IPv6网络部署实战（锐捷版）

孔德丽，南京机电职业技术学院副院长，副研究员，教育部学校规划建设发展中心专家，分管学校信息化总体规划和建设。长期从事学校信息化建设的总体规划、建设、管理及维护。主要研究方向为网络及信息安全，以及智慧校园、绿色校园的规划建设。主持省级、校级信息化建设相关课题近10项，公开发表相关研究论文10余篇。

沈群，南京航空航天大学信息化处综合技术服务部主任，网络通信工程师，负责校园网基础设施、校园一卡通、教室多媒体、视频会议等网络工程的建设和维护保障等工作。主持和参与多个省级科研课题，发表相关研究论文多篇。

崔北亮，南京工业大学图书馆副馆长，计算机网络方向硕士生导师，正高级工程师，从事网络方面的教学和研究工作20余年，出版专著12部，发表学术论文多篇。主持申报的《南京工业大学IPv6规模部署和应用实战培育基地》入选国家“2022年互联网协议第六版（IPv6）规模部署和应用优秀案例”。

适读人群 ：本书适合从事网络架构、部署、运维和管理等相关工作的人员阅读，也适合网络相关专业的高校师生阅读。

（1）详细介绍IPv6的基础知识，提供66个针对IPv6网络中的焦点问题和热门应用的实验，让读者通过“做中学”的方式深入理解并掌握IPv6的具体应用。
（2）实验内容包括：IPv6地址配置、DNS 配置、路由配置、网络安全、故障排除和过渡技术等，并提供代码源文件下载。
（3）实验环境为EVE-NG，这是目前市场占有率较广的虚拟仿真实验平台，并提供实验环境下载。
（4）读者仅通过一台计算机便可虚拟出多台计算机、路由器、交换机和防火墙等设备，以完成本书涉及的所有实验配置及测试。
（5）本书基于国内专业的网络设备供应商——锐捷公司的设备进行讲解，获得了锐捷公司的官方认可和支持。
（6）本书作者工作在IT一线，并从事网络方面的教学和研究工作20多年，深入了解网络需求和热点，且已出版多本网络管理方面的热销书。

第 1 章 绪论 1
1．1 IPv4 的局限性 2
1．1．1 地址枯竭 2
1．1．2 地址分配不均 3
1．1．3 骨干路由表巨大 3
1．1．4 NAT 破坏了端到端通信模型 3
1．1．5 QoS 问题和安全性问题 4
1．2 IPv6 发展历程及现状 4
1．3 IPv6 的特性 5
1．4 接入和体验 IPv6 7
1．4．1 家庭用户接入 IPv6 7
1．4．2 移动用户接入 IPv6 9
1．4．3 企业用户接入 IPv6 10
1．4．4 体验 IPv6 11
1．5 总结 12
第 2 章 EVE-NG 13
2．1 EVE-NG 简介 13
2．1．1 EVE-NG 的版本 13
2．1．2 EVE-NG 的安装方式 14
2．1．3 EVE-NG 的环境准备说明 14
2．2 将 EVE-NG 部署 15
2．2．1 基于 VMware Workstation 环境安装 15
2．2．2 将 EVE-NG 导入 vSphere ESXi 主机 21
2．2．3 EVE-NG 登录方式 23
2．3 EVE-NG 管理 25
2．3．1 EVE-NG 主界面 25
2．3．2 实验主界面 27
实验 2-1 IPv4 综合实验 35
实验 2-2 EVE-NG 磁盘清理 45
第 3 章 IPv6 基础 47
3．1 IPv6 地址表示方法 47
3．1．1 首选格式 47
3．1．2 压缩格式 48
实验 3-1 验证 IPv6 地址的合法性 48
3．1．3 内嵌 IPv4 地址的 IPv6 地址格式 50
实验 3-2 配置内嵌 IPv4 地址格式的 IPv6 地址 50
3．1．4 地址前缀和接口 ID 51
实验 3-3 设置不同的前缀长度并观察路由表 51
实验 3-4 验证基于 EUI-64 格式的接口 ID 52
3．2 IPv6 地址分类 56
3．2．1 单播地址 56
实验 3-5 增加和修改链路本地单播地址 57
实验 3-6 数据包捕获演示 57
3．2．2 任播地址 61
3．2．3 组播地址 61
实验 3-7 查看路由器上常用的 IPv6 组播地址 62
3．2．4 未指定地址和本地环回地址 63
3．3 ICMPv6 64
3．3．1 ICMPv6 差错报文 64
3．3．2 ICMPv6 消息报文 65
实验 3-8 常用的 IPv6 诊断工具 66
3．3．3 PMTU 69
实验 3-9 演示 PMTU 的使用和 IPv6 分段扩展报头 70
3．4 NDP 72
3．4．1 NDP 简介 72
3．4．2 NDP 常用报文格式 73
3．4．3 默认路由自动发现 77
实验 3-10 网关欺骗防范 78
3．4．4 地址解析过程及邻居表 83
实验 3-11 查看邻居表 83
3．4．5 路由重定向 84
3．5 IPv6 层次化地址规划 85
第 4 章 IPv6 地址配置方法 87
4．1 节点及路由器常用的 IPv6 地址 87
4．1．1 节点常用的 IPv6 地址 87
4．1．2 路由器常用的 IPv6 地址 88
4．2 DAD 88
实验 4-1 解决 IPv6 地址冲突问题 89
4．3 手动配置 IPv6 地址 91
实验 4-2 禁止系统地址自动配置功能 92
4．4 地址自动配置机制及过程 95
4．5 SLAAC 96
实验 4-3 SLAAC 实验配置 98
4．6 有状态 DHCPv6 100
4．6．1 DUID 和 IAID 102
4．6．2 DHCPv6 常见报文类型 103
4．6．3 DHCPv6 地址分配过程 104
实验 4-4 路由器作为 DHCPv6 服务器分配地址 104
实验4-5 Windows作为DHCPv6服务器分配地址 110
4．7 无状态 DHCPv6 116
4．8 IPv6 地址的多样性和优选配置 116
实验 4-6 不同类型 IPv6 地址的优先级和选择 117
4．9 RFC 6724 解读 121
第 5 章 DNS 124
5．1 DNS 基础 124
5．1．1 域名的层次结构 125
5．1．2 域名空间 125
5．1．3 域名服务器 126
5．1．4 域名解析过程 127
5．1．5 常见资源记录 128
5．2 IPv6 域名服务 130
5．2．1 DNS 系统过渡 130
5．2．2 正向 IPv6 域名解析 130
5．2．3 反向 IPv6 域名解析 130
5．2．4 IPv6 域名软件 131
5．2．5 IPv6 公共 DNS 132
5．3 BIND 软件 132
5．3．1 BIND 与 IPv6 133
实验 5-1 在 CentOS 7 下配置 BIND 双栈解析服务 133
5．3．2 BIND 中的 IPv6 资源记录 139
5．3．3 BIND 的 IPv6 反向资源记录 PTR 140
实验 5-2 配置 BIND IPv6 本地域解析服务 140
5．3．4 ACL 与 IPv6 动态域名 144
实验 5-3 配置 BIND IPv6 动态域名和智能解析 145
5．3．5 IPv6 域名转发与子域委派 149
5．4 Windows Server DNS 域名服务 151
实验 5-4 Windows Server 2016 IPv6 DNS 配置 151
实验 5-5 配置 DNS 转发 157
实验 5-6 巧用 DNS 实现域名封杀 158
实验 5-7 DNS 委派 158
5．5 配置 IPv4 IPv6 网络访问优先级 161
实验 5-8 调整双栈计算机 IPv4 和 IPv6 的优先级 163
第 6 章 IPv6 路由技术 166
6．1 路由基础 166
6．1．1 路由原理 166
6．1．2 路由协议 167
6．2 直连路由 168
6．3 静态路由 169
6．3．1 常规静态路由 169
实验 6-1 配置静态路由 171
6．3．2 浮动静态路由 174
实验 6-2 配置浮动静态路由 174
6．3．3 静态路由优缺点 178
6．4 默认路由 178
实验 6-3 配置默认路由 179
6．5 动态路由 180
6．5．1 静态路由与动态路由的比较 180
6．5．2 距离矢量和链路状态路由协议 181
6．5．3 常见的动态路由协议 184
6．6 RIPng 186
实验 6-4 配置 IPv6 RIPng 186
6．7 OSPFv3 189
实验 6-5 配置 OSPFv3 190
6．8 BGP4+ 192
实验 6-6 配置 BGP4+基本功能 193
实验 6-7 配置 BGP4+路由反射功能 197
6．9 路由选路 202
6．9．1 管理距离 203
6．9．2 路由选路原则 203
实验 6-8 活用静态路由助力网络安全 204
6．10 SRv6 208
6．10．1 SRv6 的基本原理 208
6．10．2 SRv6 Policy 213
实验 6-9 配置 L3VPNv4 over SRv6 Policy 216
第 7 章 IPv6 安全 226
7．1 IPv6 安全综述 226
7．2 IPv6 主机安全 228
7．2．1 IPv6 主机服务端口查询 228
7．2．2 关闭 IPv6 主机的数据包转发 229
7．2．3 主机 ICMPv6 安全策略 229
7．2．4 关闭不必要的隧道 230
7．2．5 主机设置防火墙 231
实验 7-1 Windows 防火墙策略设置 233
实验 7-2 CentOS 7．3 防火墙策略设置 240
7．3 IPv6 局域网安全 242
7．3．1 组播问题 242
7．3．2 局域网扫描问题 243
7．3．3 NDP 相关攻击及防护 243
实验 7-3 非法 RA 报文的检测及防范 245
7．3．4 IPv6 地址欺骗及防范 250
实验 7-4 利用 ND Snooping 功能彻底解决 NDP 攻击 253
实验 7-5 应用 uRPF 防止 IPv6 源地址欺骗 258
7．3．5 DHCPv6 安全威胁及防范 260
实验 7-6 利用 DHCPv6 Snooping 解决 DHCPv6 服务欺骗 261
7．4 IPv6 网络互联安全 266
7．4．1 IPv6 路由协议安全 266
实验 7-7 OSPFv3 的加密和认证 267
7．4．2 IPv6 路由过滤 271
实验 7-8 IPv6 路由过滤 272
7．4．3 IPv6 访问控制列表 277
实验 7-9 应用 IPv6 ACL 限制网络访问 278
7．5 网络设备安全 282
实验 7-10 对路由器的远程访问进行安全加固 282
7．6 防火墙部署 285
实验 7-11 部署防火墙防范 DoS 攻击 286
第 8 章 IPv6 网络过渡技术 297
8．1 IPv6 网络过渡技术简介 297
8．1．1 IPv6 过渡的障碍 297
8．1．2 IPv6 发展的各个阶段 298
8．1．3 IPv4 和 IPv6 互通问题 298
8．1．4 IPv6 过渡技术 299
8．2 双栈技术 299
实验 8-1 配置 IPv6 双栈 300
8．3 隧道技术 309
8．3．1 GRE 隧道 310
实验 8-2 GRE 隧道连通 IPv6 孤岛 310
实验 8-3 GRE 隧道连通 IPv4 孤岛 313
8．3．2 IPv6 in IPv4 手动隧道 315
8．3．3 6to4 隧道 316
实验 8-4 6to4 隧道配置 317
8．3．4 ISATAP 隧道 319
实验 8-5 ISATAP 隧道配置 320
8．3．5 Teredo 隧道 323
实验 8-6 Teredo 隧道配置 323
8．3．6 其他隧道技术 328
8．3．7 隧道技术对比 328
8．4 协议转换技术 329
实验 8-7 NAT64 配置 329
8．5 过渡技术选择 331
第 9 章 IPv6 应用过渡 332
9．1 远程登录服务 332
9．1．1 远程登录的主要方式 332
9．1．2 IPv6 网络中的 Telnet 服务 334
实验 9-1 在 CentOS 7 系统上配置 Telnet 双栈管理登录 334
9．1．3 IPv6 网络中的 SSH 服务 337
实验 9-2 在 CentOS 7 系统上配置 SSH 双栈管理登录 337
9．1．4 IPv6 网络下的远程桌面服务 340
实验 9-3 在 Windows Server 2016 上配置双栈远程桌面登录 340
9．2 Web 应用服务 345
9．2．1 常用的 Web 服务器 345
9．2．2 IPv6 环境下的 Web 服务配置 345
实验 9-4 在 CentOS 7 下配置 Apache IPv6 IPv4 双栈虚拟主机 346
实验 9-5 在 CentOS 7 下配置 Tomcat IPv6 IPv4 双栈虚拟主机 351
实验 9-6 在 CentOS 7 下配置 Nginx IPv6 IPv4 双栈虚拟主机 354
实验 9-7 在 Windows Server 2016 下配置 IPv6 IPv4 双栈虚拟主机 357
9．3 FTP 应用服务 359
实验 9-8 在 CentOS 7 下配置 Vsftpd FTP 双栈服务 360
实验 9-9 在 Windows Server 2016 下配置 IPv6 FTP 双栈服务 365
9．4 数据库应用服务 368
9．4．1 主流数据库服务软件简介 368
9．4．2 MySQL 数据库的 IPv6 配置 369
实验 9-10 在 CentOS 7 下配置 MySQL 数据库双栈服务 369
9．5 反向代理技术 372
实验 9-11 基于 Linux 的 Nginx IPv6 反向代理 373
实验 9-12 基于 Windows 的 Nginx IPv6 反向代理 376