IPv6校园建设及方案模板

《IPv6校园建设及方案模板》由会员分享，可在线阅读，更多相关《IPv6校园建设及方案模板（26页珍藏版）》请在装配图网上搜索。

1、1 项目技术案 2IPv6 校园网建设实施案XXXX年XX月XX日目录1.1 校园网网络拓扑设计案21.1.1 校园网 IPv6 部署中需要考虑的问题21.1.2 整网设计原则31.1.3IPv6 过渡技术简介31.1.4 校园网 IPv6 部署模式分析 61.1.5 校园网 IPv6 无线网络部署案121.2IPV4和IPv6地址规划案161.2.1IPv4 地址规划 161.2.2IPv6 地址规划 181.3 路由设计案 191.3.1IPV4路由规划191.3.2IPv6 路由规划 191.4接入主干网设计案，线路落实情况和拟接入核心节点情况221.5建立IPv4/IPv6校园网运行管

2、理支撑系统设计案241.6支持基于真实IPv6源地址的用户标识和认证服务、IPv4/IPv6过渡服务和可控组播服务 等的技术案 241.6.1基于真实IPv6 源地址的用户标识和认证服务241.6.2IPv4/IPv6 过渡服务 251.6.3IPv6 可控组播服务 251 项目技术案1.1 校园网网络拓扑设计案（根据各学校实际情况添加）1.1.1校园网IPv6部署中需要考虑的问题在校园网部署IPv6 之前，我们首先要考虑部署的总体针和策略:1. 网络中部署IPv6业务的模式：在校园网中部署IPv6可以有全双栈模式和隧道模式。全双栈模式组网是最理想的案，不必 为不同类型的用户单独部署网络配置，

3、开销小，管理简单、IPv4和IPv6的逻辑界面清晰。隧道 模式属于过渡技术，不是最终的理想案；隧道两端点设备需要花费额外的系统开销。2. 考虑网络设备对IPv6业务支持的广度：如: IPv6的过渡技术有手工隧道式，自动隧道式，有基于MPLS VPN技术的6PE式，有基于 网络地址转换技术的NAT-PT等等IPv6的单播路由协议有0SPFv3,ISISv6,BGP4+等等IPv6的 组播路由协议有PIM-SM,PIM-SSM等等。3校园网IPv6技术升级建设应考虑部署后的可管理性：在本次网络建设后，应充分考虑网络部署IPv6的可管理及可维护性，要能够满足日常教学 科研的需要。4针对不同的网络环境

4、进行建设：采用H3C的设备的学校可以考虑直接扩容为全双栈模式，适当兼顾只支持IPv4协议栈的终端； 并可根据学校的实际情况，可以先建设部分双栈网络，其他部分采用隧道模式允用户访问CERNET2, 逐步将不支持IPv6的设备进行换代升级。综上所述，本次部署IPv6网络的时候，建议有条件的网络中采用全双栈部署，完成本次驻地网 的大部分改造，其次根据现有校园网的实际情况，采用部分过渡技术，在不影响现有IPv4校园网主 体拓扑结构的条件下，使得校园网中需要部署IPv6网络的地能够通过隧道技术，接人CERNET2。1.1.2 整网设计原则在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并格定

5、义各层功能模型， 不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层：接入层、汇聚层、核心层1) 接人层：提供网络的第一级接人功能，完成简单的二、三层交换，安全、Qos和POE功能都 位于这一层。对于校园园区网的接入层设备，建议有条件的网络采用采用千兆接入的式，其他的网 络中升级可以采用百兆的接入式。2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、 快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于校园园区网的汇聚层设 备，应该能够承载校园园区的多种融合业务，能够融合了MPLS、IPv6、网络安全、无线、无源光网 络等多种业务，

6、提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合 业务的需求。3) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、 稳定性和易扩展性等。对于校园园区网核心层，必须提供高性能、高可靠的网络结构，推荐采用高 可靠的 RRPP/RPR 环网结构或多设备冗余的星型结构。对于校园园区网核心层设备，应该在提供大 容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智 能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现校园网IT资源整合的需求。1.1.3 IPv6过渡技术简介ISATAP 隧道：

7、随着IPv6技术的推广，现有的IPv4网络中将会岀现越来越多的IPv6主机，ISATAP隧道技术为 这种应用提供了一个较好的解决案JSATAP隧道是点到点的自动隧道技术，通过在IPv6报文的目的 地址中嵌人的IPv4地址，可以自动获取隧道的终点。使用ISATAP 隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址:ISATAP 地址。ISATAP 地址格式为：Prefix（ 64bit）:0:5EFE:IPv4ADDR（ IPv4ADDR 即隧道端点的 IPv4 源地址， 形式为a.b.c.d或者xxxx:xxxx,其中xxxx:xxxx是由32位IPv4源地址a.b.c

8、.d转化而来的32 位 16进制 表示）。通过这个嵌人的IPv4地址就可以自动建立隧道，完成IPv6报文的传送。Network PreflK (04 bits)A.B.C.DISATAP隧道的地址格式ISATAP 隧道可以用于在IPv4网络中IPv6路由器一IPv6路由器、主机一路由器的连接。由于不 要求隧道节点具有全球唯一的IPv4地址，可以用于部私有网络中各双栈主机进行IPv6通信，所以 ISATAP隧道适用于在IPv4网络中的IPv6主机之间的通信或IPv4网络中IPv6主机接人到IPv6网络的 通信（如下图所示）。如果是部主机之间通讯，路由器的作用就是给主机自动分配 ISATAP地址，

9、主 机利用得到的地址与其他主机通信。IPv4网貉内IPv6主机间通信ISATAP-心1.ISATAPpSiS：I Pv4書给K IPv6兰1接良I Pv6 F餌主机一路由器的ISATAP隧道应用在IPv6网络的建设初期，岀于投资的考虑，可能很难实现对原有IPv4网络整体升级至IPv6/IPv4 双栈的模式，因此多采用将驻地网的汇聚层或岀口设备（如，路由器）首先升级至双栈的模式，而 汇聚层设备以下仍保持原有的IPv4网络。为实现位于IPv4驻地网部的双栈主机与其他IPv6网络的 通信，或IPv6主机之间的通信，即可采用ISATAP主机一路由器的隧道部署式。6to4 隧道分析：和ISATAP 隧道

10、一样，6to4 隧道也是一种自动构造隧道的式。6to4 隧道是点到多点的自动隧道， 主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4 隧道通过IPv6报文的目的地址中嵌人的IPv4地址，可以自动获取隧道的终点6to4隧道采用特殊的地址：6to4地址，它以2002开头, 后面跟着32 位的IPv4地址转化的32 位16进制表示，构成一个48 位的6to4前缀2002:IPv4ADDR:/48。3bits13bits32bits1 bits64bitsFP001TLA0x0002IPv4 AddressSLA IDInterface ID即地址为2002:a.b.c.d :

11、/43FP：可矍音鱼局单猶地打的席式玻（Form at Prsfi x 1 LA： .:-r i ；：.；. fop-Lvel Aggrcgat on Idartifiar iSLA： : YE :. ；?/ （ Srai-LhwI Agogatiari Idantifier6to4隧道的地址格式6to4隧道只能将前缀为2002:/16的网络连接起来，但在IPv6网络中也会使用像2001:/16这样 的非6to4网络地址。为了使这些地址可达，必须有一台6to4路由器作为网关转发到IPv6网络的报 文，从而实现6to4网络（地址前缀以2002开始）与IPv6网络的互通，这台路由器就叫做 6to4

12、中继 （6to4 Relay ）路由器。6to4隧道的作用就是解决孤立的IPv6站点s IPv6子网，在没有Internet提供商提供IPv6服务的 情况下的与其他孤立的IPv6站点、IPv6主干网部站点之间的通信问题。通常在这种情况下，隧道是 建立在IPv6子网或者IPv6站点的边界路由器上。起点在源站点的边界路由器上、终点在目的站点的 边界路由器上。6to4 - y |、路由器广RaLitsr BEt凹主机Rauttr A1FM5网貉路宙器 IIP/4 网络6104网垢Rauttr C6to4隧道的应用因此在实际网络中，这种隧道可以很好地解决IPv6的分支网络间通过IPv4网络建立6to4

13、隧道 实现互联。而且由于可以实现6to4 Rela y的功能，使得6to4 隧道可以在更加复杂的IPv6路由环境下 提供IPv6!岛间的通信。需要注意的是，因为6to4地址是自动从站点的IPv4地址派生岀来的，因此如果需要6to4 隧道 穿越IPv4公网时（如，现在的Internet ），就要求每个6to4节点必须具有一个全球唯一的IPv4地址。 但是通常校园网中主机和岀口路由器之间建立隧道，跨越公网的可能性比较小。EtW主贺2002:201:102: ! G42002:201:101 : I 64主机一路由器的6to4隧道应用l=M主机还有一种运用模式，如下图所示。与ISATAP隧道的典型应

14、用场景类似，6to4隧道也能提供主机 路由器的隧道部署式。此时，只要6to4主机与6to4路由器的IPv4路由可达即可实现隧道，并不 要求必须是全球唯一的IPv4地址。IPv4IPv60ES7500E 9500核心层S7500E /S950010GE10GE10GELISI：接人辰E12fiA-2dS5500EI /S7500ES5500EI /S7300ES51EI-21S51EI.24FEGEGEGEGE1.1.4校园网IPv6部署模式分析完全新建模式（全双栈模式）用户端拓扑简述:所有驻地网三层设备均为IPV4/V6双栈设备。并通过IPv6岀口交换机通过GE链路连接到CERNET2。实现原

15、理:驻地网（校园网）中部署双协议栈网络是最理想的法，系统开销最小、厂家技术、芯片技术都已经 成熟。以前有人选择过渡技术，是因为改造成本相对高而不能选择。这次项目实际上就是一次很好 的改造契机。如上图所示，通过对校园网的核心层设备升级到H 3CS7500E/S9500、汇聚层设备升级到S5500EI 或S7500E、接人设备升级到E126A或S5100EI，完成将整体校园网升级到“全双栈模式”校园网络 架构。在校园网中部署全双栈的网络，这样对于新建的驻地网（校园网）中双栈用户可以同时访问访问 IPv6和IPv4网络。对于双栈终端，IPv4网关和IPv6网关均部署在汇聚3层交换机上。驻地网所有三

16、层设备由于均是双栈设备，既运行IPv4路由协议也运行IPv6路由协议。不同协议的数据转发路径可 能一致，也可以不同。全双栈模式优点： 从技术角度这是最理想的案，不必为不同类型的用户单独部署网络配置，开销小，管理简单、 IPv4和IPv6的逻辑界面清晰。原有设备利旧模式（双栈+隧道模式）：书自1书老1円4主机IP帘/汹双栈主机ISATAPIil拓扌I、简述:原有网络设备不支持IPv6,设廿中将原有的核心或汇聚层设备下移一层，将原有的核心8500设 备下移至汇聚层,接人部分IPv4用户。将原有的汇聚层及核心层设备替换为支持IPv4/IPv6双栈的设 备。对于S8500下面的需要接人IPv6网络用户

17、通UISATAP隧道接人到IPv6网络，其他的IPv6用户 通过双栈设备接人。实现原理：如上图所示，通过对校园网的核心层设备升级到H 3CS7500E/S9500、汇聚层设备升级到S5500EI 或S7500E、接人设备升级到El 26A或S5100EI，完成部分原有网络设备升级到IPv6网络。同时，可 以利用原有的核心设备接人部分IPv4用户，利用ISATAP隧道接人IPv6网络。利旧模式优点：这个案可以充分利用原有网络中淘汰的高端设备，避免投资浪费，又能够充分获得IPv6/IPv 4双栈部署的优点。混合组网模式：1. 双平面组网模式:汇聚层接人层用户察IF1已主机IF1临打4双機主机IPv

18、4IPv6书直2书知IP科谀备拓扑简述需要保留原有网络中的汇聚层及核心层的不支持IPv6的网络设备，在相同的层次上新建立一套IPv6汇聚层与核心层设备。实现原理：使用双平面校园网，即在现有校园网的基础上，核心、汇聚每台设备旁边拷贝一套新的网络平 面。第一平面负责原有IPv4业务，第二平面即作为IPv6业务平面，也作为IPv4业务的热备平面。第二平面中，核心层设备使用H3CS7500E,汇聚层设备使用H3CS5500EI/S7500E。双平面组网模式的优点：IPv6业务平面随时可随意以开展IPv6业务研究而不影响现有业务，作为备份平面，大幅提升整个校园网的可靠性和带宽。并且在第三设备过保淘汰时，

19、可以保证现网业务不中断平滑割接。需要 注意的是：这种案有个前提：学校布线资源需要改造，包括核心汇聚之间的单模光纤、包括楼宇部 垂直布线系统（接人交换机双上行到IPv4汇聚、IPv6汇聚），但是本次项目拨款中是包括环境设施 改造的。2. 核心改造模式:IPv4IPv6樓心层接人层用户喘节直1节克2ip科主机IF1忻旳4双栈主机IPfi/v4双栈设备拓扑简述:仅保留原有网络中的接人层设备，将核心层与汇聚层设备替换为支持IPv6/IPv4双栈的设备。实现原理:原有的接人层设备能够满足本次 IPv6的升级要求，无需升级，所以本次升级仅升级核心层及汇聚层设备，将其升级到支持IPv6/IPv4双栈的设备，

20、满足本次部署需要。在本次升级中，核心层设备 选用 H3C S7500E，汇聚层设备选用 H3C S5500EI/S7500E。核心改造模式的优点：充分利用资金，对校园网核心、汇聚进行充分改造，从而使校园网对IPv6/IPv4的支持和转发性能提 升到新的高度。同时IPv4和IPv6的逻辑界面清晰。1.1.5校园网IPv6无线网络部署案在WLAN集中管理架构中，AP （ Access Point接人点）和AC （ Access Controller接人控制器）之间通 过LWAPP协议建立管理和数据隧道。接人控制器通过管理隧道完成对接人点服务的配置，监控，以 及管理，接入点通过接入控制器为无线接入用

21、户提供网络接入服务。集中管理架构的WLAN网络中，接人控制器是整个WLAN网络的核心，它实现了整个WLAN网络的 服务管理；所有的接入点只有成功和接入控制器建立，并且成功从接入控制器获得相应的服务配置 以后，才可以提供无线接入服务。目前，集中管理架构WLA N在接人点和接人控制器之间采用LWAPP协议构建，而且同时支持IPv4 和IPv6协议。也就是，接人控制器作为服务器，可以接收来自IPv4以及IPv6网络的接人点的请求；而 且接人点可以动态的选择使用IPv4或者IPv6和接人控制器建立。Fit AP设备为零配置设备，该设备在上电后可以自动发现接人控制器，选择当前能够提供最优服 务的接人控制

22、器建立。由于接人点为零配置设备，不能判断当前接人的网络为IPv4还是IPv4网络，所 以接人点会首先在IPv4网络进行接人控制器的发现和处理，如果接人点无法成功通过IPv4网络和接人 控制器建立，则接人点会切换到使用IPv6进行接人控制器的发现和处理。另外，无线接人用户使用IPv4还是IPv6网络，对于WLA N网络是透明的，WLA N设备只是实现了无 线接人用户数据的二层转发。虽然在接人点和接人控制器之间会通过LWAPP数据隧道（使用UDP传 输协议）实现转发，但是无论在接人点还是接人控制器都是根据二层信息实现转发，而且LWAPP隧 道封装的载荷也是二层协议报文。所以LWAPP协议不会关心无

23、线接人用户的上层协议，同样无线接 人用户也不需要关心LWAPP数据隧道采用IPv4还是IPv6协议。隧道的动态选择和建立：Fit AP设备为零配置设备。对于AP和AC建立IPv4隧道还是建立IPv6隧道，Fit AP也是自动完成；而 对于接人控制器则同时可以支持IPv4隧道和IPv6隧道。下图描述了Fit AP自动建立隧道的过程：1. Fit AP正常上电运行；2. LWAPP客户端开始动态的发现AC，并且发起和AC建立连接；Fit AP只有成功和AC建立连 接，才可以提供服务；3. LWAPP客户端会先使用IPv4隧道和AC建立连接；4. 如果使用IPv4隧道，无法发现AC或者和AC无法建立

24、连接丄WAPP客户端将切换到使用IPv6 隧道；否则Fit AP开始使用IPv4隧道提供服务；5. 如果使用IPv6隧道，也无法发现AC或者和AC无法建立连接，LWAPP客户端将再次切换到使用IPv4隧道；否则Fit AP开始使用IPv6隧道提供服务。Fit AP设备通过上面的自动使用IPv4隧道和IPv6隧道机制，可以使用在任网络中的应用。当Fit AP 被安装在IPv4网络中,Fit AP可以使用IPv4隧道和AC建立连接，如果Fit AP被安装在IPv6网络中时,Fit AP 将无法使用IPv4隧道和AC建立连接，进而可以和AC建立IPv6的隧道并开始提供服务。WLAN和IPv6综合应用

25、：下面几个章节，将逐一给岀WLA N在IPv6网络中具体应用的说明。在IPv4网络中构建IPv6的WLAN接入服务：目前，Internet网络主要还是采用IPv4建立，随着一些IPv6的网络的逐渐建立，这些IPv6网络如同 个个孤岛存在于现有的网络中。在建设WLA N网络时，同样需要考虑这样的问题。例如，在现有的IPv4网络的基础上，如建立一 个IPv6的WLAN网络，实现无线接人用户接人到IPv6网络的需求。WLA N接人服务可以自然满足该种需求，集中管理架构的WLA N设备接人点和接人控制器之间通 过IPv4协议建立控制和数据隧道，无线接人用户的所有IPv6协议报文将被透明的在接人点和接人

26、控制 器之间进行隧道转发。在上图中，接人控制器AC和IPv6网络相连接，接人控制器AC起到了 WLAN到 IPv6网络Portal功能， 实现了 WLA N网络和IPv6网络连通，进而创建了一个IPv6 的WLA N网络。接人点Fit AP通过IPv4骨干网络 和接人控制器建立连接，实现了穿越IPv4网络提供WLA N接人服务功能。当无线接人用户成功和接人 点AP建立无线链路连接以后，便成功接人到该IPv6的WLAN网络。通过WLA N提供的接人服务，无线终端成功的连接到IPv6网络中，无线终端可以通过动态获取IPv6 地址或者静态设置IPv6地址，之后无线终端可以访问该IPv6网络的各种服务

27、。该无线终端的所有数据 都被WLA N的通过接人点和接人控制器之间隧道进行透传，而无线接人用户在使用IPv6网络时根本不 关心是否穿越了一个IPv4网络。综上，在IPv4网络中，WLAN可以创建IPv6的WLAN网络,为无线客户端提供IPv6网络的接人服务; 而且对现有网络不需要进行任的改造。在IPv6网络中提供IPv4的WLAN接入服务：可以预计，随着IPv6网络的发展和普及，主干网络可能会逐渐被IPv6网络所代替，但是有一些关 键的网络或者设备可能无法支持IPv6，或者无法快速完成网络的切换。为了保证网络服务的正常应 用，在网络建设时也需要考虑如解决。集中管理WLA N也可以简单地解决该问

28、题。集中管理架构的WLA N设备接人点和接人控制器之间 通过IPv6协议建立控制和数据隧道，所有的无线接人用户的IPv4协议报文将被透明的在接人点和接人 控制器之间进行隧道转发，保证无线客户端可以通过WLA N接人到指定的IPv4网络。捷固禹I巴祖I递在上图中，接人控制器AC和IPv4网络相互连通，接人控制器起到WLA N网络的Portal功能，实现 了WLA N网络和IPv4网络的连通，进而构建了一个IPv4 的WLA N网络。当接人点FitAP通过IPv6骨干网络 和接人控制器成功建立连接，进而实现了穿越IPv6网络提供WLA N接人服务。当无线接人用户成功和 接人点AP建立无线链路连接后

29、，便成功接人到该WLAN网络。通过WLA N提供的服务接人，该无线终端成功的连接到IPv4网络中，无线终端可以通过动态获取 IPv4地址或者静态设置IPv4地址，之后无线终端可以访问该IPv4网络的各种服务。该无线终端的所有 数据都被WLA N的通过接人点和接人控制器之间隧道进行透传，而无线接人用户在使用IPv4网络时根 本不关心是否穿越了一个IPv6网络。综上，在IPv6网络中，可以构建IPv4的WLA N网络，为无线客户端提供IPv4网络的接人服务，而 且对IPv6网络不需要进行任的改造。在IPv6网络中构建私有的IPv6的WLAN网络服务:在纯IPv6网络中部署WLA N接人服务，和当前

30、在IPv4中部署WLA N接人服务没有任差别,WLA N为 无线终端提供了接人到指定网络的服务。虽然该无线终端没有通过有线网络和指定网络连接，甚至 该无线客户端和指定网络之间还被其他的网络隔离，但是通过WLA N接人服务，无线客户端宛如直接 连接到该指定网络中。所有的无线终端相关报文数据都会被接人控制器和接人点之间的隧道在无线 终端和接人网络之间进行转发，而无线终端不需要关心隧道所穿越的网络。另外可以支持接人点和接人控制器之间通过任网络进行连接，例如二层网络连接或者三层网络 连接。Ipvl户可以根据需要在IPv6公用网络中构建IPv6的WLAN部网络，建立特定的WLAN接人网络，通过WLAN

31、接人服务控制指定的无线终端用户接人到IPv6网络中。1.2 IPv4和IPv6地址规划案1.2.1 IPv4 地址规划IP地址的合理规划是网络设计中的重要一环，校园网必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影 响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址规划必须考虑到今后和其他院 系互联后的地址冲突问题。IP地址分配原则IP 地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络 的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由

32、表的长度，减少对路由器CPU、存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时 还要考虑到网络地址的可管理性。具体分配时要遵循以下原则： 唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址； 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效 率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连 续性 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的 IP 地址规划案分为纯公网地址、纯私网地址和混合网络地址三

33、种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉 私网地址。IP地址规划案地址编码规建议校园网的IP地址进行格的编码，每位代表不同的含义。其编码规则（举例如下）为:1.网络号2.3.4.5.单位地址标识（北京或烟台） 单位内部某汇聚区域地址 应用标识用户网络地址类别标识相应IP地址类别000网络设备管理001WWW浏览类010备用011备用100语音、视频类101备用110备用111网络互连地址应用标识UJ-0-J0J11111nn1345地址编码规范通过地址标识可以清楚地区分岀IP地址地来源，便于路由汇聚和访问控制。从上表中我们也可 以看岀，通过我们的规

34、划，我们能从IP地址分析岀IP地址的来源、用途等，这将为网络的维护带来 便。具体的IP地址定义将结合实际情况确定。中心交换机支持静态或动态的IP地址分配，并支持动态IP地址分配式下DHCP-Relay功能， DHCP SERVER可安放在园区部。对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。1.2.2 IPv6地址規划IP地址规划主要涉及到网络资源的利用的便有效的管理网络的问题IPv6地址有128位，其中 可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513, IPv6地址分为全球可路由前缀和子 网ID两部分，协议并没有明确的规定全球可路由前缀和子网I

35、D各自占的bit数，目前APNIC能够申 请到的IPv6地址空间为/32的地址。IPv6的地址使用式有两类，一类是普通网络申请使用的IP地址，这类地址完全遵从前缀+接口 标识符的IP地址表示法；另外一类就是取消接口标识符的法，只使用前缀来表示IP地址。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系IPv6地址规划目前尚没 有主流的规则，具体的IP地址分配通常在工程实施时统一规划实施，可以遵循一些分配原则：地址资源应全网统一分配地址划分应有层次性，便于网络互联，简化路由表 IP地址的规划与划分应该考虑到网络的发展要求 充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划

36、应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、 流量规划等结合起来考虑IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。我们知道全球可聚集IPv6地址的前缀为64 位，后64 位为主机的interface id.所以各个驻地网用 户用于可分配的IPv6地址前缀空间的围为/48至/64之间。IPv6的地址分配原则同IPv4 样遵循CIDR原则。IPv6的地址规划时考虑三大类地址：1、公共服务器地址，如DNS, EMAIL，FTP等。2、网络设备互联地址和网络设备

37、的LOOPBACK地址。根据 IETF IPv6 工作组的建议 IPv6 网络设备互联地址采用 /64 的地址块。 IPv6 网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6 MIB信息的获取和0SPFv3中ROUTER ID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址（仅需要网络设备互联地址和网络设备的LOOPBACK地址）。1.3由设计案1.3.1 IPv4 路 由规划路由协议的规划：1）整个骨干网络采用OSPF路由协议，OSPF协议在整个骨干网中不会引起路由回环

38、，利于校园 网骨干网的健壮性。2）在汇聚与核心交换机之间采用OSPF路由的式，OSP F路由的式可以建设网络中心人员对于校 园网的维护量。3）OSPF 在校园网中只在核心骨干中进行运行这样大大减少了骨干节点之间 OSPF 协议的收敛 期，在实际的应用的过程当中可以提高校园网的高稳定性。4）置DHCP Server实现全网的DHCP Server的分散，避免单点故障。5）核心交换机可以支持防私设DHCP Server、与IDS联动实现全网的安全无阻塞设计。1.3.2 IPv6 路 由規划路由协议分为域路由协议和域间路由协议，目前主要的路由协议都增加了对IPv6的支持功能。 从路由协议的应用围来看

39、，OSPFv3、RIPng和IS-ISv6适用于自治域部路由，为部网关协议；BGP4+ 用来在自治域之间交换网络可达信息，是外部网关协议。域路由协议选择支持IPv6的部网关协议有：RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看，RIPng 和OSPFv3协议已较为成熟，支持IPv6的IS-IS协议标准草案也已经过多次讨论修改，标准正在形成 之中，而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用围的角度，RIPng协议适用 于小规模的网络，而OSPF和IS-IS协议可用于较大规模的网络。对于大规模的IP网络，为了保证网络的可靠性和可扩展性，部路由协议（IGP

40、 ）必须使用链路 状态路由协议，只能在OSPF与IS-IS之间进行选择，下面对两种路由协议进行简单的对比。目前在IPv4网络量使用的OSPF路由协议版本号为0SPFV2，能够支持IPv6路由信息的OSPF 版 本称为OSPFV3，能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISV6。OSPFV3：OSPFv3与OSPFv2相比，虽然在机制和选路算法并没有本质的改变，但新增了一些OSPFv2不具 备的功能。OSPFv3只能用来交换IPv6路由信息，ISISv6可以同时交换IPv4路由信息和IPv6路由信 息。OSPF是基于IP层的协议，OSPF v3是为IPv6开发的一套链路状态路由

41、协议。大体与支持IPv4 的OSPF v2版本相似。对比OSPF v2,在OSPF v3中有以下区别：虽然 OSPFv3 是为 IPv6 设计的，但是 OSPF 的 Router ID、Area ID 和 LSA Link State ID 依然保持 IPv4 的32 位的格式，而不是指定一个IPv6的地址。所以即使运行OSPFv3也需要为路由器分配 IPv4地 址。协议的运行是按照每一条链路(Per-link)进行的，而不是按照每个子网进行的(per-subnet)；把地址域从 OSPF 包和一些LSA数据包中去除掉，使得成为网络层协议独立的路由协议：与O SPFv2不同IPv6的地址不再岀

42、现在O SPF 包中，而是会在链路状态更新数据包中作为LSA 的负载岀现；Router-LSA和Network-LSA也不再包含网络地址，而只是简单的表示拓扑信息；邻居路由器的识别将一直使用Router ID,而不是像OSPFv2 -样在某些使用端口会将端口地址作 为标识。Link-Local地址可以作为OSPF的转发地址。除了 Virtual link必须使用Global unicast地址或者使 用 Site-local 地址。去掉了认证信息。在OSPFV3中不再有认证面的信息。如果需要加密，可以使用IPv6中定义的 IP Authentication Header 来实现。OSPF数据包

43、格式发生了一些变化：OSPF的版本号由2变成了 3；Hello包和Database description包的选项域增加到24 位;认证域去掉了；Hello信息中不再包含地址信息；引人了两个新的选项：R位和V 6位；为实现单链路上多0SPF进程的实现，在OSPF中加人了 Instance ID 域;类型 LSA 3 名字改为：lnter-Area-Prefix-LSA,类型 LSA 4 名字改为：lnter-Area-Router-LSAOSPF v2和OSPF v3都使用最短路经优先算法，在Area划分、链路类型、LSA传播等面基本一致。 总的来说，由于OSPF发展成熟，厂商支持广泛，已经成

44、为世界上使用最广泛的IGP，尤其在企 业级网络，也是IET F推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都 能适应。IPv4和IPv6的混合计算：ISIS对于IPv6的支持是新增加了 2个TLV以便携带IPv6前缀，但是必须要求IPv4和IPv6的ISIS 拓扑必须保持一致，为了增加灵活性又增加了新的TLV 以支持多拓扑环境，即使用2个SPF 去分别 计算IPv4和IPv6的ISIS 拓扑关系。由于IPv4前缀、IPv6前缀、CSPF 以及未来所有的扩展TLV均在同一个LSP中进行扩散，所以 导致的问题：1、增加了网络中LSP的溢流程度。2、因为现在LSP的分段最

45、多到256个，从而这种混合计算式更加限制了 LSP中所能够承载IP PREFIX 数量。3、在IPv4. IPv6以及IPv4流量工程（IPv6的流量工程目前还没有定义）混在的生产环境目前 没有得到证实。它们之间的相互影响现在还没有确定。OSPF定义了新的版本OSPFV3，采用新的LSA类型承载IPv6 PREFIX。所以OSPFV3和OSPFV2是两个独立的路由进程进行独立的SPF计算。OSPFV3的拓扑关系是基于链路而不是基于子网的，允每链路上多个OSPFv3进程。IPv4、IPv4的流量工程相对IPv6、及未来的IPv6的流量工程从原理上是互不影响，拓扑结构也 可以完全不一致。尽管ISI

46、S被国外大型运营商骨干所采用，但是CERNET2为了验证OSPFv3的新的特性，所以 CERNET2骨干网和城域网的IGP协议采用了 OSPFv3.域同路由协议选择域间路由协议采用BGP4+，从而实现不同ISP核心网络之间的互通，而且目前大多数典型的路 由器设备都支持这个协议。BGP4+处理各ISP间的路由传递，是一种域间路由协议。其特点是有丰富 的路由策略，这是RIPng、OSPFv3等协议无法做到的，因为它们需要全局的信息计算路由表。BGP4+ 通过在ISP边界路由器上增加一定的策略，选择过滤路由，把RIPng、OSPFv3、BGP4+等路由发送到对。随着IPv6网络的大量组建，BGP4+

47、将得到越来越多的应用。IPv6 路由规划建议相比CERNET2核心网和城域网来讲，驻地网（校园网）部的IPv6网络的路由规划较为简单o IGP 可以选择ISISv6或者0 SPFv3,但是考虑到使用者的习惯、大多数三层交换机不支持ISISv6路由，以 及必要性。部署0SPFv3可能更为实际。0SPFv3域的设计可以沿用0SPFv2的思路。新建校园网全网部署双协议栈,IPv4部分和原有校园网平滑对接。三层设备上同时运行0SPFv2 和0SPFv3两套协议，尽管运行在同一个设备上，这两套协议是互相独立的。0SPFv3的逻辑拓扑图 （AREA规划）和0 SPFv2可以完全不同。驻地网（校园网）IPv

48、6岀口的路由规划：通常来讲，按照国际上IPv6地址的分配规则，CERNET2城域网会分配一块或几块IPv6 PREFIX :/48的地址给驻地网（校园网）。对于单岀口的情况，可能较为简单。CERNET2城域网接人路由器将指向驻地网（校园网）的静态 路由引人到IBGP4+中宣告岀去。1.4接入主干网设计案，线路落实情况和拟接入核心节点情况10GES950O6 BoneiEQE155MCERNET(IPirl)汇累盘拱朴汇量删机KKX*学股国冃对于CERNET2的核心节点所在城市的驻地网（校园网）的IPv6接人式采用光纤直连式。在设计网络拓扑结构时，依据驻地网IPv6的建设不能影响现有CERNET

49、IPV4网络的生产环境的 原则，对原有校园网中CERNET岀口路由器和CT/CNC岀口路由器以及交换网络不做任改动。在驻地网接入建设项目中已经新增一台核心双栈路由器和一台双栈交换机作为驻地网 （校园网） 的IPv6接人设备，通过GE上连到所属核心节点之一的城域网接人设备。骨干网接人路由器（对端）是XXX学校，目前链路是干兆光纤直连（根据实际情况更改。利用 CERNET网络作为IPv6岀口的线路备份。需要在CERENT2 MAN和CERNET MAN之间建立IPv4的通路。 然后在驻地网（校园网）的IPv6岀口路由器和CERENT2 MAN接人路由器之间建立双向 IPv6 over IPv4 手

50、工隧道。并设置相应的路由控制策略，在主线路工作情况下, IPv6流量优先从光纤直连通路走， 在主线路发生故障的情况下, IPv6流量自动切换到备用的隧道线路上。路由规划：CERNET2城域网会分配一块或几块IPv6 PREFIX :/48的地址给驻地网（校园网）。对于 单岀口的情况，CERNET2城域网接人路由器将指向驻地网（校园网）的静态路由引人到IBGP4+中宣告 岀去。校园网的岀口就像海关的工作一样复杂，需要判定不同数据包的合理路由，从什么样的接口岀 去，又要针对不同类型的网络互联；需要对部外岀的数据包进行精细的格控制，又要执行对外来数 据的格检验检疫。这个位置的网络建设岀现问题就像的海

51、关岀现问题一样，所以我们应当为数字校 园建设一个智能的、支持丰富业务要求的、功能强大的、安全的岀口网络系统。该路由器具备以下特点：1、先进的软硬件体系架构：采用全分布式体系架构，路由引擎和业务引擎硬件分离，所有引擎上控制平面和业务平面分离， 确保系统全速运行时业务和控制互不干扰，主备倒换时不丢包，业务不中断；各业务引擎可独立完 成NAT、IPSec、Netstream等业务的分布式处理，提高系统的整体业务能力，消除传统高端路由器通 过专门的业务板处理所造成的性能瓶颈。2、多核业务路由器多核多线程的业务路由器具备高性能、易编程、良好的L4-7层业务应用灵活性等特点。多核多 线程处理器面向高速 L

52、4-L7 数据流，使网络设备具备高性能和灵活性等特点，其良好的可编程性和 易用性，使多核多线程对未来的新业务具备了快速响应能力和良好的适应能力，满足用户不断发展 的、在路由器上实现应用层业务管理的要求。多核多线程处理器在系统架构设计阶段就非常注重容 和安全业务的硬件加速处理，从而使路由器宝贵的核心资源可用于最关键、最核心的L4-7深度业务 处理。随着传统高端路由器不断向业务型高端路由器的不断发展，多核多线程处理器已成为高端路 由器的的关键技术，成为未来高端路由器发展的基。3、开放应用架构（OAA）多核多线程路由器秉承开发架构设计理念一一开放应用架构（OAA）,提供开放应用平台（OAP） 板卡，

53、满足后续L4-L7层持续业务定制和升级，实现高端路由器的业务增值，加速IP网络向智能化 向发展。1.5建立IPv4/IPv6校园网运行管理支撑系统设计案16支持基于真实IPv6源地址的用户标识和认证服务、IPv4/IPv6过渡服务 和可控组播服务等的技术案1.6.1 基于真实 IPv6 源地址的用户标识和认证服务基于真实IPv6源地址的用户标识和认证服务即保证用户的IPv6地址的使用必须是经过授权的， 具体应用与场景相关，可分为路由转发流量和本地接入流量的源地址验证。1、路由转发流量：骨干网AS域间转发，多采用BGP协议交换路由，可以使用BGP 加密，保证IPv6路由来源的可 靠性，然后通过U

54、RPF或ACL来检查报文的源地址是否来源于正确的端口。骨干网和校园网域转发，多采用0SPFV3或ISIS等，ISIS可以通过MD5加密,OSPF可以使用IPSEC 加密，保证IPv6路由来源的可靠性，然后通HURPF或ACL来检查报文的源地址是否来源于正确的 端口。2、本地接入流量： 此环境下和接入层组网、地址分配式、接入设备密切相关。接入层典型的组网由客户端（主机Host）、接人设备（NAS）、AAA服务器组成。地址分配包括无状态地址分配（ND,以及扩展的SEND、 Privacy Extensions）有状态地址分配（ DHCP ）手工配置等，采用有状态分配地址，组网中要加人 DHCP服务

55、器。接人设备NAS有路由器、交换机、AC/AP等，对应的接人链路层包括ADSL、Ethernet、WiFi等， 其上都可以直接承载IPv6数据报文。如果二层本身就可以隔离或加密，则部署较简单，只需要在认 证环节确保安全、然后将二层信息与IPv6地址进行绑定即可，否则需要考虑后续的每报文的安全性 处理。接人认证协议有 802.1x、PPPoE、PORTAL、802.11i、WAPI 等，可以将 MAC 地址、端口与 IPv6 地址绑定，无线协议是共享端口的，可以将IPv6地址与二层传输密钥绑定。绑定的过程，视地址分 配式而不同，手工配置只能静态绑定，ND/DHCP则可以动态绑定。对于N D协议，

56、其安全性需要提 高，可以采用类似 ARP的案来补充：ND源抑制功能、ND防IP报文攻击功能、ND的主动确认、源 MAC地址固定的ND攻击检测、ND报文源MAC致性检查、ND报文限速、授权ND、ND Detection、 ND Proxy 等。1.6.2 IPv4/IPv6 过渡服务双栈技术是所有过渡技术的根本，依据组网不同，或者存在于主机上，或者存在于通信设备上典型的使用双栈过渡，可以在所有组网设备上使能双栈。这样实际上增加了组网的复杂性，也没有 解决地址空间问题。其它过渡技术主要分为用于协议间访问的协议翻译技术、用于个协议跨越另 个协议的隧道技术。1、协议翻译协议翻译可分发有状态协议翻译和无

57、状态协议翻译。SIIT ( RFC2765 )为无状态翻译，即设备简 单的进行对的地址翻译和报文格式翻译，设备不记录对应关系，不存在资源占用情况，但也限 制了地址空间的使用。无状态协议翻译无法处理地址敏感协议，有状态协议翻译可以解决这个问题， 即通过应用协议网关。NAT-PT ( RFC2766 )在SIIT基础上，通过前缀-地址池配置进行协议翻译。 H3C支持有状态翻译。2、隧道隧道技术按配置分为手工隧道和自动隧道。手工隧道包括 GRE(RFC2784)、IPv6 in IPv4 (RFC2893 )、 IPv4 in IPv6 (清华草案)；自动隧道包括 6to4 隧道(RFC3056、R

58、FC3068 ) ISATAP 隧 道(RFC4214-RFC5214 ) IPv4 兼容 IPv6 自动隧道(RFC2893 )、6over4 隧道(RFC2529 )、隧道代理 (RFC3053 )Teredo ( RFC4380 )L2TP ( RFC3931 )Softwire (草案)。隧道技术优点是减少协议翻 译工作，网关工作减轻，但其MTU需要特别处理。1.6.3 IPv6 可控组播服务可控组播有两面，面是组播接入控制，面是组播源控制。1、组播接入控制1)用户识别和认证用户识别机制可以采用PORT + VLAN，不过这种机制实际上没有认证，容易被攻击，有安全隐 患。可以扩展在端口

59、上进行认证，认证通过的用户才可使用网络，这在IPv6源地址验证中有描述。 认证协议使用802.1x、Portal、PPPoE 都可以，只要能够完成可控组播功能即可。设备与认证服务器之间仍然为Radius协议，承载于IPv6网络之上。地址分配即可以是ND也可以是DHCP。 2）组频道控制使用包月制，即用户开户时选择套餐，其中包括能够收看的频道。对频道的控制，即对组播组 IP地址的控制，体现到我们的设备上，就是组播组策略（policy）。如果用户识别基于端口，则需要预 先在此端口配置组播组策略。如果能够基于用户名，则可以预先配置用户配置文件（组播User Profile）, 用户上线后将相关配置下发。2、组播源控制使用组播路由协议的PIM协议的组播源过滤，即可满足组播源的控制。