非常網管 IPv6網路部署實戰

《非常網管：IPv6網路部署實戰》作為市面上為數不多的強調IPv6實用性的圖書，藉助於EVE-NG網路模擬工具對IPv6的基本知識以及套用部署進行了詳細介紹。

《非常網管：IPv6網路部署實戰》共分為8章，其內容涵蓋了IPv6的發展歷程、現狀以及特性，EVE-NG的安裝和部署，IPv6的基礎知識，IPv6地址的配置方法，DNS知識，IPv6路由協定，IPv6安全機制，IPv6網路過渡技術和協定轉換技術，以及IPv6套用的過渡技術等。本書中涉及的理論知識可服務於書中介紹的IPv6部署實驗（即實驗為主，理論為輔），旨在讓讀者以EVE-NG模擬器為工具，通過動手實驗的方式徹底掌握IPv6的具體套用。

《非常網管：IPv6網路部署實戰》適合大中型企業、ISP運營商的網路架構、設計、運維、管理人員閱讀，也適合高校網路專業的師生閱讀。

第 1章 緒論 1

1．1　IPv4局限性　2

1．1．1　地址枯竭　2

1．1．2　地址分配不均　3

1．1．3　骨幹路由表巨大　3

1．1．4　NAT破壞了端到端通信模型　3

1．1．5　QoS問題和安全性問題　4

1．2　IPv6發展歷程及現狀　5

1．3　IPv6的特性　7

1．4　總結　9

第　2章 EVE-NG　10

2．1　EVE-NG簡介　10

2．1．1　EVE-NG的版本　10

2．1．2　EVE-NG的安裝方式　11

2．1．3　計算機的硬體要求　11

2．1．4　安裝VMware Workstation　11

2．2　EVE-NG部署　12

2．2．1　導入EVE-NG虛擬機　13

2．2．2　VMware Workstation中的網路類型　16

2．2．3　EVE-NG登錄方式　19

2．3　EVE-NG管理　21

2．3．1　EVE-NG調優　21

2．3．2　性能測試　23

2．3．3　EVE-NG主界面　28

2．3．4　實驗主界面　30

實驗2-1　IPv4路由和交換綜合實驗　39

實驗2-2　防火牆配置　45

實驗2-3　EVE-NG磁碟清理　49

第3章　IPv6基礎　51

3．1　IPv6地址表示方法　51

3．1．1　首選格式　51

3．1．2　壓縮格式　52

實驗3-1　驗證IPv6地址的合法性　52

3．1．3　內嵌IPv4地址的IPv6地址格式　55

實驗3-2　配置內嵌IPv4地址格式的IPv6地址　55

3．1．4　子網前綴和接口ID　57

實驗3-3　設定不同的前綴長度生成不同的路由表　57

實驗3-4　驗證基於EUI-64格式的接口ID　59

3．2　IPv6地址分類　62

3．2．1　單播地址　62

實驗3-5　增加和修改鏈路本地單播地址　63

實驗3-6　數據包捕獲演示　64

3．2．2　任播地址　69

實驗3-7　一個簡單的任播地址實驗　69

3．2．3　組播地址　72

實驗3-8　路由器上常用的IPv6地址　74

實驗3-9　抓包分析組播報文　75

3．2．4　未指定地址和本地環回地址　76

3．3　ICMPv6　76

3．3．1　ICMPv6差錯報文　77

3．3．2　ICMPv6訊息報文　78

實驗3-10　常用的IPv6診斷工具　78

3．3．3　PMTU（路徑MTU）　82

實驗3-11　演示PMTU的使用和IPv6分段擴展報頭　83

3．4　NDP　85

3．4．1　NDP簡介　85

3．4．2　NDP常用報文格式　86

3．4．3　默認路由自動發現　89

實驗3-12　網關欺騙防範　90

3．4．4　地址解析過程及鄰居表　96

實驗3-13　查看鄰居表　96

3．4．5　路由重定向　98

3．5　IPv6層次化地址規劃　98

第4章　IPv6地址配置方法　100

4．1　節點及路由器常用的IPv6地址　100

4．1．1　節點常用的IPv6地址　100

4．1．2　路由器常用的IPv6地址　101

4．2　DAD　101

實驗4-1　IPv6地址衝突的解決　102

4．3　手動配置IPv6地址　105

實驗4-2　禁止系統地址自動配置功能　105

4．4　地址自動配置機制及過程　108

4．5　SLAAC　109

實驗4-3　SLAAC實驗配置　112

4．6　有狀態DHCPv6　114

4．6．1　DUID和IAID　116

4．6．2　DHCPv6常見報文類型　118

4．6．3　DHCPv6地址分配流程　118

實驗4-4　路由器做DHCPv6伺服器分配　119

實驗4-5　用Windows做DHCPv6伺服器　125

4．7　無狀態DHCPv6　133

4．8　DHCPv6-PD　134

實驗4-6　DHCPv6-PD實驗　136

第5章　DNS　142

5．1　DNS基礎　142

5．1．1　域名的層次結構　143

5．1．2　域名空間　143

5．1．3　域名伺服器　144

5．1．4　域名解析過程　145

5．1．5　常見資源記錄　147

5．2　IPv6域名服務　148

5．2．1　DNS系統過渡　148

5．2．2　正向IPv6域名解析　149

5．2．3　反向IPv6域名解析　149

5．2．4　IPv6域名軟體　150

5．2．5　IPv6公共DNS　151

5．3　BIND軟體　152

5．3．1　BIND與IPv6　152

實驗5-1　在CentOS 7下安裝配置BIND雙棧解析服務　153

5．3．2　BIND中的IPv6資源記錄　160

5．3．3　BIND的IPv6反向資源

記錄PTR　160

實驗5-2　配置BIND IPv6本地域解析服務　161

5．3．4　ACL與IPv6動態域名　166

實驗5-3　配置BIND IPv6動態域名和智慧型解析　167

5．3．5　IPv6域名轉發與子域委派　171

5．4　Windows Server DNS域名服務　174

實驗5-4　Windows Server 2016 IPv6 DNS配置　174

實驗5-5　配置DNS轉發　183

實驗5-6　巧用DNS實驗域名封殺　183

實驗5-7　DNS委派　184

5．5　IPv4/IPv6網路訪問優先配置　188

實驗5-8　調整雙棧計算機IPv4和IPv6的優先　190

第6章　IPv6路由技術　193

6．1　路由基礎　193

6．1．1　路由原理　193

6．1．2　路由協定　194

6．2　直連路由　195

6．3　靜態路由　197

6．3．1　常規靜態路由　197

實驗6-1　配置靜態路由　199

6．3．2　浮動靜態路由　202

實驗6-2　配置浮動靜態路由　202

6．3．3　靜態路由優缺點　208

6．4　默認路由　209

實驗6-3　配置默認路由　209

6．5　動態路由協定　211

6．5．1　靜態路由與動態路由的比較　211

6．5．2　距離矢量和鏈路狀態路由協定　212

6．5．3　常見的動態路由協定　216

6．6　RIPng　217

實驗6-4　配置IPv6 RIPng　218

6．7　OSPFv3　221

實驗6-5　配置OSPFv3　222

6．8　路由選路　225

6．8．1　管理距離　225

6．8．2　路由選路原則　226

第7章　IPv6安全　229

7．1　IPv6安全綜述　229

7．2　IPv6主機安全　231

7．2．1　IPv6主機服務連線埠查詢　231

7．2．2　關閉IPv6主機的數據包轉發　232

7．2．3　主機ICMPv6安全策略　233

7．2．4　關閉不必要的隧道　234

7．2．5　主機設定防火牆　235

實驗7-1　Windows防火牆策略設定　236

實驗7-2　CentOS 7．3防火牆策略設定　245

7．3　IPv6區域網路安全　247

7．3．1　組播問題　247

7．3．2　區域網路掃描問題　248

7．3．3　NDP相關攻擊及防護　249

實驗7-3　非法RA報文的檢測及防範　252

7．3．4　IPv6地址欺騙及防範　257

實驗7-4　套用URPF防止IPv6源地址欺騙　258

7．3．5　DHCPv6安全威脅及防範　260

7．4　IPv6網路互聯安全　262

7．4．1　IPv6路由協定安全　263

實驗7-5　OSPFv3的加密和認證　264

7．4．2　IPv6路由過濾　267

實驗7-6　IPv6路由過濾　269

7．4．3　IPv6訪問控制列表　274

實驗7-7　套用IPv6 ACL限制網路訪問　276

7．5　網路設備安全　281

實驗7-8　對路由器的遠程訪問進行安全加固　282

第8章　IPv6網路過渡技術　286

8．1　IPv6網路過渡技術簡介　286

8．1．1　IPv6過渡的障礙　286

8．1．2　IPv6發展的各個階段　287

8．1．3　IPv4和IPv6互通問題　287

8．1．4　IPv6過渡技術概述　288

8．2　雙棧技術　289

實驗8-1　配置IPv6雙棧　289

8．3　隧道技術　299

8．3．1　GRE隧道　299

實驗8-2　GRE隧道互連IPv6孤島　299

實驗8-3　GRE隧道互連IPv4孤島　303

實驗8-4　IPv4客戶端使用PPTP VPN隧道訪問IPv6網路　306

實驗8-5　IPv6客戶端使用L2TP VPN訪問IPv4網路　319

8．3．2　IPv6 in IPv4手動隧道　322

8．3．3　6to4隧道　323

實驗8-6　6to4隧道配置　325

8．3．4　ISATAP隧道　327

實驗8-7　ISATAP隧道配置　328

8．3．5　Teredo隧道　331

實驗8-8　Teredo隧道配置　332

8．3．6　其他隧道技術　338

8．3．7　隧道技術對比　338

8．4　協定轉換技術　339

8．4．1　NAT-PT轉換技術　339

實驗8-9　靜態NAT-PT配置　340

實驗8-10　動態NAT/NAPT-PT配置　341

實驗8-11　防火牆上的NAPT-PT配置　343

8．4．2　NAT64轉換技術　346

實驗8-12　NAT64配置　346

實驗8-13　DNS64配置　348

8．4．3　其他轉換技術　350

8．5　過渡技術選擇　351

第9章　IPv6套用過渡　352

9．1　遠程登錄服務　352

9．1．1　遠程登錄的主要方式　352

9．1．2　IPv6網路中的Telnet服務　354

實驗9-1　在CentOS 7系統上配置Telnet雙棧管理登錄　354

9．1．3　IPv6網路中的SSH服務　358

實驗9-2　在CentOS 7系統上配置SSH雙棧管理登錄　358

9．1．4　IPv6網路下的遠程桌面服務　362

實驗9-3　在Windows Server 2016上配置雙棧遠程桌面登錄　362

9．2　Web套用服務　368

9．2．1　常用的Web伺服器　368

9．2．2　IPv6環境下的Web服務配置　368

實驗9-4　在CentOS 7下配置Apache IPv6/IPv4雙棧虛擬主機　369

實驗9-5　在CentOS 7下配置Tomcat IPv6/IPv4雙棧虛擬主機　374

實驗9-6　在CentOS 7下配置Nginx IPv6/IPv4雙棧虛擬主機　378

實驗9-7　在Windows Server 2016下配置IPv6/IPv4雙棧虛擬主機　381

9．3　FTP套用服務　384

實驗9-8　在CentOS 7下安裝配置vsftpd FTP雙棧服務　385

實驗9-9　在Windows Server 2016下配置IPv6 FTP雙棧服務　390

9．4　資料庫套用服務　394

實驗9-10　在CentOS 7下安裝配置MySQL資料庫雙棧服務　395

9．5　反向代理技術　399

實驗9-11　基於Nginx的IPv6反向代理　400

9．6　網路管理系統　406

實驗9-12　開源網管軟體NetXMS的部署套用　407

崔北亮，高級工程師，南京工業大學信息中心副主任，持有CCIE、VMware VCP等多項行業認證，從事網路方面的教學和研究工作20多年，具有豐富的授課經驗和網路管理、運維經驗，還是多本IT暢銷圖書的作者。

羅國富，副研究員，南京農業大學圖書與信息中心校園網主管，長期從事校園網建設管理和信息化項目建設工作，主要研究方向為網路管理、信息安全、系統維護和套用開發等。

饒德勝，現任職於河海大學網路與信息管理中心網路部，負責校園網及數據中心網路的規劃、設計與實施，主要研究方向為網路技術架構、網路安全、VPN等。