IPv6校园建设方案模板.docx
《IPv6校园建设方案模板.docx》由会员分享,可在线阅读,更多相关《IPv6校园建设方案模板.docx(29页珍藏版)》请在冰豆网上搜索。
IPv6校园建设方案模板
IPv6校园网建设实施方案
XXXX年XX月XX日
目录
1
项目技术方案
1.1校园网网络拓扑设计方案
(根据各学校实际情况添加)
1.1.1校园网IPv6部署中需要考虑的问题
在校园网部署IPv6之前,我们首先要考虑部署的总体方针和策略:
1.网络中部署IPv6业务的模式:
在校园网中部署IPv6可以有全双栈模式和隧道模式。
全双栈模式组网是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰。
隧道模式属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。
2.考虑网络设备对IPv6业务支持的广度:
如:
IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLSVPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM等等。
3.校园网IPv6技术升级建设应考虑部署后的可管理性:
在本次网络建设后,应充分考虑网络部署IPv6的可管理及可维护性,要能够满足日常教学科研的需要。
4.针对不同的网络环境进行建设:
采用H3C的设备的学校可以考虑直接扩容为全双栈模式,适当兼顾只支持IPv4协议栈的终端;并可根据学校的实际情况,可以先建设部分双栈网络,其他部分采用隧道模式允许用户访问CERNET2,逐步将不支持IPv6的设备进行换代升级。
综上所述,本次部署IPv6网络的时候,建议有条件的网络中采用全双栈部署,完成本次驻地网的大部分改造,其次根据现有校园网内的实际情况,采用部分过渡技术,在不影响现有IPv4校园网主体拓扑结构的条件下,使得校园网中需要部署IPv6网络的地方能够通过隧道技术,接入CERNET2。
1.1.2整网设计原则
在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。
典型的校园园区网络结构可以分成三层:
接入层、汇聚层、核心层。
1)接入层:
提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。
对于校园园区网的接入层设备,建议有条件的网络采用采用千兆接入的方式,其他的网络中升级可以采用百兆的接入方式。
2)汇聚层:
汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。
3)核心层:
网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。
对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的RRPP/RPR环网结构或多设备冗余的星型结构。
对于校园园区网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现校园网IT资源整合的需求。
1.1.3IPv6过渡技术简介
ISATAP隧道:
随着IPv6技术的推广,现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。
ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址:
ISATAP地址。
ISATAP地址格式为:
Prefix(64bit):
0:
5EFE:
IPv4ADDR(IPv4ADDR即隧道端点的IPv4源地址,形式为a.b.c.d或者xxxx:
xxxx,其中xxxx:
xxxx是由32位IPv4源地址a.b.c.d转化而来的32位16进制表示)。
通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道的地址格式
ISATAP隧道可以用于在IPv4网络中IPv6路由器—IPv6路由器、主机—路由器的连接。
由于不要求隧道节点具有全球唯一的IPv4地址,可以用于内部私有网络中各双栈主机进行IPv6通信,所以ISATAP隧道适用于在IPv4网络中的IPv6主机之间的通信或IPv4网络中IPv6主机接入到IPv6网络的通信(如下图所示)。
如果是内部主机之间通讯,路由器的作用就是给主机自动分配ISATAP地址,主机利用得到的地址与其他主机通信。
主机—路由器的ISATAP隧道应用
在IPv6网络的建设初期,出于投资的考虑,可能很难实现对原有IPv4网络整体升级至IPv6/IPv4双栈的模式,因此多采用将驻地网的汇聚层或出口设备(如,路由器)首先升级至双栈的模式,而汇聚层设备以下仍保持原有的IPv4网络。
为实现位于IPv4驻地网内部的双栈主机与其他IPv6网络的通信,或IPv6主机之间的通信,即可采用ISATAP主机—路由器的隧道部署方式。
6to4隧道分析:
和ISATAP隧道一样,6to4隧道也是一种自动构造隧道的方式。
6to4隧道是点到多点的自动隧道,主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。
6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
6to4隧道采用特殊的地址:
6to4地址,它以2002开头,后面跟着32位的IPv4地址转化的32位16进制表示,构成一个48位的6to4前缀2002:
IPv4ADDR:
:
/48。
6to4隧道的地址格式
6to4隧道只能将前缀为2002:
:
/16的网络连接起来,但在IPv6网络中也会使用像2001:
:
/16这样的非6to4网络地址。
为了使这些地址可达,必须有一台6to4路由器作为网关转发到IPv6网络的报文,从而实现6to4网络(地址前缀以2002开始)与IPv6网络的互通,这台路由器就叫做6to4中继(6to4Relay)路由器。
6to4隧道的作用就是解决孤立的IPv6站点、IPv6子网,在没有Internet提供商提供IPv6服务的情况下的与其他孤立的IPv6站点、IPv6主干网内部站点之间的通信问题。
通常在这种情况下,隧道是建立在IPv6子网或者IPv6站点的边界路由器上。
起点在源站点的边界路由器上、终点在目的站点的边界路由器上。
6to4隧道的应用
因此在实际网络中,这种隧道可以很好地解决IPv6的分支网络间通过IPv4网络建立6to4隧道实现互联。
而且由于可以实现6to4Relay的功能,使得6to4隧道可以在更加复杂的IPv6路由环境下提供IPv6孤岛间的通信。
需要注意的是,因为6to4地址是自动从站点的IPv4地址派生出来的,因此如果需要6to4隧道穿越IPv4公网时(如,现在的Internet),就要求每个6to4节点必须具有一个全球唯一的IPv4地址。
但是通常校园网中主机和出口路由器之间建立隧道,跨越公网的可能性比较小。
还有一种运用模式,如下图所示。
与ISATAP隧道的典型应用场景类似,6to4隧道也能提供主机—路由器的隧道部署方式。
此时,只要6to4主机与6to4路由器的IPv4路由可达即可实现隧道,并不要求必须是全球唯一的IPv4地址。
主机—路由器的6to4隧道应用
1.1.4校园网IPv6部署模式分析
完全新建模式(全双栈模式)
拓扑简述:
所有驻地网三层设备均为IPv4/v6双栈设备。
并通过IPv6出口交换机通过GE链路连接到CERNET2。
实现原理:
驻地网(校园网)中部署双协议栈网络是最理想的方法,系统开销最小、厂家技术、芯片技术都已经成熟。
以前有人选择过渡技术,是因为改造成本相对高而不能选择。
这次项目实际上就是一次很好的改造契机。
如上图所示,通过对校园网的核心层设备升级到H3CS7500E/S9500、汇聚层设备升级到S5500EI或S7500E、接入设备升级到E126A或S5100EI,完成将整体校园网升级到“全双栈模式”校园网络架构。
在校园网中部署全双栈的网络,这样对于新建的驻地网(校园网)中双栈用户可以同时访问访问IPv6和IPv4网络。
对于双栈终端,IPv4网关和IPv6网关均部署在汇聚3层交换机上。
驻地网内所有三层设备由于均是双栈设备,既运行IPv4路由协议也运行IPv6路由协议。
不同协议的数据转发路径可能一致,也可以不同。
全双栈模式优点:
从技术角度这是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰。
原有设备利旧模式(双栈+隧道模式):
拓扑简述:
原有网络设备不支持IPv6,设计中将原有的核心或汇聚层设备下移一层,将原有的核心8500设备下移至汇聚层,接入部分IPv4用户。
将原有的汇聚层及核心层设备替换为支持IPv4/IPv6双栈的设备。
对于S8500下面的需要接入IPv6网络用户通过ISATAP隧道接入到IPv6网络,其他的IPv6用户通过双栈设备接入。
实现原理:
如上图所示,通过对校园网的核心层设备升级到H3CS7500E/S9500、汇聚层设备升级到S5500EI或S7500E、接入设备升级到E126A或S5100EI,完成部分原有网络设备升级到IPv6网络。
同时,可以利用原有的核心设备接入部分IPv4用户,利用ISATAP隧道接入IPv6网络。
利旧模式优点:
这个方案可以充分利用原有网络中淘汰的高端设备,避免投资浪费,又能够充分获得IPv6/IPv4双栈部署的优点。
混合组网模式:
1.双平面组网模式:
拓扑简述:
需要保留原有网络中的汇聚层及核心层的不支持IPv6的网络设备,在相同的层次上新建立一套IPv6汇聚层与核心层设备。
实现原理:
使用双平面校园网,即在现有校园网的基础上,核心、汇聚每台设备旁边拷贝一套新的网络平面。
第一平面负责原有IPv4业务,第二平面即作为IPv6业务平面,也作为IPv4业务的热备平面。
第二平面中,核心层设备使用H3CS7500E,汇聚层设备使用H3CS5500EI/S7500E。
双平面组网模式的优点:
IPv6业务平面随时可随意以开展IPv6业务研究而不影响现有业务,作为备份平面,大幅提升整个校园网的可靠性和带宽。
并且在第三方设备过保淘汰时,可以保证现网业务不中断平滑割接。
需要注意的是:
这种方案有个前提:
学校布线资源需要改造,包括核心汇聚之间的单模光纤、包括楼宇内部垂直布线系统(接入交换机双上行到IPv4汇聚、IPv6汇聚),但是本次项目国家拨款中是包括环境设施改造的。
2.核心改造模式:
拓扑简述:
仅保留原有网络中的接入层设备,将核心层与汇聚层设备替换为支持IPv6/IPv4双栈的设备。
实现原理:
原有的接入层设备能够满足本次IPv6的升级要求,无需升级,所以本次升级仅升级核心层及汇聚层设备,将其升级到支持IPv6/IPv4双栈的设备,满足本次部署需要。
在本次升级中,核心层设备选用H3CS7500E,汇聚层设备选用H3CS5500EI/S7500E。
核心改造模式的优点:
充分利用资金,对校园网核心、汇聚进行充分改造,从而使校园网对IPv6/IPv4的支持和转发性能提升到新的高度。
同时IPv4和IPv6的逻辑界面清晰。
1.1.5校园网IPv6无线网络部署方案
在WLAN集中管理架构中,AP(AccessPoint接入点)和AC(AccessController接入控制器)之间通过LWAPP协议建立管理和数据隧道。
接入控制器通过管理隧道完成对接入点服务的配置,监控,以及管理,接入点通过接入控制器为无线接入用户提供网络接入服务。
集中管理架构的WLAN网络中,接入控制器是整个WLAN网络的核心,它实现了整个WLAN网络的服务管理;所有的接入点只有成功和接入控制器建立链接,并且成功从接入控制器获得相应的服务配置以后,才可以提供无线接入服务。
目前,集中管理架构WLAN在接入点和接入控制器之间采用LWAPP协议构建,而且同时支持IPv4和IPv6协议。
也就是,接入控制器作为服务器,可以接收来自IPv4以及IPv6网络的接入点的链接请求;而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接。
FitAP设备为零配置设备,该设备在上电后可以自动发现接入控制器,选择当前能够提供最优服务的接入控制器建立链接。
由于接入点为零配置设备,不能判断当前接入的网络为IPv4还是IPv4网络,所以接入点会首先在IPv4网络进行接入控制器的发现和链接处理,如果接入点无法成功通过IPv4网络和接入控制器建立链接,则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。
另外,无线接入用户使用IPv4还是IPv6网络,对于WLAN网络是透明的,WLAN设备只是实现了无线接入用户数据的二层转发。
虽然在接入点和接入控制器之间会通过LWAPP数据隧道(使用UDP传输协议)实现转发,但是无论在接入点还是接入控制器都是根据二层信息实现转发,而且LWAPP隧道封装的载荷也是二层协议报文。
所以LWAPP协议不会关心无线接入用户的上层协议,同样无线接入用户也不需要关心LWAPP数据隧道采用IPv4还是IPv6协议。
隧道的动态选择和建立:
FitAP设备为零配置设备。
对于AP和AC建立IPv4隧道还是建立IPv6隧道,FitAP也是自动完成;而对于接入控制器则同时可以支持IPv4隧道和IPv6隧道。
下图描述了FitAP自动建立隧道的过程:
1.FitAP正常上电运行;
2.LWAPP客户端开始动态的发现AC,并且发起和AC建立连接;FitAP只有成功和AC建立连接,才可以提供服务;
3.LWAPP客户端会先使用IPv4隧道和AC建立连接;
4.如果使用IPv4隧道,无法发现AC或者和AC无法建立连接,LWAPP客户端将切换到使用IPv6隧道;否则FitAP开始使用IPv4隧道提供服务;
5.如果使用IPv6隧道,也无法发现AC或者和AC无法建立连接,LWAPP客户端将再次切换到使用IPv4隧道;否则FitAP开始使用IPv6隧道提供服务。
FitAP设备通过上面的自动使用IPv4隧道和IPv6隧道机制,可以使用在任何网络中的应用。
当FitAP被安装在IPv4网络中,FitAP可以使用IPv4隧道和AC建立连接,如果FitAP被安装在IPv6网络中时,FitAP将无法使用IPv4隧道和AC建立连接,进而可以和AC建立IPv6的隧道并开始提供服务。
WLAN和IPv6综合应用:
下面几个章节,将逐一给出WLAN在IPv6网络中具体应用的说明。
在IPv4网络中构建IPv6的WLAN接入服务:
目前,Internet网络主要还是采用IPv4建立,随着一些IPv6的网络的逐渐建立,这些IPv6网络如同一个个孤岛存在于现有的网络中。
在建设WLAN网络时,同样需要考虑这样的问题。
例如,在现有的IPv4网络的基础上,如何建立一个IPv6的WLAN网络,实现无线接入用户接入到IPv6网络的需求。
WLAN接入服务可以自然满足该种需求,集中管理架构的WLAN设备接入点和接入控制器之间通过IPv4协议建立控制和数据隧道,无线接入用户的所有IPv6协议报文将被透明的在接入点和接入控制器之间进行隧道转发。
在上图中,接入控制器AC和IPv6网络相连接,接入控制器AC起到了WLAN到IPv6网络Portal功能,实现了WLAN网络和IPv6网络连通,进而创建了一个IPv6的WLAN网络。
接入点FitAP通过IPv4骨干网络和接入控制器建立连接,实现了穿越IPv4网络提供WLAN接入服务功能。
当无线接入用户成功和接入点AP建立无线链路连接以后,便成功接入到该IPv6的WLAN网络。
通过WLAN提供的接入服务,无线终端成功的连接到IPv6网络中,无线终端可以通过动态获取IPv6地址或者静态设置IPv6地址,之后无线终端可以访问该IPv6网络的各种服务。
该无线终端的所有数据都被WLAN的通过接入点和接入控制器之间隧道进行透传,而无线接入用户在使用IPv6网络时根本不关心是否穿越了一个IPv4网络。
综上,在IPv4网络中,WLAN可以创建IPv6的WLAN网络,为无线客户端提供IPv6网络的接入服务;而且对现有网络不需要进行任何的改造。
在IPv6网络中提供IPv4的WLAN接入服务:
可以预计,随着IPv6网络的发展和普及,主干网络可能会逐渐被IPv6网络所代替,但是有一些关键的网络或者设备可能无法支持IPv6,或者无法快速完成网络的切换。
为了保证网络服务的正常应用,在网络建设时也需要考虑如何解决。
集中管理WLAN也可以简单地解决该问题。
集中管理架构的WLAN设备接入点和接入控制器之间通过IPv6协议建立控制和数据隧道,所有的无线接入用户的IPv4协议报文将被透明的在接入点和接入控制器之间进行隧道转发,保证无线客户端可以通过WLAN接入到指定的IPv4网络。
在上图中,接入控制器AC和IPv4网络相互连通,接入控制器起到WLAN网络的Portal功能,实现了WLAN网络和IPv4网络的连通,进而构建了一个IPv4的WLAN网络。
当接入点FitAP通过IPv6骨干网络和接入控制器成功建立连接,进而实现了穿越IPv6网络提供WLAN接入服务。
当无线接入用户成功和接入点AP建立无线链路连接后,便成功接入到该WLAN网络。
通过WLAN提供的服务接入,该无线终端成功的连接到IPv4网络中,无线终端可以通过动态获取IPv4地址或者静态设置IPv4地址,之后无线终端可以访问该IPv4网络的各种服务。
该无线终端的所有数据都被WLAN的通过接入点和接入控制器之间隧道进行透传,而无线接入用户在使用IPv4网络时根本不关心是否穿越了一个IPv6网络。
综上,在IPv6网络中,可以构建IPv4的WLAN网络,为无线客户端提供IPv4网络的接入服务,而且对IPv6网络不需要进行任何的改造。
在IPv6网络中构建私有的IPv6的WLAN网络服务:
在纯IPv6网络中部署WLAN接入服务,和当前在IPv4中部署WLAN接入服务没有任何差别,WLAN为无线终端提供了接入到指定网络的服务。
虽然该无线终端没有通过有线网络和指定网络连接,甚至该无线客户端和指定网络之间还被其他的网络隔离,但是通过WLAN接入服务,无线客户端宛如直接连接到该指定网络中。
所有的无线终端相关报文数据都会被接入控制器和接入点之间的隧道在无线终端和接入网络之间进行转发,而无线终端不需要关心隧道所穿越的网络。
另外可以支持接入点和接入控制器之间通过任何网络进行连接,例如二层网络连接或者三层网络连接。
可以根据需要在IPv6公用网络中构建IPv6的WLAN内部网络,建立特定的WLAN接入网络,通过WLAN接入服务控制指定的无线终端用户接入到IPv6网络中。
1.2IPv4和IPv6地址规划方案
1.2.1IPv4地址规划
IP地址的合理规划是网络设计中的重要一环,校园网必须对IP地址进行统一规划并得到实施。
IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址规划必须考虑到今后和其他院系互联后的地址冲突问题。
IP地址分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
具体分配时要遵循以下原则:
✓唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
✓简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
✓连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
✓可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
✓灵活性:
地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。
IP地址规划方案
地址编码规范
建议校园网的IP地址进行严格的编码,每位代表不同的含义。
其编码规则(举例如下)为:
通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。
从上表中我们也可以看出,通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等,这将为网络的维护带来方便。
具体的IP地址定义将结合实际情况确定。
中心交换机支持静态或动态的IP地址分配,并支持动态IP地址分配方式下DHCP-Relay功能,DHCPSERVER可安放在园区内部。
对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
1.2.2IPv6地址规划
IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6地址有128位,其中可供分配为网络前缀的空间有64bit。
按照最新的IPv6RFC3513,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。
IPv6的地址使用方式有两类,一类是普通网络申请使用的IP地址,这类地址完全遵从前缀+接口标识符的IP地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示IP地址。
IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6地址规划目前尚没有主流的规则,具体的IP地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则:
●地址资源应全网统一分配
●地址划分应有层次性,便于网络互联,简化路由表
●IP地址的规划与划分应该考虑到网络的发展要求
●充分合理利用已申请的地址空间,提高地址的利用效率。
IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。
IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。
我们知道全球可聚集IPv6地址的前缀为64位,后64位为主机的interfaceid.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。
IPv6的地址分配原则同IPv4一样遵循CIDR原则。
IPv6的地址规划时考虑三大类地址:
1、公共服务器地址,如DNS,EMAIL,FTP等。
2、网络设备互联地址和网络设备的LOOPBACK地址。
根据IETFIPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。
IPv6网络设备的LOOPBACK地址采用/128的地址。
3、用户终端的业务地址。
此外由于目前网络设备的IPv6MIB信息的获取和OSPFv3中ROUTERID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。
所以一个纯IPv6网络也必须规划IPv4地址(仅需要网络设备互联地址和网络设备的LOOPBACK地址)。
1.3路由设计