IPv6校园建设方案模板

IPv6 校园网建设实施方案 XXXX 年 XX 月 XX 日 文档密级 第2页 共11页 目录 1项目技术方案 3 1 1校园网网络拓扑设计方案 3 1 1 1校园网 IPv6 部署中需要考虑的问题 3 1 1 2整网设计原则 3 1 1 3IPv6 过渡技术简介 4 1 1 4校园网 IPv6 部署模式分析 6 1 1 5校园网 IPv6 无线网络部署方案 12 1 2IPv4 和 IPv6 地址规划方案 16 1 2 1IPv4 地址规划 16 1 2 2IPv6 地址规划 18 1 3路由设计方案 18 1 3 1IPv4 路由规划 18 1 3 2IPv6 路由规划 19 1 4接入主干网设计方案 线路落实情况和拟接入核心节点情况 21 1 5建立 IPv4 IPv6 校园网运行管理支撑系统设计方案 23 1 6支持基于真实 IPv6 源地址的用户标识和认证服务 IPv4 IPv6 过渡服务和可控组播 服务等的技术方案 23 1 6 1基于真实 IPv6 源地址的用户标识和认证服务 23 1 6 2IPv4 IPv6 过渡服务 24 1 6 3IPv6 可控组播服务 24 文档密级 第3页 共11页 1 项目技术方案项目技术方案 1 1 校园网网络拓扑设计方案校园网网络拓扑设计方案 根据各学校实际情况添加 根据各学校实际情况添加 1 1 1 校园网校园网 IPv6 部署中需要考虑的问题部署中需要考虑的问题 在校园网部署 IPv6 之前 我们首先要考虑部署的总体方针和策略 1 网络中部署 IPv6 业务的模式 在校园网中部署 IPv6 可以有全双栈模式和隧道模式 全双栈模式组网是最理想的方案 不必为不同类型的用户单独部署网络配置 开销小 管理简单 IPv4 和 IPv6 的逻辑界面清晰 隧道模式属于过渡技术 不是最终的理想方案 隧道两端点设备需要花费额外的系统开销 2 考虑网络设备对 IPv6 业务支持的广度 如 IPv6 的过渡技术有手工隧道方式 自动隧道方式 有基于 MPLS VPN 技术的 6PE 方 式 有基于网络地址转换技术的 NAT PT 等等 IPv6 的单播路由协议有 OSPFv3 ISISv6 BGP4 等等 IPv6 的组播路由协议有 PIM SM PIM SSM 等等 3 校园网 IPv6 技术升级建设应考虑部署后的可管理性 在本次网络建设后 应充分考虑网络部署 IPv6 的可管理及可维护性 要能够满足日常教学 科研的需要 4 针对不同的网络环境进行建设 采用 H3C 的设备的学校可以考虑直接扩容为全双栈模式 适当兼顾只支持 IPv4 协议栈的终端 并可根据学校的实际情况 可以先建设部分双栈网络 其他部分采用隧道模式允许用户访问 CERNET2 逐步将不支持 IPv6 的设备进行换代升级 综上所述 本次部署 IPv6 网络的时候 建议有条件的网络中采用全双栈部署 完成本次驻地 网的大部分改造 其次根据现有校园网内的实际情况 采用部分过渡技术 在不影响现有 IPv4 校 园网主体拓扑结构的条件下 使得校园网中需要部署 IPv6 网络的地方能够通过隧道技术 接入 CERNET2 1 1 2 整网设计原则整网设计原则 在校园园区网络整体设计中 采用层次化 模块化的网络设计结构 并严格定义各层功能模型 不同层次关注不同的特性配置 典型的校园园区网络结构可以分成三层 接入层 汇聚层 核心层 1 接入层 提供网络的第一级接入功能 完成简单的二 三层交换 安全 Qos 和 POE 功能 都位于这一层 对于校园园区网的接入层设备 建议有条件的网络采用采用千兆接入的方式 其他 的网络中升级可以采用百兆的接入方式 文档密级 第4页 共11页 2 汇聚层 汇聚来自配线间的流量和执行策略 当路由协议应用于这一层时 具有负载均衡 快速收敛和易于扩展等特点 这一层还可作为接入设备的第一跳网关 对于校园园区网的汇聚层设 备 应该能够承载校园园区的多种融合业务 能够融合了 MPLS IPv6 网络安全 无线 无源光 网络等多种业务 提供不间断转发 优雅重启 环网保护等多种高可靠技术 能够承载校园园区融 合业务的需求 3 核心层 网络的骨干 必须能够提供高速数据交换和路由快速收敛 要求具有较高的可靠 性 稳定性和易扩展性等 对于校园园区网核心层 必须提供高性能 高可靠的网络结构 推荐采 用高可靠的 RRPP RPR 环网结构或多设备冗余的星型结构 对于校园园区网核心层设备 应该在 提供大容量 高性能 L2 L3 交换服务基础上 能够进一步融合了硬件 IPv6 网络安全 网络业务 分析等智能特性 可为校园园区构建融合业务的基础网络平台 进而帮助用户实现校园网 IT 资源 整合的需求 1 1 3 IPv6 过渡技术简介过渡技术简介 ISATAP隧道 隧道 随着 IPv6 技术的推广 现有的 IPv4 网络中将会出现越来越多的 IPv6 主机 ISATAP 隧道技 术为这种应用提供了一个较好的解决方案 ISATAP 隧道是点到点的自动隧道技术 通过在 IPv6 报文的目的地址中嵌入的 IPv4 地址 可以自动获取隧道的终点 使用 ISATAP 隧道时 IPv6 报文的目的地址和隧道接口的 IPv6 地址都要采用特殊的地址 ISATAP 地址 ISATAP 地址格式为 Prefix 64bit 0 5EFE IPv4ADDR IPv4ADDR 即隧道端点 的 IPv4 源地址 形式为 a b c d 或者 xxxx xxxx 其中 xxxx xxxx 是由 32 位 IPv4 源地址 a b c d 转 化而来的 32 位 16 进制表示 通过这个嵌入的 IPv4 地址就可以自动建立隧道 完成 IPv6 报文的 传送 ISATAP 隧道的地址格式 ISATAP 隧道可以用于在 IPv4 网络中 IPv6 路由器 IPv6 路由器 主机 路由器的连接 由于 不要求隧道节点具有全球唯一的 IPv4 地址 可以用于内部私有网络中各双栈主机进行 IPv6 通信 所以 ISATAP 隧道适用于在 IPv4 网络中的 IPv6 主机之间的通信或 IPv4 网络中 IPv6 主机接入到 IPv6 网络的通信 如下图所示 如果是内部主机之间通讯 路由器的作用就是给主机自动分配 ISATAP 地址 主机利用得到的地址与其他主机通信 文档密级 第5页 共11页 主机 路由器的 ISATAP 隧道应用 在 IPv6 网络的建设初期 出于投资的考虑 可能很难实现对原有 IPv4 网络整体升级至 IPv6 IPv4 双栈的模式 因此多采用将驻地网的汇聚层或出口设备 如 路由器 首先升级至双栈 的模式 而汇聚层设备以下仍保持原有的 IPv4 网络 为实现位于 IPv4 驻地网内部的双栈主机与其 他 IPv6 网络的通信 或 IPv6 主机之间的通信 即可采用 ISATAP 主机 路由器的隧道部署方式 6to4隧道分析 隧道分析 和 ISATAP 隧道一样 6to4 隧道也是一种自动构造隧道的方式 6to4 隧道是点到多点的自动 隧道 主要用于将多个 IPv6 孤岛通过 IPv4 网络连接到 IPv6 网络 6to4 隧道通过 IPv6 报文的目 的地址中嵌入的 IPv4 地址 可以自动获取隧道的终点 6to4 隧道采用特殊的地址 6to4 地址 它 以 2002 开头 后面跟着 32 位的 IPv4 地址转化的 32 位 16 进制表示 构成一个 48 位的 6to4 前缀 2002 IPv4ADDR 48 6to4 隧道的地址格式 6to4 隧道只能将前缀为 2002 16 的网络连接起来 但在 IPv6 网络中也会使用像 2001 16 这 样的非 6to4 网络地址 为了使这些地址可达 必须有一台 6to4 路由器作为网关转发到 IPv6 网络 的报文 从而实现 6to4 网络 地址前缀以 2002 开始 与 IPv6 网络的互通 这台路由器就叫做 6to4 中继 6to4 Relay 路由器 6to4 隧道的作用就是解决孤立的 IPv6 站点 IPv6 子网 在没有 Internet 提供商提供 IPv6 服 务的情况下的与其他孤立的 IPv6 站点 IPv6 主干网内部站点之间的通信问题 通常在这种情况下 隧道是建立在 IPv6 子网或者 IPv6 站点的边界路由器上 起点在源站点的边界路由器上 终点在目 的站点的边界路由器上 文档密级 第6页 共11页 6to4 隧道的应用 因此在实际网络中 这种隧道可以很好地解决 IPv6 的分支网络间通过 IPv4 网络建立 6to4 隧 道实现互联 而且由于可以实现 6to4 Relay 的功能 使得 6to4 隧道可以在更加复杂的 IPv6 路由 环境下提供 IPv6 孤岛间的通信 需要注意的是 因为 6to4 地址是自动从站点的 IPv4 地址派生出来的 因此如果需要 6to4 隧 道穿越 IPv4 公网时 如 现在的 Internet 就要求每个 6to4 节点必须具有一个全球唯一的 IPv4 地址 但是通常校园网中主机和出口路由器之间建立隧道 跨越公网的可能性比较小 还有一种运用模式 如下图所示 与 ISATAP 隧道的典型应用场景类似 6to4 隧道也能提供 主机 路由器的隧道部署方式 此时 只要 6to4 主机与 6to4 路由器的 IPv4 路由可达即可实现隧 道 并不要求必须是全球唯一的 IPv4 地址 主机 路由器的 6to4 隧道应用 1 1 4 校园网校园网 IPv6 部署模式分析部署模式分析 完全新建模式完全新建模式 全双栈模式全双栈模式 文档密级 第7页 共11页 拓扑简述 拓扑简述 所有驻地网三层设备均为 IPv4 v6 双栈设备 并通过 IPv6 出口交换机通过 GE 链路连接到 CERNET2 实现原理 实现原理 驻地网 校园网 中部署双协议栈网络是最理想的方法 系统开销最小 厂家技术 芯片技术都 已经成熟 以前有人选择过渡技术 是因为改造成本相对高而不能选择 这次项目实际上就是一次 很好的改造契机 如上图所示 通过对校园网的核心层设备升级到 H3C S7500E S9500 汇聚层设备升级到 S5500EI 或 S7500E 接入设备升级到 E126A 或 S5100EI 完成将整体校园网升级到 全双栈模式 校园网络架构 在校园网中部署全双栈的网络 这样对于新建的驻地网 校园网 中双栈用户可以同时访问访问 IPv6 和 IPv4 网络 对于双栈终端 IPv4 网关和 IPv6 网关均部署在汇聚 3 层交换机上 驻地网内所 有三层设备由于均是双栈设备 既运行 IPv4 路由协议也运行 IPv6 路由协议 不同协议的数据转发 路径可能一致 也可以不同 全双栈模式优点 全双栈模式优点 文档密级 第8页 共11页 从技术角度这是最理想的方案 不必为不同类型的用户单独部署网络配置 开销小 管理简单 IPv4 和 IPv6 的逻辑界面清晰 原有设备利旧模式 双栈原有设备利旧模式 双栈 隧道模式 隧道模式 拓扑简述 拓扑简述 原有网络设备不支持 IPv6 设计中将原有的核心或汇聚层设备下移一层 将原有的核心 8500 设备下移至汇聚层 接入部分 IPv4 用户 将原有的汇聚层及核心层设备替换为支持 IPv4 IPv6 双栈 的设备 对于 S8500 下面的需要接入 IPv6 网络用户通过 ISATAP 隧道接入到 IPv6 网络 其他的 IPv6 用户通过双栈设备接入 实现原理 实现原理 如上图所示 通过对校园网的核心层设备升级到 H3C S7500E S9500 汇聚层设备升级到 S5500EI 或 S7500E 接入设备升级到 E126A 或 S5100EI 完成部分原有网络设备升级到 IPv6 网络 文档密级 第9页 共11页 同时 可以利用原有的核心设备接入部分 IPv4 用户 利用 ISATAP 隧道接入 IPv6 网络 利旧模式优点 利旧模式优点 这个方案可以充分利用原有网络中淘汰的高端设备 避免投资浪费 又能够充分获得 IPv6 IPv4 双 栈部署的优点 混合组网模式 混合组网模式 1 双平面组网模式 双平面组网模式 拓扑简述 拓扑简述 需要保留原有网络中的汇聚层及核心层的不支持 IPv6 的网络设备 在相同的层次上新建立一 套 IPv6 汇聚层与核心层设备 实现原理 实现原理 使用双平面校园网 即在现有校园网的基础上 核心 汇聚每台设备旁边拷贝一套新的网络平 面 第一平面负责原有 IPv4 业务 第二平面即作为 IPv6 业务平面 也作为 IPv4 业务的热备平面 第二平面中 核心层设备使用 H3C S7500E 汇聚层设备使用 H3C S5500EI S7500E 文档密级 第10页 共11页 双平面组网模式的优点 双平面组网模式的优点 IPv6 业务平面随时可随意以开展 IPv6 业务研究而不影响现有业务 作为备份平面 大幅提升 整个校园网的可靠性和带宽 并且在第三方设备过保淘汰时 可以保证现网业务不中断平滑割接 需要注意的是 这种方案有个前提 学校布线资源需要改造 包括核心汇聚之间的单模光纤 包括 楼宇内部垂直布线系统 接入交换机双上行到 IPv4 汇聚 IPv6 汇聚 但是本次项目国家拨款中是 包括环境设施改造的 2 核心改造模式 核心改造模式 拓扑简述 拓扑简述 仅保留原有网络中的接入层设备 将核心层与汇聚层设备替换为支持 IPv6 IPv4 双栈的设备 实现原理 实现原理 原有的接入层设备能够满足本次 IPv6 的升级要求 无需升级 所以本次升级仅升级核心层及 汇聚层设备 将其升级到支持 IPv6 IPv4 双栈的设备 满足本次部署需要 在本次升级中 核心层 设备选用 H3C S7500E 汇聚层设备选用 H3C S5500EI S7500E 核心改造模式的优点 核心改造模式的优点 文档密级 第11页 共11页 充分利用资金 对校园网核心 汇聚进行充分改造 从而使校园网对 IPv6 IPv4 的支持和转发性能 提升到新的高度 同时 IPv4 和 IPv6 的逻辑界面清晰 1 1 5 校园网校园网 IPv6 无线网络部署方案无线网络部署方案 在WLAN集中管理架构中 AP Access Point接入点 和AC Access Controller接入控制器 之 间通过LWAPP协议建立管理和数据隧道 接入控制器通过管理隧道完成对接入点服务的配置 监 控 以及管理 接入点通过接入控制器为无线接入用户提供网络接入服务 集中管理架构的WLAN网络中 接入控制器是整个WLAN网络的核心 它实现了整个WLAN网 络的服务管理 所有的接入点只有成功和接入控制器建立链接 并且成功从接入控制器获得相应的 服务配置以后 才可以提供无线接入服务 目前 集中管理架构WLAN在接入点和接入控制器之间采用LWAPP协议构建 而且同时支持 IPv4和IPv6协议 也就是 接入控制器作为服务器 可以接收来自IPv4以及IPv6网络的接入点的链 接请求 而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接 Fit AP设备为零配置设备 该设备在上电后可以自动发现接入控制器 选择当前能够提供最优 服务的接入控制器建立链接 由于接入点为零配置设备 不能判断当前接入的网络为IPv4还是IPv4 网络 所以接入点会首先在IPv4网络进行接入控制器的发现和链接处理 如果接入点无法成功通过 IPv4网络和接入控制器建立链接 则接入点会切换到使用IPv6进行接入控制器的发现和链接处理 另外 无线接入用户使用IPv4还是IPv6网络 对于WLAN网络是透明的 WLAN设备只是实现 了无线接入用户数据的二层转发 虽然在接入点和接入控制器之间会通过LWAPP数据隧道 使用 UDP传输协议 实现转发 但是无论在接入点还是接入控制器都是根据二层信息实现转发 而且 LWAPP隧道封装的载荷也是二层协议报文 所以LWAPP协议不会关心无线接入用户的上层协议 同样无线接入用户也不需要关心LWAPP数据隧道采用IPv4还是IPv6协议 隧道的动态选择和建立隧道的动态选择和建立 Fit AP设备为零配置设备 对于AP和AC建立IPv4隧道还是建立IPv6隧道 Fit AP也是自动完成 而对于接入控制器则同时可以支持IPv4隧道和IPv6隧道 下图描述了Fit AP自动建立隧道的过程 1 Fit AP正常上电运行 2 LWAPP客户端开始动态的发现AC 并且发起和AC建立连接 Fit AP只有成功和AC建 立连接 才可以提供服务 3 LWAPP客户端会先使用IPv4隧道和AC建立连接 4 如果使用IPv4隧道 无法发现AC或者和AC无法建立连接 LWAPP客户端将切换到使 用IPv6隧道 否则Fit AP开始使用IPv4隧道提供服务 5 如果使用IPv6隧道 也无法发现AC或者和AC无法建立连接 LWAPP客户端将再次切 换到使用IPv4隧道 否则Fit AP开始使用IPv6隧道提供服务 文档密级 第13页 共14页 Fit AP设备通过上面的自动使用IPv4隧道和IPv6隧道机制 可以使用在任何网络中的应用 当 Fit AP被安装在IPv4网络中 Fit AP可以使用IPv4隧道和AC建立连接 如果Fit AP被安装在IPv6网络 中时 Fit AP将无法使用IPv4隧道和AC建立连接 进而可以和AC建立IPv6的隧道并开始提供服务 WLAN 和和 IPv6 综合应用综合应用 下面几个章节 将逐一给出WLAN在IPv6网络中具体应用的说明 在在 IPv4 网络中构建网络中构建 IPv6 的的 WLAN 接入服务接入服务 目前 Internet网络主要还是采用IPv4建立 随着一些IPv6的网络的逐渐建立 这些IPv6网络如 同一个个孤岛存在于现有的网络中 文档密级 第14页 共14页 在建设WLAN网络时 同样需要考虑这样的问题 例如 在现有的IPv4网络的基础上 如何建 立一个IPv6的WLAN网络 实现无线接入用户接入到IPv6网络的需求 WLAN接入服务可以自然满足该种需求 集中管理架构的WLAN设备接入点和接入控制器之间 通过IPv4协议建立控制和数据隧道 无线接入用户的所有IPv6协议报文将被透明的在接入点和接入 控制器之间进行隧道转发 在上图中 接入控制器AC和IPv6网络相连接 接入控制器AC起到了WLAN到IPv6网络Portal功 能 实现了WLAN网络和IPv6网络连通 进而创建了一个IPv6的WLAN网络 接入点Fit AP通过 IPv4骨干网络和接入控制器建立连接 实现了穿越IPv4网络提供WLAN接入服务功能 当无线接入 用户成功和接入点AP建立无线链路连接以后 便成功接入到该IPv6的WLAN网络 通过WLAN提供的接入服务 无线终端成功的连接到IPv6网络中 无线终端可以通过动态获取 IPv6地址或者静态设置IPv6地址 之后无线终端可以访问该IPv6网络的各种服务 该无线终端的所 文档密级 第15页 共14页 有数据都被WLAN的通过接入点和接入控制器之间隧道进行透传 而无线接入用户在使用IPv6网络 时根本不关心是否穿越了一个IPv4网络 综上 在IPv4网络中 WLAN可以创建IPv6的WLAN网络 为无线客户端提供IPv6网络的接入 服务 而且对现有网络不需要进行任何的改造 在在 IPv6 网络中提供网络中提供 IPv4 的的 WLAN 接入服务接入服务 可以预计 随着IPv6网络的发展和普及 主干网络可能会逐渐被IPv6网络所代替 但是有一些 关键的网络或者设备可能无法支持IPv6 或者无法快速完成网络的切换 为了保证网络服务的正常 应用 在网络建设时也需要考虑如何解决 集中管理WLAN也可以简单地解决该问题 集中管理架构的WLAN设备接入点和接入控制器之 间通过IPv6协议建立控制和数据隧道 所有的无线接入用户的IPv4协议报文将被透明的在接入点和 接入控制器之间进行隧道转发 保证无线客户端可以通过WLAN接入到指定的IPv4网络 在上图中 接入控制器AC和IPv4网络相互连通 接入控制器起到WLAN网络的Portal功能 实 现了WLAN网络和IPv4网络的连通 进而构建了一个IPv4的WLAN网络 当接入点Fit AP通过IPv6 骨干网络和接入控制器成功建立连接 进而实现了穿越IPv6网络提供WLAN接入服务 当无线接入 用户成功和接入点AP建立无线链路连接后 便成功接入到该WLAN网络 通过WLAN提供的服务接入 该无线终端成功的连接到IPv4网络中 无线终端可以通过动态获 取IPv4地址或者静态设置IPv4地址 之后无线终端可以访问该IPv4网络的各种服务 该无线终端的 所有数据都被WLAN的通过接入点和接入控制器之间隧道进行透传 而无线接入用户在使用IPv4网 络时根本不关心是否穿越了一个IPv6网络 综上 在IPv6网络中 可以构建IPv4的WLAN网络 为无线客户端提供IPv4网络的接入服务 而且对IPv6网络不需要进行任何的改造 文档密级 第16页 共14页 在在 IPv6 网络中构建私有的网络中构建私有的 IPv6 的的 WLAN 网络服务网络服务 在纯IPv6网络中部署WLAN接入服务 和当前在IPv4中部署WLAN接入服务没有任何差别 WLAN为无线终端提供了接入到指定网络的服务 虽然该无线终端没有通过有线网络和指定网络连 接 甚至该无线客户端和指定网络之间还被其他的网络隔离 但是通过WLAN接入服务 无线客户 端宛如直接连接到该指定网络中 所有的无线终端相关报文数据都会被接入控制器和接入点之间的 隧道在无线终端和接入网络之间进行转发 而无线终端不需要关心隧道所穿越的网络 另外可以支持接入点和接入控制器之间通过任何网络进行连接 例如二层网络连接或者三层网 络连接 可以根据需要在IPv6公用网络中构建IPv6的WLAN内部网络 建立特定的WLAN接入网络 通 过WLAN接入服务控制指定的无线终端用户接入到IPv6网络中 1 2 IPv4 和和 IPv6 地址规划方案地址规划方案 1 2 1 IPv4 地址规划地址规划 IP 地址的合理规划是网络设计中的重要一环 校园网必须对 IP 地址进行统一规划并得到实施 IP 地址规划的好坏 影响到网络路由协议算法的效率 影响到网络的性能 影响到网络的扩展 影响到网络的管理 也必将直接影响到网络应用的进一步发展 IP 地址规划必须考虑到今后和其 他院系互联后的地址冲突问题 IPIP 地址分配原则地址分配原则 IP 地址空间分配 要与网络拓扑层次结构相适应 既要有效地利用地址空间 又要体现出网 络的可扩展性和灵活性 同时能满足路由协议的要求 以便于网络中的路由聚类 减少路由器中路 由表的长度 减少对路由器 CPU 内存的消耗 提高路由算法的效率 加快路由变化的收敛速度 同时还要考虑到网络地址的可管理性 具体分配时要遵循以下原则 文档密级 第17页 共14页 唯一性 一个 IP 网络中不能有两个主机采用相同的 IP 地址 简单性 地址分配应简单易于管理 降低网络扩展的复杂性 简化路由表项 连续性 连续地址在层次结构网络中易于进行路径叠合 大大缩减路由表 提高路由算法的效 率 可扩展性 地址分配在每一层次上都要留有余量 在网络规模扩展时能保证地址叠合所需的连 续性 灵活性 地址分配应具有灵活性 以满足多种路由策略的优化 充分利用地址空间 主流的 IP 地址规划方案分为纯公网地址 纯私网地址和混合网络地址三种 当校园网以私网地址分配或采用混合网络地址接入时 要求校园网提供地址变换功能 过滤掉 私网地址 IPIP 地址规划方案地址规划方案 地址编码规范地址编码规范 建议校园网的 IP 地址进行严格的编码 每位代表不同的含义 其编码规则 举例如下 为 0 1 0 1 0 0 0 0 0 1 0 1 0 0 0 0 1 网络号 2 单位地址标识 北京或烟台 3 单位内部某汇聚区域地址 4 应用标识 5 用户网络地址 2 3 5 网络互连地址 111 备用 101 语音 视频类 100 011 010 001 网络设备管理 类别标识 110 000 应用标识 地地址址编编码码规规范范 1 4 备用 备用 备用 WWW 浏览类 相应 IP 地址类别 通过地址标识可以清楚地区分出 IP 地址地来源 便于路由汇聚和访问控制 从上表中我们也 可以看出 通过我们的规划 我们能从 IP 地址分析出 IP 地址的来源 用途等 这将为网络的维护 带来方便 具体的 IP 地址定义将结合实际情况确定 中心交换机支持静态或动态的 IP 地址分配 并支持动态 IP 地址分配方式下 DHCP Relay 功能 DHCP SERVER 可安放在园区内部 对于固定 IP 地址用户 需要针对标识符 MAC 地址 设定保留 IP 地址 文档密级 第18页 共14页 1 2 2 IPv6 地址规划地址规划 IP 地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题 IPv6 地址有 128 位 其中可供分配为网络前缀的空间有 64bit 按照最新的 IPv6 RFC3513 IPv6 地址分为全球可路由 前缀和子网 ID 两部分 协议并没有明确的规定全球可路由前缀和子网 ID 各自占的 bit 数 目前 APNIC 能够申请到的 IPv6 地址空间为 32 的地址 IPv6 的地址使用方式有两类 一类是普通网络申请使用的 IP 地址 这类地址完全遵从前缀 接口标识符的 IP 地址表示方法 另外一类就是取消接口标识符的方法 只使用前缀来表示 IP 地址 IP 地址的分配和网络组织 路由策略以及网络管理等都有密切的关系 IPv6 地址规划目前尚 没有主流的规则 具体的 IP 地址分配通常在工程实施时统一规划实施 可以遵循一些分配原则 地址资源应全网统一分配 地址划分应有层次性 便于网络互联 简化路由表 IP地址的规划与划分应该考虑到网络的发展要求 充分合理利用已申请的地址空间 提高地址的利用效率 IP 地址规划应该是网络整体规划的一部分 即 IP 地址规划要和网络层次规划 路由协议规划 流量规划等结合起来考虑 IP 地址的规划应尽可能和网络层次相对应 应该是自顶向下的一种规 划 CERNET2 分配给各个驻地网用户的 IPv6 地址空间会是一个或几个 48 的 IPv6 地址前缀 我们知道全球可聚集 IPv6 地址的前缀为 64 位 后 64 位为主机的 interface id 所以各个驻地网 用户用于可分配的 IPv6 地址前缀空间的范围为 48 至 64 之间 IPv6 的地址分配原则同 IPv4 一样遵循 CIDR 原则 IPv6 的地址规划时考虑三大类地址 1 公共服务器地址 如 DNS EMAIL FTP 等 2 网络设备互联地址和网络设备的 LOOPBACK 地址 根据 IETF IPv6 工作组的建议 IPv6 网络设备互联地址采用 64 的地址块 IPv6 网络设备的 LOOPBACK 地址采用 128 的地址 3 用户终端的业务地址 此外由于目前网络设备的 IPv6 MIB 信息的获取和 OSPFv3 中 ROUTER ID 等均要求即使是一 个纯 IPv6 网络也必须要求每个网络设备拥有 IPv4 地址 所以一个纯 IPv6 网络也必须规划 IPv4 地址 仅需要网络设备互联地址和网络设备的 LOOPBACK 地址 文档密级 第19页 共14页 1 3 路由设计方案路由设计方案 1 3 1 IPv4 路由规划路由规划 路由协议的规划 路由协议的规划 1 整个骨干网络采用 OSPF 路由协议 OSPF 协议在整个骨干网中不会引起路由回环 利于校园 网骨干网的健壮性 2 在汇聚与核心交换机之间采用 OSPF 路由的方式 OSPF 路由的方式可以建设网络中心人员对 于校园网的维护量 3 OSPF 在校园网中只在核心骨干中进行运行这样大大减少了骨干节点之间 OSPF 协议的收敛周 期 在实际的应用的过程当中可以提高校园网的高稳定性 4 内置 DHCP Server 实现全网的 DHCP Server 的分散 避免单点故障 5 核心交换机可以支持防私设 DHCP Server 与 IDS 联动实现全网的安全无阻塞设计 1 3 2 IPv6 路由规划路由规划 路由协议分为域内路由协议和域间路由协议 目前主要的路由协议都增加了对 IPv6 的支持功 能 从路由协议的应用范围来看 OSPFv3 RIPng 和 IS ISv6 适用于自治域内部路由 为内部网 关协议 BGP4 用来在自治域之间交换网络可达信息 是外部网关协议 域内路由协议选择域内路由协议选择 支持 IPv6 的内部网关协议有 RIPng OSPFv3 IS ISv6 协议 从路由协议标准化进程看 RIPng 和 OSPFv3 协议已较为成熟 支持 IPv6 的 IS IS 协议标准草案也已经过多次讨论修改 标 准正在形成之中 而且 IS ISv6 已经在主流厂家的相关设备得到支持 从协议的应用范围的角度 RIPng 协议适用于小规模的网络 而 OSPF 和 IS IS 协议可用于较大规模的网络 对于大规模的 IP 网络 为了保证网络的可靠性和可扩展性 内部路由协议 IGP 必须使用链 路状态路由协议 只能在 OSPF 与 IS IS 之间进行选择 下面对两种路由协议进行简单的对比 目前在 IPv4 网络中大量使用的 OSPF 路由协议版本号为 OSPFv2 能够支持 IPv6 路由信息 的 OSPF 版本称为 OSPFv3 能够支持 IPv6 路由信息交换的 ISIS 路由协议称为 IS ISv6 OSPFv3 OSPFv3 与 OSPFv2 相比 虽然在机制和选路算法并没有本质的改变 但新增了一些 OSPFv2 不具备的功能 OSPFv3 只能用来交换 IPv6 路由信息 ISISv6 可以同时交换 IPv4 路由 信息和 IPv6 路由信息 OSPF 是基于 IP 层的协议 OSPF v3 是为 IPv6 开发的一套链路状态路由协议 大体与支持 IPv4 的 OSPF v2 版本相似 对比 OSPF v2 在 OSPF v3 中有以下区别 虽然 OSPFv3 是为 IPv6 设计的 但是 OSPF 的 Router ID Area ID 和 LSA Link State ID 依 文档密级 第20页 共14页 然保持 IPv4 的 32 位的格式 而不是指定一个 IPv6 的地址 所以即使运行 OSPF v3 也需要为路由 器分配 IPv4 地址 协议的运行是按照每一条链路 Per link 进行的 而不是按照每个子网进行的 per subnet 把地址域从 OSPF 包和一些 LSA 数据包中去除掉 使得成为网络层协议独立的路由协议 与 OSPFv2 不同 IPv6 的地址不再出现在 OSPF 包中 而是会在链路状态更新数据包中作为 LSA 的负载出现 Router LSA 和 Network LSA 也不再包含网络地址 而只是简单的表示拓扑信息 邻居路由器的识别将一直使用 Router ID 而不是像 OSPFv2 一样在某些使用端口会将端口地 址作为标识 Link Local 地址可以作为 OSPF 的转发地址 除了 Virtual link 必须使用 Global unicast 地址或 者使用 Site local 地址 去掉了认证信息 在 OSPF v3 中不再有认证方面的信息 如果需要加密 可以使用 IPv6 中定 义的 IP Authentication Header 来实现 OSPF 数据包格式发生了一些变化 OSPF 的版本号由 2 变成了 3 Hello 包和 Database description 包的选项域增加到 24 位 认证域去掉了 Hello 信息中不再包含地址信息 引入了两个新的选项 R 位和 V6 位 为实现单链路上多 OSPF 进程的实现 在 OSPF 包头中加入了 Instance ID 域 类型 LSA 3 名字改为 Inter Area Prefix LSA 类型 LSA 4 名字改为 Inter Area Router LSA OSPF v2 和 OSPF v3 都使用最短路经优先算法 在 Area 划分 链路类型 LSA 传播等方面 基本一致 总的来说 由于 OSPF 发展成熟 厂商支持广泛 已经成为世界上使用最广泛的 IGP 尤其 在企业级网络 也是 IETF 推荐的唯一的 IGP 其他路由协议所能适应的网络和具备的主要优点 OSPF 都能适应 IPv4和IPv6的混合计算 ISIS 对于 IPv6 的支持是新增加了 2 个 TLV 以便携带 IPv6 前缀 但是必须要求 IPv4 和 IPv6 的 ISIS 拓扑必须保持一致 为了增加灵活性又增加了新的 TLV 以支持多拓扑环境 即使用 2 个 SPF 去分别计算 IPv4 和 IPv6 的 ISIS 拓扑关系 由于 IPv4 前缀 IPv6 前缀 CSPF 以及未来所有的扩展 TLV 均在同一个 LSP 中进行扩散 文档密级 第21页 共14页 所以导致的问题 1 增加了网络中 LSP 的溢流程度 2 因为现在 LSP 的分段最多到 256 个 从而这种混合计算方式更加限制了 LSP 中所能够承 载 IP PREFIX 数量 3 在 IPv4 IPv6 以及 IPv4 流量工程 IPv6 的流量工程目前还没有定义 混在的生产环境目 前没有得到证实 它们之间的相互影响现在还没有确定 OSPF 定义了新的版本 OSPFV3 采用新的 LSA 类型承载 IPv6 PREFIX 所以 OSPFV3 和 OSPFV2 是两个独立的路由进程进行独立的 SPF 计算 OSPFV3 的拓扑关系是基于链路而不是基于子网的 允许每链路上多个 OSPFv3 进程 IPv4 IPv4 的流量工程相对 IPv6 及未来的 IPv6 的流量工程从原理上是互不影响 拓扑结构 也可以完全不一致 尽管 ISIS 被国内外大型运营商骨干所采用 但是 CERNET2 为了验证 OSPFv3 的新的特性 所以 CERNET2 骨干网和城域网的 IGP 协议采用了 OSPFv3 域间路由协议选择域间路由协议选择 域间路由协议采用 BGP4 从而实现不同 ISP 核心网络之间的互通 而且目前大多数典型的 路由器设备都支持这个协议 BGP4 处理各 ISP 间的路由传递 是一种域间路由协议 其特点是 有丰富的路由策略 这是 RIPng OSPFv3 等协议无法做到的 因为它们需要全局的信息计算路由 表 BGP4 通过在 ISP 边界路由器上增加一定的策略 选择过滤路由 把 RIPng OSPFv3 BGP4 等路由发送到对方 随着 IPv6 网络的大量组建 BGP4 将得到越来越多的应用 IPv6IPv6 路由规划建议路由规划建议 相比 CERNET2 核心网和城域网来讲 驻地网 校园网 内部的 IPv6 网络的路由规划较为简单 IGP 可以选择 ISISv6 或者 OSPFv3 但是考虑到使用者的习惯 大多数三层交换机不支持 ISISv6 路 由 以及必要性 部署 OSPFv3 可能更为实际 OSPFv3 域的设计可以沿用 OSPFv2 的思路 新建校园网全网部署双协议栈 IPv4 部分和原有校园网平滑对接 三层设备上同时运行 OSPFv2 和 OSPFv3 两套协议 尽管运行在同一个设备上 这两套协议是互相独立的 OSPFv3 的逻辑拓扑图 AREA 规划 和 OSPFv2 可以完全不同 驻地网 校园网 IPv6 出口的路由规划 通常来讲 按照国际上 IPv6 地址的分配规则 CERNET2 城域网会分配一块或几块 IPv6 PREFIX 48 的地址给驻地网 校园网 对于单出口的情况 可能较为简单 CERNET2 城域网接入路由器将指向驻地网 校园网 的静 态路由引入到 IBGP4 中宣告出去 文档密级 第22页 共14页 1 4 接入主干网设计方案 线路落实情况和拟接入核心节点情况接入主干网设计方案 线路落实情况和拟接入核心节点情况 对于 CERNET2 的核心节点所在城市的驻地网 校园网 的 IPv6 接入方式采用光纤直连方式 在设计网络拓扑结构时 依据驻地网 IPv6 的建设不能影响现有 CERNET IPv4 网络的生产环 境的原则 对原有校园网中 CERNET 出口路由器和 CT CNC 出口路由器以及交换网络不做任何改 动 在驻地网接入建设项目中已经新增一台核心双栈路由器和一台双栈交换机作为驻地网 校园网 的 IPv6 接入设备 通过 GE 上连到所属核心节点之一的城域网接入设备 骨干网接入路由器 对端 是 XXX 学校 目前链路是千兆光纤直连 根据实际情况更改 利 用 CERNET 网络作为 IPv6 出口的线路备份 需要在 CERENT2 MAN 和 CERNET MAN 之间建立 IPv4 的通路 然后在驻地网 校园网 的 IPv6 出口路由器和 CERENT2 MAN 接入路由器之间建立双 向 IPv6 over IPv4 手工隧道 并设置相应的路由控制策略 在主线路工作情况下 IPv6 流量优先 从光纤直连通路走 在主线路发生故障的情况下 IPv6 流量自动切换到备用的隧道线路上 路由规划 CERNET2 城域网会分配一块或几块 IPv6 PREFIX 48 的地址给驻地网 校园网 对于单出口的情况 CERNET2 城域网接入路由器将指向驻地网 校园网 的静态路由引入到 IBGP4 中宣告出去 校园网的出口就像海关的工作一样复杂 需要判定不同数据包的合理路由 从什么样的接口出 去 又要针对不同类型的网络互联 需要对内部外出的数据包进行精细的严格控制 又要执行对外 来数据的严格检验检疫 这个位置的网络建设出现问题就像国家的海关出现问题一样 所以我们应 当为数字校园建设一个智能的 支持丰富业务要求的 功能强大的 安全的出口网络系统 该路由器具备以下特点 文档密级 第23页 共14页 1 先进的软硬件体系架构 采用全分布式体系架构 路由引擎和业务引擎硬件分离 所有引擎上控制平面和业务平面分离 确保系统全速运行时业务和控制互不干扰 主备倒换时不丢包 业务不中断 各业务引擎可独立完 成 NAT IPSec Netstream 等业务的分布式处理 提高系统的整体业务能力 消除传统高端路由 器通过专门的业务板处理所造成的性能瓶颈 2 多核业务路由器 多核多线程的业务路由器具备高性能 易编程 良好的 L4 7 层业务应用灵活性等特点 多核 多线程处理器面向高速 L4 L7 数据流 使网络设备具备高性能和灵活性等特点 其良好的可编程性 和易用性 使多核多线程对未来的新业务具备了快速响应能力和良好的适应能力 满足用户不断发 展的 在路由器上实现应用层业务管理的要求 多核多线程处理器在系统架构设计阶段就非常注重 内容和安全业务的硬件加速处理 从而使路由器宝贵的核心资源可用于最关键 最核心的 L4 7 深 度业务处理 随着传统高端路由器不断向业务型高端路由器的不断发展 多核多线程处理器已成为 高端路由器的的关键技术 成为未来高端路由器发展的基石 3 开放应用架构 OAA 多核多线程路由器秉承开发架构设计理念 开放应用架构 OAA 提供开放应用平台 OAP 板卡 满足后续 L4 L7 层持续业务定制和升级 实现高端路由器的业务增值 加速 IP 网 络向智能化方向发展 1 5 建立建立 IPv4 IPv6 校园网运行管理支撑系统设计方案校园网运行管理支撑系统设计方案 1 6 支持基于真实支持基于真实 IPv6 源地址的用户标识和认证服务 源地址的用户标识和认证服务 IPv4 IPv6 过渡服过渡服 务和可控组播服务等的技术方案务和可控组播服务等的技术方案 1 6 1 基于真实基于真实 IPv6 源地址的用户标识和认证服务源地址的用户标识和认证服务 基于真实 IPv6 源地址的用户标识和认证服务即保证用户的 IPv6 地址的使用必须是经过授权的 具体应用与场景相关 可分为路由转发流量和本地接入流量的源地址验证 1 路由转发流量 路由转发流量 骨干网 AS 域间转发 多采用 BGP 协议交换路由 可以使用 BGP 加密 保证 IPv6 路由来源 的可靠性 然后通过 URPF 或 ACL 来检查报文的源地址是否来源于正确的端口 骨干网和校园网域内转发 多采用 OSPFv3 或 ISIS 等 ISIS 可以通过 MD5 加密 OS