《锐捷网络IPv6校园网解决方案》由会员分享,可在线阅读,更多相关《锐捷网络IPv6校园网解决方案(12页珍藏版)》请在金锄头文库上搜索。
1、锐捷网络 IPv6 校园网解决方案V1.0星网锐捷网络有限公司版权所有 侵权必究目录1锐捷在 IPv6 的进展与成果 12锐捷 IPv6 校园网组网方案 22.1升级现有 IPv4 网络方案 22.2 新建 IPv6 网络方案 42.3IPv6 校园网网络安全规划 52.3.1 设备级别的防护-CPP52.3.2 全局安全网络-GSN62.4IPv6 的计费运营解决方案 73 解决方案的特色和优势84 结束语 91 锐捷在 IPv6 的进展与成果锐捷网络作为教育行业领先的网络设备及解决方案供应商,持续服务高校校园信息化长 达 10 年,为校园网的下一代互联网的建设提供了完整的解决方案。锐捷网络
2、作为教育行业第一民族品牌,肩负下一代互联网在校园网的推广应用使命,围 绕着下一代互联网的关键技术-IPv6做了大量而有效的工作,掌握了下一代互联网的多项关键 技术,核心操作系统RGOS具有完全自主知识产权,取得了丰富的成果: 2002年,锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能,实现 了 RFC2460、2461、2463 等协议,并提供 IPv6 静态路由。 2003 年,锐捷获得国家计委(现国家发改委)投资的 IPv6 软件产业化项目,通过IPv4/IPv6 双协议栈通用操作系统 RGOS 项目的验收。 2004年,锐捷在NP平台上推出了国内第一台支持IPv6的万兆核
3、心路由交换机 S6800E 系列。 2005年,锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系 列,同年锐捷获得了由IPv6国际论坛组织颁发的IPv6 Ready第一阶段认证,标志 着锐捷产品的 IPv6 功能的成熟。 2006年,推出的RG-S8600产品全分布式ASIC硬件支持IPv6,并推出全新的模块 化操作系统RGOS10.X,产品开始全面支持IPv6。 2007 年,获得 IPv6 Ready 第二阶段金牌认证,及国家 IPv6 信产部入网证书,锐捷 全线IPv6产品全球范围内实现规模销售。 2008年,锐捷在IPv6方面进行了进一步的完善,支持IPv6的统
4、一的操作系统RGOS 全面应用于S8600系列、S5750系列、S5760系列、S2900、S2600系列。同时,在 锐捷的安全计费管理系统RG-SAM3.X上实现了对IPv6的支持。1 锐捷具备提供端到端全面 IPv6 网络解决方案能力。敏锐把握应用趋势C快捷满足春户需求锐捷 RG-S8600原有不支持IPv6;核心层的设备2 锐捷 IPv6 校园网组网方案2.1 升级现有IPv4网络方案建设 IPv6 校园网主要应当考虑校园网升级支持 IPv6 业务和采用同时支持 IPv6/IPv4 网 络设备进行新建校园网建设两种情况。汇聚层原有不支持 的设备原有不支持IPv6的设备原有不支持IPv6的
5、设备核心设备开启ISATAP隧道有不支持IPv6 i的设备.71用户端!IP V:並务反逢ipv石v&i务反逢IPv4/v6业务区域图2-1 隧道模式(ISATAP隧道),升级核心组网模式: 原有IPv4网络不进行改造,核心增加或者更换支持IPv6业务的核心交换机。 核心交换机开启双栈,向上连接IPv6网络,向下开启ISATAP隧道功能,开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。 网络中其余设备均无任何变化,原有IPv4业务正常运行。方案优势: 只需增加支持IPv6业务的核心设备,保护原有投资。 只需简单开启ISATAP隧道功能即可,快速实现校园网IPv6主机接入
6、。IPv6服务器接人层1IPv4业务区域IPv4/v6业务区域IPv4/v6业务区域汇聚层原有不支持IPv6核心层的设备锐捷 RGS8600竝娄宇之间开启手工6ove4隧道原有不支持IPv6 的设备原有不支持IPv6 的设备原有不支持IPv6 的设备图2-2隧道模式,升级核心与部分汇聚逐步支持 IPv6组网模式: 在原有核心层改造的基础上,逐步对汇聚的三层设备进行更换,将汇聚层的原有三 层交换机更换为支持 IPv4/IPv6 的双栈设备。 汇聚交换机与核心交换机之间会存在IPv4网络,使用IPv6 over IPv4隧道方式实 现IPv6的连接。核心与汇聚交换机开启双栈功能,同时配置6over
7、4隧道如手工隧 道技术。方案优势: 逐步实现对原有IPv4网络的改造,将部分汇聚与核心设备更换,为下一步实现整 网 IPv6 网络部署奠定基础。 原有IPv4业务不产生任何变化,正常运行。双栈用户可以直接访问IPv4网络及IPv4 业务。3敏锐把握应用趙势。快捷满足容户需求2.2新建IPv6网络方案核心层汇聚层接入层用户端全网设备开启IPv4/IPv6双协议栈IPv4/v6服务器锐捷 RG-S8600IPv4/V6业务区域IPv4/V6业务区域IPv4/V6业务区域图2-3 新建IPv6网络组网模式: 新建核心层、汇聚层全双栈部署IPv6路由,实现全网IPv6。 业务区域采用二层到桌面,接入交
8、换机采用百兆或千兆到桌面,汇聚层部署IPv6 VRRP 功能保证冗余。汇聚层连接核心层 IPv4/v6 双栈路由功能。方案优势: 接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余,汇聚层、核心层设 备采用双节点实现节点冗余。4敏锐把握应用趙势=快捷满足客户需求 新增IPv6用户可以正常访问IPv6网络及业务。双栈用户可以直接访问IPv4网络 及业务。2.3 IPv6校园网网络安全规划IPv4 协议向 IPv6 协议升级过渡的过程中,多种安全问题将暴露出来,构建可信任的下一代互联网,将是一项长期而艰巨的任务。在建设IPv6校园网时候,需要全面考虑网络的安全问题。 IPv6 校园网安全问题划
9、分为:设备级别、全网安全级别。2.3.1 设备级别的防护 -CPP随着 IPv6 在校园中的部署,校园网的各种应用不断扩展,网络攻击的不断增多,越来越需要为IPv6交换机提供一种保护机制。对发往交换机CPU的数据流,进行流分类和优先级分 级处理、CPU的带宽限速,以确保在任何情况下CPU都不会出现负载过高的状况,为用户提供 一个稳定的网络环境。这种保护机制是CPU Protect Policy (CPP)。CPP作为IPv6交换机的 一个功能模块,按照以下四个阶段处理数据:Classifying、Queuing、Scheduling和Shaping。FLOW通过ACL匹配每一类报文的特征域实现
10、FL0W1 FL0W2FLOWn-1 FLOWnS8600系列IPv4/IPv6交换机的管理板与线卡的架构使S8600系列交换机的CPP具有了分布式 的特点,它的优点是在硬件实现的 CPP 的基础上,由各个线卡进行一级过滤,而管理板进行 二级过滤,通过这种二级过滤的机制,管理板降低了被攻击的可能性,使管理板的各种协议 能平稳地运行,最大程度的保护了管理板的CPU资源,保证了网络的安全和稳定。通过CPP保护策略,网络设备的安全能力有了更大的提升。在部署IPv6的校园中,各种应用、攻击,都极大地考验着网络设备,在IPv6的校园中的部署中,应该采用具有先进的CPUProtect Policy (CP
11、P)机制的 IPv6 转发平台。2.3.2 全局安全网络 -GSNIPv6技术在校园网大规模应用,各种应用大规模开展,网络访问控制接入控制应运而生。网络访问控制解决方案旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度, 对内网用户进行有效的管理。实现内网用户身份的合法化,上网主机安全状况的健康化,网 络通信的安全化以及用户网络访问行为的规范化。GSN 是由软件和硬件联动的安全系统,它由后台的管理系统、网络接入设备、入侵检测设 备以及安全客户端共同构成。咋集中整个集团/时SEP:事 对王共上軽趣锐捷安全认证客电扶行入關的认述酢”对用尸 疏迸行理复希自动下发等功竈龄趣心渙払-帖擁瞇黴攔厅
12、 昭*下发皈部署 IPv4/IPv6 兼容的全网安全防御系统,通过软硬件的联动、计算机层面与网络层面 的结合,从身份、主机、网络等多个角度对 IPv4/IPv6 的网络安全进行监控、检测、防御和 处理,帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。2.4 IPv6的计费运营解决方案基于 IPv4/IPv6 的校园网计费运营管理,是校园网发展的趋势和必经之路,通过计费运 营提高了网络管理部门的服务质量,保证了校园网的健康、可持续发展。实现IPv6用户的入网认证及计费管理。IPv6计费运营系统以网络运营为基础,增强全局 安全为中心,提高管理效率为目的,全面实现校园网完善IP
13、v6的安全认证、计费管理。采用锐捷RG-SAM IPv6安全认证计费管理系统,该系统基于标准的RADIUS协议开发的。它不仅支持PPPOE和SCG的认证计费方式,还支持最新的802.1X接入控制技术,与其他厂商支持相应标准的产品兼容,结合锐捷的网络安全交换机提供更加丰富的功能。运一日志用系WW户统E管运b理行日监志控管1模块化管理锐捷 RG-SAM 安全认证计费管理系统在“高安全、可运营、易管理”的特点。通过负载均7衡、群集部署等方案在硬件设备有限投入下提供最安全、最稳定的部署解决方案,同时以其 基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案,另外,以好 用、易用为原则,
14、Web访问形式的友好界面,为用户提供贴心使用形式。锐捷RG-SAM安全认 证计费管理系统是全面支持IPv6协议的计费运营系统,是校园网IPv6建设的关键保障。敏说把握应用趋势匚快肚满足春户需求3 解决方案的特色和优势 提供端到端的全网建设方案全系列的交换机产品线:S8600系列、S7600系列、S5750系列、S3760系列、S2600系列, 全面支持IPv6。校园网IPv6整体解决方案提供了 IPv6的网络设备、网络管理、计费认证的 全网端到端的解决方案; 所有交换产品硬件支持IPv6,提供IPv6应用的高性能保障全系列的IPv6交换机产品,通过ASIC硬件实现IPv6,提供万/千/百兆端口
15、的IPv6报文 线速转发。全面满足校园网对IPv6路由、IPv6组播、IPv4/IPv6过渡等各种IPv6功能和性 能需求;通过信息产业部指定单位的IPv6入网测试,获得IPv6进网检验报告,并通过信息 产业部的严格评审,获得IPv6入网证; 提供多种IPv4/IPv6过渡技术和方案锐捷的IPv6交换机产品,提供完善的IPv4/IPv6双协议栈,以及多种成熟的IPv4/IPv6 隧道技术,帮助各高校平滑的实现IPv4和IPv6网络及应用的过渡。 配套安全计费管理系统实现完整解决方案锐捷RG-SAM3.X实现了对IPv6的支持,结合交换机的802.1x认证和Web认证功能,实 现了在IPv6环境下全网用户的安全、计费与管理。 成熟广泛的应用8锐捷IP
