文档介绍:IPv6校园网解决方案
前言
中国是世界上人口最多的国家,网民数量居世界第二,中国网络地址的希缺与网络规模的大发展形成了鲜明的对比,采用IPv6将完全改观这种局面,使中国网络未来的发展冲破地址资源匮乏的樊篱。高校向来是国家前沿技术的阵地,在下一代互联网的重大历史机遇面前,承担起IPv6的研究工作责无旁贷。
IPv6校园网建设需求
国家重视的驱动
IPv6将推动我国信息产业的发展
IPv6将带来中国在互联网领域赶超其他国家的重大机遇,对于设备商、运营商、家电商、甚至最终用户,抓住机遇都将带来充满生机的变化。
使中国赢得从引进技术转变到引导技术发展的机会
IPv6作为一个新的IP核心技术,将带动信息通信乃至其他产业的信息化发展,获得战略性竞争优势。真正需要IPv6的不是欧美日,而是中国。
学校的面临的机遇
2将成为真正意义上的“中国教育与科研计算机网”(网实际上已经成为运营网),作为下一代网络的研究示范平台,供各高校接入,以便有效开展IPv6的技术与应用的研究之用。
目前很多高校已经或开始建设校园内的IPv6网络(局部)或IPv6的城域网(覆盖城域范围内的若干高校),2。
211高校或者有重点学科的院校,2,目前已掀起建设“局部IPv6网/IPv6网络实验室”的热潮。
IPv6技术发展的驱动
支持IPv6的硬件芯片成熟、稳定,
IPv6协议标准化得到了极大的发展
网络设备IPv6特性的完备性得到极大发展
校园IPv6业务、软件,如雨后春笋般不断出现
H3C IPv6校园网解决方案
全新双栈IPv6校园网方案
新建核心层、汇聚层全双栈,全网运行OSPFv3/RIPng
汇聚层、核心层之间可采用10GE连接。
汇聚层设备作为用户接入点网关设备,通过运行VRRP实现网关冗余。
接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余,汇聚层、核心层设备采用双节点实现节点冗余。
支持穿透二层到桌面、百兆三层到桌面模型、千兆三层到桌面模型多种需求类型
利旧改造IPv6校园网方案
升级的重点在于网络核心层,使用双栈核心设备替代现有的IPv4核心设备。其余网络层次保持不变。
IPv6用户接入方式:IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。
立体管理的IPv6校园网络解决方案
概述
2骨干网的成功运行、IPv6驻地网出口改造完成,各高校IPv6校园网建设也陆续完善起来。GI与IPv6试商用的整体重视和投入,极大推进了校园IPv6业务与用户的蓬勃发展。正式由于业务与用户的迅猛增长,致使双栈网络还是隧道过渡,已经不再是关注的重点。而如何能够将IPv6校园建设成和IPv4网络一样安全、可管理、可运营成为对校园信息化主管新的挑战。
挑战
管理好IPv6用户资源
在原有IPv4校园网中,用户管理一直是管理聚焦的环节,很多老师和供应商都设计、开发了相关技术以解决用户网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6校园建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在一定的用户资源不可控风险。比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一的问题。
管理好IPv6业务资源
随着IPv6试商用建设在校园的部署,校园IPv6业务不断增加以满足更普遍的新业务服务。而IPv6业务在管理的维度将成为新的“黑盒子”,校园某些关键链路出现异常流量,而管理者并不清楚这是因为新业务正常增长而需要新的规划,还是因为某些安全隐患导致的异常;对于IPv6热点应用服务,也缺乏有效的服务质量保障。
管理好IPv6网络资源
每个学校都会有多个厂家提供的IPv6设备,数量规模不一,少则百余台多则近千台。庞大的IPv6网元组成的网络,有些部分是双栈,而有些部分则是纯IPv6协议,这样一张新网络需要实现有效管理,将会面临由于IPv6地址空间庞大而难以用传统技术生成拓扑的问题,以及厂家私有MIB充分管理利用的问题。
解决方案与价值实现
IPv6用户管理方案
IPv6安全准入——,验证IPv6用户准入权限,并记录其审计信息;
IPv6可信保障——ND攻击防御、伪DHCP6防御等交换机技术特性(SAVI),防止IPv6接入环境的伪造行为,保障源地址真实可信;
IPv6业务运营——基于交换机MLD Snooping和用户认证管理技术,面向用户下发IPv6组播权限,并支持运营计费。
IPv6业务管理方案
H3C IPv6网络流量分析管理技术NTA over IPv6,支持分布式的SFL