IPv6校园网

当前位置:首页 > 解决方案 > IPv6校园网

IPv6校园网解决方案

前言
  中国是世界上人口最多的国家,网民数量居世界第二,中国网络地址的希缺与网络规模的大发展形成了鲜明的对比,采用IPv6将完全改观这种局面,使中国网络未来的发展冲破地址资源匮乏的樊篱。高校向来是国家前沿技术的阵地,在下一代互联网的重大历史机遇面前,承担起IPv6的研究工作责无旁贷。
IPv6校园网建设需求
国家重视的驱动
Ø  IPv6将推动我国信息产业的发展
IPv6将带来中国在互联网领域赶超其他国家的重大机遇,对于设备商、运营商、家电商、甚至最终用户,抓住机遇都将带来充满生机的变化。
Ø  使中国赢得从引进技术转变到引导技术发展的机会
IPv6作为一个新的IP核心技术,将带动信息通信乃至其他产业的信息化发展,获得战略性竞争优势。真正需要IPv6的不是欧美日,而是中国。
学校的面临的机遇
Ø  CERNET2将成为真正意义上的“中国教育与科研计算机网”(目前的CERNET网实际上已经成为运营网),作为下一代网络的研究示范平台,供各高校接入,以便有效开展IPv6的技术与应用的研究之用。
Ø  目前很多高校已经或开始建设校园内的IPv6网络(局部)或IPv6的城域网(覆盖城域范围内的若干高校),这些IPv6网络都将接入CERNET2。
Ø  211高校或者有重点学科的院校,最终都要接入CERNET2,目前已掀起建设“局部IPv6网/IPv6网络实验室”的热潮。
IPv6技术发展的驱动
Ø  支持IPv6的硬件芯片成熟、稳定,
Ø  IPv6协议标准化得到了极大的发展
Ø  网络设备IPv6特性的完备性得到极大发展
Ø  校园IPv6业务、软件,如雨后春笋般不断出现
H3C IPv6校园网解决方案
全新双栈IPv6校园网方案

Ø 新建核心层、汇聚层全双栈,全网运行OSPFv3/RIPng
Ø 汇聚层、核心层之间可采用10GE连接。
Ø 汇聚层设备作为用户接入点网关设备,通过运行VRRP实现网关冗余。
Ø 接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余,汇聚层、核心层设备采用双节点实现节点冗余。
Ø 支持穿透二层到桌面、百兆三层到桌面模型、千兆三层到桌面模型多种需求类型
利旧改造IPv6校园网方案
 

Ø 升级的重点在于网络核心层,使用双栈核心设备替代现有的IPv4核心设备。其余网络层次保持不变。
Ø IPv6用户接入方式:IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。
 
立体管理的IPv6校园网络解决方案
概述
       随着CERNET2骨干网的成功运行、IPv6驻地网出口改造完成,各高校IPv6校园网建设也陆续完善起来。国家在CNGI与IPv6试商用的整体重视和投入,极大推进了校园IPv6业务与用户的蓬勃发展。正式由于业务与用户的迅猛增长,致使双栈网络还是隧道过渡,已经不再是关注的重点。而如何能够将IPv6校园建设成和IPv4网络一样安全、可管理、可运营成为对校园信息化主管新的挑战。
挑战
       管理好IPv6用户资源
       在原有IPv4校园网中,用户管理一直是管理聚焦的环节,很多老师和供应商都设计、开发了相关技术以解决用户网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6校园建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在一定的用户资源不可控风险。比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCPv6服务等造成的安全隐患、IPv4与IPv6网络使用授权不统一的问题。
       管理好IPv6业务资源
       随着IPv6试商用建设在校园的部署,校园IPv6业务不断增加以满足更普遍的新业务服务。而IPv6业务在管理的维度将成为新的“黑盒子”,校园某些关键链路出现异常流量,而管理者并不清楚这是因为新业务正常增长而需要新的规划,还是因为某些安全隐患导致的异常;对于IPv6热点应用服务,也缺乏有效的服务质量保障。
       管理好IPv6网络资源
       每个学校都会有多个厂家提供的IPv6设备,数量规模不一,少则百余台多则近千台。庞大的IPv6网元组成的网络,有些部分是双栈,而有些部分则是纯IPv6协议,这样一张新网络需要实现有效管理,将会面临由于IPv6地址空间庞大而难以用传统技术生成拓扑的问题,以及厂家私有MIB充分管理利用的问题。
解决方案与价值实现

IPv6用户管理方案
      

IPv6安全准入——基于双栈或纯IPv6协议的802.1x等接入认证技术,验证IPv6用户准入权限,并记录其审计信息;

       IPv6可信保障——ND攻击防御、伪DHCP6防御等交换机技术特性(SAVI),防止IPv6接入环境的伪造行为,保障源地址真实可信;


       IPv6业务运营——基于交换机MLD Snooping和用户认证管理技术,面向用户下发IPv6组播权限,并支持运营计费。
IPv6业务管理方案
      
H3C IPv6网络流量分析管理技术NTA over IPv6,支持分布式的SFLOW、分布式IPFIX、可弹性扩容Netstream等多种方式进行双栈流量、纯IPv6流量数据采集,使IPv6校园网的业务分布情况、压力情况、变化趋势一目了然完全可视化。而对于IPv6业务集中的双栈数据中心,采用同时支持IPv4/IPv6的服务器负载均衡方案,帮助校园IPv6新热点业务大幅提升用户体验。
IPv6网络管理方案
      

H3C iMC在进行IPv6网络拓扑发现时,采用ND方式自动发现。该技术利用设备的ND信息,过滤出所有的全局IPv6地址,然后根据这些全局IPv6地址再次执行ND扫描,从而递归发现所有的网络设备。而该技术是基于公有IPV6-MIB(RFC2452)实现,只要第三方设备支持该MIB,就可以完成自动发现。而基于IPv6 ND的递归发现方式计算工作量大幅减小,极大提升了学校的管理工作效率。
小结
H3C 立体管理IPv6校园网解决方案,实现IPv6校园的安全、可控、可管和可运营,有效降低学校IPv6&IPv4 TCO,推进校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,为学校由IPv6试商用向正式商用提供了支撑。
 
H3C IPv6解决方案优势
H3C的IPv6校园网解决方案的价值
IPv6园区网——通过完善的IPv6路由与交换产品线,为学校提供端到端的双栈部署与IPv6过渡迁移方案,并实现基于IPv6的虚拟化园区网络,为学校IPv6规模商用、IPv6业务精细化运维提供坚实基础。
IPv6无线校园——将校园有线网络与无线网络基于IPv6进行无缝整合,使其在双栈和纯IPv6环境下无障碍部署,并在管理配置、用户安全、组播业务等维度实现了IPv4/IPv6、有线/无线的同等承载能力。
IPv6安全管理——H3C将安全渗透网络解决方案升级到IPv6,实现IPv6用户的安全可信接入,确保用户接入网络的身份可信、杜绝仿冒攻击;同时利用双栈防火墙与IPS产品将外网对校园的攻击、对校园数据中心服务器的攻击有效阻断。
IPv6网络管理——不仅实现有效管理校园IPv6设备资源,快速发现IPv6拓扑并有效配置,而且实现校园IPv6业务在网络中的可视化管理,使学校不会因为IPv6业务部署而出现管理上的盲点。
IPv6增值运营——通过用户管理系统与IPv6组播交换机的配合,协助学校将IPv6组播业务实现基于用户和组播套餐的运营,同时可以控制非法组播源/非法组播接收者的接入,使校园IPv6实现有序可控的业务增值运营。
H3C的IPv6发展战略
IPv6核心技术的积累
H3C紧密跟踪国内外先进的IPv6技术,对IPv6技术中新出现的各项新特性进行分析并逐步纳入开发,IPv6专利申请数量超过50件,保持H3C的IPv6技术领先
平台的战略
p  基于H3C领先的COMWARE平台,通过软件升级实现各产品IPv6功能
p  硬件平台和设计充分考虑IPv6的要求,平滑升级IPv6,保护用户在IPv4的设备投资
p  平台集丰富特性,支撑业务融合,产品按需定制
发展方向——IToIPv6
p  IPv6是华三公司的IToIP战略的发展目标
p  从核心到接入、从高端到低端的全系列IPv6路由器、交换机产品;从基础IPv6架构,到IPv6安全、管理、业务运营全方位发展
p  多媒体通信融合方案实现对IPv6技术的支持
p  数据中心实现IPv6与IPv4业务的无缝融合解决方案
p  整体规划,与业务研究同步进行,新业务应用将随网络的发展同步实现
教育行业IPv6实践经验
p  作为主要设备供应商参与CERNET2主干网及驻地网建设;
p  包括山东大学、北京邮电大学、中国政法大学等高校,至2009年10月已有近200所高校整体采用H3C系统开通IPv6业务
p  “IPv6试商用项目”通过出色的入围测试效果与服务承诺,近90所高校选择H3C,市场份额第一
H3C携手开拓IPv6新课题
p  H3C:拥有国内IP通信最强大的研发团队,拥有最规范的产品开发管理,拥有最广泛的各行业市场拓展团队
p  高校:拥有IPv6领域最前沿的理论研究,拥有最深刻的IPv6部署经验
p  H3C+高校=最尖端的技术课题+最大的成果转化市场

我们的共同成果将服务于各IPv6校园网、IPv6电子政务网、IPv6运营商网络、IPv6企业网络,整体推进我国IPv6技术商用进程
我们的共同努力将在IETF等领域提升我国IPv6领域的地位与发言权
 
定购信息
建设环节 设施 推荐H3C设备
驻地网交换系统 核心网 S12500
S9500E
S7500E
汇聚网 S7500E
S5800
接入网 S5500EI
E500
驻地网无线系统 自适应无线环境调整 WX6000系列控制器;无线插卡控制器;WA2620-AGN接入点;WA2612-AGN接入点;
S5120-POE;iMC统一管理平台(无线管理组件)
自适应负载均衡
快速三层漫游
无线IPv6
有线无线一体化
无线网安全防御能力
驻地网安全防御 CNGI互联接口防护 F5000
SecBlade FW
CNGI互联接口优化 ACG 8800
SeBlade ACG
服务器群或数据中心防护 T5000
SecBlade IPS
园区骨干网防护 SecBlade FW
桌面接入风险防御 S5500EI
E500
驻地网综合管理 IPv6用户管理 iMC统一管理平台(用户管理组件)
IPv6业务管理 iMC统一管理平台(网流分析组件)
IPv6网络管理 iMC统一管理平台
驻地网出口路由 大型驻地网 SR8800
中小型驻地网 SR6600