l 前言
中国是世界上人口最多的国家,网民数量居世界第二,中国网络地址的希缺与网络规模的大发展形成了鲜明的对比,采用IPv6将完全改观这种局面,使中国网络未来的发展冲破地址资源匮乏的樊篱。高校向来是国家前沿技术的阵地,在下一代互联网的重大历史机遇面前,承担起IPv6的研究工作责无旁贷。
l IPv6校园网建设需求
国家重视的驱动
Ø IPv6将推动我国信息产业的发展
IPv6将带来中国在互联网领域赶超其他国家的重大机遇,对于设备商、运营商、家电商、甚至最终用户,抓住机遇都将带来充满生机的变化。
Ø 使中国赢得从引进技术转变到引导技术发展的机会
IPv6作为一个新的IP核心技术,将带动信息通信乃至其他产业的信息化发展,获得战略性竞争优势。真正需要IPv6的不是欧美日,而是中国。
学校的面临的机遇
Ø CERNET2将成为真正意义上的“中国教育与科研计算机网”(目前的CERNET网实际上已经成为运营网),作为下一代网络的研究示范平台,供各高校接入,以便有效开展IPv6的技术与应用的研究之用。
Ø 目前很多高校已经或开始建设校园内的IPv6网络(局部)或IPv6的城域网(覆盖城域范围内的若干高校),这些IPv6网络都将接入CERNET2。
Ø 211高校或者有重点学科的院校,最终都要接入CERNET2,目前已掀起建设“局部IPv6网/IPv6网络实验室”的热潮。
IPv6技术发展的驱动
Ø 支持IPv6的硬件芯片成熟、稳定,
Ø IPv6协议标准化得到了极大的发展
Ø 网络设备IPv6特性的完备性得到极大发展
Ø 校园IPv6业务、软件,如雨后春笋般不断出现
l H3C IPv6校园网解决方案
全新双栈IPv6校园网方案
Ø 新建核心层、汇聚层全双栈,全网运行OSPFv3/RIPng
Ø 汇聚层、核心层之间可采用10GE连接。
Ø 汇聚层设备作为用户接入点网关设备,通过运行VRRP实现网关冗余。
Ø 接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余,汇聚层、核心层设备采用双节点实现节点冗余。
Ø 支持穿透二层到桌面、百兆三层到桌面模型、千兆三层到桌面模型多种需求类型
利旧改造IPv6校园网方案
Ø 升级的重点在于网络核心层,使用双栈核心设备替代现有的IPv4核心设备。其余网络层次保持不变。
Ø IPv6用户接入方式:IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。
l 立体管理的IPv6校园网络解决方案
概述
随着CERNET2骨干网的成功运行、IPv6驻地网出口改造完成,各高校IPv6校园网建设也陆续完善起来。国家在CNGI与IPv6试商用的整体重视和投入,极大推进了校园IPv6业务与用户的蓬勃发展。正式由于业务与用户的迅猛增长,致使双栈网络还是隧道过渡,已经不再是关注的重点。而如何能够将IPv6校园建设成和IPv4网络一样安全、可管理、可运营成为对校园信息化主管新的挑战。
挑战
管理好IPv6用户资源
在原有IPv4校园网中,用户管理一直是管理聚焦的环节,很多老师和供应商都设计、开发了相关技术以解决用户网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6校园建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在一定的用户资源不可控风险。比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一的问题。
管理好IPv6业务资源
随着IPv6试商用建设在校园的部署,校园IPv6业务不断增加以满足更普遍的新业务服务。而IPv6业务在管理的维度将成为新的“黑盒子”,校园某些关键链路出现异常流量,而管理者并不清楚这是因为新业务正常增长而需要新的规划,还是因为某些安全隐患导致的异常;对于IPv6热点应用服务,也缺乏有效的服务质量保障。
管理好IPv6网络资源
每个学校都会有多个厂家提供的IPv6设备,数量规模不一,少则百余台多则近千台。庞大的IPv6网元组成的网络,有些部分是双栈,而有些部分则是纯IPv6协议,这样一张新网络需要实现有效管理,将会面临由于IPv6地址空间庞大而难以用传统技术生成拓扑的问题,以及厂家私有MIB充分管理利用的问题。
解决方案与价值实现
IPv6用户管理方案
IPv6安全准入——基于双栈或纯IPv6协议的802.1x等接入认证技术,验证IPv6用户准入权限,并记录其审计信息;
IPv6可信保障——ND攻击防御、伪DHCP6防御等交换机技术特性(SAVI),防止IPv6接入环境的伪造行为,保障源地址真实可信;
IPv6业务运营——基于交换机MLD Snooping和用户认证管理技术,面向用户下发IPv6组播权限,并支持运营计费。
IPv6业务管理方案
H3C IPv6网络流量分析管理技术NTA over IPv6,支持分布式的SFLOW、分布式IPFIX、可弹性扩容Netstream等多种方式进行双栈流量、纯IPv6流量数据采集,使IPv6校园网的业务分布情况、压力情况、变化趋势一目了然完全可视化。而对于IPv6业务集中的双栈数据中心,采用同时支持IPv4/IPv6的服务器负载均衡方案,帮助校园IPv6新热点业务大幅提升用户体验。
IPv6网络管理方案
H3C iMC在进行IPv6网络拓扑发现时,采用ND方式自动发现。该技术利用设备的ND信息,过滤出所有的全局IPv6地址,然后根据这些全局IPv6地址再次执行ND扫描,从而递归发现所有的网络设备。而该技术是基于公有IPV6-MIB(RFC2452)实现,只要第三方设备支持该MIB,就可以完成自动发现。而基于IPv6 ND的递归发现方式计算工作量大幅减小,极大提升了学校的管理工作效率。
小结
H3C 立体管理IPv6校园网解决方案,实现IPv6校园的安全、可控、可管和可运营,有效降低学校IPv6&IPv4 TCO,推进校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,为学校由IPv6试商用向正式商用提供了支撑。
l H3C IPv6解决方案优势
H3C的IPv6校园网解决方案的价值
IPv6园区网——通过完善的IPv6路由与交换产品线,为学校提供端到端的双栈部署与IPv6过渡迁移方案,并实现基于IPv6的虚拟化园区网络,为学校IPv6规模商用、IPv6业务精细化运维提供坚实基础。
IPv6无线校园——将校园有线网络与无线网络基于IPv6进行无缝整合,使其在双栈和纯IPv6环境下无障碍部署,并在管理配置、用户安全、组播业务等维度实现了IPv4/IPv6、有线/无线的同等承载能力。
IPv6安全管理——H3C将安全渗透网络解决方案升级到IPv6,实现IPv6用户的安全可信接入,确保用户接入网络的身份可信、杜绝仿冒攻击;同时利用双栈防火墙与IPS产品将外网对校园的攻击、对校园数据中心服务器的攻击有效阻断。
IPv6网络管理——不仅实现有效管理校园IPv6设备资源,快速发现IPv6拓扑并有效配置,而且实现校园IPv6业务在网络中的可视化管理,使学校不会因为IPv6业务部署而出现管理上的盲点。
IPv6增值运营——通过用户管理系统与IPv6组播交换机的配合,协助学校将IPv6组播业务实现基于用户和组播套餐的运营,同时可以控制非法组播源/非法组播接收者的接入,使校园IPv6实现有序可控的业务增值运营。
H3C的IPv6发展战略
IPv6核心技术的积累
H3C紧密跟踪国内外先进的IPv6技术,对IPv6技术中新出现的各项新特性进行分析并逐步纳入开发,IPv6专利申请数量超过50件,保持H3C的IPv6技术领先
平台的战略
p 基于H3C领先的COMWARE平台,通过软件升级实现各产品IPv6功能
p 硬件平台和设计充分考虑IPv6的要求,平滑升级IPv6,保护用户在IPv4的设备投资
p 平台集丰富特性,支撑业务融合,产品按需定制
发展方向——IToIPv6
p IPv6是华三公司的IToIP战略的发展目标
p 从核心到接入、从高端到低端的全系列IPv6路由器、交换机产品;从基础IPv6架构,到IPv6安全、管理、业务运营全方位发展
p 多媒体通信融合方案实现对IPv6技术的支持
p 数据中心实现IPv6与IPv4业务的无缝融合解决方案
p 整体规划,与业务研究同步进行,新业务应用将随网络的发展同步实现
教育行业IPv6实践经验
p 作为主要设备供应商参与CERNET2主干网及驻地网建设;
p 包括山东大学、北京邮电大学、中国政法大学等高校,至2009年10月已有近200所高校整体采用H3C系统开通IPv6业务
p “IPv6试商用项目”通过出色的入围测试效果与服务承诺,近90所高校选择H3C,市场份额第一
H3C携手开拓IPv6新课题
p H3C:拥有国内IP通信最强大的研发团队,拥有最规范的产品开发管理,拥有最广泛的各行业市场拓展团队
p 高校:拥有IPv6领域最前沿的理论研究,拥有最深刻的IPv6部署经验
p H3C+高校=最尖端的技术课题+最大的成果转化市场
我们的共同成果将服务于各IPv6校园网、IPv6电子政务网、IPv6运营商网络、IPv6企业网络,整体推进我国IPv6技术商用进程
我们的共同努力将在IETF等领域提升我国IPv6领域的地位与发言权
l 定购信息
建设环节 |
设施 |
推荐H3C设备 |
驻地网交换系统 |
核心网 |
S12500 |
汇聚网 |
S7500E |
|
接入网 |
S5500EI |
|
驻地网无线系统 |
自适应无线环境调整 |
WX6000系列控制器;无线插卡控制器;WA2620-AGN接入点;WA2612-AGN接入点; |
自适应负载均衡 |
||
快速三层漫游 |
||
无线IPv6 |
||
有线无线一体化 |
||
无线网安全防御能力 |
||
驻地网安全防御 |
CNGI互联接口防护 |
F5000 |
CNGI互联接口优化 |
ACG 8800 |
|
服务器群或数据中心防护 |
T5000 |
|
园区骨干网防护 |
SecBlade FW |
|
桌面接入风险防御 |
S5500EI |
|
驻地网综合管理 |
IPv6用户管理 |
iMC统一管理平台(用户管理组件) |
IPv6业务管理 |
iMC统一管理平台(网流分析组件) |
|
IPv6网络管理 |
iMC统一管理平台 |
|
驻地网出口路由 |
大型驻地网 |
SR8800 |
中小型驻地网 |
SR6600 |