IPv6校园网解决方案建议书模板.docx
《IPv6校园网解决方案建议书模板.docx》由会员分享,可在线阅读,更多相关《IPv6校园网解决方案建议书模板.docx(59页珍藏版)》请在冰豆网上搜索。
XXX大学IPv6校园网络建设方案建议书
XXX大学IPv6校园网络
建设方案建议书
杭州华三通信技术有限公司
Allrightsreserved
版权所有侵权必究
目录
第1章建设背景与需求 3
1.1IPv6驻地网建设需求 3
1.2XX大学IPv6驻地网建设需求 3
第2章XXX大学IPv6驻地网架构设计 5
2.1IPv6局域网络设计 5
2.1.1升级/改造现有IPv4网络 5
2.1.2新建IPv6网络 8
2.1.3IPv6无线网络 8
第3章IPv6地址规划与路由规划 11
3.1IPv6地址规划 11
3.2IPv6路由规划 12
第4章IPv6驻地网的安全防护 16
4.1驻地网面临的IPv6安全威胁 16
4.2IPv6骨干安全防护的部署 17
4.3IPv6接入安全防护的部署 17
4.3.1地址欺骗攻击 18
4.3.2DAD攻击 19
4.3.3RA攻击 19
4.3.4针对网关的泛洪攻击 20
4.3.5ND防攻击解决方案 21
4.4IPv6外网流量的分析控制 22
第5章IPv6组播业务部署 26
5.1组播技术概述 26
5.2IPv6组播技术介绍 26
5.3在XX学校部署IPv6可控组播的建议 30
第6章IPv6驻地网的管理 35
6.1概述 35
6.2IPv6驻地网管理挑战 35
6.3解决方案与价值实现 36
第7章IPv6驻地网的主要过渡与迁移策略 41
7.1全双栈模式 41
7.2隧道模式 42
7.3第二平面模式 48
第8章IPv6驻地网设施的关键技术考查点 50
第9章IPv6驻地网选择H3C作为战略合作伙伴 58
第1章建设背景与需求
1.1IPv6驻地网建设需求
2003年8月份,由国家发展改革委员会牵头,信息产业部、科学技术部、中国工程院、国家自然科学基金委员会、教育部等8大部委联合发起的国家级专项——中国下一代互联网示范项目CNGI(ChinaNextGenerationInternet)正式启动,并通过国务院批复。
CNGI核心网络建设目标是在2003年到2005年的时间内,采用IPv6技术,完成CNGI主干网(覆盖20个城市39个核心节点)以及国内与国际互联中心的建设,并实现与国际下一代互联网的高速连接。
截至2006年底,各CNGI骨干网建设基本就绪。
此项目涉及八大部委、六大全国性网络运营商(中国电信、中国网通、中国联通、中国移动、中国铁通、中国教育和科研网CERNET)、一百多所高校和研究单位、几十个设备制造商,工作量大、参加人多,在中国通信网络科技工程建设史上是第一次,对我国下一代互联网技术和产业的发展具有深刻影响。
CNGI网络将成为世界上最大的IPv6网络。
通过大规模IPv6网络建设的部署实施及商用探索,在未来的几年内,中国将成为以IPv6为基础的下一代网络领域的领先国家。
1.2XX大学IPv6驻地网建设需求
(一下部分仅供参考,请根据项目具体情况做修改替换)
在XXX大学部署IPv6之前,我们首先要考虑部署的总体方针和策略:
首先考虑网络设备对IPv6业务支持的广度。
比如IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLSVPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。
支持的业务种类越多越方便我们进行研究。
其次考虑网络设备对IPv6业务支持的深度。
IPv6首先应该部署在运营网络。
这是因为在IPv6网络里没有私网地址概念(Sitelocal地址类型已经被IPv6工作组取消),永远不出现NAT(指类似IPv4私有地址访问公有地址的方式)。
IPv6网络的复杂度应该大于IPv4的电信运营网络。
最后考虑IPv6标准的变化性。
目前IPv6标准中仍有许多处于草案阶段,即使已经成为RFC标准的,以后仍有可能进行协议扩充。
综上所述,XXX大学部署IPv6网络的时候,应该采用过渡的策略,首先完成IPv6网络接入到教育CNGI网络的目的,其次根据现有XXX大学驻地网内的实际情况,应用双栈技术和各种过渡技术,在不影响现有IPv4园区网主体拓扑结构的条件下,使得驻地网中需要部署IPv6网络的地方能够通过各种隧道技术,随时方便地接入CNGI骨干网。
显然,只有路由器而不是三层交换机能够提供如此广度和深度的IPv6业务能力,同时基于CPU的软件处理方式或基于NP网络处理器硬件编程,硬件处理的路由器,完全适应IPv6标准发展的变化性。
对于性能有要求的地方,比如连接CNGI骨干网的出口路由器应采用基于NP网络处理器技术(可编程,以适应IPv6标准的变化性)的高端路由器。
第2章XXX大学IPv6驻地网架构设计
2.1IPv6局域网络设计
根据不同学校的建设情况不同,通常分为升级现有网络(核心改造、区域改造,以及全面改造)或者新建(空白建设,或者平行于现有网络建设IPv6第二平面)。
对于升级类型,只改造核心或者部分区域,有利于低成本快速部署IPv6业务,快速允许用户访问IPv6资源。
但是难以解决部署IPv6后带来的管理问题以及安全防护问题等,建议直接进行全面改造,虽然前期资金成本有所增加,但是有利于运营成本和机会成本的降低,以实现整体TCO的降低。
对于新建,空白建设或第二平面建设并无本质差异,都是需要全新部署。
只是第二平面模式,需要解决布线系统资源,第二平面作为开展IPv6新业务的平台,同时分流现有压力较大的IPv4业务,甚至在网络升级、故障等特殊断网的备份平台。
同时建议考虑利用无线网络部署IPv6作为有线网的有效补充及备份。
2.1.1升级/改造现有IPv4网络
由于现有网络为IPv4网络且具备相当的用户规模,如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。
针对这种情况,建议采用升级现有IPv4网络的方案。
1.组网思路
在现有IPv4网络下分散着若干IPv6/IPv4双栈主机,为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小,可首先将园区网核心设备(核心交换机)升级为双栈,网络的其他部分保持不变。
核心设备完成升级后,可分别提供至IPv4网络和IPv6网络的出口;IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。
对于原有的IPv4用户不造成任何影响,同时实现了IPv6用户的接入。
对于大型的园区网,核心设备应考虑节点冗余,因此建议逐步完成对所有核心设备的升级。
图2-1园区网典型组网方案—升级现有IPv4网络(图1)
这种组网只适用少量IPv6/IPv4双栈用户的情况。
首先,由于用户直接接入核心设备,应避免核心设备的负担过重;其次,可以分别针对每个用户的IP地址、VLAN、端口作相应的策略,避免IPv6业务对原有网络的影响,同时保障核心设备的安全。
当IPv6/IPv4用户数量较大时,依然采用上述组网方式会使得配置太繁琐,而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。
由于园区网中可能存在IPv6用户相对集中的节点,如,驻地网当中的IPv6试验网,或IPv6研究性质的网络,或者园区网中的IPv6用户数量较多。
针对这种情况,建议先用一个双栈低端设备作一次汇聚。
这类节点下的IPv6主机可使用IPv6接入交换机接入后,通过双栈直接上联至核心交换机;也可以根据网络实际情况,在IPv6接入交换机与双栈核心交换机间采用IPv6overIPv4隧道方式连接,以穿过核心交换机与主机间可能存在的IPv4网络。
从整网的角度来看,这样的组网也具有更好的可扩展性。
根据实际用户的带宽情况,可以采用H3CE500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。
新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6(NativeIPv6)用户对于现有IPv4业务资源的访问。
同时,IPv4用户也会有访问IPv6业务资源的需求。
为实现这两种可能的业务互访的需求,需要考虑如何放置NAT-PT设备。
如果要访问的业务位于园区网内部,可以考虑在业务服务器出口处放置双栈路由器(如,SR路由器系列,或者支持NATPT的SecBlade系列的防火墙产品),完成NAT-PT功能;如果要访问的业务位于园区网外部,由于出口路由器也需要升级为双栈,因此可以考虑在园区网出口的路由器上实现NAT-PT功能。
图2-2升级现有IPv4网络组网下的IPv6/IPv4互访业务
2.1.2新建IPv6网络
随着IPv6网络规模的扩大,需要建设全新的IPv6网络。
可以采用华为三康的全系列IPv6产品建设IPv6/IPv4双栈园区网。
1.组网思路
新建IPv6网络相对前一种组网模式简单,选取支持双栈的交换机设备,按照现有的园区网建设模式组建网络即可。
核心层和汇聚层可选用双栈交换机,接入层建议使用具备IPv6环境下的安全防护功能、管理功能、组播功能的交换机组网。
建议采用H3CE500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。
为提高网络的可靠性,汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备;核心节点采用双核心部署保证节点冗余。
IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
为解决IPv4用户对于IPv6的访问、以及纯IPv6用户对于IPv4访问,同样需要考虑NAT-PT设备的放置问题。
2.1.3IPv6无线网络
概述
无线管理中心
无线网策略管理中心
无线交换机
运营管理中心
室内型热点无线覆盖
图书馆阅览室
办公室
会议室/学术厅
室外型热点无线覆盖
广场
室外集会
干道
有线骨干网
PoE供电接入
无线业务应用
移动数据业务
Wi-Fi语音漫游
组网模式采用FITAP+WirelessSwitch+无线网管软件+认证计费系统实现组网;无线交换机可以配合认证计费系统实现802.1x和WEBPortal的认证和计费(可选)。
FITAP的组网模式通过将AP上的功能“剥离”出来集中到“WirelessSwitch”(无线交换机)上来处理,包括动态密钥生成、认证的终结等,减轻了单个AP的负担和成本;同时,因为增加了WirelessSwitch和无线网管系统,WirelessSwitch配合FITAP能够实现更多的增值业务功能。
H3C自适应无线网通过4个关键组件(无线交换机、AP、PoE交换机、无线业务管理系统)可实现在现有有线网基础上灵活、平滑的叠加室外区域和主要楼宇的无缝覆盖,实现有线无线的统一管理。
IPv6无线网部署
无线IPv6网应该具备的基本要求:
支持IPv6环境——有线网IPv6已经是必须技术,无线网IPv6是必然趋势。
如果不支持IPv6势必造成将来改造成本再投入。
H3C通过部署AP与无线交换机互联基于IPv6的隧道,支持IPv6环境下的无线组网需求;
IPv6ACL、IPv6组播——无线网实现IPv6,需要对用户按照不同
升级会员 