IPv6校园网解决方案建议书模板Word文件下载.docx

1、第5章 IPv6组播业务部署265.1 组播技术概述265.2 IPv6组播技术介绍265.3 在XX学校部署IPv6可控组播的建议30第6章 IPv6驻地网的管理356.1 概述356.2 IPv6驻地网管理挑战356.3 解决方案与价值实现36第7章 IPv6驻地网的主要过渡与迁移策略417.1 全双栈模式417.2 隧道模式427.3 第二平面模式48第8章 IPv6驻地网设施的关键技术考查点50第9章 IPv6驻地网选择H3C作为战略合作伙伴58第1章 建设背景与需求1.1 IPv6驻地网建设需求2003年8月份，由国家发展改革委员会牵头，信息产业部、科学技术部、中国工程院、国家自然科

2、学基金委员会、教育部等8大部委联合发起的国家级专项中国下一代互联网示范项目CNGI（China Next Generation Internet）正式启动，并通过国务院批复。CNGI核心网络建设目标是在2003年到2005年的时间内，采用IPv6技术，完成CNGI主干网（覆盖20个城市39个核心节点）以及国内与国际互联中心的建设，并实现与国际下一代互联网的高速连接。截至2006年底，各CNGI骨干网建设基本就绪。此项目涉及八大部委、六大全国性网络运营商（中国电信、中国网通、中国联通、中国移动、中国铁通、中国教育和科研网CERNET）、一百多所高校和研究单位、几十个设备制造商，工作量大、参加人多

3、，在中国通信网络科技工程建设史上是第一次，对我国下一代互联网技术和产业的发展具有深刻影响。CNGI网络将成为世界上最大的IPv6网络。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，中国将成为以IPv6为基础的下一代网络领域的领先国家。1.2 XX大学IPv6驻地网建设需求（一下部分仅供参考，请根据项目具体情况做修改替换）在XXX大学部署IPv6之前，我们首先要考虑部署的总体方针和策略：首先考虑网络设备对IPv6业务支持的广度。比如IPv6的过渡技术有手工隧道方式，自动隧道方式，有基于MPLS VPN技术的6PE方式，有基于网络地址转换技术的NAT-PT等等，IPv6的单播路由

4、协议有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的业务种类越多越方便我们进行研究。其次考虑网络设备对IPv6业务支持的深度。IPv6首先应该部署在运营网络。这是因为在IPv6网络里没有私网地址概念（Site local 地址类型已经被IPv6工作组取消），永远不出现NAT（指类似IPv4私有地址访问公有地址的方式）。IPv6网络的复杂度应该大于IPv4的电信运营网络。最后考虑IPv6标准的变化性。目前IPv6标准中仍有许多处于草案阶段，即使已经成为RFC标准的，以后仍有可能进行协议扩充。综上所述

5、，XXX大学部署IPv6网络的时候，应该采用过渡的策略，首先完成IPv6网络接入到教育CNGI网络的目的，其次根据现有XXX大学驻地网内的实际情况，应用双栈技术和各种过渡技术，在不影响现有IPv4园区网主体拓扑结构的条件下，使得驻地网中需要部署IPv6网络的地方能够通过各种隧道技术，随时方便地接入CNGI骨干网。显然，只有路由器而不是三层交换机能够提供如此广度和深度的IPv6业务能力，同时基于CPU的软件处理方式或基于NP网络处理器硬件编程，硬件处理的路由器，完全适应IPv6标准发展的变化性。对于性能有要求的地方，比如连接CNGI骨干网的出口路由器应采用基于NP网络处理器技术（可编程，以适应I

6、Pv6标准的变化性）的高端路由器。第2章 XXX大学IPv6驻地网架构设计2.1 IPv6局域网络设计根据不同学校的建设情况不同，通常分为升级现有网络（核心改造、区域改造，以及全面改造）或者新建（空白建设，或者平行于现有网络建设IPv6第二平面）。对于升级类型，只改造核心或者部分区域，有利于低成本快速部署IPv6业务，快速允许用户访问IPv6资源。但是难以解决部署IPv6后带来的管理问题以及安全防护问题等，建议直接进行全面改造，虽然前期资金成本有所增加，但是有利于运营成本和机会成本的降低，以实现整体TCO的降低。对于新建，空白建设或第二平面建设并无本质差异，都是需要全新部署。只是第二平面模式，

7、需要解决布线系统资源，第二平面作为开展IPv6新业务的平台，同时分流现有压力较大的IPv4业务，甚至在网络升级、故障等特殊断网的备份平台。同时建议考虑利用无线网络部署IPv6作为有线网的有效补充及备份。2.1.1 升级/改造现有IPv4网络由于现有网络为IPv4网络且具备相当的用户规模，如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。针对这种情况，建议采用升级现有IPv4网络的方案。1. 组网思路在现有IPv4网络下分散着若干IPv6/IPv4双栈主机，为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小，可首先将园区网核心设备（核心交换机）升级为双栈，网

8、络的其他部分保持不变。核心设备完成升级后，可分别提供至IPv4网络和IPv6网络的出口；IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响，同时实现了IPv6用户的接入。对于大型的园区网，核心设备应考虑节点冗余，因此建议逐步完成对所有核心设备的升级。图2-1 园区网典型组网方案 升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP地址、VLAN、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安

9、全。当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。由于园区网中可能存在IPv6用户相对集中的节点，如，驻地网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。针对这种情况，建议先用一个双栈低端设备作一次汇聚。这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。从整网的角度来看，这样的组

10、网也具有更好的可扩展性。根据实际用户的带宽情况，可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。同时，IPv4用户也会有访问IPv6业务资源的需求。为实现这两种可能的业务互访的需求，需要考虑如何放置NAT-PT设备。如果要访问的业务位于园区网内部，可

11、以考虑在业务服务器出口处放置双栈路由器（如，SR路由器系列，或者支持NATPT的SecBlade系列的防火墙产品），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NAT-PT功能。图2-2 升级现有IPv4网络组网下的IPv6/IPv4互访业务2.1.2 新建IPv6网络随着IPv6网络规模的扩大，需要建设全新的IPv6网络。可以采用华为三康的全系列IPv6产品建设IPv6/IPv4双栈园区网。新建IPv6网络相对前一种组网模式简单，选取支持双栈的交换机设备，按照现有的园区网建设模式组建网络即可。核心层和汇聚层可选用

12、双栈交换机，接入层建议使用具备IPv6环境下的安全防护功能、管理功能、组播功能的交换机组网。建议采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。为提高网络的可靠性，汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余；汇聚设备作为用户接入点网关设备；核心节点采用双核心部署保证节点冗余。IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。为解决IPv4用户对于IPv6的访问、以及纯IPv6用户对于IPv4访问，同样需要考虑NAT-PT设备的放置问题。2.1.3 IPv6无线网络概述无线

13、管理中心无线网策略管理中心无线交换机运营管理中心室内型热点无线覆盖图书馆阅览室办公室会议室/学术厅室外型热点无线覆盖广场室外集会干道有线骨干网PoE供电接入无线业务应用移动数据业务Wi-Fi语音漫游组网模式采用FIT AP+ Wireless Switch + 无线网管软件 + 认证计费系统实现组网；无线交换机可以配合认证计费系统实现802.1x和WEB Portal的认证和计费（可选）。FIT AP的组网模式通过将AP上的功能“剥离”出来集中到“Wireless Switch”（无线交换机）上来处理，包括动态密钥生成、认证的终结等，减轻了单个AP的负担和成本；同时，因为增加了Wireless

14、 Switch和无线网管系统，Wireless Switch配合FIT AP能够实现更多的增值业务功能。H3C自适应无线网通过4个关键组件（无线交换机、AP、PoE交换机、无线业务管理系统）可实现在现有有线网基础上灵活、平滑的叠加室外区域和主要楼宇的无缝覆盖，实现有线无线的统一管理。IPv6无线网部署无线IPv6网应该具备的基本要求：支持IPv6环境有线网IPv6已经是必须技术，无线网IPv6是必然趋势。如果不支持IPv6势必造成将来改造成本再投入。H3C通过部署AP与无线交换机互联基于IPv6的隧道，支持IPv6环境下的无线组网需求；IPv6 ACL、IPv6组播无线网实现IPv6，需要对用

15、户按照不同策略进行访问控制；IPv6组播往往是园区IPv6业务的支撑技术；支持ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6实现IPv6有线无线网的同等管理。第3章 IPv6地址规划与路由规划3.1 IPv6地址规划IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前APNIC能够申请到的

16、IPv6地址空间为/32的地址。IPv6的地址使用方式有两类，一类是普通网络申请使用的IP地址，这类地址完全遵从前缀+接口标识符的IP地址表示方法；另外一类就是取消接口标识符的方法，只使用前缀来表示IP地址。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，IPv6地址规划目前尚没有主流的规则，具体的IP地址分配通常在工程实施时统一规划实施，可以遵循一些分配原则：l 地址资源应全网统一分配l 地址划分应有层次性，便于网络互联，简化路由表地址规划采用扁平化的规划思路，全网拓朴分为两个层次：骨干网和城域网。各个骨干网络或者特殊区域网络按照业务量需求，在骨干区域分配不同的地址段；对于城

17、域网，考虑IETF对IPv6地址空间的/48的分配建议，结合大城域网的地址空间需求，划分为两级：城域区域和站点区域，其中城域区域划分为骨干区域到/48地址之间的地址空间，而站点区域，按照IETF的建议，使用/48到/64之间的地址空间。IP地址分配要尽量给每个区域分配连续的IP地址空间；在每个城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。l IP地址的规划与划分应该考虑到网络的发展要求地址使用兼顾到近期的需求与远期的发展以及网络的扩展，预留相应的地址段。IP地址的分配需要有足够的灵活性，应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入（如，

18、小区用户、专线用户，等）的需要。l 充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。我们知道全球可聚集IPv6地址的前缀为64位，后64位为主机的interface id.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。IPv6的地址分配原则同IPv4一样遵循CIDR原则。IPv6的地址规划时考虑三

19、大类地址：1、公共服务器地址，如DNS，EMAIL，FTP等。2、网络设备互联地址和网络设备的LOOPBACK地址。根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6 MIB信息的获取和OSPFv3中ROUTER ID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址（仅需要网络设备互联地址和网络设备的LOOPBACK地址）。3.2 IPv6路由规划路由协议分为域内路由协议和域间路由协议，目

20、前主要的路由协议都增加了对IPv6的支持功能。从路由协议的应用范围来看，OSPFv3、RIPng和IS-ISv6适用于自治域内部路由，为内部网关协议；BGP4+用来在自治域之间交换网络可达信息，是外部网关协议。1. 域内路由协议选择支持IPv6的内部网关协议有：RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看，RIPng和OSPFv3协议已较为成熟，支持IPv6的IS-IS协议标准草案也已经过多次讨论修改，标准正在形成之中，而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度，RIPng协议适用于小规模的网络，而OSPF和IS-IS协议可用于较大规模的

21、网络。对于大规模的IP网络，为了保证网络的可靠性和可扩展性，内部路由协议（IGP）必须使用链路状态路由协议，只能在OSPF与IS-IS之间进行选择，下面对两种路由协议进行简单的对比。目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2，能够支持IPv6路由信息的OSPF版本称为OSPFv3，能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。OSPFv3OSPFv3与OSPFv2相比，虽然在机制和选路算法并没有本质的改变，但新增了一些OSPFv2不具备的功能。OSPFv3只能用来交换IPv6路由信息，ISISv6可以同时交换IPv4路由信息和IPv6路由信息。OSP

22、F是基于IP层的协议，OSPF v3是为IPv6开发的一套链路状态路由协议。大体与支持IPv4的OSPF v2版本相似。对比OSPF v2，在OSPF v3中有以下区别：虽然OSPFv3是为IPv6设计的，但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式，而不是指定一个IPv6的地址。所以即使运行OSPF v3也需要为路由器分配IPv4地址。协议的运行是按照每一条链路（Per-link）进行的，而不是按照每个子网进行的（per-subnet）；把地址域从OSPF包和一些LSA数据包中去除掉，使得成为网络层协议独立的路由协议：与O

23、SPFv2不同，IPv6的地址不再出现在OSPF包中，而是会在链路状态更新数据包中作为LSA的负载出现；Router-LSA和Network-LSA也不再包含网络地址，而只是简单的表示拓扑信息；邻居路由器的识别将一直使用Router ID，而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。Link-Local地址可以作为OSPF的转发地址。除了Virtual link必须使用Global unicast地址或者使用Site-local地址。去掉了认证信息。在OSPF v3中不再有认证方面的信息。如果需要加密，可以使用IPv6中定义的IP Authentication Header来实

24、现。OSPF数据包格式发生了一些变化：OSPF的版本号由2变成了3；Hello包和Database description包的选项域增加到24位；认证域去掉了；Hello信息中不再包含地址信息；引入了两个新的选项：R位和V6位；为实现单链路上多OSPF进程的实现，在OSPF包头中加入了Instance ID域；类型LSA 3名字改为：Inter-Area-Prefix-LSA，类型LSA 4名字改为：Inter-Area-Router-LSAOSPF v2和OSPF v3都使用最短路经优先算法，在Area划分、链路类型、LSA传播等方面基本一致。总的来说，由于OSPF发展成熟，厂商支持广泛，已

25、经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都能适应。IPv6驻地网的IPv6路由规划，需要考虑到现有用户的使用习惯和主流的应用模式。IPv6的IGP可以选择ISISv6或者OSPFv3，但是考虑到多数驻地网的习惯以及协议支持的广泛程度，部署OSPFv3可能更为实际。同时OSPFv3域的设计可以沿用OSPFv2的思路。网络管理和路由规划等设计细节也可以参考原有的OSPFv2的原则。改造后驻地网全网部署双协议栈，和原有网平滑对接。在部署的核心、汇聚、接入（三层）交换机上同时运行OSPFv2和OSPFv3两个

26、路由协议，尽管运行在同一个设备上，这两个路由是互相独立的，OSPFv3的区域规划和OSPFv2可以完全不同。驻地网IPv6出口的路由规划：通常来讲，按照国际上IPv6地址的分配规则，教育网会分配一块或几块 IPv6 PREFIX :/48的地址给驻地网。对于单出口的情况，可能较为简单。教育网网接入路由器将指向驻地网的静态路由引入到IBGP4+中宣告出去。第4章 IPv6驻地网的安全防护4.1 驻地网面临的IPv6安全威胁实现和部署上的漏洞和不足IPv6协议、机制和算法实现中的漏洞IPv6地址和配置的复杂度更高，大规模部署中考虑不周非IP层攻击IPv6协议和IPv4协议一样工作在网络层，传输数据

27、报的基本机制没有发生改变，IPv4网络中除IP层以外的其他6层中出现的攻击在IPv6网络中依然会存在过渡时期的安全问题双栈协议：必须同时考虑IPv4和IPv6的安全性，一种协议的漏洞会影响另外一种。隧道技术：隧道的入口和出口可以进行安全认证，因此首选配置隧道。自动隧道容易引入DoS、地址盗用和服务欺骗，需要在入口处实施严格的过滤：IPv4数据过滤、IPv6数据过滤、协议端口过滤。NAT-PT：破坏了网络层端到端的安全特性，需实施保护措施，并保证算法不会收到DoS攻击。IPv6特有的安全问题扫描和探测：IPv6的子网数量巨大，增大了传统的扫描扫描和蠕虫类攻击的难度。但熟知的地址为攻击者提供了明确

28、的攻击目标，如所有节点地址FF01:1和FF02:1、所有路由器地址FF01:2、FF02:2，等。无状态地址自动分配：非授权用户可以更容易的接入和使用网络。ICMPv6：作为IPv6重要的组成部分，需要防止DoS攻击、反射攻击等。邻居发现协议：等同于IPv4中的ARP协议，需防止DoS攻击、中间人攻击等。4.2 IPv6骨干安全防护的部署n 互联网出口防御：n 利用双栈防火墙/IPS进行互联网出口防御。n 对IPv4的互联网流量，利用原有的防御规则n 对IPv6的互联网流量，需要利用新的IPv6访问控制策略n 支持H3C iMC网管平台n 骨干区域防御：n 利用H3C SecBlade插卡进

29、行安全防御，结合H3C S95E及S75E实现安全一体化部署n 对原有的IPv4的内网访问控制，在SecBlade上使用原有的策略n 对新建的IPv6网络的关键资源保护，需要添加新的IPv6访问控制策略4.3 IPv6接入安全防护的部署邻居发现协议（Neighbor Discovery Protocol，以下称ND协议）是IPv6的一个关键协议，可以说，ND协议是IPv4某些协议在IPv6中综合起来的升级和改进，如ARP、ICMP路由器发现和ICMP重定向等协议。当然，作为IPv6的基础性协议，ND还提供了其他功能，如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。在IPv4网络中，ARP攻击问题已经为广大的网络管理者，设备厂商所认识，ARP攻击能够造成大面积网络不能正常访问外网，使得正常用户深受其害。针对ARP攻击，大部分的网络设备厂商都推出了自己的ARP防攻击解决方案，在很大程度上解决了ARP攻击的问题。而伴随着IPv6网络的建设，在IPv6协议族中的NDP协议越来越被重视，而在ND协议的设计与ARP协议一样并未提供认证机制，导致网络中的主机是不可信的，从而使得针对ND协议的攻击非常容易。4.3.1 地址欺骗攻击攻击者可以使用RS/NS/NA报文来修改受害