校园网IPv6解决方案锐捷网络IPv6校园网解决方案V1.0星网锐捷网络有限公司版权所有侵权必究校园网IPv6解决方案目录1锐捷在IPv6的进展与成果..............................................................................................................................12锐捷IPv6校园网组网方案..............................................................................................................................22.1升级现有IPv4网络方案......................................................................................................................22.2新建IPv6网络方案..............................................................................................................................42.3IPv6校园网网络安全规划...................................................................................................................52.3.1设备级别的防护-CPP...............................................................................................................52.3.2全局安全网络-GSN..................................................................................................................62.4IPv6的计费运营解决方案...................................................................................................................73解决方案的特色和优势...................................................................................................................................84结束语...............................................................................................................................................................9校园网IPv6解决方案11锐捷在IPv6的进展与成果锐捷网络作为教育行业领先的网络设备及解决方案供应商,持续服务高校校园信息化长达10年,为校园网的下一代互联网的建设提供了完整的解决方案。锐捷网络作为教育行业第一民族品牌,肩负下一代互联网在校园网的推广应用使命,围绕着下一代互联网的关键技术-IPv6做了大量而有效的工作,掌握了下一代互联网的多项关键技术,核心操作系统RGOS具有完全自主知识产权,取得了丰富的成果:2002年,锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能,实现了RFC2460、2461、2463等协议,并提供IPv6静态路由。2003年,锐捷获得国家计委(现国家发改委)投资的IPv6软件产业化项目,通过IPv4/IPv6双协议栈通用操作系统RGOS项目的验收。2004年,锐捷在NP平台上推出了国内第一台支持IPv6的万兆核心路由交换机S6800E系列。2005年,锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系列,同年锐捷获得了由IPv6国际论坛组织颁发的IPv6Ready第一阶段认证,标志着锐捷产品的IPv6功能的成熟。2006年,推出的RG-S8600产品全分布式ASIC硬件支持IPv6,并推出全新的模块化操作系统RGOS10.x,产品开始全面支持IPv6。2007年,获得IPv6Ready第二阶段金牌认证,及国家IPv6信产部入网证书,锐捷全线IPv6产品全球范围内实现规模销售。2008年,锐捷在IPv6方面进行了进一步的完善,支持IPv6的统一的操作系统RGOS全面应用于S8600系列、S5750系列、S5760系列、S2900、S2600系列。同时,在锐捷的安全计费管理系统RG-SAM3.x上实现了对IPv6的支持。锐捷具备提供端到端全面IPv6网络解决方案能力。校园网IPv6解决方案22锐捷IPv6校园网组网方案2.1升级现有IPv4网络方案建设IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况。图2-1隧道模式(ISATAP隧道),升级核心组网模式:原有IPv4网络不进行改造,核心增加或者更换支持IPv6业务的核心交换机。核心交换机开启双栈,向上连接IPv6网络,向下开启ISATAP隧道功能,开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。网络中其余设备均无任何变化,原有IPv4业务正常运行。方案优势:校园网IPv6解决方案3只需增加支持IPv6业务的核心设备,保护原有投资。只需简单开启ISATAP隧道功能即可,快速实现校园网IPv6主机接入。图2-2隧道模式,升级核心与部分汇聚逐步支持IPv6组网模式:在原有核心层改造的基础上,逐步对汇聚的三层设备进行更换,将汇聚层的原有三层交换机更换为支持IPv4/IPv6的双栈设备。汇聚交换机与核心交换机之间会存在IPv4网络,使用IPv6overIPv4隧道方式实现IPv6的连接。核心与汇聚交换机开启双栈功能,同时配置6over4隧道如手工隧道技术。方案优势:逐步实现对原有IPv4网络的改造,将部分汇聚与核心设备更换,为下一步实现整网IPv6网络部署奠定基础。原有IPv4业务不产生任何变化,正常运行。双栈用户可以直接访问IPv4网络及IPv4业务。校园网IPv6解决方案42.2新建IPv6网络方案图2-3新建IPv6网络组网模式:新建核心层、汇聚层全双栈部署IPv6路由,实现全网IPv6。业务区域采用二层到桌面,接入交换机采用百兆或千兆到桌面,汇聚层部署IPv6VRRP功能保证冗余。汇聚层连接核心层IPv4/v6双栈路由功能。方案优势:接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余,汇聚层、核心层设备采用双节点实现节点冗余。新增IPv6用户可以正常访问IPv6网络及业务。双栈用户可以直接访问IPv4网络及业务。校园网IPv6解决方案52.3IPv6校园网网络安全规划IPv4协议向IPv6协议升级过渡的过程中,多种安全问题将暴露出来,构建可信任的下一代互联网,将是一项长期而艰巨的任务。在建设IPv6校园网时候,需要全面考虑网络的安全问题。IPv6校园网安全问题划分为:设备级别、全网安全级别。2.3.1设备级别的防护-CPP随着IPv6在校园中的部署,校园网的各种应用不断扩展,网络攻击的不断增多,越来越需要为IPv6交换机提供一种保护机制。对发往交换机CPU的数据流,进行流分类和优先级分级处理、CPU的带宽限速,以确保在任何情况下CPU都不会出现负载过高的状况,为用户提供一个稳定的网络环境。这种保护机制是CPUProtectPolicy(CPP)。CPP作为IPv6交换机的一个功能模块,按照以下四个阶段处理数据:Classifying、Queuing、Scheduling和Shaping。S8600系列IPv4/IPv6交换机的管理板与线卡的架构使S8600系列交换机的CPP具有了分布式的特点,它的优点是在硬件实现的CPP的基础上,由各个线卡进行一级过滤,而管理板进行二级过滤,通过这种二级过滤的机制,管理板降低了被攻击的可能性,使管理板的各种协议能平稳地运行,最大程度的保护了管理板的CPU资源,保证了网络的安全和稳定。通过CPP保护策略,网络设备的安全能力有了更大的提升。在部署IPv6的校园中,各种校园网IPv6解决方案6应用、攻击,都极大地考验着网络设备,在IPv6的校园中的部署中,应该采用具有先进的CPUProtectPolicy(CPP)机制的IPv6转发平台。2.3.2全局安全网络-GSNIPv6技术在校园网大规模应用,各种应用大规模开展,网络访问控制接入控制应运而生。网络访问控制解决方案旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度,对内网用户进行有效的管理。实现内网用户身份的合法化,上网主机安全状况的健康化,网络通信的安全化以及用户网络访问行为的规范化。GSN是由软件和硬件联动的安全系统,它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。部署IPv4/IPv6兼容的全网安全防御系统,通过软硬件的联动、计算机层面与网络层面的结合,从身份、主机、网络等多个角度对IPv4/IPv6的网络安全进行监控、检测、防御和处理,帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。校园网IPv6解决方案72.4IPv6的计费运营解决方案基于IPv4/IPv6的校园网计费运营管理,是校园网发展的趋势和必经之路,通过计费运营提高了网络管理部门的服务质量,保证了校园网的健康、可持续发展。实现IPv6用户的入网认证及计费管理。IPv6计费运营系统以网络运营为基础,增强全局安全为中心,提高管理效率为目的,全面实现校园网完善IPv6的安全认证、计费管理。采用锐捷RG-SAMIPv6安全认证计费管理系统,该系统基于标准的RADIUS协议开发的。它不仅支持PPPOE和SCG的认证计费方式,还支持最新的802.1x接入控制技术,与其他厂商支持相应标准的产品兼容,结合锐捷的网络安全交换机提供更加丰富的功能。锐捷RG-SAM安全认证计费管理系统在“高安全、可运营、易管理”的特点。通过负载均衡、群集部署等方案在硬件设备有限投入下提供最安全、最稳定的部署解决方案,同时以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案,另外,以好用、易用为原则,Web访问形式的友好界面,为用户提供贴心使用形式。锐捷RG-SAM安全认证计费管理系统是全面支持IPv6协议的计费运营系统,是校园网IPv6建设的关键保障。校园网IPv6解决方案83解决方案的特色和优势提供端到端的全网建设方案全系列的交换机产品线:S8600系列、S7600系列、S5750系列、S3760系列、S2600系列,全面支持IPv6。校园网IPv6整体解决方案提供了IPv6的网络设备、网络管理、计费认证的全网端到端的解决方案;所有交换产品硬件支持IPv6,提供IPv6应用的高性能保障全系列的IPv6交换机产品,通过ASIC硬件实现IPv6,提供万/千/百兆端口的IPv6报文线速转发。全面满足校园网对IPv6路由、IPv6组播、IPv4/IPv6过渡等各种IPv6功能和性能需求;通过信息产业部指定单位的IPv6入网测试,获得IPv6进网检验报告,并通过信息产业部的严格评审,获得IPv6入网证;提供多种IPv4/IPv6过渡技术和方案锐捷