l  前言

中國是世界上人口最多的國家，網(wǎng)民數(shù)量居世界第二，中國網(wǎng)絡(luò)地址的希缺與網(wǎng)絡(luò)規(guī)模的大發(fā)展形成了鮮明的對比，采用IPv6將完全改觀這種局面，使中國網(wǎng)絡(luò)未來的發(fā)展沖破地址資源匱乏的樊籬。高校向來是國家前沿技術(shù)的陣地，在下一代互聯(lián)網(wǎng)的重大歷史機遇面前，承擔起IPv6的研究工作責無旁貸。

l  IPv6校園網(wǎng)建設(shè)需求

國家重視的驅(qū)動

?  IPv6將推動我國信息產(chǎn)業(yè)的發(fā)展

IPv6將帶來中國在互聯(lián)網(wǎng)領(lǐng)域趕超其他國家的重大機遇，對于設(shè)備商、運營商、家電商、甚至最終用戶，抓住機遇都將帶來充滿生機的變化。

?  使中國贏得從引進技術(shù)轉(zhuǎn)變到引導技術(shù)發(fā)展的機會

IPv6作為一個新的IP核心技術(shù)，將帶動信息通信乃至其他產(chǎn)業(yè)的信息化發(fā)展，獲得戰(zhàn)略性競爭優(yōu)勢。真正需要IPv6的不是歐美日，而是中國。

學校的面臨的機遇

?  CERNET2將成為真正意義上的“中國教育與科研計算機網(wǎng)”（目前的CERNET網(wǎng)實際上已經(jīng)成為運營網(wǎng)），作為下一代網(wǎng)絡(luò)的研究示范平臺，供各高校接入，以便有效開展IPv6的技術(shù)與應(yīng)用的研究之用。

?  目前很多高校已經(jīng)或開始建設(shè)校園內(nèi)的IPv6網(wǎng)絡(luò)（局部）或IPv6的城域網(wǎng)（覆蓋城域范圍內(nèi)的若干高校），這些IPv6網(wǎng)絡(luò)都將接入CERNET2。

?  211高校或者有重點學科的院校，最終都要接入CERNET2，目前已掀起建設(shè)“局部IPv6網(wǎng)/IPv6網(wǎng)絡(luò)實驗室”的熱潮。

IPv6技術(shù)發(fā)展的驅(qū)動

?  支持IPv6的硬件芯片成熟、穩(wěn)定，

?  IPv6協(xié)議標準化得到了極大的發(fā)展

?  網(wǎng)絡(luò)設(shè)備IPv6特性的完備性得到極大發(fā)展

?  校園IPv6業(yè)務(wù)、軟件，如雨后春筍般不斷出現(xiàn)

l  H3C IPv6校園網(wǎng)解決方案

全新雙棧IPv6校園網(wǎng)方案

? 新建核心層、匯聚層全雙棧，全網(wǎng)運行OSPFv3/RIPng

? 匯聚層、核心層之間可采用10GE連接。

? 匯聚層設(shè)備作為用戶接入點網(wǎng)關(guān)設(shè)備，通過運行VRRP實現(xiàn)網(wǎng)關(guān)冗余。

? 接入層與匯聚層、匯聚層與核心層間采用雙上聯(lián)實現(xiàn)鏈路冗余，匯聚層、核心層設(shè)備采用雙節(jié)點實現(xiàn)節(jié)點冗余。

? 支持穿透二層到桌面、百兆三層到桌面模型、千兆三層到桌面模型多種需求類型

利舊改造IPv6校園網(wǎng)方案

? 升級的重點在于網(wǎng)絡(luò)核心層，使用雙棧核心設(shè)備替代現(xiàn)有的IPv4核心設(shè)備。其余網(wǎng)絡(luò)層次保持不變。

? IPv6用戶接入方式：IPv6/IPv4主機可采用ISATAP隧道方式直接接入核心交換機。

l  立體管理的IPv6校園網(wǎng)絡(luò)解決方案

概述

隨著CERNET2骨干網(wǎng)的成功運行、IPv6駐地網(wǎng)出口改造完成，各高校IPv6校園網(wǎng)建設(shè)也陸續(xù)完善起來。國家在CNGI與IPv6試商用的整體重視和投入，極大推進了校園IPv6業(yè)務(wù)與用戶的蓬勃發(fā)展。正式由于業(yè)務(wù)與用戶的迅猛增長，致使雙棧網(wǎng)絡(luò)還是隧道過渡，已經(jīng)不再是關(guān)注的重點。而如何能夠?qū)?/span>IPv6校園建設(shè)成和IPv4網(wǎng)絡(luò)一樣安全、可管理、可運營成為對校園信息化主管新的挑戰(zhàn)。

挑戰(zhàn)

管理好IPv6用戶資源

在原有IPv4校園網(wǎng)中，用戶管理一直是管理聚焦的環(huán)節(jié)，很多老師和供應(yīng)商都設(shè)計、開發(fā)了相關(guān)技術(shù)以解決用戶網(wǎng)絡(luò)使用授權(quán)與運營、網(wǎng)絡(luò)行為審計、用戶攻擊行為、安全準入等問題。而IPv6校園建設(shè)初期是以基礎(chǔ)平臺搭建為重點，缺乏對用戶管理的有效手段，存在一定的用戶資源不可控風險。比如基于IPv6的用戶可控運營、IPv6非法網(wǎng)絡(luò)行為審計、ND攻擊與偽DHCPv6服務(wù)等造成的安全隱患、IPv4與IPv6網(wǎng)絡(luò)使用授權(quán)不統(tǒng)一的問題。

管理好IPv6業(yè)務(wù)資源

隨著IPv6試商用建設(shè)在校園的部署，校園IPv6業(yè)務(wù)不斷增加以滿足更普遍的新業(yè)務(wù)服務(wù)。而IPv6業(yè)務(wù)在管理的維度將成為新的“黑盒子”，校園某些關(guān)鍵鏈路出現(xiàn)異常流量，而管理者并不清楚這是因為新業(yè)務(wù)正常增長而需要新的規(guī)劃，還是因為某些安全隱患導致的異常；對于IPv6熱點應(yīng)用服務(wù)，也缺乏有效的服務(wù)質(zhì)量保障。

管理好IPv6網(wǎng)絡(luò)資源

每個學校都會有多個廠家提供的IPv6設(shè)備，數(shù)量規(guī)模不一，少則百余臺多則近千臺。龐大的IPv6網(wǎng)元組成的網(wǎng)絡(luò)，有些部分是雙棧，而有些部分則是純IPv6協(xié)議，這樣一張新網(wǎng)絡(luò)需要實現(xiàn)有效管理，將會面臨由于IPv6地址空間龐大而難以用傳統(tǒng)技術(shù)生成拓撲的問題，以及廠家私有MIB充分管理利用的問題。

解決方案與價值實現(xiàn)

IPv6用戶管理方案

       

IPv6安全準入——基于雙?；蚣?/span>IPv6協(xié)議的802.1x等接入認證技術(shù)，驗證IPv6用戶準入權(quán)限，并記錄其審計信息；

IPv6可信保障——ND攻擊防御、偽DHCP6防御等交換機技術(shù)特性（SAVI），防止IPv6接入環(huán)境的偽造行為，保障源地址真實可信；

IPv6業(yè)務(wù)運營——基于交換機MLD Snooping和用戶認證管理技術(shù)，面向用戶下發(fā)IPv6組播權(quán)限，并支持運營計費。

IPv6業(yè)務(wù)管理方案

       

H3C IPv6網(wǎng)絡(luò)流量分析管理技術(shù)NTA over IPv6，支持分布式的SFLOW、分布式IPFIX、可彈性擴容Netstream等多種方式進行雙棧流量、純IPv6流量數(shù)據(jù)采集，使IPv6校園網(wǎng)的業(yè)務(wù)分布情況、壓力情況、變化趨勢一目了然完全可視化。而對于IPv6業(yè)務(wù)集中的雙棧數(shù)據(jù)中心，采用同時支持IPv4/IPv6的服務(wù)器負載均衡方案，幫助校園IPv6新熱點業(yè)務(wù)大幅提升用戶體驗。

IPv6網(wǎng)絡(luò)管理方案

       

H3C iMC在進行IPv6網(wǎng)絡(luò)拓撲發(fā)現(xiàn)時，采用ND方式自動發(fā)現(xiàn)。該技術(shù)利用設(shè)備的ND信息，過濾出所有的全局IPv6地址，然后根據(jù)這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備。而該技術(shù)是基于公有IPV6-MIB（RFC2452）實現(xiàn)，只要第三方設(shè)備支持該MIB，就可以完成自動發(fā)現(xiàn)。而基于IPv6 ND的遞歸發(fā)現(xiàn)方式計算工作量大幅減小，極大提升了學校的管理工作效率。

小結(jié)

H3C 立體管理IPv6校園網(wǎng)解決方案，實現(xiàn)IPv6校園的安全、可控、可管和可運營，有效降低學校IPv6&IPv4 TCO，推進校園網(wǎng)用戶的IPv6普遍訪問和校園網(wǎng)信息資源的IPv6普遍服務(wù)，為學校由IPv6試商用向正式商用提供了支撐。

 

l  H3C IPv6解決方案優(yōu)勢

H3C的IPv6校園網(wǎng)解決方案的價值

IPv6園區(qū)網(wǎng)——通過完善的IPv6路由與交換產(chǎn)品線，為學校提供端到端的雙棧部署與IPv6過渡遷移方案，并實現(xiàn)基于IPv6的虛擬化園區(qū)網(wǎng)絡(luò)，為學校IPv6規(guī)模商用、IPv6業(yè)務(wù)精細化運維提供堅實基礎(chǔ)。

IPv6無線校園——將校園有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)基于IPv6進行無縫整合，使其在雙棧和純IPv6環(huán)境下無障礙部署，并在管理配置、用戶安全、組播業(yè)務(wù)等維度實現(xiàn)了IPv4/IPv6、有線/無線的同等承載能力。

IPv6安全管理——H3C將安全滲透網(wǎng)絡(luò)解決方案升級到IPv6，實現(xiàn)IPv6用戶的安全可信接入，確保用戶接入網(wǎng)絡(luò)的身份可信、杜絕仿冒攻擊；同時利用雙棧防火墻與IPS產(chǎn)品將外網(wǎng)對校園的攻擊、對校園數(shù)據(jù)中心服務(wù)器的攻擊有效阻斷。

IPv6網(wǎng)絡(luò)管理——不僅實現(xiàn)有效管理校園IPv6設(shè)備資源，快速發(fā)現(xiàn)IPv6拓撲并有效配置，而且實現(xiàn)校園IPv6業(yè)務(wù)在網(wǎng)絡(luò)中的可視化管理，使學校不會因為IPv6業(yè)務(wù)部署而出現(xiàn)管理上的盲點。

IPv6增值運營——通過用戶管理系統(tǒng)與IPv6組播交換機的配合，協(xié)助學校將IPv6組播業(yè)務(wù)實現(xiàn)基于用戶和組播套餐的運營，同時可以控制非法組播源/非法組播接收者的接入，使校園IPv6實現(xiàn)有序可控的業(yè)務(wù)增值運營。

H3C的IPv6發(fā)展戰(zhàn)略

IPv6核心技術(shù)的積累

H3C緊密跟蹤國內(nèi)外先進的IPv6技術(shù)，對IPv6技術(shù)中新出現(xiàn)的各項新特性進行分析并逐步納入開發(fā)，IPv6專利申請數(shù)量超過50件，保持H3C的IPv6技術(shù)領(lǐng)先

平臺的戰(zhàn)略

p  基于H3C領(lǐng)先的COMWARE平臺，通過軟件升級實現(xiàn)各產(chǎn)品IPv6功能

p  硬件平臺和設(shè)計充分考慮IPv6的要求，平滑升級IPv6，保護用戶在IPv4的設(shè)備投資

p  平臺集豐富特性，支撐業(yè)務(wù)融合，產(chǎn)品按需定制

發(fā)展方向——IToIPv6

p  IPv6是華三公司的IToIP戰(zhàn)略的發(fā)展目標

p  從核心到接入、從高端到低端的全系列IPv6路由器、交換機產(chǎn)品；從基礎(chǔ)IPv6架構(gòu)，到IPv6安全、管理、業(yè)務(wù)運營全方位發(fā)展

p  多媒體通信融合方案實現(xiàn)對IPv6技術(shù)的支持

p  數(shù)據(jù)中心實現(xiàn)IPv6與IPv4業(yè)務(wù)的無縫融合解決方案

p  整體規(guī)劃，與業(yè)務(wù)研究同步進行，新業(yè)務(wù)應(yīng)用將隨網(wǎng)絡(luò)的發(fā)展同步實現(xiàn)

教育行業(yè)IPv6實踐經(jīng)驗

p  作為主要設(shè)備供應(yīng)商參與CERNET2主干網(wǎng)及駐地網(wǎng)建設(shè)；

p  包括山東大學、北京郵電大學、中國政法大學等高校，至2009年10月已有近200所高校整體采用H3C系統(tǒng)開通IPv6業(yè)務(wù)

p  “IPv6試商用項目”通過出色的入圍測試效果與服務(wù)承諾，近90所高校選擇H3C，市場份額第一

H3C攜手開拓IPv6新課題

p  H3C：擁有國內(nèi)IP通信最強大的研發(fā)團隊，擁有最規(guī)范的產(chǎn)品開發(fā)管理，擁有最廣泛的各行業(yè)市場拓展團隊

p  高校：擁有IPv6領(lǐng)域最前沿的理論研究，擁有最深刻的IPv6部署經(jīng)驗

p  H3C+高校=最尖端的技術(shù)課題+最大的成果轉(zhuǎn)化市場

我們的共同成果將服務(wù)于各IPv6校園網(wǎng)、IPv6電子政務(wù)網(wǎng)、IPv6運營商網(wǎng)絡(luò)、IPv6企業(yè)網(wǎng)絡(luò)，整體推進我國IPv6技術(shù)商用進程

我們的共同努力將在IETF等領(lǐng)域提升我國IPv6領(lǐng)域的地位與發(fā)言權(quán)

l  定購信息