IPv6網絡部署實戰(zhàn)

目　　錄

第　1章 緒論　1
1．1　IPv4局限性　2
1．1．1　地址枯竭　2
1．1．2　地址分配不均　3
1．1．3　骨干路由表巨大　3
1．1．4　NAT破壞了端到端通信模型　3
1．1．5　QoS問題和安全性問題　4
1．2　IPv6發(fā)展歷程及現(xiàn)狀　4
1．3　IPv6的特性　6
1．4　總結　8
第　2章 EVE-NG　9
2．1　EVE-NG簡介　9
2．1．1　EVE-NG的版本　9
2．1．2　EVE-NG的安裝方式　10
2．1．3　計算機的硬件要求　10
2．1．4　安裝VMware Workstation　10
2．2　EVE-NG部署　11
2．2．1　導入EVE-NG虛擬機　11
2．2．2　VMware Workstation中的
網絡類型　14
2．2．3　EVE-NG登錄方式　17
2．2．4　EVE-NG導入vSphere ESXi
主機　19
2．3　EVE-NG管理　21
2．3．1　EVE-NG調優(yōu)　21
2．3．2　性能測試　23
2．3．3　EVE-NG主界面　27
2．3．4　實驗主界面　29
實驗2-1　IPv4路由和交換綜合實驗　36
實驗2-2　防火墻配置　41
實驗2-3　EVE-NG磁盤清理　45
第3章　IPv6基礎　47
3．1　IPv6地址表示方法　47
3．1．1　首選格式　47
3．1．2　壓縮格式　48
實驗3-1　驗證IPv6地址的合法性　48
3．1．3　內嵌IPv4地址的IPv6地址格式　50
實驗3-2　配置內嵌IPv4地址格式的IPv6地址　51
3．1．4　子網前綴和接口ID　52
實驗3-3　設置不同的前綴長度生成不同的路由表　52
實驗3-4　驗證基于EUI-64格式的接口ID　53
3．2　IPv6地址分類　56
3．2．1　單播地址　56
實驗3-5　增加和修改鏈路本地單播地址　57
實驗3-6　數據包捕獲演示　58
3．2．2　任播地址　61
實驗3-7　一個簡單的任播地址實驗　62
3．2．3　組播地址　64
實驗3-8　路由器上常用的IPv6地址　65
實驗3-9　抓包分析組播報文　66
3．2．4　未指定地址和本地環(huán)回地址　67
3．3　ICMPv6　68
3．3．1　ICMPv6差錯報文　68
3．3．2　ICMPv6消息報文　69
實驗3-10　常用的IPv6診斷工具　70
3．3．3　PMTU（路徑MTU）　73
實驗3-11　演示PMTU的使用和IPv6分段擴展報頭　73
3．4　NDP　75
3．4．1　NDP簡介　75
3．4．2　NDP常用報文格式　76
3．4．3　默認路由自動發(fā)現(xiàn)　79
實驗3-12　網關欺騙防范　80
3．4．4　地址解析過程及鄰居表　86
實驗3-13　查看鄰居表　86
3．4．5　路由重定向　87
3．5　IPv6層次化地址規(guī)劃　88
第4章　IPv6地址配置方法　90
4．1　節(jié)點及路由器常用的IPv6地址　90
4．1．1　節(jié)點常用的IPv6地址　90
4．1．2　路由器常用的IPv6地址　91
4．2　DAD　91
實驗4-1　IPv6地址沖突的解決　92
4．3　手動配置IPv6地址　94
實驗4-2　禁止系統(tǒng)地址自動配置功能　95
4．4　地址自動配置機制及過程　98
4．5　SLAAC　99
實驗4-3　SLAAC實驗配置　102
4．6　有狀態(tài)DHCPv6　104
4．6．1　DUID和IAID　105
4．6．2　DHCPv6常見報文類型　107
4．6．3　DHCPv6地址分配流程　107
實驗4-4　路由器做DHCPv6服務器分配　108
實驗4-5　用Windows做DHCPv6服務器　113
4．7　無狀態(tài)DHCPv6　120
4．8　DHCPv6-PD　120
實驗4-6　DHCPv6-PD實驗　122
4．9　IPv6地址的多樣性和優(yōu)選配置　127
實驗4-7　不同類型IPv6地址的優(yōu)先和選擇　127
第5章　DNS　132
5．1　DNS基礎　132
5．1．1　域名的層次結構　133
5．1．2　域名空間　133
5．1．3　域名服務器　134
5．1．4　域名解析過程　135
5．1．5　常見資源記錄　136
5．2　IPv6域名服務　138
5．2．1　DNS過渡　138
5．2．2　正向IPv6域名解析　138
5．2．3　反向IPv6域名解析　139
5．2．4　IPv6域名軟件　139
5．2．5　IPv6公共DNS　140
5．3　BIND軟件　141
5．3．1　BIND與IPv6　141
實驗5-1　在CentOS 7下安裝配置BIND雙棧解析服務　141
5．3．2　BIND中的IPv6資源記錄　148
5．3．3　BIND的IPv6反向資源記錄PTR　148
實驗5-2　配置BIND IPv6本地域解析服務　148
5．3．4　ACL與IPv6動態(tài)域名　153
實驗5-3　配置BIND IPv6動態(tài)域名和智能解析　154
5．3．5　IPv6域名轉發(fā)與子域委派　157
5．4　Windows Server DNS域名服務　160
實驗5-4　Windows Server 2016 IPv6 DNS配置　160
實驗5-5　配置DNS轉發(fā)　167
實驗5-6　巧用DNS實驗域名封殺　168
實驗5-7　DNS委派　168
5．5　IPv4/IPv6網絡訪問優(yōu)先配置　171
實驗5-8　調整雙棧計算機IPv4和IPv6的優(yōu)先　173
第6章　IPv6路由技術　176
6．1　路由基礎　176
6．1．1　路由原理　176
6．1．2　路由協(xié)議　177
6．2　直連路由　178
6．3　靜態(tài)路由　179
6．3．1　常規(guī)靜態(tài)路由　179
實驗6-1　配置靜態(tài)路由　181
6．3．2　浮動靜態(tài)路由　184
實驗6-2　配置浮動靜態(tài)路由　184
6．3．3　靜態(tài)路由優(yōu)缺點　189
6．4　默認路由　190
實驗6-3　配置默認路由　190
6．5　動態(tài)路由協(xié)議　192
6．5．1　靜態(tài)路由與動態(tài)路由的比較　192
6．5．2　距離矢量和鏈路狀態(tài)路由協(xié)議　192
6．5．3　常見的動態(tài)路由協(xié)議　196
6．6　RIPng　197
實驗6-4　配置IPv6 RIPng　197
6．7　OSPFv3　200
實驗6-5　配置OSPFv3　201
6．8　路由選路　203
6．8．1　管理距離　203
6．8．2　路由選路原則　204
實驗6-6　活用靜態(tài)路由助力網絡安全　206
第7章　IPv6安全　211
7．1　IPv6安全綜述　211
7．2　IPv6主機安全　213
7．2．1　IPv6主機服務端口查詢　213
7．2．2　關閉IPv6主機的數據包轉發(fā)　214
7．2．3　主機ICMPv6安全策略　214
7．2．4　關閉不必要的隧道　215
7．2．5　主機設置防火墻　216
實驗7-1　Windows防火墻策略設置　218
實驗7-2　CentOS 7．3防火墻策略設置　225
7．3　IPv6局域網安全　227
7．3．1　組播問題　227
7．3．2　局域網掃描問題　228
7．3．3　NDP相關攻擊及防護　228
實驗7-3　非法RA報文的檢測及防范　231
7．3．4　IPv6地址欺騙及防范　235
實驗7-4　應用URPF防止IPv6源地址欺騙　236
7．3．5　DHCPv6安全威脅及防范　238
7．4　IPv6網絡互聯(lián)安全　240
7．4．1　IPv6路由協(xié)議安全　240
實驗7-5　OSPFv3的加密和認證　241
7．4．2　IPv6路由過濾　245
實驗7-6　IPv6路由過濾　246
7．4．3　IPv6訪問控制列表　251
實驗7-7　應用IPv6 ACL限制網絡訪問　252
7．5　網絡設備安全　257
實驗7-8　對路由器的遠程訪問進行安全加固　257
第8章　IPv6網絡過渡技術　261
8．1　IPv6網絡過渡技術簡介　261
8．1．1　IPv6過渡的障礙　261
8．1．2　IPv6發(fā)展的各個階段　262
8．1．3　IPv4和IPv6互通問題　262
8．1．4　IPv6過渡技術概述　263
8．2　雙棧技術　264
實驗8-1　配置IPv6雙?！?64
8．3　隧道技術　272
8．3．1　GRE隧道　272
實驗8-2　GRE隧道互連IPv6孤島　273
實驗8-3　GRE隧道互連IPv4孤島　276
實驗8-4　IPv4客戶端使用PPTP VPN隧道訪問IPv6網絡　278
實驗8-5　IPv6客戶端使用L2TP VPN訪問IPv4網絡　290
8．3．2　IPv6 in IPv4手動隧道　292
8．3．3　6to4隧道　293
實驗8-6　6to4隧道配置　294
8．3．4　ISATAP隧道　297
實驗8-7　ISATAP隧道配置　298
8．3．5　Teredo隧道　300
實驗8-8　Teredo隧道配置　301
8．3．6　其他隧道技術　306
8．3．7　隧道技術對比　306
8．4　協(xié)議轉換技術　307
8．4．1　NAT-PT轉換技術　307
實驗8-9　靜態(tài)NAT-PT配置　307
實驗8-10　動態(tài)NAT/NAPT-PT配置　309
實驗8-11　防火墻上的NAPT-PT配置　311
8．4．2　NAT64/DNS64轉換技術　313
實驗8-12　NAT64配置　313
實驗8-13　DNS64配置　315
8．4．3　其他轉換技術　316
8．5　過渡技術選擇　317
第9章　IPv6應用過渡　318
9．1　遠程登錄服務　318
9．1．1　遠程登錄的主要方式　318
9．1．2　IPv6網絡中的Telnet服務　320
實驗9-1　在CentOS 7系統(tǒng)上配置Telnet雙棧管理登錄　320
9．1．3　IPv6網絡中的SSH服務　323
實驗9-2　在CentOS 7系統(tǒng)上配置SSH雙棧管理登錄　323
9．1．4　IPv6網絡下的遠程桌面服務　326
實驗9-3　在Windows Server 2016上配置雙棧遠程桌面登錄　327
9．2　Web應用服務　331
9．2．1　常用的Web服務器　331
9．2．2　IPv6環(huán)境下的Web服務配置　332
實驗9-4　在CentOS 7下配置Apache IPv6/IPv4雙棧虛擬主機　332
實驗9-5　在CentOS 7下配置Tomcat IPv6/IPv4雙棧虛擬主機　337
實驗9-6　在CentOS 7下配置Nginx IPv6/IPv4雙棧虛擬主機　340
實驗9-7　在Windows Server 2016下配置IPv6/IPv4雙棧虛擬主機　343
9．3　FTP應用服務　345
實驗9-8　在CentOS 7下安裝配置vsftpd FTP雙棧服務　346
實驗9-9　在Windows Server 2016下配置IPv6 FTP雙棧服務　351
9．4　數據庫應用服務　354
實驗9-10　在CentOS 7下安裝配置MySQL數據庫雙棧服務　355
9．5　反向代理技術　358
實驗9-11　基于Linux的Nginx IPv6反向代理　360
實驗9-12　基于Windows的Nginx IPv6反向代理　365
第　10章 IPv6多出口和實名認證　370
10．1　IPv6多出口　370
10．1．1　IPv6多出口的必要性　370
10．1．2　IPv6多出口的復雜性　371
10．1．3　RFC6724解讀　373
實驗10-1　利用前綴策略表調整地址優(yōu)先　376
實驗10-2　IPv6多出口解決方案一（配單運營商IPv6地址+NAT66）　382
實驗10-3　IPv6多出口解決方案二（配多運營商IPv6地址+NAT66冗災）　390
實驗10-4　IPv6多出口解決方案三（配多運營商IPv6地址，禁用NAT66）　391
10．2　IPv6實名認證　399
10．2．1　認證簡介　400
10．2．2　認證場景　401
實驗10-5　純IPv6單一前綴認證　402
實驗10-6　IPv6多前綴聯(lián)動IPv4認證　406
第　11章 IPv6智能網絡管理系統(tǒng)（Zabbix）　411
11．1　網管系統(tǒng)簡介　411
11．2　Zabbix服務器的IPv6網絡配置　412
11．3　Zabbix網管系統(tǒng)的安裝　414
11．4　監(jiān)控Zabbix主機　422
11．4．1　Linux下的Zabbix agent安裝　422
11．4．2　Windows下的Zabbix agent安裝　424
11．4．3　添加Zabbix agent主機　425
11．5　SNMP管理　430
11．5．1　配置SNMP　430
11．5．2　添加SNMP設備　431
11．5．3　添加ICMP設備　434
11．5．4　繪制網絡拓撲　434
11．5．5　添加私有MIB　442
11．6　設置告警　444
11．7　主機自動發(fā)現(xiàn)　450
11．8　網絡設備配置自動備份　452
11．9　Web網站監(jiān)控　456