IPv6校园网方案建议书模板.doc

XXX大学IPv6校园网建设方案建议书杭州华三通信技术有限公司All rights reserved版权所有 侵权必究XXX大学IPv6校园网建设方案建议书声明Copyright 2007 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。H3C、Aolynk、IRF、H3Care、Neocean、TOP G、SecEngine、SecPath、COMWARE、VVG、V2G、VnG、PSPT、NetPilot、XGbus均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。2007-04-13杭州华三通信技术有限公司第41页, 共42页目 录第1章 建设背景与需求31.1 数字化校园建设31.2 IPv6校园网建设需求3第2章 XXX大学IPv6网络架构设计62.1 IPv6局域网络设计62.1.1 常用IPv6局域网建设模式分析62.1.2 升级/改造现有IPv4网络162.1.3 新建IPv6网络202.2 IPv6网络出口设计222.2.1 直连方式222.2.2 隧道方式23第3章 IPv6部署的关键要素243.1 IPv6地址规划243.2 IPv6路由规划253.3 网络安全283.4 QoS313.5 组播323.6 网管333.7 IPv6域名34第4章 选择H3C作为IPv6建设合作伙伴364.1 全面的IPv6商用网络建设经验364.1.1 全面参与所有CNGI骨干网建设，整体份额第一364.1.2 承建中国IPv6校园网数量第一374.2 IPv6产品线最完善374.3 通过最权威的测试机构鉴定39第5章 项目方案相关产品简介405.1 （请根据项目情况自行添加）40第6章 H3C IPv6参考案例416.1 （请根据最新IPv6案例集自行添加）41第1章 建设背景与需求1.1 数字化校园建设当前，以数字化校园为特征的教育信息化发展更为迅速，各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式，引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模，“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶，对于信息化工具的使用已变成为一种自觉和自愿的行为，为“十一五”数字化校园的进一步发展打下坚实的基础。根据国家及教育部“十一五”规划的总体目标与要求，高校信息化“十一五”规划的基本内容如下：完善校园网络基础设施建设，实现随时随地的上网，整体校园网络高速畅通、安全可信、稳定可靠；完善校园数据共享基础平台的建设，包括全校统一的信息资源库、统一的电子身份认证系统的建设；完善和创新网络教学服务平台，创建和创新网络学术研究创新环境，完善电子校务系统与校园网络文化建设，实现科研成果产业化，提高高校对区域行业的高科技辐射作用。IPv6作为下一代校园网的一个必要组成，已经被各院校建设数字化校园规划中提到核心任务。1.2 IPv6校园网建设需求2003年8月份，由国家发展改革委员会牵头，信息产业部、科学技术部、中国工程院、国家自然科学基金委员会、教育部等8大部委联合发起的国家级专项中国下一代互联网示范项目CNGI(China Next Generation Internet)正式启动，并通过国务院批复。CNGI核心网络建设目标是在2003年到2005年的时间内，采用IPv6技术，完成CNGI主干网（覆盖20个城市39个核心节点）以及国内与国际互联中心的建设，并实现与国际下一代互联网的高速连接。截至2006年底，各CNGI骨干网建设基本就绪。此项目涉及八大部委、六大全国性网络运营商（中国电信、中国网通、中国联通、中国移动、中国铁通、中国教育和科研网CERNET）、一百多所高校和研究单位、几十个设备制造商，工作量大、参加人多，在中国通信网络科技工程建设史上是第一次，对我国下一代互联网技术和产业的发展具有深刻影响。CNGI网络将成为世界上最大的IPv6网络。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，中国将成为以IPv6为基础的下一代网络领域的领先国家。CERNET2建设北京、上海、广州、武汉、南京、合肥、重庆、成都、沈阳、西安、兰州、天津、厦门、大连,长春,哈尔滨,济南,郑州,长沙,杭州共20个节点和北京IX交换中心，形成了CERNET2网络。其中核心网中北京-武汉，武汉-广州，武汉-合肥，合肥-南京，南京-上海 之间为10G POS，其余各节点之间为2.5G POS.用户接入网CPN接入核心节点的速率应达到1Gbps的高速接入,每个核心节点具有为10个以上接入网/驻地网（CPN）提供接入服务的能力。CERNET2在北京承建国内和国际IX（合并建设），国内CNGI各主干网实现10G互联，与国际下一代互联网Internet2 Abilene（北美），APAN（亚太），GEANT（欧洲）实现45M-155M的互联。100所重点高校将成为首批CPN用户接入CERNET-2，这些学校将在校园网中部署IPv6。部分高校还将建设IPv6实验室，开展IPv6的应用研究。XXX高校IPv6发展规划：（请根据项目具体情况，摘录客户规划资料或替用户输出规划。）在XXX校园网部署IPv6之前，我们首先要考虑部署的总体方针和策略：首先考虑网络设备对IPv6业务支持的广度。比如IPv6的过渡技术有手工隧道方式，自动隧道方式，有基于MPLS VPN技术的6PE方式，有基于网络地址转换技术的NAT-PT等等，IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的组播路由协议有PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的业务种类越多越方便我们进行研究。其次考虑网络设备对IPv6业务支持的深度。IPv6首先应该部署在运营网络。这是因为在IPv6网络里没有私网地址概念（Site local 地址类型已经被IPv6工作组取消），永远不出现NAT（指类似IPv4私有地址访问公有地址的方式）。IPv6网络的复杂度应该大于IPv4的电信运营网络。最后考虑IPv6标准的变化性。目前IPv6标准中仍有许多处于草案阶段，即使已经成为RFC标准的，以后仍有可能进行协议扩充。综上所述，XXX大学部署IPv6网络的时候，应该采用过渡的策略，首先完成IPv6网络接入到CERNET2的目的，其次根据现有校园网内的实际情况，应用双栈技术和各种过渡技术，在不影响现有IPv4校园网主体拓扑结构的条件下，使得校园网中需要部署IPv6网络的地方能够通过各种隧道技术，随时方便地接入CERNET2。显然，只有路由器而不是三层交换机能够提供如此广度和深度的IPv6业务能力，同时基于CPU的软件处理方式或基于NP网络处理器硬件编程，硬件处理的路由器，完全适应IPv6标准发展的变化性。对于性能有要求的地方，比如连接CERNET2的出口路由器应采用基于NP网络处理器技术（可编程，以适应IPv6标准的变化性）的高端路由器。第2章 XXX大学IPv6网络架构设计2.1 IPv6局域网络设计2.1.1 常用IPv6局域网建设模式分析1. 全双栈模式拓扑简述：所有驻地网三层设备均为IPv4/v6双栈设备。为了实现IPv6驻地网，新增1台IPv6出口路由器。 IPv6出口路由器通过GE链路连接原有双栈核心交换机。实现原理：驻地网(校园网)中部署双协议栈网络是最理想的方法，如图所示。其中IPv4网络部分与原有校园网IPv4部分融合。这样对于新建的驻地网(校园网)中双栈用户可以同时访问访问IPv6和IPv4网络。对于双栈终端，IPv4网关和IPv6网关均部署在汇聚3层交换机上。驻地网内所有三层设备由于均是双栈设备，既运行IPv4路由协议也运行IPv6路由协议。不同协议的数据转发路径可能一致，也可以不同。双栈模式优点：从技术角度这是最理想的方案，不必为不同类型的用户单独部署网络配置，开销小，管理简单、IPv4和IPv6的逻辑界面清晰。双栈模式缺点：由于驻地网原有的网络实际上都是IPv4网络，要建设全双栈网络，必须将原有网络设备淘汰弃用，投资过大，并有不同程度的设备资源浪费。实际上这种模式只适合新建的网络，并不适合所有的情况。2. 隧道模式拓扑简述：原有网络建设已经成熟稳定，所有驻地网三层设备均为IPv4设备。为了实现IPv6驻地网，新增1台IPv6出口路由器。 IPv6出口路由器通过GE链路连接原有IPv4核心交换机。实现原理：对于双栈终端，IPv4网关部署在汇聚3层IPv4交换机上。驻地网内所有三层设备由于均是IPv4设备，不能完成对IPv6报文的转发，所以需要部署客户端到路由器的自动隧道6to4/ISATAP来完成。需要把IPv6客户端的网关地址设置为6to4/ISATAP路由器（新增IPv6路由器）的地址。在6to4/ISATAP路由器上需要配置IPv4 ACL以避免驻地网IPv4报文占用IPv6资源。可以考虑IPv6路由器和原有IPv4路由器的IPv4互通，以便IPv6出口链路断路时可以有6over4的备份路径。在IPv6的过渡技术中，隧道技术是一项比较重要的应用，以下我们对两种常用的隧道原理和实现方法进行详细阐述。ISATAP隧道分析随着IPv6技术的推广，现有的IPv4网络中将会出现越来越多的IPv6主机，ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到点的自动隧道技术，通过在IPv6报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。使用ISATAP隧道时，IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址：ISATAP地址。ISATAP地址格式为：Prefix（64bit）:0:5EFE:IPv4ADDR（IPv4ADDR即隧道端点的IPv4源地址，形式为a.b.c.d 或者xxxx:xxxx，其中xxxx:xxxx是由32位IPv4源地址a.b.c.d转化而来的32位16进制表示）。通过这个嵌入的IPv4地址就可以自动建立隧道，完成IPv6报文的传送。ISATAP隧道的地址格式ISATAP隧道可以用于在IPv4网络中IPv6路由器IPv6路由器、主机路由器的连接。由于不要求隧道节点具有全球唯一的IPv4地址，可以用于内部私有网络中各双栈主机进行IPv6通信，所以ISATAP隧道适用于在IPv4网络中的IPv6主机之间的通信或IPv4网络中IPv6主机接入到IPv6网络的通信（如下图所示）。如果是内部主机之间通讯，路由器的作用就是给主机自动分配ISATAP地址，主机利用得到的地址与其他主机通信。主机路由器的ISATAP隧道应用在IPv6网络的建设初期，出于投资的考虑，可能很难实现对原有IPv4网络整体升级至IPv6/IPv4双栈的模式，因此多采用将驻地网的汇聚层或出口设备（如，路由器）首先升级至双栈的模式，而汇聚层设备以下仍保持原有的IPv4网络。为实现位于IPv4驻地网内部的双栈主机与其他IPv6网络的通信，或IPv6主机之间的通信，即可采用ISATAP主机路由器的隧道部署方式。图3. 主机路由器ISATAP隧道配置举例首先在ISATAP路由器上完成ISATAP隧道的配置（具体配置略），然后在主机上进行相应配置。主机上配置ISATAP隧道非常简单：以Windows XP操作系统为例，在Windows XP上，ISATAP隧道的伪接口通常为接口2，只要在该接口上配置ISATAP路由器的IPv4地址（图中为）即可完成主机侧的配置。先看看这个ISATAP接口的信息：C:ipv6 if 2Interface 2: Automatic Tunneling Pseudo-Interface Guid 48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE does not use Neighbor Discovery does not use Router Discovery routing preference 1 EUI-64 embedded IPv4 address: router link-layer address: preferred link-local fe80:5efe:, life infinite link MTU 1280 (true link MTU 65515) current hop limit 128 reachable time 27500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48# 可以看到已经自动生成了一个ISATAP格式的link-local地址（fe80:5efe:）。我们需要设置这个接口所对应的ISATAP路由器的IPv4地址：C:ipv6 rlu 2 # 只需要一条命令，这就完成了主机的配置，此时这个ISATAP接口的信息变为：C:ipv6 if 2Interface 2: Automatic Tunneling Pseudo-Interface Guid 48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE does not use Neighbor Discovery uses Router Discovery routing preference 1 EUI-64 embedded IPv4 address: router link-layer address: preferred global 2000:5efe:, life 29d23h53m18s/6d23h53m18s (public) preferred link-local fe80:5efe:, life infinite link MTU 1500 (true link MTU 65515) current hop limit 64 reachable time 29000ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48根据上述的配置方法，配置ISATAP隧道非常方便，只需要知道ISATAP路由器的IPv4地址就可以完成。(注：这种方法的不足之处是当主机重启后，上述配置会丢失，即ISATAP隧道将中断。)因此可以采用另外一种配置方式：# 进入网络配置命令行NETSH下C: netsh#到 netsh interface 命令行下netshinterface#到 netsh interface ipv6命令行下netsh interface ipv6#到 netsh interface ipv6 isatap命令行下netsh interface ipv6isatap#设置ISATAP路由器的地址netsh interface ipv6 isatapset router （注：使用这种方式配置，主机重启后相关配置依然存在，不影响ISATAP隧道的建立和使用。）6to4隧道分析和ISATAP隧道一样，6to4隧道也是一种自动构造隧道的方式。6to4隧道是点到多点的自动隧道，主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。6to4隧道采用特殊的地址：6to4地址，它以2002开头，后面跟着32位的IPv4地址转化的32位16进制表示，构成一个48位的6to4前缀2002:IPv4ADDR:/48。6to4隧道的地址格式6to4隧道只能将前缀为2002:/16的网络连接起来，但在IPv6网络中也会使用像2001:/16这样的非6to4网络地址。为了使这些地址可达，必须有一台6to4路由器作为网关转发到IPv6网络的报文，从而实现6to4网络（地址前缀以2002开始）与IPv6网络的互通，这台路由器就叫做6to4中继（6to4 Relay）路由器。6to4隧道的作用就是解决孤立的IPv6站点、IPv6子网，在没有Internet提供商提供IPv6服务的情况下的与其他孤立的IPv6站点、IPv6主干网内部站点之间的通信问题。通常在这种情况下，隧道是建立在IPv6子网或者IPv6站点的边界路由器上。起点在源站点的边界路由器上、终点在目的站点的边界路由器上。6to4隧道的应用因此在实际网络中，这种隧道可以很好地解决IPv6的分支网络间通过IPv4网络建立6to4隧道实现互联。而且由于可以实现6to4 Relay的功能，使得6to4隧道可以在更加复杂的IPv6路由环境下提供IPv6孤岛间的通信。需要注意的是，因为6to4地址是自动从站点的IPv4地址派生出来的，因此如果需要6to4隧道穿越IPv4公网时（如，现在的Internet），就要求每个6to4节点必须具有一个全球唯一的IPv4地址。但是通常校园网中主机和出口路由器之间建立隧道，跨越公网的可能性比较小。还有一种运用模式，如下图所示。与ISATAP隧道的典型应用场景类似，6to4隧道也能提供主机路由器的隧道部署方式。此时，只要6to4主机与6to4路由器的IPv4路由可达即可实现隧道，并不要求必须是全球唯一的IPv4地址。主机路由器的6to4隧道应用首先在6to4路由器上完成6to4隧道的配置（具体配置略），然后在主机上进行相应配置。依然以Windows XP操作系统为例，在Windows XP上，6to4隧道的伪接口通常为接口3。# 进入网络配置命令行NETSH下C: netsh#到 netsh interface 命令行下netshinterface#到 netsh interface ipv6命令行下netsh interface ipv6#到 netsh interface ipv6 6to4命令行下netsh interface ipv6 6to4#设置6to4隧道地址netsh interface ipv66to4add address 3 2002:201:102:1其中3是6to4隧道的伪接口，这相当于在路由器上配置隧道口IPv6地址#配置静态路由使PC有到2002:/16的网段netsh interface ipv66to4add route 2002:/16 3配置完成后可以看到PC上6to4端口状态如下：C:ipv6 if 3Interface 3: 6to4 Tunneling Pseudo-Interface Guid A995346E-9F3E-2EDB-47D1-9CC7BA01CD73 does not use Neighbor Discovery does not use Router Discovery routing preference 1 preferred global 2002:201:102:1, life infinite (manual) link MTU 1280 (true link MTU 65515) current hop limit 128 reachable time 37500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48注：使用这种方式配置，主机重启后相关配置依然存在，不影响6to4隧道的建立和使用。配置静态路由的作用是给主机指明到隧道的路由，跟ISATAP的不同，ISATAP主机的地址是自动从路由器获得的、IPv6的网络地址（前64位）与路由器一致，而6to4主机地址是配置获得的，且网络地址与路由器不同，所以必须指定路由。小结通过与ISATAP主机路由器隧道相比，6to4主机路由器隧道在主机上的配置还是相对复杂一些，要求在6to4的主机上配置6to4地址和IPv6路由。操作者必须对IPv6有一定的配置经验，并且能够合理地规划大量用户端的6to4格式IPv6地址。隧道模式优点：保护原有投资（不用把原有设备升级换代），原有网络拓扑和路由几乎无需调整，客户端只要简单设置即可访问全球IPv6资源。使用隧道完成的主机路由器隧道，在主机的配置比较简便易行，只需要确定隧道对端路由器接口的IPv4地址即可，同时对于主机的要求是必须都要有IPv4地址。因此对于用户端而言，配置方面与原有的IPv4环境差异不大，不需为网络中的所有成员重新做地址分配和规划。这种技术非常适合于在一个企业网和校园网中使用，尤其在IPv4仍然是网络主宰的今天。隧道模式缺点：隧道技术属于过渡技术，不是最终的理想方案；隧道两端点设备需要花费额外的系统开销。但属于在原有IPv4网络平滑支撑IPv6业务的有效手段。3. IPv6透传模式拓扑简述：原有网络建设已经成熟稳定，所有驻地网三层设备均为IPv4设备。为了实现IPv6驻地网，新增1台IPv6出口路由器。 IPv6出口路由器通过GE链路连接原有IPv4核心交换机。实现原理：对于双栈终端，IPv4网关部署在汇聚3层IPv4交换机上。驻地网内所有三层设备由于均是IPv4设备，不能完成对IPv6报文的转发，所以需要把所有含有IPv6终端的VLAN在接入交换机上行方向均设置为802.1q Trunk链路，并把这些VLAN包含于Trunk 。这样做的目的是为了让原有IPv4三层设备将IPv6报文透传到IPv6路由器上，IPv6客户端的网关地址设置为新增IPv6路由器的地址。当IPv4报文时正常转发，IPv4网关将IPv4非广播报文终结，当IPv6报文时则当作VLAN内广播报文透传到上层交换机，直到出口路由器接收到这些IPv6报文，进行统一的全局转发。可以在IPv6路由器上启用抑止广播报文的功能或者删除IPv4协议栈，接收IPv4广播后丢弃惑不处理，部分解决下面由于trunk多个VLAN导致路由器需要处理大量过多IPv4不相关报文的问题。透传模式优点：保护原有投资（不用把原有设备升级换代），变向实现类似双栈网络的效果。透传模式缺点：对于存在IPv6终端的子网，几乎所有IPv6报文都要类似广播方式影响整个驻地网，占用网络资源、带来一定的安全隐患，原有网络的设置需要较大调整。4. 附加模式拓扑简述：原有网络建设已经成熟稳定，所有驻地网三层设备均为IPv4设备。为了实现IPv6驻地网，新增1台IPv6出口路由器。 IPv6出口路由器通过GE链路连接新增双栈交换机，再由双栈交换机把原有接入交换机新配置的上行链路进行汇聚（原有上行链路不变），这条链路需要Trunk所有拥有IPv6终端的VLAN。实现原理：对于双栈终端，IPv4网关部署在汇聚3层IPv4交换机上。驻地网内所有三层设备由于均是IPv4设备，不能完成对IPv6报文的转发，所以将原有二层交换机双归属到上层IPv4和IPv6路由交换机。需要把IPv6客户端的网关地址设置为新增IPv6交换机的地址。在新增IPv6交换机上可以不必配置IPv4地址以避免驻地网IPv4报文占用IPv6资源。附加模式优点：开销小，管理简单、IPv4和IPv6的逻辑界面清晰，原有网络拓扑和路由几乎无需调整，客户端只要简单设置即可访问全球IPv6资源。附加模式缺点：由于原有网络接入交换机剩余上行端口数量和接入交换机到新增IPv6交换机之间的光纤链路资源不确定，即便有剩余资源，也需要补充投资。所以此方案可行性不大，可能只有特殊的、小规模的网络适合，在此仅作为一种理论方案探讨。5. 建议与总结 驻地网建设应当充分考虑原有IPv4网络的情况：原有设备无法淘汰、链路资源不够丰富、对原有网络的设置不应有大幅调整，这些都是建设IPv6 CPN的重要基础条件。 每个驻地网内部的情况并不统一有些学校是属于新校区建设，可以考虑直接建设为全双栈模式，适当兼顾只支持IPv4协议栈的终端；对于老校区的原有不支持IPv6的网络建议通过逐步改造的方式来实现CPN，比如先采用隧道模式允许用户访问CERNET2，逐步将不支持IPv6的设备进行换代升级；对于其他的网络可以参考附加模式和透传模式。 出口路由器配置做最大幅度的优化理论上每个驻地网IPv6出口路由器需要1个上行端口，1个下行端口就完全可实现基本的驻地网。更多端口的扩展性可以利用驻地网内部新增全千兆双栈交换机的方式实现，这样对于内部的IPv6路由可以由高性能的交换机实现，而且可以大幅降低驻地网建设的成本。是否需要这些扩展，是由每个驻地网单位根据实际情况来决定。2.1.2 升级/改造现有IPv4网络由于现有网络为IPv4网络且具备相当的用户规模，如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。针对这种情况，建议采用升级现有IPv4网络的方案。1. 组网思路在现有IPv4网络下分散着若干IPv6/IPv4双栈主机，为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小，可首先将园区网核心设备（核心交换机）升级为双栈，网络的其他部分保持不变。核心设备完成升级后，可分别提供至IPv4网络和IPv6网络的出口；IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响，同时实现了IPv6用户的接入。对于大型的园区网，核心设备应考虑节点冗余，因此建议逐步完成对所有核心设备的升级。图2-1 园区网典型组网方案 升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP地址、VLAN、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。由于园区网中可能存在IPv6用户相对集中的节点，如，校园网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。针对这种情况，建议先用一个双栈低端设备作一次汇聚。这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络（如图2中的节点2和节点3）。从整网的角度来看，这样的组网也具有更好的可扩展性。根据实际用户的带宽情况，可以采用H3C 3610系列交换机提供“百兆到桌面”的连接，采用H3C 5510系列交换机提供“千兆到桌面”的连接。图2-2 园区网典型组网方案 升级现有IPv4网络（图2）在一些情况下，园区网内的接入交换机和汇聚交换机无法更换为支持双栈的交换机，或者无法升级为支持双栈的交换机。此时还可以采用“IPv6透传模式”。所谓透传模式，就是将所有含有IPv6终端的VLAN在接入交换机和汇聚交换机的上行方向均设置为802.1q Trunk链路，并把这些VLAN包含于Trunk （如图3所示）。图2-3 园区网典型组网方案 升级现有IPv4网络（图3）这样做的目的是为了让原有IPv4三层设备将IPv6报文透传到IPv6核心设备上，IPv6客户端的网关地址设置为新增IPv6核心设备的地址。当IPv4报文时正常转发，IPv4网关将IPv4非广播报文终结，当IPv6报文时则当作VLAN内广播报文透传到上层交换机，直到IP核心设备接收到这些IPv6报文，进行统一的全局转发。2. IPv6用户的接入方式在节点1下，由于网络中汇聚层依然是原有的IPv4交换机，接入层是原有的IPv4交换机或L2交换机，为完成IPv6用户到核心交换机的连接，可采用ISATAP隧道的方式。在节点2和节点3下，用户直接通过双栈方式完成连接。3. 业务实现分析通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。同时，IPv4用户也会有访问IPv6业务资源的需求。为实现这两种可能的业务互访的需求，需要考虑如何放置NAT-PT设备。如果要访问的业务位于园区网内部，可以考虑在业务服务器出口处放置双栈路由器（如，MSR路由器系列），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NAT-PT功能。图2-4 升级现有IPv4网络组网下的IPv6/IPv4互访业务2.1.3 新建IPv6网络随着IPv6网络规模的扩大，需要建设全新的IPv6网络。可以采用华为三康的全系列IPv6产品建设IPv6/IPv4双栈园区网。6. 组网思路新建IPv6网络相对前一种组网模式简单，选取支持双栈的交换机设备，按照现有的园区网建设模式组建网络即可。核心层和汇聚层可选用双栈交换机，接入层可使用现有的二层接入交换机组网。根据用户带宽的需要，分别选用“百兆到桌面”或“千兆到桌面”的模式。为提高网络的可靠性，汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余；汇聚设备作为用户接入点网关设备，通过运行VRRP协议实现网关冗余；核心节点采用双核心部署保证节点冗余。对于三层到桌面的需求，也可根据实际网络需求提供相应的IPv6三层接入交换机，同时根据端口汇聚的需要提供合适的汇聚交换机（如下图）。7. IPv6用户的接入方式用户直接通过双栈方式完成连接。8. 业务实现分析IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。为解决IPv4用户对于IPv6的访问、以及纯IPv6用户对于IPv4访问，同样需要考虑NAT-PT设备的放置问题。2.2 IPv6网络出口设计2.2.1 直连方式对于CERNET2的20个核心节点所在城市的驻地网(校园网)的IPv6接入方式采用光纤直连方式。在设计网络拓扑结构时，依据总体设计指导原则中驻地网IPv6的建设不能影响现有CERNET IPv4网络的生产环境的原则，对原有校园网中CERNET出口路由器和CT/CNC出口路由器以及交换网络不做任何改动。建议新增一台核心双栈路由器作为驻地网(校园网)的IPv6出口路由器通过GE上连到所属20个核心节点之一的城域网接入路由器。设备推荐采用双主控电信级路由器NE40。此路由器部署在新建的支持双协议栈网络或原有IPv4 ONLY的校园网络，是CPN网络最小配置需要。通过它可以接入CERNET2的纯IPv6网络，访问CNGI其它主干网和国际下一代互联网的IPv6资源。此外考虑驻地网(校园网)的IPv6出口的可靠性。我们推荐部署两个IPv6出口路由器同时申请2条直连到CERENT2 MAN。在条件不允许的情况下，可以利用CERNET网络作为IPv6出口的线路备份。如下图所示，需要在CERENT2 MAN和CERNET MAN之间建立IPv4的通路。然后在驻地网(校园网)的IPv6出口路由器和CERENT2 MAN接入路由器之间建立双向IPv6 over IPv4手工隧道。并设置相应的路由控制策略，在主线路工作情况下，IPv6流量优先从光纤直连通路走，在主线路发生故障的情况下，IPv6流量自动切换到备用的隧道线路上。在CERNET2的建设规划里曾经考虑到IPv6的流量在初期不会很大，所以建议IPv4的流量可以采用隧道方式借道CERNET2网络。所以在CERNET2的核心网中可能会采用某些核心节点之间通过部署IPv4 over IPv6的手工隧道来旁路CERNET的IPv4流量到CERNET2上面。2.2.2 隧道方式对于不在CERNET2的20个核心节点所在城市的驻地网(校园网)的IPv6接入方式采用隧道连接方式。如下图所示，需要在CERENT2 MAN和CERNET MAN之间建立IPv4的通路。然后在驻地网(校园网)的IPv6出口路由器和CERENT2 MAN接入路由器之间建立双向IPv6 over IPv4手工隧道（GRE或IPinIP方式）。其余的驻地网(校园网)内部的IPv6网络设计均采用同光纤直连方式一样的策略。第3章 IPv6部署的关键要素3.1 IPv6地址规划IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。IPv6的地址使用方式有两类，一类是普通网络申请使用的IP地址，这类地址完全遵从前缀+接口标识符的IP地址表示方法；另外一类就是取消接口标识符的方法，只使用前缀来表示IP地址。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，IPv6地址规划目前尚没有主流的规则，具体的IP地址分配通常在工程实施时统一规划实施，可以遵循一些分配原则：l 地址资源应全网统一分配l 地址划分应有层次性，便于网络互联，简化路由表地址规划采用扁平化的规划思路，全网拓朴分为两个层次：骨干网和城域网。各个骨干网络或者特殊区域网络按照业务量需求，在骨干区域分配不同的地址段；对于城域网，考虑IETF对IPv6地址空间的/48的分配建议，结合大城域网的地址空间需求，划分为两级：城域区域和站点区域，其中城域区域划分为骨干区域到/48地址之间的地址空间，而站点区域，按照IETF的建议，使用/48到/64之间的地址空间。IP地址分配要尽量给每个区域分配连续的IP地址空间；在每个城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。l IP地址的规划与划分应该考虑到网络的发展要求地址使用兼顾到近期的需求与远期的发展以及网络的扩展，预留相应的地址段。IP地址的分配需要有足够的灵活性，应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入（如，小区用户、专线用户，等）的需要。l 充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。我们知道全球可聚集IPv6地址的前缀为64位，后64位为主机的interface id.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。IPv6的地址分配原则同IPv4一样遵循CIDR原则。IPv6的地址规划时考虑三大类地址：1、公共服务器地址，如DNS，EMAIL，FTP等。2、网络设备互联地址和网络设备的LOOPBACK地址。根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6 MIB信息的获取和OSPFv3中ROUTER ID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址（仅需要网络设备互联地址和网络设备的LOOPBACK地址）。3.2 IPv6路由规划路由协议分为域内路由协议和域间路由协议，目前主要的路由协议都增加了对IPv6的支持功能。从路由协议的应用范围来看，OSPFv3、RIPng和IS-ISv6适用于自治域内部路由，为内部网关协议；BGP4+用来在自治域之间交换网络可达信息，是外部网关协议。1. 域内路由协议选择支持IPv6的内部网关协议有：RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看，RIPng和OSPFv3协议已较为成熟，支持IPv6的IS-IS协议标准草案也已经过多次讨论修改，标准正在形成之中，而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度，RIPng协议适用于小规模的网络，而OSPF和IS-IS协议可用于较大规模的网络。对于大规模的IP网络，为了保证网络的可靠性和可扩展性，内部路由协议（IGP）必须使用链路状态路由协议，只能在OSPF与IS-IS之间进行选择，下面对两种路由协议进行简单的对比。目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2，能够支持IPv6路由信息的OSPF版本称为OSPFv3，能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。OSPFv3OSPFv3与OSPFv2相比，虽然在机制和选路算法并没有本质的改变，但新增了一些OSPFv2不具备的功能。OSPFv3只能用来交换IPv6路由信息，ISISv6可以同时交换IPv4路由信息和IPv6路由信息。OSPF是基于IP层的协议，OSPF v3是为IPv6开发的一套链路状态路由协议。大体与支持IPv4的OSPF v2版本相似。对比OSPF v2，在OSPF v3中有以下区别：虽然OSPFv3是为IPv6设计的，但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式，而不是指定一个IPv6的地址。所以即使运行OSPF v3也需要为路由器分配IPv4地址。协议的运行是按照每一条链路（Per-link）进行的，而不是按照每个子网进行的（per-subnet）；把地址域从OSPF包和一些LSA数据包中去除掉，使得成为网络层协议独立的路由协议：与OSPFv2不同，IPv6的地址不再出现在OSPF包中，而是会在链路状态更新数据包中作为LSA的负载出现；Router-LSA和Network-LSA也不再包含网络地址，而只是简单的表示拓扑信息；邻居路由器的识别将一直使用Router ID，而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。Link-Local地址可以作为OSPF的转发地址。除了Virtual link必须使用Global unicast地址或者使用Site-local地址。去掉了认证信息。在OSPF v3中不再有认证方面的信息。如果需要加密，可以使用IPv6中定义的IP Authentication Header来实现。OSPF数据包格式发生了一些变化：OSPF的版本号由2变成了3；Hello包和Database description包的选项域增加到24位；认证域去掉了；Hello信息中不再包含地址信息；引入了两个新的选项：R位和V6位；为实现单链路上多OSPF进程的实现，在OSPF包头中加入了Instance ID域；类型LSA 3名字改为：Inter-Area-Prefix-LSA，类型LSA 4名字改为：Inter-Area-Router-LSAOSPF v2和OSPF v3都使用最短路经优先算法，在Area划分、链路类型、LSA传播等方面基本一致。总的来说，由于OSPF发展成熟，厂商支持广泛，已经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都能适应。IPv4和IPv6的混合计算：ISIS对于IPv6的支持是新增加了2个TLV以便携带IPv6前缀，但是必须要求IPv4和IPv6的ISIS拓扑必须保持一致，为了增加灵活性又增加了新的TLV以支持多拓扑环境，即使用2个SPF去分别计算IPv4和IPv6的ISIS拓扑关系。由于IPv4前缀、IPv6前缀、CSPF以及未来所有的扩展TLV均在同一个LSP中进行扩散，所以导致的问题：1、增加了网络中LSP的溢流程度。2、因为现在LSP的分段最多到256个，从而这种混合计算方式更加限制了LSP中所能够承载IP PREFIX数量。3、在IPv4、IPv6以及IPv4流量工程（IPv6的流量工程目前还没有定义）混在的生产环境目前没有得到证实。它们之间的相互影响现在还没有确定。OSPF定义了新的版本OSPFV3，采用新的LSA类型承载IPv6 PREFIX。所以OSPFV3和OSPFV2是两个独立的路由进程进行独立的SPF计算。OSPFV3的拓扑关系是基于链路而不是基于子网的，允许每链路上多个OSPFv3进程。IPv4、IPv4的流量工程相对IPv6、及未来的IPv6的