域路由(CIDR)子网路记,而不是点小数点。为什么?CIDR是短的。用128位的地址,带点的十进制掩码实际上是很大的。

  IPv6的典型前缀是:

  • /48或更少的办公室

  • / 48家

  • /128对于点对点的网络,例如在两个路由器之间

  在IPv6中,当接口连接到路由器时,前缀通常是自动配置的。因此,即使没有DHCP服务器,也可以很容易地将整个子网重新配置到一个新的位置。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在IPv6中有一些保留的和公共的子网。他们是什么?全球单一的前缀来自你的ISP。全局地址就像公共IPv4地址:它们在互联网上是可路由的。(请记住,IPv6的设计是为了在没有NAT的情况下使用公共和私有的分隔符,所以名称不一样。)全球地址格式是:

  001 + 来自ISP的全球路由前缀 + 子网ID + 接口ID

  什么是私有网络IP?独特的本地地址等同于IPv4私有网络地址。它们在IPv6互联网上是不可路由的。全球地址和独特的本地地址在地址的前48位后具有相同的结构:一个独特的本地地址具有格式:

  前缀+随机赋值全局ID

  因此,用于全局地址的相同子网ID也可以用于本地地址。

  在同一链路上与邻居进行通信时,节点本地地址被节点使用。这发生在自动地址配置、邻居发现和没有路由器的时候。与独特的本地地址不同,路由器不会将任何带有链接本地源或目标地址的包转发给其他链接。IPv6本地地址与使用169.254.0/16前缀的IPv4本地地址相似。链接本地地址可以在每个链接上重用。由于这个地址重用能力,链接-本地地址并不是决定性的。为了解决这个问题,主机使用一个区域标识符来标识地址的接口,或者为链接到本地的目的地发送接口。语法是address% zone_id。

  例如,Windows主机上的接口ID为24的链接地址可能是:

  Link-local IPv6 Address . . . . . : fe80::8002:b44b:ca9e:5e09%24

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 和IPv4一样,IPv6的静态路由也变得很麻烦。动态路由协议有助于减轻这种管理负担。

  几乎每个IPv4动态路由协议都有一个IPv6版本或扩展。还有内部网关协议(IGPs)和外部网关协议(EGPs)、基于距离的基于矢量的路由协议和基于链接的路由协议算法。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 那么那些不是单一的地址呢?

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 IPv6 任播地址是分配给多个接口的地址(通常属于不同的节点)。根据路由协议的距离度量,发送到一个任播地址的数据包被路由到最近的接口,该地址具有该地址。

  任播地址是从单一地址空间分配的,因此它们可以使用任何已定义的单一地址。是什么使得一个任播的地址与单播不一样?它配置在多个接口上。地址分配的节点必须被显式地配置,以知道地址是一个任播地址。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 IPv6多播地址标识一组节点。一个节点可以属于任意多的多播组。

  在IPv6中,多播通信就像在IPv4中一样运行。多播地址在组ID中有FF00前缀+112位。在前8位的前缀(0xFF)之后,接下来的4位是标志(前缀的第一个0x0),并表示永久(0x0)或瞬态(0x1)地址。接下来的4位(前缀的第二个0x0)是多播组的范围。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 永久分配的多播地址的含义与范围值无关。在这里的示例中,NTP服务器组被分配了一个永久的多播地址,该地址为101(十六进制)的组ID。

  非永久分配的多播地址在给定范围内是有意义的。例如,一个非永久性的团体,站点本地多播地址FF15:0:0:0:0:0:101在一个地点与:

  • 一个在不同地点使用相同地址的组

  • 非永久组使用相同的组ID和不同的范围

  • 一个具有相同组ID的永久组

  多播地址不能作为IPv6包中的源地址或出现在任何路由标头中。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 我们提到,IPv6有一些自动配置机制来帮助配置你的网络设备使用IPv6地址,并避免在每个地址范围内发生冲突。

  让我们现在谈谈他们。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在链接本地范围内,主机可以使用邻居发现协议(NDP)来帮助配置他们自己的IP。NDP取代了IPv4中的多个内容:

  • ARP

  • ICMPv4路由器发现

  • ICMPv4重定向

  节点(主机和路由器)使用NDP来确定它们的邻居节点的链路层地址,哪些邻居是可到达的,哪些不是,哪些地址已经改变了。

  主机也使用NDP来寻找邻近的路由器。当路由或路由到路由器的路径失败时,主机就会搜索功能的变化。

  NDP是在RFC 4861中定义的。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在全局/站点范围内,单播地址必须在本地链接之外是唯一的。有三种方法可以做到这一点:

  • 无状态地址自动配置(SLAAC)(也称为IPv6自动配置,在RFC 4862中定义)

  • 动态主机配置协议v6(DHCPv6)

  • 手动

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 当主机不需要特定的可预测的IP地址时,你可以使用无状态的自动配置或SLAAC,只要它是唯一的且可路由的。

  SLAAC通过使用NDP和路由器自动配置地址。与DHCPv6不同,SLAAC不需要任何额外的服务器。路由器上需要最少的配置(如果有的话)。如何?

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 让我们检查一下SLAAC中涉及的步骤。

  第一组步骤描述了链接本地地址的无状态的自动配置。

  第二组步骤描述了全球单位地址的无状态自动配置。

  在SLAAC中,主机使用本地可用的信息(它的MAC地址)和路由器(全局前缀)所做的信息的组合来生成自己的地址。因此,如果没有路由器,那么主机只能生成链路本地地址。但是,如果你有一个局域网,那就足够了:本地设备可以使用它们的链接本地地址进行通信。

  不过要注意,SLAAC并没有告诉主机任何DNS服务器。如果主机需要DNS,而你不想手动配置它,那么如何解决这个问题呢?或者,如果你需要为主机分配特定的IP地址,该怎么办?

  与IPv4一样,你也可以使用DHCP与IPv6。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 当你需要为每个主机分配特定的IP地址或提供DNS设置时,可以使用DHCP IPv5(DHCPv6 RFC3315)。尽管RFC 6106在RAs中定义了DNS设置,但目前还不支持这种设置。DHCPv6还可以提供其他设置、查询节点或更改其地址。

  这是有状态DHCPv6。

  客户端和服务器使用用户数据报协议(UDP)交换DHCPv6消息。DHCP服务器使用一个保留的、链接范围的多播地址从客户端接收消息。DHCP客户端将大多数消息发送到这个保留的多播地址,这样你就不需要配置DHCP服务器地址。

  为了让DHCP客户端将消息发送到一个没有连接到同一链接的DHCP服务器上,你可以使用DHCP中继。

  注意:无状态的DHCPv6可以提供额外的配置信息,例如DNS递归名称服务器或SIP服务器,通过自动配置(SLAAC)或手动寻址来获得它的IPv6地址。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 当然,如果自动配置或DHCP不合适(比如在服务器上),在IPv6中仍然可以使用手动配置,就像在IPv4中一样。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 既然我们已经了解了如何在IPv6中实现自动配置和手动寻址,那么让我们看看如何在FortiOS上做到这一点。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 马上开始,配置一个带有IPv6地址和前缀的接口。记住:SLAAC,如果你在使用它,需要/64。

  在这里所示的示例CLI配置中,一个在FortiOS上的界面是手动配置的。在本例中,通过定义连接主机可以用来创建全局地址的网络前缀,可以为客户端启用SLAAC。因为在NAT/路由模式下的FortiOS是OSI 3层路由,FortiOS会发出路由通告(RAs)。

  你的基于IPv6的设备将在它们自己的SLAAC自动配置和基于RA的其他设置中使用此功能。它们包括一个或多个64位前缀,每个前缀都带有自治标志,表示地址是自治的(或无状态)地址配置,并且启用了onlink标志,指示该地址被分配到该广告接收到的接口上。

  请注意,接口IPv6配置是接口CLI的一个子分支。你可以通过配置IPv4地址和在子分支中配置IPv6地址来配置一个双栈实现。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 如果你希望你的主机使用DHCPv6,而不是SLAAC呢?

  FortiOS可以提供一个DHCPv6服务,也可以提供你自己的。

  主机将发送一个DHCPv6请求到链路范围的多播地址。主机使用有状态的自动配置,当它接收到一个没有任何前缀信息的路由器广告时,你已经启用了托管地址配置(附加地址)和/或其他有状态配置(额外的配置参数)标志。响应从范围中分配一个地址,以及其他配置设置,比如DNS服务器。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 尽管它不太常见,但它也可以是一个DHCPv6或SLAAC客户端。

  要使FortiOS成为DHCPv6客户端,请配置该接口以接收其全球IPv6地址。

  要使FortiOS成为SLAAC客户端,请配置启用了autoconf和ip6-send-adv禁用的接口。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 当然,一旦为IPv6配置了接口,你就可以像IPv4防火墙策略一样将安全配置文件应用到IPv6防火墙策略中。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 一旦你在你的FortiGate上配置了网络接口,使用IPv4,下一步通常是配置应用网络地址转换(NAT)的防火墙策略。

  IPv6确实有NAT与IPv4的互操作,但是NAT不是纯粹的IPv6所要求的。

  NAT延迟IPv4地址耗尽。防火墙也可以说是源自NAT的伪装。但是NAT打破了端到端连接,这需要在IPsec v*n上的NAT遍历等解决方案。

  IPv6的设计目的是恢复IPv4的最初设计目标之一:端到端连接。所以你不需要NAT,让我们看一看。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 今天,大多数互联网使用IPv4,而且将有许多IPv4主机在很长一段时间内使用。立即打开IPv6并关闭IPv4是不现实的。我们处在一个过渡时期。在此期间,我们需要技术来互连IPv6和IPv4主机。

  我们可以这样做的方法之一是NAT,所以尽管IPv6本身并不需要NAT,但它仍然很有用。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 NAT64是一种用于IPv4-IPv6转换和IPv4-IPv6共存的机制。与DNS64一起,这两种机制允许一个只使用IPv6的客户机向一个只使用IPv4的服务器发起通信。它们还支持IPv4和IPv6节点之间的对等通信,当两端使用现有的、NAT-遍历、对等通信技术,比如交互式连接建立(ICE)时,通信就会启动。

  有状态的NAT64还支持通过在有状态的NAT64中静态配置的绑定来支持IPv6主机的一个子集,这可以通过使用VIP46在FortiOS中实现。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 DNS64是一种从RRs中合成AAAA资源记录(RRs)的机制。合成的AAAA RR中包含的IPv6地址是由IPv4地址和分配给NAT64设备的IPv6前缀所生成的。

  在RFC 6052中定义了DNS64。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 这个配置示例展示了一个NAT64策略。源接口是一个支持IPv6的接口,而目标接口是一个支持IPv4的接口。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 NAT66是一个无状态的IPv6到IPv6网络前缀翻译(NPTv6)功能,旨在为边缘网络提供地址独立性。它与传输无关,对于那些不校验和IP报头的传输。NAT66在内部和外部的前缀之间提供了1:1的关系,在网络层保留了端到端可达性。

  NAT66是在RFC 6296中进行试验和定义的。注意,IETF不推荐使用NAT技术对IPv6。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 FortiOS实现了几个隧道协议,这些协议是过渡技术的一部分,允许IPv6通信通过IPv4网络隧道。FortiOS的实现包括IPsec,以在IPv4隧道中保护IPv6。

  这一机制在RFC 4891中概述。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 一旦IPv6连接被配置,特别是在IPv4和IPv6网络之间,你就可以使用你通常的连通性测试命令的IPv6版本。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 诊断命令分支允许你获取状态信息,并手动操作IPv6配置。

  在路由列表中,请注意链接本地和多播前缀。

  在邻居缓存列表中,为FortiOS和任何主机寻找自动配置地址。请注意在自动配置地址中如何使用MAC地址。记住,在IPv6没有ARP,邻居的机制取代了这个。在Windows主机上,你可以使用命令〖netsh interface ipv6 show neighbors〗或在Linux下〖ip -6 neighbor show〗来查看邻居缓存。

  数据包嗅探器支持IPv6。下面是示例IPv6过滤器:

  • ip6 and host 2000:5374:7564:656e:7431::3000to capture IPv6 host

  • ip6 and net 2000::/8to capture IPv6 prefix

  • ip6 and tcp port 80to capture TCP port number

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 ICMPv6(下一个头值58)与IPv4的ICMP类似。IPv6节点使用它来报告处理包中遇到的错误,并执行其他的internet层功能,如诊断(ICMPv6 ping)。

  ICMPv6是对IPv6的一部分。这个表显示了常见的IPv6类型和代码。相关的消息列表示消息类型。它的值决定其余数据的格式。代码字段依赖于消息类型。

  ICMPv6消息有两种类型:错误消息或信息消息。错误消息在其消息类型字段值的高阶位中被标识为0。因此,错误消息具有从0到127的消息类型。信息消息具有从128到255的消息类型。

  ICMPv6是在RFC 4443中定义的。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 从安全的角度来看,我们将在IPv4的IPsec隧道中关注IPv6隧道。要在FortiOS上做到这一点,需要创建一个IPsec接口模式隧道,就像常规的站点到站点的v*n配置一样。你的第二阶段选择器、路由和防火墙策略都是IPv6。

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4 在这一节中我们研究了如何在IPv6环境中配置FortiOS,并启用了转换技术和安全概要等特性。我们还回顾了对IPv6网络的常见诊断命令和新命令。


飞塔技术 - 老梅子   QQ:57389522


教程篇(5.4) 23. IPv6 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4