物联网、云计算背景下的物联网、云计算背景下的物联网、云计算背景下的物联网、云计算背景下的IPv6IPv6IPv6IPv6网络解决方案网络解决方案网络解决方案网络解决方案锐捷网络锐捷网络锐捷网络锐捷网络秦鹏秦鹏秦鹏秦鹏2012201220122012年年年年04040404月月月月10101010日日日日•连接设备,数据,应用,服务•连接人群,社区,企业•连接万事,万物…网络网络网络网络给我一张物联网我能感知地球IPv6助力互联网的发展2011年4月,亚洲IPv4地址耗尽IPv6——互联网的希望IPv6对网络的挑战锐捷网络的IPv6解决方案实现IPv6网络端到端的安全锐捷网络的IPv6解决方案清华大学于2009年4月提出SAVI源址合法性检验rfc草案科技部的科技支撑计科技部的科技支撑计科技部的科技支撑计科技部的科技支撑计划项目划项目划项目划项目————————IPv6IPv6IPv6IPv6真实真实真实真实源地址源地址源地址源地址锐捷网络锐捷网络锐捷网络锐捷网络SAVISAVISAVISAVI功能已功能已功能已功能已在清华大学部署在清华大学部署在清华大学部署在清华大学部署IPv6真实源地址——SAVI标准•SAVI原理:SAVI接入交换机监听地址生成过程,并将地址、MAC、端口保存到绑定过滤表中,源地址匹配绑定表项的数据报文才允许转发;DHCP-SLACCDHCP-SLACCDHCP-SLACCDHCP-SLACC模式DHCP-ONLYDHCP-ONLYDHCP-ONLYDHCP-ONLY模式SLAAC-ONLYSLAAC-ONLYSLAAC-ONLYSLAAC-ONLY模式STATIC-ONLYSTATIC-ONLYSTATIC-ONLYSTATIC-ONLY模式下联端口:VALIDATIONVALIDATIONVALIDATIONVALIDATION属性上联端口:RATRUSTRATRUSTRATRUSTRATRUST属性上联端口:DHCPv6TRUSTDHCPv6TRUSTDHCPv6TRUSTDHCPv6TRUST属性SAVI交换机IPv6IPv6IPv6IPv6路由器////三层交换机DHCPv6ServerDHCPv6ServerDHCPv6ServerDHCPv6Server锐捷网络的IPv6解决方案�基于基于基于基于CERNETCERNETCERNETCERNET统一标识统一标识统一标识统一标识�IPv6IPv6IPv6IPv6可控组播可控组播可控组播可控组播�IPv6webIPv6webIPv6webIPv6web认证认证认证认证IPv6安全运营管理—五位一体以锐捷以锐捷以锐捷以锐捷SAMSAMSAMSAM为核心的五位一体安全运营管理之在线用户管理展示为核心的五位一体安全运营管理之在线用户管理展示为核心的五位一体安全运营管理之在线用户管理展示为核心的五位一体安全运营管理之在线用户管理展示IPv4IPv4IPv4IPv4IPv4IPv4IPv4IPv4和和和和和和和和IPv6IPv6IPv6IPv6IPv6IPv6IPv6IPv6一体化一体化一体化一体化一体化一体化一体化一体化有线和无线一体化有线和无线一体化有线和无线一体化有线和无线一体化有线和无线一体化有线和无线一体化有线和无线一体化有线和无线一体化准入和准出一体化准入和准出一体化准入和准出一体化准入和准出一体化准入和准出一体化准入和准出一体化准入和准出一体化准入和准出一体化802.1x802.1x802.1x802.1x802.1x802.1x802.1x802.1x和和和和和和和和WebWebWebWebWebWebWebWeb一体化一体化一体化一体化一体化一体化一体化一体化校内和校外一体化校内和校外一体化校内和校外一体化校内和校外一体化校内和校外一体化校内和校外一体化校内和校外一体化校内和校外一体化五位一体五位一体五位一体五位一体五位一体五位一体五位一体五位一体安全运营管理安全运营管理安全运营管理安全运营管理安全运营管理安全运营管理安全运营管理安全运营管理核心价值核心价值核心价值核心价值核心价值核心价值核心价值核心价值降低投资成本降低投资成本降低投资成本降低投资成本降低投资成本降低投资成本降低投资成本降低投资成本提升管理效率提升管理效率提升管理效率提升管理效率提升管理效率提升管理效率提升管理效率提升管理效率优化用户体验优化用户体验优化用户体验优化用户体验优化用户体验优化用户体验优化用户体验优化用户体验增强安全审计增强安全审计增强安全审计增强安全审计增强安全审计增强安全审计增强安全审计增强安全审计简化开放对接简化开放对接简化开放对接简化开放对接简化开放对接简化开放对接简化开放对接简化开放对接具体价值之各类在线用户统计具体价值之各类在线用户统计具体价值之各类在线用户统计具体价值之各类在线用户统计::::1.多少IPv4用户、多少纯IPv6用户、多少IPv4/v6双栈用户?2.多少人在通过有线接入、多少人在通过无线接入、多少人通过校外VPN接入?3.多少人在访问内网、多少人在访问外网?4.……IPv6网络的管理�IPV6IPV6IPV6IPV6推动网络实名制的到来?�SAMFORIPV6SAMFORIPV6SAMFORIPV6SAMFORIPV6准入准入准入准入�500500500500多万人的使用群体多万人的使用群体多万人的使用群体多万人的使用群体�支持支持支持支持1X1X1X1X方式、方式、方式、方式、WEBWEBWEBWEB方式方式方式方式�支持支持支持支持IPV6IPV6IPV6IPV6设备、设备、设备、设备、IPV6IPV6IPV6IPV6终端终端终端终端�支持自动支持自动支持自动支持自动IPV6IPV6IPV6IPV6、、、、MACMACMACMAC绑定绑定绑定绑定�详细详细详细详细IPV6IPV6IPV6IPV6上网信息记录上网信息记录上网信息记录上网信息记录IPv6组播应用—大规模可控�2010年下半年在全国100所高校试商用;�实现组播源可控、组播组可控、组播带宽可控、组播安全可控;�支撑大规模视频直播和视频会议等IPv6应用示范;模块图例可控组播管理组播转发XMLXMLXMLXML编解码MLDSnoopingMLDSnoopingMLDSnoopingMLDSnoopingDataPlaneControlPlaneHTTPClientHTTPClientHTTPClientHTTPClient用户请求加入/退出验证添加或删除组播下游二层口请求编码或解码与网管服务器进行HTTP通信Methdscall组播流数据流下发数据通路及其流控策略组播流可控组播交换机系统视图100100100100个CNGICNGICNGICNGI高校大规模部署示意图网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化网站为抓手、防护是基础、分析促优化IPv6的安全问题不可小视防泄密防黑客防病毒防木马防钓鱼防翻墙IPv4的网站安全问题就没有完美解决,成为黑客的主要攻击目标,IPv6网站也会成会成为热门的安全事件!网络安全基础设施均需要支持IPv6IPv6安全热点:网站安全IPv6安全热点:网站安全IPv6安全基础:攻击防护IPv6安全基础:攻击防护IPv6流量分析:合理规划IPv6流量分析:合理规划IPv6的安全问题不可小视防泄密防黑客防病毒防木马防钓鱼防翻墙未知流量分类后的流量IPv6安全热点:网站安全IPv6安全热点:网站安全IPv6安全基础:攻击防护IPv6安全基础:攻击防护IPv6流量分析:合理规划IPv6流量分析:合理规划IPv6下的网络安全:防攻击、防病毒、ACL。。。IPv6IPv6IPv6IPv6下的应用分析、流量控制下的应用分析、流量控制下的应用分析、流量控制下的应用分析、流量控制IPv6下的网站安全:事前:检测+评估、免费漏洞扫描报告事中:防护+阻断、防病毒事后:恢复+审计、网页恢复物联网物联网物联网物联网云计算云计算云计算云计算云计算数据中心网云计算数据中心网云计算数据中心网云计算数据中心网络的构建络的构建络的构建络的构建平台即服务平台即服务平台即服务平台即服务-PaaS-PaaS-PaaS-PaaS软件即服务软件即服务软件即服务软件即服务-SaaS-SaaS-SaaS-SaaS基础设施即服务基础设施即服务基础设施即服务基础设施即服务-IaaS-IaaS-IaaS-IaaS智慧交通智慧交通智慧交通智慧交通智慧的医疗智慧的医疗智慧的医疗智慧的医疗智慧的公共安全智慧的公共安全智慧的公共安全智慧的公共安全智慧的公共事业智慧的公共事业智慧的公共事业智慧的公共事业智慧的教育与科技智慧的教育与科技智慧的教育与科技智慧的教育与科技智慧的市民服务智慧的市民服务智慧的市民服务智慧的市民服务云计算是国家十二五规划的新一代信息技术重点北京祥云,上海云海,深圳鲲云,重庆云端,宁波星云,无锡云谷,苏州彩北京祥云,上海云海,深圳鲲云,重庆云端,宁波星云,无锡云谷,苏州彩北京祥云,上海云海,深圳鲲云,重庆云端,宁波星云,无锡云谷,苏州彩北京祥云,上海云海,深圳鲲云,重庆云端,宁波星云,无锡云谷,苏州彩云,哈尔滨云飞扬,广州天云,惠州惠云,秦皇岛数谷云,哈尔滨云飞扬,广州天云,惠州惠云,秦皇岛数谷云,哈尔滨云飞扬,广州天云,惠州惠云,秦皇岛数谷云,哈尔滨云飞扬,广州天云,惠州惠云,秦皇岛数谷,,,,杭州云超市杭州云超市杭州云超市杭州云超市云计算数据中心,扁平化无阻塞,而非单个产品无阻塞I.网络只有核心与接入,延迟低性能高,使用设备数量最少。适应云计算流量模型II.全线产品构建一个无阻塞Clos网络,而非单个产品的无阻塞。适应云计算大规模并行计算,无阻塞业务互访的流量模型。�接入千兆平台万兆无阻塞上联,RG-S6000系列�接入万兆平台40G无阻塞上联,RG-S6200系列�核心平台100G、超高密度万兆,RG-S12000系列IPv6IPv6IPv6IPv6核心网虚拟化技术核心网虚拟化技术核心网虚拟化技术核心网虚拟化技术VSUVSUVSUVSU虚拟化系统虚拟化系统虚拟化系统虚拟化系统�国内厂商中首个具备同时承载国内厂商中首个具备同时承载国内厂商中首个具备同时承载国内厂商中首个具备同时承载IPv4IPv4IPv4IPv4和和和和IPv6IPv6IPv6IPv6网络的虚拟化系统网络的虚拟化系统网络的虚拟化系统网络的虚拟化系统�率先解决虚拟化系统内部互联存在性能瓶颈的厂商率先解决虚拟化系统内部互联存在性能瓶颈的厂商率先解决虚拟化系统内部互联存在性能瓶颈的厂商率先解决虚拟化系统内部互联存在性能瓶颈的厂商�第一个完成全业务虚拟化的国内厂商(防火墙、第一个完成全业务虚拟化的国内厂商(防火墙、第一个完成全业务虚拟化的国内厂商(防火墙、第一个完成全业务虚拟化的国内厂商(防火墙、IPFIXIPFIXIPFIXIPFIX全部基于虚拟化平台)全部基于虚拟化平台)全部基于虚拟化平台)全部基于虚拟化平台)主控板业务板业务板业务板业务板业务板主控板主控板业务板业务板业务板业务板业务板主控板性能瓶颈突破了背板带宽的限制突破了专业板卡和接口的限制突破了区域的限制突破了业务的限制突破了虚拟系统内部的性能瓶颈锐捷全面进驻新一代云计算数据中心统一平台虚拟化智能安全CloudOSAppOSAppOSAppOSAppOSAppOSAppOSAppOSAppOSAppOS安全审计安全审计安全审计安全审计服务端资源保护服务资源交付安全云接入安全高效安全协作智能安全运营中心安全域划分安全域划分安全域划分安全域划分业务连续性数据保密无状态计算服务器虚拟化虚拟桌面架构数据中心以太网FCoETRILL下一代防火墙统一矩阵10GEvMotionvSAN虚拟防火墙安全群组标签安全群组标签安全群组标签安全群组标签自服务门户欲穷千里目