IPv6校园网解决方案单页201006.docVIP

IPv6校园网解决方案 前言 中国是世界上人口最多的国家，网民数量居世界第二，中国网络地址的希缺与网络规模的大发展形成了鲜明的对比，采用IPv6将完全改观这种局面，使中国网络未来的发展冲破地址资源匮乏的樊篱。高校向来是国家前沿技术的阵地，在下一代互联网的重大历史机遇面前，承担起IPv6的研究工作责无旁贷。 IPv6校园网建设需求 国家重视的驱动 IPv6将推动我国信息产业的发展 IPv6将带来中国在互联网领域赶超其他国家的重大机遇，对于设备商、运营商、家电商、甚至最终用户，抓住机遇都将带来充满生机的变化。 使中国赢得从引进技术转变到引导技术发展的机会 IPv6作为一个新的IP核心技术，将带动信息通信乃至其他产业的信息化发展，获得战略性竞争优势。真正需要IPv6的不是欧美日，而是中国。 学校的面临的机遇 CERNET2将成为真正意义上的“中国教育与科研计算机网”（目前的CERNET网实际上已经成为运营网），作为下一代网络的研究示范平台，供各高校接入，以便有效开展IPv6的技术与应用的研究之用。 目前很多高校已经或开始建设校园内的IPv6网络（局部）或IPv6的城域网（覆盖城域范围内的若干高校），这些IPv6网络都将接入CERNET2。 211高校或者有重点学科的院校，最终都要接入CERNET2，目前已掀起建设“局部IPv6网/IPv6网络实验室”的热潮。 IPv6技术发展的驱动 支持IPv6的硬件芯片成熟、稳定， IPv6协议标准化得到了极大的发展 网络设备IPv6特性的完备性得到极大发展 校园IPv6业务、软件，如雨后春笋般不断出现 H3C IPv6校园网解决方案 全新双栈IPv6校园网方案 新建核心层、汇聚层全双栈，全网运行OSPFv3/RIPng 汇聚层、核心层之间可采用10GE连接。 汇聚层设备作为用户接入点网关设备，通过运行VRRP实现网关冗余。 接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余，汇聚层、核心层设备采用双节点实现节点冗余。 支持穿透二层到桌面、百兆三层到桌面模型、千兆三层到桌面模型多种需求类型 利旧改造IPv6校园网方案 升级的重点在于网络核心层，使用双栈核心设备替代现有的IPv4核心设备。其余网络层次保持不变。 IPv6用户接入方式：IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。 立体管理的IPv6校园网络解决方案 概述 随着CERNET2骨干网的成功运行、IPv6驻地网出口改造完成，各高校IPv6校园网建设也陆续完善起来。国家在CNGI与IPv6试商用的整体重视和投入，极大推进了校园IPv6业务与用户的蓬勃发展。正式由于业务与用户的迅猛增长，致使双栈网络还是隧道过渡，已经不再是关注的重点。而如何能够将IPv6校园建设成和IPv4网络一样安全、可管理、可运营成为对校园信息化主管新的挑战。 挑战 管理好IPv6用户资源 在原有IPv4校园网中，用户管理一直是管理聚焦的环节，很多老师和供应商都设计、开发了相关技术以解决用户网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6校园建设初期是以基础平台搭建为重点，缺乏对用户管理的有效手段，存在一定的用户资源不可控风险。比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一的问题。 管理好IPv6业务资源 随着IPv6试商用建设在校园的部署，校园IPv6业务不断增加以满足更普遍的新业务服务。而IPv6业务在管理的维度将成为新的“黑盒子”，校园某些关键链路出现异常流量，而管理者并不清楚这是因为新业务正常增长而需要新的规划，还是因为某些安全隐患导致的异常；对于IPv6热点应用服务，也缺乏有效的服务质量保障。 管理好IPv6网络资源 每个学校都会有多个厂家提供的IPv6设备，数量规模不一，少则百余台多则近千台。庞大的IPv6网元组成的网络，有些部分是双栈，而有些部分则是纯IPv6协议，这样一张新网络需要实现有效管理，将会面临由于IPv6地址空间庞大而难以用传统技术生成拓扑的问题，以及厂家私有MIB充分管理利用的问题。 解决方案与价值实现 IPv6用户管理方案 IPv6安全准入——基于双栈或纯IPv6协议的802.1x等接入认证技术，验证IPv6用户准入权限，并记录其审计信息； IPv6可信保障——ND攻击防御、伪DHCP6防御等交换机技术特性（SAVI），防止IPv6接入环境的伪造行为，保障源地址真实可信； IPv6业务运营——基于交换机MLD Snooping和用户认证管理技术，面向用户下发IPv6组播权限，并支持运营计费。 IPv6业务管理方案 H3C IPv6网络流量分析管理技术NTA over I