高校IPv6校园网组网方案和网络安全规划及运营方案

1、目前，各高校的校园网主要以IPv4网络为主，但是，在很多学校的校园网中IPv4网络存在IP地址资源短缺、QoS安全等问题。同时，高校作为学术研究的基地， 建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践，抢占IPv6技术制高 点同样有迫切的需求。锐捷推出的高校IPv6校园网解决方案，遵循保证现有 IPv4应用的正常应用， 网络具有扩展性，最大限度地保护既有投资，网络方案要能够满足发挥IPv6的技术 优势，支持IPv4业务与IPv6业务的互通、设计良好的网络安全规划、考虑 IPv6 网络对用户认证和计费方式的支持等网络建设原则。IPv6校园网组网方案建立IPv6校园网主要应当考虑校园

2、网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况，这里提供四种方案供参考。方案一：隧道模式，升级核心快速实现IPv6接入适用对象：校园网中存在大量IPv4设备没有IPv6功能，或者不能升级到IPv6,快速将网 络均升级为IPv6需要较长的时间。为了保护IPv4投资，同时又需要让新增用户使 用IPv6业务，可以采用此方案。组网模式：升级的重点在于核心层。原有IPv4网络不进行改造，在核心增加一台支持IPv6 业务的核心交换机（锐捷 RG-S860O或者更换原有的核心交换机为锐捷RG-S860O核心交换机开启双栈功能，向上连接 IPv6网络，向下开启ISAT

3、AP隧道功能， 开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。网络中其余设备均无任何变化，原有IPv4业务正常运行。方案优势：只需增加一台支持IPv6业务的核心设备，其余设备保持不变，保护原有投资。只需简单开启ISATAP隧道功能即可，快速实现校园网IPv6主机接入。新增的 IPv6用户可以正常访问IPv6网络及IPv6业务。原有IPv4业务不产生任何变化，正常运行。双栈用户可以直接访问IPv4网络及IPv4业务。方案二：隧道模式，升级核心与部分汇聚逐步支持IPv6适用对象：为了使原有的IPv4网络逐步升级到IPv6网络，在原有改造核心层设备基础上， 逐步针对汇聚的三

4、层设备进行更换。组网模式：升级的重点在汇聚层。在原有核心层改造基础上，逐步针对汇聚的三层设备进行更换，可以将汇聚层的原有三层交换机更换为RG-S5750或者RG-S376CK栈设备。在双栈汇聚交换机与双栈核心交换机之间也可能会存在IPv4网络，可以使用IPv6 over IPv4 隧道方式实现IPv6的连接。核心与汇聚交换机开启双栈功能，同 时配置6over4隧道如手工隧道技术实现IPv6业务在原有IPv4网络上运行。网络中其余设备均无任何变化，原有 IPv4业务正常运行。方案优势：逐步实现对原有IPv4网络的改造，将部分汇聚与核心设备更换， 为下一步实现 整网IPv6网络部署奠定基础。新增汇

5、聚与核心之间可能存在IPv4网络，通过汇聚与核心之间开启隧道技术， 新增的IPv6用户可以正常访问IPv6网络及IPv6业务。原有IPv4业务不产生任何变化，正常运行。双栈用户可以直接访问IPv4网络及IPv4业务。方案三：双栈模式，升级核心与部分汇聚逐步支持IPv6适用对象：部分新建模式建议重新建设支持IPv6业务核心层和汇聚层，IPv4业务可以经由原有网络转发,IPv6业务经由新核心进行转发。为了使原有的 IPv4网络逐步升 级到IPv6网络，采用新建核心汇聚，支持 IPv6,接入二层设备增加接口连入新网 络中。组网模式：新增核心层支持IPv6的核心交换机，针对汇聚或者接入的三层 IPv4

6、设备进行 更换，可以将汇聚层的原有三层交换机更换为 RG-S5750或者RG-S3760的双栈设备, 直接连接到双栈核心，并部署IPv6路由功能如OSPFv3 IPv6静态路由等。新增双栈汇聚/接入交换机与新增核心交换开启双栈功能。新增汇聚/接入可直 接连接到双栈核心，开启IPv6路由功能，实现部分校园网的IPv6功能升级。原有IPv4业务正常运行。方案优势：逐步实现对原有IPv4网络的改造，将部分汇聚与核心设备更换， 为下一步实现 整网IPv6网络部署奠定基础。同时也开启了 IPv6路由功能，为未来整网维护IPv6 路由积累管理经验。新增的IPv6用户可以正常访问IPv6网络及IPv6业务。

7、原有IPv4业务不产生任何变化，正常运行。双栈用户可以直接访问IPv4网络及IPv4业务。方案四：新建IPv6网络适用对象：新建IPv6校园网，可采用全网支持IPv6的设备部署。组网模式：新建核心层、汇聚层全双栈部署IPv6路由，实现全网IPv6。部分业务区域可采用二层到桌面，接入交换机可采用百兆或千兆到桌面，汇聚层部署RG-S575Q VRRF能保证冗余。RG-S575C®接核心层RG-S8600开启 IPv4/IPv6路由功能。部分区域可采用百兆/千兆三层到桌面模型，直接将IPv6网关部署在接入三层 双栈交换机上。方案优势：接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余，

8、汇聚层、核心 层设备采用双节点实现节点冗余。汇聚层设备作为用户接入点网关设备，通过运行 VRR戌现网关冗余。保证整个IPv6网络的高可靠性。核心层的双栈设备分别连接IPv4和IPv6网络，新增IPv6用户可以正常访问 IPv6网络及业务。双栈用户可以直接访问IPv4网络及业务。设备选型针对IPv6校园网网络结构的设计分析和用户的需求分析，结合校园网未来的业务发展需要，我们建议选用支持IPv6/IPv4双协议栈、IPv6 over IPv4隧道、ISATAP 隧道、6to4隧道等过渡技术的核心、汇聚、接入的三层交换机。而IPv6校园网网络出口路由器则需要满足先进的电信级IPv6/IPv4双栈路由

9、器体系结构；交换背板提供高性能的多层和多种服务的交换结构，分布式体系结构， 具有扩展性，交换矩阵无阻塞；支持IPv6协议及其编址结构、IPv6组播服务、MPLS 服务支持、IPv6的访问控制；IPv4和IPv6互联互通及隧道技术等要求。全面考虑了 IPv6校园网建设对数据转发的能力与性能的要求，可以选择了具有自主知识产权的锐捷下一代高性能 IPv6数据转发平台：核心层设备:RG-S8614 RG-S8610汇聚层设备:RG-S8606 RG-S5750接入层设备：楼栋接入： RG-S5750 RG-S3760楼层接入：RG-S2600网络路由设计IPv6校园网的IPv6网络路由规划，需要考虑到

10、现有用户的使用习惯和主流的 应用模式。对于目前广泛采用的各种IPv6的路由协议,IPv6的IGP可以选择ISISv6 或者OSPFv3但是考虑到多数校园网的习惯以及协议支持的广泛程度，部署OSPFv3可能更为实际。对于IPv6校园网CERNET2干网之间可使用 BGP4动态路由协议或静态路由 实现互联。从精确控制和管理路由的方面，建议采用BGP4+不过需要和CERNET2运营管理者配合调试，比较复杂，同时CERNET方面也没有开放BGP4的对学校IPv6 网络的连接，只在 CERNET2日其他ISP之间做互联的时候使用了 BGP4&议。采用静态路由协议，区域学校向上制定IPv6的缺省路

11、由到节点学校，节点学校 将该区域的学校路由汇总，发布到核心网络上。实现路由条目的分级汇总，使得主 干网的路由条目减小，方便管理，极大提高了网络设备的转发效率。IPv6校园网网络安全规划IPv4协议向IPv6协议升级过程中，构建可信任的下一代互联网，将是一项长 期而艰巨的任务。在建设IPv6校园网的时候，需要全面考虑网络的安全问题。设备级别的防护CPP随着IPv6在校园中的部署,IPv4和IPv6共存的情况还要持续一段时间，校园 网的各种应用不断扩展，网络攻击不断增多，越来越需要为IPv6交换机提供一种保 护机制。对发往交换机 CPU的数据流，进行流分类和优先级分级处理，以及CPU勺带宽限速，以

12、确保在任何情况下 CPU®不会出现负载过高的状况，从而能为用户提 供一个稳定的网络环境。这种保护机制就是CPUProtect Policy ( CPP。CPPf乍为IPv6交换机的一个功能模块，按照以下四个阶段处理数据：Classifying 、Queuing、 Scheduling 和 Shaping。S8600系列IPv4/IPv6交换机的管理板与线卡的架构使 S8600系列交换机的CPP 具有了分布式的特点，它的优点是在硕件实现CPP勺基础上，由各个线卡进行一级过滤，而管理板进行二级过滤，通过这种二级过滤的机制，使管理板大大降低了被 攻击的可能性，使管理板的各种协议能平稳地运行

13、，最大程度的保护了管理板的 CPU 资源，保证了网络的安全和稳定。通过CPP呆护策略，使网络设备的安全能力得到了更大的提升。在部署 IPv6 的校园中，各种应用、攻击，都极大地考验着网络设备，我们建议在IPv6的校园网部署中，采用具有先进的 CPU Protect Policy (CPP机制的IPv6转发平台。全局安全网络-GSNIPv6技术在校园网大规模应用，IPv4和IPv6共存相互访问，各种应用大规模 开展，网络访问控制 NAC(Network Access Control )应运而生。网络访问控制解 决方案旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度，对内网 用户进行有效

14、的管理。通过这一系列措施，实现内网用户身份的合法化，上网主机 安全状况的健康化，网络通信的安全化以及用户网络访问行为的规范化。GSN&一套由软件和硕件联动的解决方案，它由后台的管理系统、网络接入设 备、入侵检测设备以及安全客户端共同构成。部署了 IPv4/IPv6兼容的全网安全防御系统，通过软硕件的联动、计算机层面 与网络层面的结合，从身份、主机、网络等多个角度对IPv4/IPv6的网络安全进行监控、检测、防御和处理，帮助用户共同构建身份合法、主机健康、网络安全、行 为规范的全局安全网络。IPv6计费运营解决方案基于IPv4/IPv6的校园网计费运营管理，是校园网发展的趋势和必经之路，

15、通 过计费运营提高了网络管理部门的服务质量，保证了校园网的健康、可持续发展。选择合适的计费认证系统，就是为用户创造高稳定性、高性能的计费运营运行 环境，实现用户的入网认证及计费管理。计费运营系统以网络运营为基础，增强全 局安全为中心，提高管理效率为目的，全面实现校园网的安全认证、计费管理。建议在IPv6的校园网中，采用锐捷 RG-SA哌全认证计费管理系统，该系统基于标准的RADIUS、议开发的。它不仅支持PPPO® SCG勺认证计费方式，还支持最 新的802.1x接入控制技术，与其他厂商支持相应标准的产品兼容， 结合锐捷的网络安全交换机提供更加丰富的功能锐捷RG-SA哌全认证计费管理

16、系统在“高安全、可运营、易管理”三个方面具有业内相类似产品无可比拟的优势。通过负载均衡、群集部署等方案在硕件设备有 限投入下提供最安全、最稳定的部署解决方案，同时以其基于身份管理为核心的多 种计费组合模式为用户提供无限可能的运营管理方案，另外，以好用、易用为原则，Web访问形式的友好界面，为用户提供贴心使用形式。锐捷RG-SA哌全认证计费管理系统是全面支持 IPv6协议的计费运营系统，是 校园网IPv6建设的关键保障，具备高可用性、高稳定性、高冗余性，同时在校园网 中具有很广泛的应用，经过大量用户的实践检验。为了满足IPv6环境下的校园网计费运营，锐捷 RG-SA哌全认证计费管理系统 全面提供了以下功能和特性：基础框架支持、认证授权模块、用户模块、计费模块、 运维模块。IPv6相比于IPv4是一个巨大的进步，也是一个巨大的变革，从 IPv4网络逐 步过渡到IPv6网络、到完全替代IPv4网络将是一个比较长的演进过程，在这个演 进过程中