More Related Content Similar to I pv6 ipv6網路管理與安全_企業網路課程_0901 Similar to I pv6 ipv6網路管理與安全_企業網路課程_0901 (20) I pv6 ipv6網路管理與安全_企業網路課程_09012. 1
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 3. 2
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 6. 5
位址枯竭解決方案 - IPv6
IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間
特性
IPv4
IPv6
位址數量
232 = 4.3 109
2128 = 3.41038
網路位址轉 換器(NAT)
大量使用 NAT,用戶端戶連 技術複雜,成本提高
不須使用 NAT,用戶自由互 連,有利應用服務發展
用戶端位址 配置
需手動配置或需設置系統來 協助
支援自動組態,位址自動配 置,隨插隨用
網路安全性
IPSec需另外設定
內建IPSec加密機制
行動性支援
支援度低,不易支援跨網段 漫游連線
支援度高,有利於解決跨網 段漫游的連線障礙
QoS機制
QoS支援度低
表頭設計直接支援QoS機制 7. IPv4 與 IPv6 的差異
IPv4位址
IPv6位址
由32個位元(bits)的0與1組成
由128個位元(bits)的0與1組成
每8位元轉成十進位用.區隔
每16位元轉成十六進位用:區隔
分為 Classful 與 Classless
只有 Classless
Multicast 位址為 224.0.0.1/4
Multicast 位址為 FF::/8
Loopback 位址為 127.0.0.1
Loopback 位址為 ::1
Public IP 位址
Global IP位址 (2:: /3 或 3:: /3)
Private IP 位址
Site-Local IP 位址 (FEC0::/10)
APIPA 位址 (169.254.0.0/16)
Link-Local IP 位址 (FE8:: /10)
6 8. IPv4與IPv6封包的差異
minimum
20 octets
maximum
65535 octets
IPv4 PDU
Fixed
40 octets
maximum
65535 octets
IPv6 PDU
0 or more
IPv4 Header
Data Field
Transport-level PDU
IPv6 Header
Extension
Header
Extension
Header
7 9. IPv4與IPv6封包標頭比較
Destination Address
Source Address
Ver IHL
Service
Type
Identification
Flags
Offset
TTL
Protocol
Header Checksum
Source Address
Destination Address
Options + Padding
Ver
Flow Label
Payload Length
Next Header
Hop Limit
Traffic Class
IPv4 Packet Header
IPv6 Packet Header
32 bits
8 11. 10
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 18. 17
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 19. 18
國際 IPv6 發展狀況 (1/3)
2010/09美國國家標準和科技機構(NIST)公佈美國政府最 新IPv6時程表
e-Government、Email
2012/9/30日前導入IPv6
政府部門內部基礎網路
2014/9/30日前導入IPv6
各政府部門指派IPv6
移轉負責主管
2010/10/30日前提報
Source:http://www.cio.gov/documents/IPv6MemoFINAL.pdf
18 20. 19
國際 IPv6 發展狀況 (2/3)
2010/04中國大陸北京下一代互聯網高峰會議提出
中國工程院宣示IPv6為戰略性工作,物聯網、3G、三網 融合為中國大陸既定重點推動項目。
中國電信公佈IPv6部署日程表,即日起至2011年為試用性 商業運轉,2012-2015年為大規模商業運轉
2010/10日本IPv4 Exhaustion TF 公佈Action plan
日本總務省與產學研各界共同於2008成立IPv4 Exhaustion Task Force,推動IPv6的發展。
NTT 將於 2011/04 開始 IPv6 NGN 雙協定服務。
ISP/ICP最遲2012 第二季全面完成IPv6建置。 21. 20
國際 IPv6 發展狀況 (3/3)
韓國
2008年韓國政府開始申裝IPv6,打開IPv6網路與應用 “雞與蛋 誰先”僵局,並規定政府必須採購支援IPv6設備。
韓國政府宣示與業界合力成立IPv6 transition committee,並規 劃將IPv6的需求納入政府預算。
歐洲 - 歐盟社會資訊總司
2011年歐盟國家將大規模部署IPv6,並達成25%企業使用IPv6 的目標。 24. 23
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 25. 24
IPv4/IPv6互通的三種技術
IPv4/IPv6雙協定︰Dual Stack – RFC 4213
在同一條線路及設備上,同時提供IPv6及IPv4通訊協定
為主流移轉技術,可一勞永逸解決問題,但建設成本較高
IPv6通道機制 ︰Tunneling – 6to4、Tunnel Broker、 ISATAP、Teredo、6RD等技術
在現有的兩個IPv4的端點間,建IPv6的隧道,使兩端後的 使用Dual Stack作業系統的使用者能以IPv6互通
為快速提供IPv6服務的過渡技術,但效能較差
IPv4/IPv6通訊協定轉換︰Translation – SIIT、NAT-PT、 BIS、ALG、IVI等技術
透過通訊協定轉換(黑盒子),可讓僅支援IPv4的使用者與 僅支援IPv6的主機互相連線
技術複雜,容易成為網路瓶頸,技術尚未真正成熟 27. 26
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 28. 雙重IP階層
Application
Layer
Host-to-Host
Layer
IPv6
Network
Interface Layer
Application
Layer
Host-to-Host
Layer
IPv6
Network
Interface Layer
IPv4
Application
Layer
Host-to-Host
Layer
IPv4
Network
Interface Layer
IPv6-only
IPv6/IPv4
IPv4-only
27 30. IPv6 over IPv4 Tunneling
IPv6
Extension
headers
Upper layer PDU
IPv6
Extension
headers
Upper layer PDU
IPv4
IPv6 packet
IPv4 packet
IP Protocol field set to 41 (IPv6 header)
29 33. 32
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 34. 33
IPv6 的安全威脅及防範方法
1. 網路偵蒐攻擊及防範方法
2. 非法存取攻擊及防範方法
3. 竊聽攻擊及防範方法
4. 封包碎片攻擊及防範方法
5. 病毒及蠕蟲攻擊及防範方法
6. IP位址偽冒攻擊及防範方法
7. DHCP攻擊及防範方法
36. 35
網路偵蒐攻擊(1/2)
網路偵蒐為駭客進行任何一項攻擊行動的第一步, 此過程主要為決定要對那一個(些)目標進行後續 的攻擊行動,而這些目標可能位於組織內網或網際 網路上。
一般網路偵蒐的作法為藉由ARIN的WHOIS資料庫 取得目標公司所分配的IP網段及其網域名稱伺服器 資訊,接著使用dig工具進一步獲得該公司的網頁伺 服器及郵件伺服器等資訊,最後再以traceroute工具 來獲得該公司邊界路由器的IP位址,至此該目標網 路大致的輪廓即可描繪出來。在蒐集完目標網路的 情報後,接著會進行掃瞄,其主要目的為取得目標 網路主機(含網路裝置)的開啟狀況及其使用的作 業系統類型,典型的工具為nmap。 38. 37
網路偵蒐攻擊在 IPv6 上的問題
相對於IPv4的掃瞄,對IPv6網路掃瞄就較不實際, 原因在於以IPv4 Class C為例,其位址數量僅有256 個,大約僅花5-30秒即可完成掃瞄,但對IPv6的預 設子網/64(共有2^64=18.446.744.073.709.551.616 部可能的主機)的區塊位址來進行掃瞄的話,可 能要花上數年以上才能完成,故目前的掃瞄器如 nmap僅支援對單一主機的掃瞄。 39. 38
IPv6偵蒐攻擊可行及有效的方式
對IPv6-enable的DNS伺服器下手,由該伺服器來得 知重要的主機位址。
對群播位址來作ping sweep,如對link-local all-node- multicast位址FF02::1做ping的動作,來獲取所有內 網主機的回應訊息或對all-router-multicast位址 FF05::2做ping的動作,來獲取所有路由器的回應訊 息或對all-DHCP-multicast位址FF05::3做ping的動作, 以獲取所有DHCP伺服器的回應訊息。 40. 39
對IPv6偵蒐攻擊之防禦對策
1)不要使用容易猜測的位址。
2)使用私有擴展位址(Privacy extensions):私有擴 展位址會定期更新自己的Global Unicast IP位址, 來達到防禦外部對內進行偵蒐攻擊的目的。
3)在機構的邊界路由器或防火牆上啟用ICMPv6的過 濾機制,禁止不需要的ICMP echo封包進出機構內 部。
4)在防火牆上將不需要的服務(埠號)過濾掉。
5)強化主機系統及應用程式本身之安全,如定期做 作業系統之patch、安裝主機型的入侵偵測系統、 主機型防火牆及防毒軟體等。 42. 41
非法存取攻擊
非法存取泛指任何一個不為信任的來源端有意或無 意地對一經保護的網路(含主機及網路設備等)進 行存取的動作。
IPv6在某些對非法存取之防禦觀念上與IPv4非常相 似,如使用路由器上的存取控制清單(ACL)及防火 牆來對第三層的IPv6來源及目的位址、IPv6的基本 封包欄位及某些封包擴充欄位做檢查。
IPv6支援暫時性位址的觀念,稱私有位址(Private Address),該私有位址為隨機配置並定期更新,故 可有效降低駭客達成非法存取攻擊的成功機率。 43. IPv6 存取控制清單 (ACL)
ipv6 access-list ipv6_163_out permit tcp any any established permit udp any host 2001:288:9000::1 eq 53 permit udp any eq 53 host 2001:288:9000::1 permit icmp any any
42 45. 44
各類 IPv6位置存取範圍討論
IPv6有類似IPv4使用的RFC1918私用位址,稱Site- Local Address,因其不得將路由發佈到公用網路上, 故對於由外對內之非法存取攻擊上可完全得到保 障。另一個IPv6特有的位址為Link-local Address, 有別於Site-local Address之有效範圍及於整個機構, Link-local Address僅在某一網段下有效,故其位址 之有效範圍更窄。第三個為Unique Global Address, 其為Public Address,位址有效範圍及於全球。 46. 45
利用 IPSec 來增加存取安全性
IPSec提供雙方對等的認證機制(使用AH; Authentication Header),對於非法存取提供更安 全的保障。不同於IPv4,IPv6強制將IPSec納入協 定本身來設計,使得IPv6更能抵擋非法存取的攻 擊。除了AH外,IPSec也可經由使用ESP(Encapsulating Security Payload)加密機制來滿足 資料的私密性需求。 47. 46
IPv6 防火牆對ICMPv6的過濾政策
ICMP協定在故障檢測上提供許多有用的機制,像 測試主機是否為開機運作中(Alive),或追蹤某 一目的地所經過的節點資訊等,而ICMPv6在IPv6 中如同IPSec一樣為IPv6協定的一部分,故相較於 IPv4的ICMP更顯重要。下表為建議的IPv6防火牆 對ICMPv6的過濾政策。 48. 47
對IPv6非法取存攻擊之防禦對策
1)使用公認的網路前綴於防火牆的過濾政策中,並 僅允許正面表列的流量通過,其餘禁止。
2)使用位址Scoping來限制位址的有效範圍:Link- local及Site-local位址僅用於機構內部,Unique- global位址才可供外部存取。
3)使用IPSec AH來作為兩端連線的相互認證。
4)禁止使用Source-Routing機制。
5)設定邊緣防火牆僅允許需要的ICMPv6訊息項目 通過防火牆,並限定接受ICMPv6流量的速率, 以防止其誤用。
6)使用Privacy Addressing會在固定時間間隔更新IP 位址,故亦可防止非法存取的攻擊。 50. 49
竊聽攻擊
竊聽也稱Sniffing,使用tcpdump或ethereal工具來 對網路中傳送的封包進行解析,例如對Telnet連 線的登入資訊進行窺視,以得到使用者名稱及密 碼資訊。
在IPv4中最常用來反制竊聽的方式為使用網路交 換器,另外就是使用IPSec中的加密機制來防止竊 聽,封包加密除了保障傳輸時免於被竊聽外,也 可避免被傳輸路徑中的節點窺視或竄改封包內容。 但其缺點為路由器不再能經由檢視第四層的 header來管理QoS,防火牆也不能看到TCP的 Header及Payload,而僅能對ESP連線來進行允許 或拒絕的動作。 51. 50
對IPv6竊聽攻擊之防禦對策
1)使用 IPv6 IPSec 來提供資料來源的認證、payload 的加密及封包完整性的確保。
2)當使用 IPSec ESP 時,記得在主機內安裝主機型 的防火牆及入侵偵測系統,以有效防止有意或無 意的惡意攻擊。 53. 52
封包碎片攻擊(1/2)
碎片攻擊在IPv4為一個很普遍的攻擊方式,主要 目的為規避防火牆及入侵偵測系統的偵測,攻擊 技巧為將易被察覺的惡意資料簽章(data signature)分散到數個封包,造成防火牆及入侵 偵測系統難以有效偵測出其原封包的意圖。
在IPv6僅有來源端可分割封包,其被分割的封包 大小可依來源端到目的端路徑所測得的最大MTU(Maximum Transmit Unit)來指定,一般正常的 IPv6封包為1280 bytes,也就是IPv6最小的封包大 小,而最後一個傳送的封包大小通常會小於1280 bytes。 54. 53
封包碎片攻擊(2/2)
要處理重疊的碎片為相當困難的一件事,原因在 於不同的目地端系統使用不同的方式來重組封包。
對IPv6而言,根據RFC 2460的規定,重疊碎片是 不被允許的,而且就算有重疊碎片被傳送到網路 上,網路裝置或終端主機也應該要拒絕處理,因 此可防止此類的攻擊發生。但不同的系統對IPv6 實作方式迴異,因此對處理碎片及重疊碎片的作 法可能也有差異,故這類的攻擊在某些情況下可 能仍然有效。
碎片攻擊在某種情況下常會造成阻斷服務的攻擊 效果,尤其當網路裝置忙於處理碎片的檢查及重 組時會降低網路裝置整體的處理效能。 57. 56
病毒及蠕蟲攻擊(1/2)
病毒,特別是蠕蟲,對企業及整個網際網路造成 許多安全威脅,這些威脅大多來自其惡意的 Payload。一般的傳播方式為使用位址空間掃瞄, 來對掃瞄到的線上主機進行傳染,而一旦某主機 被感染後,又會運用同樣的方式來向外傳播,建 立大量的連線,因此造成非常大的網路流量,進 而使整個網路癱瘓。
病毒主要為感染檔案,其會將自己植入到既有的 程式內,主要的傳播方式為透過分享的媒介或程 式的交換等途徑。而蠕蟲具有自體複製的能力, 主要的傳播方式為透過網路,如E-Mail或直接的 網路連線等,其快速散播的特性使得它對網路的 破壞程度叫人咋舌。 59. 58
對IPv6病毒及蠕蟲攻擊之防禦對策
1)對IPv4的反制策略仍適用於IPv6,如即時Patch系統。
2)使用主機型及網路型的入侵偵測系統來監督網路掃 瞄活動,並運用主機型入侵防護系統來保護主機。
3)在重要的網路出入點部署封包過濾器,如防毒牆等, 以遏阻其漫延。
4)避免將每個用戶的IP位址指定成連續的IP位址,應 該儘量分散其IP的指定,及使用隨機產生的位址前 綴,如此可有效降低掃瞄器掃瞄的效率。
5)使用代理伺服器,如HTTP Proxy,以避免Web客 戶端的IP被Cache,或使用暫時的Privacy Address, 以避免因位址被鎖定而成為被攻擊的目標。 61. 60
IP位址偽冒攻擊(1/2)
IP位址偽冒一般用於偽冒來源端的位址,使得受 害者無法追蹤到惡意封包的實際發送者,或來源 位址根本不存在。這種攻擊方式也常用來做為阻 斷服務攻擊、發送垃圾郵件攻擊及蠕蟲的傳播等。
此種攻擊的效果通常會有兩個受害者,一為被攻 擊的目標,另一為被偽冒IP的主機(當有回應封 包到達時),這類型的攻擊方式如有大量回應封 包時即產生放大效果,而造成阻斷服務。
IPv6對位址前綴的指定及分配相當規律,使得下 游的ISP的IP位址會總是落在上游服務商的匯總位 址空間內,對ISP而言,因易於實現入口過濾機 制,故可有效遏阻此類攻擊。 62. 61
對IPv6位址偽冒攻擊之防禦對策(1/2)
1)在各個網路出入點實做入口過濾機制。
2)有些位址偽冒攻擊使用非法或未經配置的IP位址空 間,故可在邊緣路由器實作存取控制列表機制,僅 允許合法位址的流量通過路由器。
3)部署入侵偵測系統來監督Link-local的流量,特別 是一些well-known的群播位址及監督一些可疑流量 型態的門檻值(threshold)。
4)除遵循IPv6基本規範中之ICMPv6錯誤訊息的傳送 速率限制外,也應考量對ICMPv6中之一般及其他 訊息的傳送速率限制在一個合理的門檻值。 66. 65
DHCP攻擊(2/4)
不同於IPv4的DHCP使用廣播的方式進行協定的 操作,DHCPv6使用群播(IPv6不支援廣播), 故一種新的DHCPv6攻擊方式為使用群播泛洪攻 擊(Multicast-flooding attack),針對一個well- known的site-local群播位址做攻擊,因所有 DHCPv6伺服器皆會聆聽此位址,故只要攻擊者 將惡意封包送往此位址,就可一併攻擊多個 DHCPv6伺服器。
另一種攻擊方式為在合法的客戶主機內暗藏 DHCPv6服務,發送假的”reconfigure”訊息到網 路上,導致所有合法的客戶主機皆會再度去向伺 機主機詢問新的組態配置資料,這樣的結果會同 時影響到合法的客戶端及伺服端主機。 67. 66
DHCP攻擊(3/4)
不同於IPv4的DHCP使用廣播的方式進行協定的 操作,DHCPv6使用群播(IPv6不支援廣播), 故一種新的DHCPv6攻擊方式為使用群播泛洪攻 擊(Multicast-flooding attack),針對一個well- known的site-local群播位址做攻擊,因所有 DHCPv6伺服器皆會聆聽此位址,故只要攻擊者 將惡意封包送往此位址,就可一併攻擊多個 DHCPv6伺服器。
另一種攻擊方式為在合法的客戶主機內暗藏 DHCPv6服務,發送假的”reconfigure”訊息到網 路上,導致所有合法的客戶主機皆會再度去向伺 機主機詢問新的組態配置資料,這樣的結果會同 時影響到合法的客戶端及伺服端主機。 68. 67
DHCP攻擊(4/4)
其他像使用非法的DHCPv6伺服主機提供錯誤的IP 組態設定資料給合法的客戶端主機,導致客戶端 無法得到正確的資料而無法運作,或客戶端依所 得之錯誤資訊連線到惡意的應用伺服器等,也是 一般常見的攻擊方式。
最後一種攻擊型式為中間人(Man-in-the-middle)攻 擊,如一部非法的DHCPv6伺服器攔截到客戶主機 對伺服器的請求,並將之中繼到合法伺服器,但 卻在伺服器回應的封包上動手腳等。
解決此類攻擊的最佳解決方案為使用DHCP身份鑑 別選項(DHCP Authentication Option),這選項會在 客戶端及伺服端間進行交換,以驗證雙方的身份, 若驗證失敗則會忽略對方的請求或回應封包,但 目前支援這選項的DHCPv6伺服器並不多見。 69. 68
對DHCPv6攻擊之防禦對策
1)使用DHCPv6身份鑑別選項可有效反制中間人攻擊 及阻斷服務攻擊。
2)實作DHCP Snooping:某些網路交換器實作DHCP Snooping機制,可在特定埠口上設定允許那些 DHCP的訊息通過,或設定僅允許某特定埠口可銜 接DHCP伺服器,借此來降低私接非法主機所造成 的問題。
3)使用IPSec來確保DHCPv6中繼器及伺服器間的安全 連線,以IPSec的AH來認證來源及封包的完整性, 以ESP來進行封包的加密。
4)部署入偵測系統來監督不尋常的DHCPv6訊息。 70. 69
大綱:
1. IPv6介紹
(1) IPv4回顧與IPv6介紹
(2) IPv6機制介紹
(3) 台灣與國際IPv6發展現況介紹
(4) IPv4/IPv6互通機制介紹(雙協定、隧道、協定轉譯)
2. IPv4 到IPv6 轉移技術深入探討
3. IPv6 的安全威脅及防範方法
4.基礎網路與服務系統升級介紹 71. IPv6 帶給企業及營運商的影響(1/2)
推動IPv6 的建設對網路服務的發展與連續性至關重要, 也是國家資訊網路實力是否繼續領先國際的重要關鍵。基 於IPv6 網路未能立即創造商機,民營業界發展速度較慢, 因此目前由政府帶頭示範宣示推動IPv6 的決心,以加速 整體的發展。藉由政府網路及電子化政府網站服務啟動 IPv6 網路升級,將引導我國網路線路服務商、網路設備 廠商、網路內容開發商及系統整合服務商投入相關產品及 服務的研發與生產。
70 74. 國際組織IPv6位置規劃建議
依照APNIC 『IPv6 Best Current Practices』之分配建議
<文件部分>
紀錄哪些位址使用於基礎設施,哪些位址屬於用戶網段
利用文件、試算表或資料庫方式紀錄
<Infrastructure部分>
可挑選第一段/48用作基礎設施,位址較短便於設定
ex:2001:df8:0000::/48 ->2001:df8::/48
所有路由器的loopback應設為/128,並從基礎設施/48中,指定一段 /64作為loopback使用
可挑選第二段/48作為點對點連線使用,若不足則增加/48數量
針對每一個點對點連線保留一個/64,實際設定時盡量使用/127,可 避免Neighbor Cache DoS攻擊
伺服主機使用的LAN則以/64為單位
73 76. 75
IPv6 主機設備採購規範建議(1/2)
1)必要項目:必須通過IPv6 Ready Logo Phase-2 Core for Host 的測試規範。
2)安全選項:IPv6 Ready Logo Phase-2 IPSec for End- Node 的測試規範。
3)網管選項:IPv6 Ready Logo Phase-2 SNMP for Agent 的測試規範。建議以SNMPv2C 和RFC 4293 IP MIB 為參考標準,惟考量網路演進趨勢,將有 一段長時間之IPv4/IPv6 並存時期,故可暫以提供 IPv4 SNMP 功能為近期之要求,待市場設備普遍 成熟時再納入必要選項。 77. 76
IPv6 主機設備採購規範建議(2/2)
4)移動性選項:IPv6 Ready Logo Phase-2 Mobility for Mobile Node 或Correspondent Node 的測試規範。
5)DNS 選項:建議需支援 RFC 3596 DNS Extensions to Support IP Version 6。
6)DHCPv6 選項:IPv6 Ready Logo Phase-2 DHCPv6 for Client,建議需支援Client 模式,相關標準為 RFC 3315 Dynamic Host Config Protocol (DHCPv6)。
7)應用程式選項:目前已有 IPv6 Ready Logo Phase-2 SIPv6 for User Agent,但可考慮 Email、Web 等服 務或是註明相關應用程式必須同時支援IPv4/IPv6 通訊協定。(目前大部分作業系統皆已經支援IPv6)。 78. 77
IPv6路由器設備採購規範建議(1/2)
1)必要項目:必須通過IPv6 Ready Logo Phase-2 Core for Router 測試規範。
2)安全選項:IPv6 Ready Logo Phase-2 IPSec for Secure Gateway 測試規範。
3)網管選項:IPv6 Ready Logo Phase-2 SNMP for Agent 的測試規範。建議以SNMPv 2c 和RFC 4293 IP MIB 為參考標準,惟考量網路演進趨勢,將有 一段長時間之IPv4/IPv6 並存時期,故可暫以提供 IPv4 SNMP 功能為近期之要求,待市場設備普遍 成熟時再納入必要選項。 79. 78
IPv6路由器設備採購規範建議(1/2)
4)移動性選項: IPv6 Ready Logo Phase-2 Mobility for Home Agent 的測試規範。
5)DNS 選項:建議需支援RFC 3596 DNS Extensions to Support IP Version
6)DHCPv6 選項:IPv6 Ready Logo Phase-2 DHCPv6 for Server,建議需支援Server 或Relay Agent 模式, 相關標準為RFC 3315 Dynamic Host Config Protocol (DHCPv6)。
7)路由選項:須根據路由器之容量及使用地點,決定 適當通訊協定,通常SOHO Router 只要支援RIPNG (RFC 2080),而大容量Router 建議需支援OSPFv3 (RFC 5340)和BGP-4 + (RFC 2545、RFC 4271)。