安全运维 融合IPv6——高校骨干网解决方案
锐捷网络IPv6校园网解决方案
锐捷网络IPv6校园网解决方案V1.0星网锐捷网络有限公司版权所有侵权必究目录1 锐捷在IPv6的进展与成果 (1)2 锐捷IPv6校园网组网方案 (2)2.1 升级现有IPv4网络方案 (2)2.2 新建IPv6网络方案 (4)2.3 IPv6校园网网络安全规划 (5)2.3.1 设备级别的防护-CPP (5)2.3.2 全局安全网络-GSN (6)2.4 IPv6的计费运营解决方案 (7)3 解决方案的特色和优势 (8)4 结束语 (9)1 锐捷在IPv6的进展与成果锐捷网络作为教育行业领先的网络设备及解决方案供应商,持续服务高校校园信息化长达10年,为校园网的下一代互联网的建设提供了完整的解决方案。
锐捷网络作为教育行业第一民族品牌,肩负下一代互联网在校园网的推广应用使命,围绕着下一代互联网的关键技术-IPv6做了大量而有效的工作,掌握了下一代互联网的多项关键技术,核心操作系统RGOS具有完全自主知识产权,取得了丰富的成果:●2002年,锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能,实现了RFC2460、2461、2463等协议,并提供IPv6静态路由。
●2003年,锐捷获得国家计委(现国家发改委)投资的IPv6软件产业化项目,通过IPv4/IPv6双协议栈通用操作系统RGOS项目的验收。
●2004年,锐捷在NP平台上推出了国内第一台支持IPv6的万兆核心路由交换机S6800E系列。
●2005年,锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系列,同年锐捷获得了由IPv6国际论坛组织颁发的IPv6 Ready第一阶段认证,标志着锐捷产品的IPv6功能的成熟。
●2006年,推出的RG-S8600产品全分布式ASIC硬件支持IPv6,并推出全新的模块化操作系统RGOS10.x,产品开始全面支持IPv6。
●2007年,获得IPv6 Ready第二阶段金牌认证,及国家IPv6信产部入网证书,锐捷全线IPv6产品全球范围内实现规模销售。
高校IPv6校园网组网方案和网络安全规划及运营方案
高校IPv6校园网组网方案和网络安全规划及运营方案目前,各高校的校园网主要以IPv4网络为主,但是,在很多学校的校园网中IPv4网络存在IP地址资源短缺、QoS、安全等问题。
同时,高校作为学术研究的基地,建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践,抢占IPv6技术制高点同样有迫切的需求。
锐捷推出的高校IPv6校园网解决方案,遵循保证现有IPv4应用的正常应用,网络具有扩展性,最大限度地保护既有投资,网络方案要能够满足发挥IPv6的技术优势,支持IPv4业务与IPv6业务的互通、设计良好的网络安全规划、考虑IPv6网络对用户认证和计费方式的支持等网络建设原则。
IPv6校园网组网方案建立IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况,这里提供四种方案供参考。
方案一:隧道模式,升级核心快速实现IPv6接入适用对象:校园网中存在大量IPv4设备没有IPv6功能,或者不能升级到IPv6,快速将网络均升级为IPv6需要较长的时间。
为了保护IPv4投资,同时又需要让新增用户使用IPv6业务,可以采用此方案。
组网模式:升级的重点在于核心层。
原有IPv4网络不进行改造,在核心增加一台支持IPv6 业务的核心交换机(锐捷RG-S8600)或者更换原有的核心交换机为锐捷RG-S8600。
核心交换机开启双栈功能,向上连接IPv6网络,向下开启ISATAP隧道功能,开启IPv6/IPv4主机可采用ISATAP 隧道方式直接接入核心交换机。
网络中其余设备均无任何变化,原有IPv4业务正常运行。
方案优势:只需增加一台支持IPv6业务的核心设备,其余设备保持不变,保护原有投资。
只需简单开启ISATAP隧道功能即可,快速实现校园网IPv6主机接入。
新增的IPv6用户可以正常访问IPv6网络及IPv6业务。
原有IPv4业务不产生任何变化,正常运行。
IPv6网络安全管理与运维最佳实践
IPv6网络安全管理与运维最佳实践IPv6网络的快速部署和广泛应用,给网络安全管理和运维带来了新的挑战和机遇。
为了保护IPv6网络的安全,提高网络运维的效率和可靠性,以下是一些IPv6网络安全管理与运维的最佳实践。
一、网络规划与设计在进行IPv6网络规划与设计时,需要充分考虑网络安全的需求。
以下几点可以作为参考:1. 安全边界划分:根据实际需求,将IPv6网络划分为内部网络和外部网络,设置相应的安全边界和防火墙,以实现安全隔离和访问控制。
2. 子网规划:合理划分IPv6子网,以满足不同部门和应用的需求,同时避免子网重叠和浪费。
3. 安全策略定义:定义适当的安全策略,包括访问控制列表(ACL)、安全组等,限制不必要的流量进入和离开网络。
二、身份验证与访问控制在IPv6网络中,有效的身份验证和访问控制是保护网络安全的重要手段。
1. 强密码策略:要求用户设置复杂的密码,并定期更换密码,以避免密码猜测和撞库攻击。
2. 多因素认证:采用多种认证方式,如密码与令牌结合、指纹与密码结合等,以提高身份验证的安全性。
3. 访问控制:限制不必要的IPv6地址访问,使用ACL或安全组等技术,精确控制网络中各个节点的访问权限。
三、漏洞管理与修复及时发现和修复漏洞是保护IPv6网络安全的重要环节。
1. 漏洞扫描与评估:定期进行漏洞扫描,识别网络中存在的漏洞,并根据漏洞评估结果及时修复。
2. 漏洞补丁管理:建立漏洞补丁管理机制,及时获取最新的安全补丁,对受影响的设备和系统进行修复,以杜绝潜在的入侵风险。
四、安全监测与日志管理持续监测IPv6网络的安全状况,对异常事件进行及时发现和响应,是确保网络安全的重要步骤。
1. 安全事件监测:使用安全监测系统,对网络流量、日志和事件进行实时监测,发现安全威胁并及时采取相应措施。
2. 日志管理:建立日志管理策略,及时记录关键设备和系统的日志信息,以便快速定位和溯源安全事件。
五、培训与意识提升提高网络运维人员和用户的安全意识,加强安全培训与教育,是IPv6网络安全管理与运维的基础。
IPv6主干下的校园网接入(南京大学)
接入IPv6主干 主干 接入
- 南京城域网拓扑
8
接入IPv6主干 主干 接入
- 三层交换架构校园网
校园网内部为三层交换结 构,所有三层交换机以及 二层交换机之间启用VTP ,末端纯IPv6主机单独划 为一个VLAN,在边界三 层交换机上指向NE40。 对于原来的IPv4主机,如 果升级为双栈,在边界三 层交换机上只要为相应端 口增加一个IPv6地址即可 VLAN结构不用变化。
17
IPv4 over IPv6
- 隧道构建过程
如何由IPv4目的地址得到对端IPv6目的地址? IPv4地址范围注册机制 1. 假定隧道设备的IPv6地址为Addr6,由隧道设备向 Broker注册地址前缀表项 {地址前缀:Addr6} 即校园网IPv4地址前缀与Addr6之间对应关系 2. 各个区域的Broker之间交换地址表项,得到全局 的注册信息 3. 以IPv4目的地址为参数向Broker查询,得到对端 隧道设备的IPv6地址,
12
IPv4 over IPv6
现状:
- 应用背景
- 已接入IPv6主干的校园网用户部署IPv4应用 - 实时、海量数据的跨主干传输,要求高带宽,高 性能,较好服务质量 - 现有IPv4主干相对拥挤,而IPv6应用较少,IPv6 主干相对空闲 前景: - 充分利用IPv6主干的高带宽,实现IPv4端到端的 高性能连接 - 将来IPv6网络成为主流之后,IPv4孤岛之间通信 问题的解决方法之一
18
IPv4 over IPv6
- 可扩展性和性能
- 隧道设备上隧道总数限制,并发会话数量限制 (路由策略) - 隧道设备的转发能力 - Broker之间通告的表项数目(数百个校园网,每 个校园网的地址前缀数目) - 地址表项变化后的快速同步 - 隧道的动态管理
高校IPV6解决方案全面版
高校IPV6解决方案全面版2020年6月2日,关于IPv6的解决方案问题,本文将从政策及背景、高教IPv6的演进阶段需求、高校IPv6升级改造面临的问题和挑战以及极简校园网IPv6解决方案设计等几个方面进行分析。
政策及背景方面,近年来,我国政府一直在大力推进IPv6的应用和推广工作,以满足中国互联网的快速发展需求。
同时,高校IPv6的建设也成为了当前政策的重要方向之一。
在高教IPv6的演进阶段需求方面,高校网络的IPv6升级改造是必然趋势。
随着IPv4地址的枯竭,IPv6地址的应用将逐渐成为网络建设的主流。
因此,高校网络的IPv6升级改造已经成为当前亟待解决的问题之一。
高校IPv6升级改造面临的问题和挑战包括:网络规模大、设备众多、网络拓扑复杂、升级改造难度大等。
如何有效地解决这些问题,是高校IPv6升级改造工作中的重中之重。
针对高校IPv6升级改造面临的问题和挑战,本文提出了一种极简校园网IPv6解决方案设计。
具体来说,方案设计包括高校IPv6使用现状、方案设计概览以及扁平化IPv6设计等几个方面。
通过这些设计,可以有效地解决高校IPv6升级改造所面临的问题和挑战,提高网络的稳定性和可靠性。
3.4 IPv6地址设计在IPv6地址设计中,需要考虑到地址的可扩展性和灵活性。
IPv6地址长度为128位,相对于IPv4的32位地址长度增加,因此可以为网络中的每个设备分配唯一的地址。
此外,IPv6地址还支持多种地址类型,包括单播、多播和任播地址。
在设计IPv6地址时,需要考虑到地址分配和路由的效率,以及地址的易于管理性。
3.5 IPv6实名认证设计IPv6实名认证是保障网络安全的重要手段。
在IPv6实名认证设计中,需要考虑到认证的可靠性和安全性。
为了实现IPv6实名认证,可以采用双栈认证代理方案或IPv6无感知认证设计。
双栈认证代理方案通过代理服务器进行认证,可以兼容IPv4和IPv6协议。
而IPv6无感知认证设计则可以在不影响用户体验的情况下进行认证,提高了认证的便捷性和效率。
IPv6校园网解决方案建议书模板—2完整篇.doc
IPv6校园网解决方案建议书模板—4第2页图2-1 园区网典型组网方案—升级现有IPv4网络(图1)这种组网只适用少量IPv6/IPv4双栈用户的情况。
首先,由于用户直接接入核心设备,应避免核心设备的负担过重;其次,可以分别针对每个用户的IP 地址、VLAN 、端口作相应的策略,避免IPv6业务对原有网络的影响,同时保障核心设备的安全。
当IPv6/IPv4用户数量较大时,依然采用上述组网方式会使得配置太繁琐,而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。
由于园区网中可能存在IPv6用户相对集中的节点,如,驻地网当中的IPv6试验网,或IPv6研究性质的网络,或者园区网中的IPv6用户数量较多。
针对这种情况,建议先用一个双栈低端设备作一次汇聚。
这类节点下的IPv6主机可使用IPv6接入交换机接入后,通过双议书栈直接上联至核心交换机;也可以根据网络实际情况,在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接,以穿过核心交换机与主机间可能存在的IPv4网络。
从整网的角度来看,这样的组网也具有更好的可扩展性。
根据实际用户的带宽情况,可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。
新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6(Native IPv6)用户对于现有IPv4业务资源的访问。
同时,IPv4用户也会有访问IPv6业务资源的需求。
为实现这两种可能的业务互访的需求,需要考虑如何放置NA T-PT设备。
如果要访问的业务位于园区网内部,可以考虑在业务服务器出口处放置双栈路由器(如,SR路由器系列,或者支持NA TPT的SecBlade 系列的防火墙产品),完成NAT-PT功能;如果要访问的业务位于园区网外部,由于出口路由器也需要升级为双栈,因此可以考虑在园区网出口的路由器上实现NA T-PT功能。
校园网多网合一解决方案
校园网多网合一解决方案校园网作为现代教育的重要基础设施,其稳定性和高效性直接关系到教学、科研和管理的顺利进行。
为了实现校园网资源的最大化利用,提高网络服务质量,本文将为您详细介绍一种“校园网多网合一解决方案”。
一、方案背景1.网络结构复杂,难以管理和维护。
2.网络带宽不足,无法满足用户需求。
3.网络安全风险较大,易受到攻击。
为了解决这些问题,我们提出了“校园网多网合一解决方案”。
二、方案目标1.实现校园网资源的整合,提高网络利用率。
2.提升网络速度和稳定性,满足用户需求。
3.加强网络安全防护,降低安全风险。
4.提高网络管理水平,降低运维成本。
三、方案内容1.网络架构优化(1)采用扁平化网络架构,简化网络层次,提高网络性能。
(2)采用万兆核心交换机,提升网络带宽。
(3)合理规划VLAN,实现不同业务系统的隔离,提高网络安全性。
2.网络设备升级(1)更换老旧网络设备,提高设备性能。
(2)采用高性能路由器,实现校园网与外部网络的快速连接。
(3)部署防火墙,加强网络安全防护。
3.网络带宽扩展(1)采用多链路聚合技术,提高网络带宽。
(2)合理分配带宽资源,确保关键业务系统的正常运行。
4.网络管理优化(1)采用统一的管理平台,实现网络设备的集中管理。
(2)部署网络监控软件,实时监测网络运行状况。
(3)建立完善的运维制度,提高网络运维效率。
5.网络安全防护(1)部署入侵检测系统,及时发现并防范网络攻击。
(2)定期进行网络安全检查,提高网络防护能力。
(3)加强用户安全教育,提高用户安全意识。
四、方案实施步骤1.调研现有网络状况,分析存在的问题。
2.制定详细的网络优化方案。
3.采购所需的网络设备。
4.进行网络设备升级和部署。
5.对网络架构进行优化。
6.进行网络安全防护措施的实施。
7.建立完善的网络运维体系。
8.对方案实施效果进行评估和调整。
五、预期效果1.网络速度和稳定性得到显著提升。
2.网络安全风险得到有效控制。
IPv6校园网解决方案建议书模板—2完整篇.doc
IPv6校园网解决方案建议书模板—4第2页图2-1 园区网典型组网方案—升级现有IPv4网络(图1)这种组网只适用少量IPv6/IPv4双栈用户的情况。
首先,由于用户直接接入核心设备,应避免核心设备的负担过重;其次,可以分别针对每个用户的IP 地址、VLAN 、端口作相应的策略,避免IPv6业务对原有网络的影响,同时保障核心设备的安全。
当IPv6/IPv4用户数量较大时,依然采用上述组网方式会使得配置太繁琐,而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。
由于园区网中可能存在IPv6用户相对集中的节点,如,驻地网当中的IPv6试验网,或IPv6研究性质的网络,或者园区网中的IPv6用户数量较多。
针对这种情况,建议先用一个双栈低端设备作一次汇聚。
这类节点下的IPv6主机可使用IPv6接入交换机接入后,通过双议书栈直接上联至核心交换机;也可以根据网络实际情况,在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接,以穿过核心交换机与主机间可能存在的IPv4网络。
从整网的角度来看,这样的组网也具有更好的可扩展性。
根据实际用户的带宽情况,可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。
新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6(Native IPv6)用户对于现有IPv4业务资源的访问。
同时,IPv4用户也会有访问IPv6业务资源的需求。
为实现这两种可能的业务互访的需求,需要考虑如何放置NA T-PT设备。
如果要访问的业务位于园区网内部,可以考虑在业务服务器出口处放置双栈路由器(如,SR路由器系列,或者支持NA TPT的SecBlade 系列的防火墙产品),完成NAT-PT功能;如果要访问的业务位于园区网外部,由于出口路由器也需要升级为双栈,因此可以考虑在园区网出口的路由器上实现NA T-PT功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1前言
随着高校信息化建设的深入,校园网已成为教学、科研、办公和生活的重要支撑平台。
国内高校经过多年持续不断的基础设施和业务应用建设,已经形成了较为稳定的校园网基础架构和相对丰富的校园网应用平台。
而核心网络在稳定性、业务兼容性、安全控制和面向下一代IPv6网络等方面变得越来越重要。
2趋势
趋势1:拓扑结构复杂,接入业务增多,稳定性要求越来越高。
高校网络拓扑结构日趋复杂,内网接入业务越来越多,例如办公网、宿舍区、数据中心等,各个业务部门对网络核心的高可靠性要求很高。
趋势2:不同用户的接入身份和业务访问权限不同,需要在网络层面进行安全控制。
在网络层面上的权责分明,不同部门之间如果网络上根本不可达,那么一旦出现信息泄露问题,首先可以排除“不是网络出了问题”;另一方面,是为“减轻网络管理工作”,权限划分清楚之后,用户无论到校园网的哪里上网都被智能配置了访问权限,从而减少由于用户移动带来的网络设备配置调整工作。
趋势3:全面融合IPv6,可针对各种网络环境支持IPv6扩展。
IPv6是未来校园网建设的发展方向,IPv6解决了校园网中许多IPv4固有的问题,IPv6提供了良好的科研平台和新的机遇。
趋势4:自防御安全体系,设备在任何复杂攻击环境中稳定运行
目前部分高校开始倾向将网关上移(从汇聚移到大汇聚),这样路由维护、IPv6升级的工作量明显减少。
带来的问题:例如某学院,但改造后,接入层有很多傻瓜交换机(未改造)无法安全控制,接入用户ARP泛洪严重,送往核心交换机CPU的ARP报文达到了4296pps。
宿舍区大汇聚改造后(4000个用户的网关)不断被攻击,导致瘫痪。
学生投诉不断,学校相关领导关注。
趋势5:各种业务网络融合
很多高校内部存在多个子网络(一卡通、财务、安保等),管理、维护和采购等各部门之间业务关系复杂,而且重复投资。
例如某大学财务专网几十个信息点为保证安全单独跨校区租用裸光纤,投资巨大。
而且对于财务、安保监控等网络,信息中心不但没有设备采购选择权,往往还承担了维护工作。
信息中心希望实现一卡通、财务、安保等网络接入校园网(网络业务统一上收管理),各业务部门因为安全问题强烈抵制。
高校希望一套整网业务融合的解决方案。
3解决方案
3.1高可靠的核心组网方案
双核心环境:两台物理交换机组合成一台虚拟交换机,锐捷VSU(Virtual Switch Unit)组网方案,实现高可靠的网络核心。
这种特性会给用户带来如下价值:
l即使一台机器整机宕机,业务也会保证不间断转发。
l简化管理和拓扑,配置维护工作量大大降低(在生成树+VRRP环境下,最高降低50%)
环网环境:锐捷高端交换产品特有的RERP千兆/万兆快速以太网环保护技术。
收敛时间<50ms,VOIP、视频会议业务不受网络切换影响。
3.2基于用户权限控制的核心组网方案
利用防火墙模块配合GSN联动,针对用户内网不同安全区域的安全级别,实现基于应用的安全域解决方案。
这种安全域解决方案是基于用户身份的网络层安全隔离和身份授权。
3.3 IPv6组网方案
锐捷网络设备全面支持IPv6,适合不同环境下的IPv6组网。
锐捷IPv6校园网部署-核心开启ISATAP隧道
优点:
l IPv4网点内部的IPv6主机可自动获得IPv6前缀
l建设园区网内部的IPv6网络,网络改造规模相对较小
缺点:
l主机系统需支持ISATAP协议
l ISATAP主机上需要手工配置ISATAP路由器地址。
在部署上可能会有点麻烦。
l不支持动态NAT穿透
锐捷IPv6校园网部署-核心与楼宇开启隧道
优点
l不需要手工配置隧道目的IP地址
l隧道自动建立,自动释放,不占用系统资源,维护比较简单
l即使对端重新编址了,对隧道建立也并不影响
l支持静态NAT穿透
缺点
l整个IPv6网点使用特殊的6to4地址,需要占用现有的公有IPv4地址
l隧道的建立缺乏安全性控制
l不支持动态NAT穿透
锐捷IPv6校园网部署-全网双开启协议栈
双栈技术:设备同时支持IPv6和IPv4,可直接连接IPv4和IPv6网络,应用程序可选择IPv6或IPv4进行通信,所有的过渡技术都是基于双协议栈实现。
优点:组网和维护简易,技术实现容易,效率高
缺点:所有途经三层设备都需要支持
3.4自防御安全体系
早期交换设备是用户自行配置安全策略保证设备安全,例如路由加密、SSH、ACL等。
但随着网络规模增大,安全攻击事件增多,信息中心人力资源配置没有与网络规模成正比例增长。
试想,在一个数万个信息点网络,网络中突然出现几个ARP攻击的情况,信息中心无法立即同步处理完毕,直接的压力就是业务损失甚至设备宕机。
锐捷网络CSS安全体系的理念是通过交换机自防御系统,CPU保护机制在攻击环境中保证设备不会宕机而正常运行。
在此基础上,通过自动的安全检测机制,发现安全攻击后自
动下发安全策略隔离攻击源,从而保证设备的安全。
3.5 全网融合,MPLS解决方案
锐捷网络全面支持MPLS 功能,支持标准的MPLS 标签交换功能,基于BGP/MPLS VPN 的三层VPN 功能、基于Martini 的点到点二层VPN 功能。
万兆线速处理,支持CE双归属、可做为PE/P设备、支持跨域(OPTION A/B/C)。
方案描述:
路由规划:
l MPLS骨干域运行IGP协议与MBGP,IGP建议选择OSPF
l PE和CE之间可根据路由条目的多少选择OSPF、静态路由,也可以通过二层连接
到PE设备
设备规划:
l P:无业务局域网接入的核心交换机,通常为多校区互联的核心交换机
l PE:有业务接入的所有校区核心交换机、大汇聚交换机
l CE:连接PE的小型汇聚或楼宇汇聚交换机
VPN规划
l对校园网内所有业务进行细分,为每个业务划分不同的VPN,并建立起VPN通道
4结束语
高校的信息化和校园网的发展推动了整个教育的发展。
而随着信息化程度的加深、进程的加快,校园网对核心的要求也越来越高。
锐捷网络在进行了充分调研和实地验证的基础上,提出了“安全运维,融合IPv6-高校骨干网解决方案”。
锐捷网络将与您携手同行,打造一个高性能、高可靠、高安全、业务优化的网络核心平台。