IPv6园区网解决方案

锐捷网络IPv6校园网解决方案V1.0星网锐捷网络有限公司版权所有侵权必究目录1 锐捷在IPv6的进展与成果 (1)2 锐捷IPv6校园网组网方案 (2)2.1 升级现有IPv4网络方案 (2)2.2 新建IPv6网络方案 (4)2.3 IPv6校园网网络安全规划 (5)2.3.1 设备级别的防护-CPP (5)2.3.2 全局安全网络-GSN (6)2.4 IPv6的计费运营解决方案 (7)3 解决方案的特色和优势 (8)4 结束语 (9)1 锐捷在IPv6的进展与成果锐捷网络作为教育行业领先的网络设备及解决方案供应商，持续服务高校校园信息化长达10年，为校园网的下一代互联网的建设提供了完整的解决方案。

锐捷网络作为教育行业第一民族品牌，肩负下一代互联网在校园网的推广应用使命，围绕着下一代互联网的关键技术-IPv6做了大量而有效的工作，掌握了下一代互联网的多项关键技术，核心操作系统RGOS具有完全自主知识产权，取得了丰富的成果：●2002年，锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能，实现了RFC2460、2461、2463等协议，并提供IPv6静态路由。

●2003年，锐捷获得国家计委（现国家发改委）投资的IPv6软件产业化项目，通过IPv4/IPv6双协议栈通用操作系统RGOS项目的验收。

●2004年，锐捷在NP平台上推出了国内第一台支持IPv6的万兆核心路由交换机S6800E系列。

●2005年，锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系列，同年锐捷获得了由IPv6国际论坛组织颁发的IPv6 Ready第一阶段认证，标志着锐捷产品的IPv6功能的成熟。

●2006年，推出的RG-S8600产品全分布式ASIC硬件支持IPv6，并推出全新的模块化操作系统RGOS10.x，产品开始全面支持IPv6。

●2007年，获得IPv6 Ready第二阶段金牌认证，及国家IPv6信产部入网证书，锐捷全线IPv6产品全球范围内实现规模销售。

22Internet Technology互联网+技术单元的主要作用是构建与AFTR 连接的隧道，并对报文进行封装和发送处理；AFTR 负责终结隧道，对NAT 报文进行转换和发送；B4和AFTR 之间的隧道形式是IP-in-IP。

6RD 是快速部署IPv6的技术形式，其主要组成部分是6RD 和客户边界CE 中的6RD-BR 中继。

②6top 隧道技术：此种机制的主要形式是自动化隧道，其应用功能是使两个相对独立的IPv6站点能够跨越IPv4进行通信。

在此过程中，一个IPv6报文需要在IPv4报文里封装，以满足其在6to4隧道中的实际传输需求，将IPv6形式的报文转发到IPv4互联网中。

对于此类报文，借助于6RD-BR 技术，可使其在IPv4报文中得到良好的封装处理。

具体应用时，可将6RD-BR 里的IPv4地址作为相应报文的源地址使用，将CE/CPE 里的IPv4地址作为相应报文的目的地址使用。

③NAT-PT 技术：此项技术在IPv6主机服务不具备IPv6服务器的情况下适用，在隧道法无法解决互通问题的其他情况下也很适用。

具体应用中，NAT-PT 技术主要通过一个IPv4地址池进行公有IPv4地址的跨边界分配，并对IPv4地址、IPv6地址与端口之间的映射关系进行绑定和记录[2]。

通过这样的方式，便可为网络中的报文传送提供透明路由。

相比较IPv4，IPv6在IP 城域网中的主要应用优势包括以下几方面：①地址长度从原来的32位扩展到了128位，使地址扩展空间接近于无限大。

②报文头部更加简洁，处理效率实现了显著提升。

③其报头更具灵活扩展效果，便于协议的进一步扩展。

④其地址层次性非常强，为路由聚合提供足够便利。

⑤其地址配置工作可以自动化实现。

⑥其网络层可对IPSEC 进行自动认证，同时也可以对其实施有效的加密处理，从而使端到端通信更加安全。

传统IPv4到IPv6的双栈过渡示意图如图1所示。

在通过IPv6对IP 城域网进行优化改造时，相关单位与技术人员首先需要明确IP 城域网和IPv6技术，明确其具体的改造目标、原则和思路。

IPv6校园网解决方案建议书模板—4第2页图2-1 园区网典型组网方案—升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。

首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP 地址、VLAN 、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。

当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。

由于园区网中可能存在IPv6用户相对集中的节点，如，驻地网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。

针对这种情况，建议先用一个双栈低端设备作一次汇聚。

这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双议书栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。

从整网的角度来看，这样的组网也具有更好的可扩展性。

根据实际用户的带宽情况，可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。

通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。

新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。

在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。

同时，IPv4用户也会有访问IPv6业务资源的需求。

为实现这两种可能的业务互访的需求，需要考虑如何放置NA T-PT设备。

如果要访问的业务位于园区网内部，可以考虑在业务服务器出口处放置双栈路由器（如，SR路由器系列，或者支持NA TPT的SecBlade 系列的防火墙产品），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NA T-PT功能。

ipv6解决方案随着互联网的发展，IP地址的需求量也越来越大。

IPV4中的32位地址已经不能满足需求，因此IPV6应运而生。

IPV6使用128位地址，从根本上解决了地址枯竭的问题。

然而，IPV6的普及并不容易，需要设备、应用、网络和安全等各个方面的全面改进和应用。

本文主要介绍IPV6解决方案，分享IPV6应用的经验和教训。

一、IPV6解决方案的需求和现状1. IPV6解决方案产生的需求随着移动互联网、物联网等新技术的发展，对大量IP地址的需求量也在不断增加。

IPV4中的地址已经不能满足需求，IPV6的出现可以有效地解决地址枯竭的问题。

同时，IPV6还具有如下优势：（1）更加安全：采用数据分离技术，把数据和控制信息分开传输，增强了安全性；（2）更加智能：支持更多的路由优化、流量优化和质量服务(QoS)功能；（3）更加高效：允许多播和任意播，减少了网络拥塞，提高了网络效率。

2. IPV6解决方案的现状目前，IPV6在全球范围内已经应用广泛。

截至2020年底，全球IPV6的采用率已经达到了28.32%。

各大互联网公司、网络设备厂商、运营商等都积极推广IPV6应用。

但是，相对于IPV4，IPV6仍然存在着应用不足、设备支持不完善、网络部署困难等问题。

二、IPV6解决方案的实施1. IPV6网络架构的设计IPV6网络架构的设计是实现IPV6部署的重要环节。

IPV6网络架构的核心思想是利用IPV6中的路由优化、QoS等技术，实现网络拓扑的优化和流量的优化。

IPV6网络架构的设计应该从以下几个方面考虑：（1）网络规模：根据网络规模的大小，构建是否需要分域的网络结构；（2）网络拓扑：利用IPV6路由优化技术，实现网络拓扑的优化；（3）QoS：根据业务需求和网络环境，实现QoS功能的优化。

2. IPV6应用的升级IPV6应用的升级是实现IPV6部署的关键环节。

IPV6应用的升级需要从以下几个方面考虑：（1）网站升级：支持IPV6协议，实现IPV6地址的访问；（2）应用升级：应用程序适配IPV6协议，实现IPV6地址的访问；（3）安全升级：增加IPV6协议的安全防护和检查措施。

基于IPv6的智慧园区网络架构设计与实现基于IPv6的智慧园区网络架构设计与实现摘要：随着物联网技术的快速发展，智慧园区的建设逐渐成为城市发展的重要支撑。

IPv6作为下一代互联网协议，具有更大的地址空间、更好的安全性和更高的性能，成为智慧园区网络的理想选择。

本文探讨了基于IPv6的智慧园区网络架构设计与实现的关键问题，并通过具体实例论证了该架构在智慧园区的应用潜力。

一、引言智慧园区是指利用信息技术手段，对园区内的各类设施、系统和业务进行集成、管理和优化，提高园区综合管理和服务水平的一种模式。

随着城市化进程的加快和经济的快速发展，智慧园区的建设已成为城市发展战略的重要组成部分。

而网络作为智慧园区的基础设施，其架构设计与实现对于智慧园区的成功与否具有重要影响。

IPv6作为下一代互联网协议，具有更大的地址空间、更好的安全性和更高的性能，成为支持智慧园区的网络技术的理想选择。

本文旨在探讨基于IPv6的智慧园区网络架构设计与实现的关键问题，并通过具体实例论证该架构在智慧园区的应用潜力。

二、基于IPv6的智慧园区网络架构设计与实现的关键问题（一）网络拓扑设计智慧园区网络的拓扑设计是整个架构设计的基础，直接关系到网络的可靠性和性能。

在IPv6环境下，通过IPv6的大地址空间，可以更灵活地设计和扩展网络拓扑。

可以采用分层结构，将核心网络、汇聚层网络和接入层网络相分离，以提高网络的可扩展性和可管理性。

同时，采用多路径路由技术可以进一步提高网络的负载均衡和容错能力。

（二）地址分配与管理IPv6的地址空间极其庞大，地址分配与管理成为IPv6网络的重要问题。

在智慧园区网络中，大量的物联网设备和传感器需要分配IPv6地址，因此，需要解决地址分配的自动化和灵活性的问题。

可以使用DHCPv6协议实现自动化的地址分配，同时通过地址管理平台对地址进行统一管理和监控，以保证地址的可用性和安全性。

（三）安全与隐私保护智慧园区网络架构的安全性和隐私保护至关重要。

［导读］园区网络是支撑企业业务的核心网络。

在一个园区网络中，内部的终端数量庞大，业务种类丰富。

在园区网从IPv4升级为IPvWlPv4双栈网络中，如何考虑所涉及的网络设备、安全以及无线用户接入等方面的部署？一、IPv6园区网的整体结构IPv6园区网建设经过了多种方案的变化演进，从早期的使用隧道接入到部分网络采用双栈组网，再到现在的以双栈组网为主。

这样的变化是由IPv6业务的开展及网络设备的不断创新所推动的。

图1.典型的园区网络图1是一个典型的园区网组网方式，将一个园区网络分为接入、汇聚、核心的层次性结构。

一般的网络设计中，接入层网络为二层网络，用户的网关设置在汇聚层。

核心层起到互连汇聚层做高速转发。

在功能模块的划分中，园区网络主要由网络出口、数据中心及用户接入三大部分组成。

将该类型组网升级为双栈网络时，常规选择采用双栈部署，从汇聚层到核心层网络开始升级，然后根据网络的情况，升级防火墙等附加的业务设备；在另外的一些情况中，可以采用双栈网络为主、隧道技术为补充的升级方式。

在一个双栈网络升级后，原有的应用服务器可能无法同网络一起一步到位升级为双栈服务器，在这种情况下如果有一部分纯IPv6用户需要访问IPv4的服务器，需要在网络中部署NAT-PT设备，进行IPv6，IPv4的协议转换。

可见，将一张仅支持IPv4的园区网升级为支持IPv6/IPv4双栈的网络，涉及到多项网络技术，面临着多种升级方式的选择。

在这种情况下，对园区网络进行IPv6技术升级前，需要制定详细的升级流程:1）制定网络设备的升级计划。

2）评估网络中的现有产品对IPv6的支持情况。

3）评估网络中需要升级到双栈的网络服务。

4）制定IPv6地址的分配方案。

5）制定详细的IPv6网络升级方案。

6）在升级后进行必需的IPv6技术培训。

通过上述的IPv6升级步骤，逐步的将园区升级为IPv6/IPv4双栈网络，满足现阶段的双栈用户的接入需求。

二、IPv6园区网的部署1.双栈模式的园区网骨干部署在双栈模式的园区网的骨干网络进行建设时，遵循分层的网络建设模式。

目前，各高校的校园网主要以IPv4网络为主，但是，在很多学校的校园网中IPv4网络存在IP地址资源短缺、QoS、安全等问题。

同时，高校作为学术研究的基地，建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践，抢占IPv6技术制高点同样有迫切的需求。

锐捷推出的高校IPv6校园网解决方案，遵循保证现有IPv4应用的正常应用，网络具有扩展性，最大限度地保护既有投资，网络方案要能够满足发挥IPv6的技术优势，支持IPv4业务与IPv6业务的互通、设计良好的网络安全规划、考虑IPv6网络对用户认证和计费方式的支持等网络建设原则。

IPv6校园网组网方案建立IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况，这里提供四种方案供参考。

方案一：隧道模式，升级核心快速实现IPv6接入适用对象：校园网中存在大量IPv4设备没有IPv6功能，或者不能升级到IPv6，快速将网络均升级为IPv6需要较长的时间。

为了保护IPv4投资，同时又需要让新增用户使用IPv6业务，可以采用此方案。

组网模式：升级的重点在于核心层。

原有IPv4网络不进行改造，在核心增加一台支持IPv6 业务的核心交换机（锐捷RG-S8600）或者更换原有的核心交换机为锐捷RG-S8600。

核心交换机开启双栈功能，向上连接IPv6网络，向下开启ISATAP隧道功能，开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。

网络中其余设备均无任何变化，原有IPv4业务正常运行。

方案优势：只需增加一台支持IPv6业务的核心设备，其余设备保持不变，保护原有投资。

只需简单开启ISATAP隧道功能即可，快速实现校园网IPv6主机接入。

新增的IPv6用户可以正常访问IPv6网络及IPv6业务。

原有IPv4业务不产生任何变化，正常运行。

双栈用户可以直接访问IPv4网络及IPv4业务。

IPv6校园网解决方案建议书模板—4第2页图2-1 园区网典型组网方案—升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。

首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP 地址、VLAN 、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。

当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。

由于园区网中可能存在IPv6用户相对集中的节点，如，驻地网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。

针对这种情况，建议先用一个双栈低端设备作一次汇聚。

这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双议书栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。

从整网的角度来看，这样的组网也具有更好的可扩展性。

根据实际用户的带宽情况，可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。

通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。

新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。

在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。

同时，IPv4用户也会有访问IPv6业务资源的需求。

为实现这两种可能的业务互访的需求，需要考虑如何放置NA T-PT设备。

如果要访问的业务位于园区网内部，可以考虑在业务服务器出口处放置双栈路由器（如，SR路由器系列，或者支持NA TPT的SecBlade 系列的防火墙产品），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NA T-PT功能。