1、IPV6解決方案2020年6月2日目 錄前言3政策及背景4政策解讀41.高教IPv6的演進階段需求62. 高校IPv6升級改造面臨的問題和挑戰(zhàn)73. 極簡校園網(wǎng)IPV6解決方案設(shè)計83.1 高校IPV6使用現(xiàn)狀83.2 方案設(shè)計概覽93.3 扁平化IPV6設(shè)計103.4 IPV6地址設(shè)計113.5 IPv6實名認證設(shè)計143.5.1雙棧認證代理方案設(shè)計153.5.2 IPv6無感知認證設(shè)計163.6 IPv6出口選路設(shè)計173.7 IPv6日志與審計193.7.1 IPV6日志審計193.7.2 出口審計193.8 IPv6業(yè)務(wù)支撐設(shè)計204.方案設(shè)計價值分析235.方案整體周期設(shè)計24前言隨

2、著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)4.0等新興產(chǎn)業(yè)迅速發(fā)展，現(xiàn)今互聯(lián)網(wǎng)（IPv4）地址已分配殆盡，而下一代互聯(lián)網(wǎng)（IPv6）擁有128位的IP地址長度，廣闊的網(wǎng)絡(luò)地址空間完全滿足發(fā)展需要。IPv6經(jīng)過二十多年的發(fā)展，目前IPv6技術(shù)應(yīng)用完全成熟，已經(jīng)成為全球通用標準，具備較高的機密性和完整性，為國家網(wǎng)絡(luò)提供安全保障。政策及背景截止到2017年7月，下一代互聯(lián)網(wǎng)全球的部署率已經(jīng)超過20.14%，短短半年增長了3.14%，如果以同樣的速度增長，下一代互聯(lián)網(wǎng)部署率將在2018年達到50。截至2016年12月，美國下一代互聯(lián)網(wǎng)用戶普及率為45.16%；比利時部署率更高達59%；同在亞洲地區(qū)的印度下一代互聯(lián)網(wǎng)用

3、戶普及率為32.59%；而中國這一比例數(shù)據(jù)不到10%，整體發(fā)展相對滯后。國家重大政策推進下一代互聯(lián)網(wǎng)發(fā)展，用5到10年時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟社會各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導力量。政策解讀IPv6行動計劃的具體節(jié)點目標Ø 到2018年末，市場驅(qū)動的良性發(fā)展環(huán)境基本形成，IPv6活躍用戶數(shù)達到2億，在互聯(lián)網(wǎng)用戶中的占比不低于20%Ø 到2020年末，市場驅(qū)動的良性發(fā)展環(huán)境日臻完善，IPv6活躍用戶數(shù)超過5億，在互聯(lián)網(wǎng)用戶中的占比超過50%，新增網(wǎng)絡(luò)地址不再使用私有IP

4、v4地址Ø 到2025年末，我國IPv6網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位，網(wǎng)絡(luò)、應(yīng)用、終端全面支持IPv6，全面完成向下一代互聯(lián)網(wǎng)的平滑演進升級，形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系三年規(guī)劃（先設(shè)備后應(yīng)用）l 2018IPv6安全硬件設(shè)備和軟件平臺的升級改造中國教育和科研計算機網(wǎng)完成升級改造，支持IPv6接入l 2019完成域名解析系統(tǒng)IPv6改造核心業(yè)務(wù)信息系統(tǒng)和網(wǎng)站完成IPv6改造l 2020教育系統(tǒng)的各類網(wǎng)絡(luò)、門戶網(wǎng)站和重要應(yīng)用系統(tǒng)完成升級改造，支持IPv6訪問基于IPv6的安全保障體系基本形成；1.高教IPv6的演進階段需求Ø 初始階段需求實現(xiàn)IPv6連

5、通，基礎(chǔ)網(wǎng)絡(luò)具備IPv6轉(zhuǎn)發(fā)能力；接入IPv6教育網(wǎng)（Cernet2），提供校內(nèi)用戶使用IPv6免費訪問教育網(wǎng)資源；Ø 二階段需求初步實現(xiàn)IPv6訪問可管、可控；具體可以通過IPv4身份認證后IPv6放行的方式；校內(nèi)部分服務(wù)器資源逐步具備提供IPv6服務(wù)的能力，即提供IPv4和IPv6雙棧服務(wù)能力；Ø 三階段需求全校IPv6連通，校內(nèi)所有業(yè)務(wù)可以通過IPv6訪問；IPv6業(yè)務(wù)可管、可控、可追溯，做到IPv6的身份認證、實名審計、日志溯源；為校外提供IPv6相應(yīng)服務(wù)的發(fā)布，如官網(wǎng)門戶、專用APP服務(wù)；2. 高校IPv6升級改造面臨的問題和挑戰(zhàn)² IPv6安全防護IP

6、v6通道訪問如何控制IPv6通道如何做好審計工作IPv6通道如何滿足網(wǎng)絡(luò)安全法² IPv6平滑過渡如何盡量不改動現(xiàn)網(wǎng)結(jié)構(gòu)如何盡量讓用戶無感知如何投資代價最小² IPv6網(wǎng)絡(luò)開通設(shè)備雙棧開啟IPv6地址如何獲取IPv6地址如何分配IPv6 DNS如何獲得² IPv6業(yè)務(wù)支撐IPv6業(yè)務(wù)怎么上線IPv6業(yè)務(wù)怎么保障IPv6應(yīng)用識別和過濾3. 極簡校園網(wǎng)IPV6解決方案設(shè)計3.1 高校IPV6使用現(xiàn)狀l 大部分高校園區(qū)內(nèi)已經(jīng)開啟IPv6的使用或者具備IPv6的能力；l 校園內(nèi)部大都采用雙棧的模式；l 多數(shù)使用IPv6訪問國內(nèi)外教育資源，極少數(shù)校內(nèi)提供IPv6服務(wù)；l 大

7、多高校沒有IPv6實名認證和審計，前期使用IPv4認證，IPv6 放通，缺乏審計手段；l 針對IPv6安全防護暫無特殊考慮；l 目前IPv6的出口帶寬較少，一般只有幾十兆；3.2 方案設(shè)計概覽網(wǎng)絡(luò)： 1、采用扁平化架構(gòu)，僅核心，出口支持IPv6即可快速實現(xiàn)全網(wǎng)IPv6 支持； 2、承載接入網(wǎng)絡(luò)（有線，無線，專網(wǎng)）天然支持IPv6透明傳輸； 3、IPv6地址分配采用DHCPv6/無狀態(tài)地址自動分配方式結(jié)合； 安全及認證： 1、安全設(shè)備選型完全支持IPv6 ； 2、出口日志支持IPv6 ； 3、部署IPv6實名認證和認證計費系統(tǒng)聯(lián)動實現(xiàn)實名審計，N18K支持SAVI； 應(yīng)用： 1、改造或建設(shè)一批支

8、持IPv6的應(yīng)用； 2、保留一批純IPv4應(yīng)用，通WG 進行IPv6代理轉(zhuǎn)換，實現(xiàn)快速的IPv6業(yè)務(wù)資源上線； 3、部署IPv6緩存加速，提升訪問體驗，節(jié)約出口帶寬投入； 4、DNS支持IPv6 ；3.3 扁平化IPV6設(shè)計傳統(tǒng)IPV6部署扁平化架構(gòu)傳統(tǒng)三層架構(gòu)核心*1需部署IPV6配置、IPV6路由部署、安全IPV6配置、IPV6路由部署匯聚*20臺需部署無需配置IPV6配置、IPV6路由部署接入*>500臺無需配置安全改造本方案建議采用N18K做扁平化IPv4/IPv6核心，支持扁平化SAVI功能（N18K開啟SAVI，接入?yún)R聚無需配置，支持6W雙棧終端地址，無狀態(tài)支持4.5W雙棧終

9、端）；中高職院?？蛇xRSR77-X做扁平化IPv4/IPv6核心；扁平化架構(gòu)具備：維護簡單、業(yè)務(wù)上線塊、安全隔離、策略集中部署等特性；其中安全隔離銳捷特有，支持Supervlan/QinQ每端口隔離技術(shù)。 傳統(tǒng)三層架構(gòu)，目前核心交換、路由設(shè)備均支持雙棧協(xié)議，支持客戶IPv6升級改造；3.4 IPV6地址設(shè)計目前大量版本的Android手機不支持DHCPv6有狀態(tài)地址分配，如下圖所示。本方案終端地址分配模式的設(shè)計推薦：1.無狀態(tài)獲取 : 部署最多，適合全場景（推薦無線場景） 無狀態(tài)地址自動配置是指不需要DHCP服務(wù)器進行管理，客戶端根據(jù)網(wǎng)關(guān)RA（路由通告），并根據(jù)自己的MAC地址計算出自己的IP

10、v6地址。 優(yōu)勢：終端即插即用，部署簡單，終端支持度廣。2.有狀態(tài)地址分配：部署受限制，適合PC（推薦有線場景） 有狀態(tài)是指地址由網(wǎng)關(guān)設(shè)備或者DHCP服務(wù)器分配 優(yōu)勢：地址按照順序分配，有規(guī)則分配，便于地址管理 問題：安卓終端不支持有狀態(tài)獲取地址3.5 IPv6實名認證設(shè)計網(wǎng)絡(luò)安全法、公安部82號令明確指出，網(wǎng)絡(luò)用戶應(yīng)該實名制接入用戶對于IPv6站點的訪問，同樣需要進行實名認證?，F(xiàn)有IPV6認證存在的問題：雙棧&認證：1.雙棧客戶端的DNS解析會解析IPv4的DNS記錄&IPv6的DNS記錄2.客戶端優(yōu)先采用IPv6連接 （RFC6724 ） Default Address S

11、election for Internet Protocol version 6 (IPv6)問題： 1.用戶優(yōu)先訪問web會默認進行IPv6認證，當前眾多設(shè)備不支持IPv6認證；2.雙棧客戶端在等待20S-70S不等的時間內(nèi)才進行IPv4重定向訪問，用戶感受網(wǎng)絡(luò)很慢； 3.部分廠家IPv4和IPv6都需要各做一次認證，體驗不好；3.5.1雙棧認證代理方案設(shè)計l IPv6 WEB認證l 解決用戶IPv6優(yōu)先，長時間無法彈出認證頁面問題l N18K響應(yīng)終端IPv6認證請求，封裝IPv4 Portal地址給終端，后續(xù)流程通過IPv4認證完成；解決Portal、Radius、NAS不支持純IPv6認

12、證，導致用戶認證長時間無響應(yīng)問題。認證方案優(yōu)勢：Ø 強安全：解決IPv6實名安全問題；Ø 高性能：支持10w的IPv6認證噪音，支持6W雙棧，業(yè)界水平20倍以上；Ø 體驗強：用戶認證秒彈，支持10w的IPv6認證噪音；Ø 開放兼容：無需改造Portal，改造只需要1臺18K，同時支持各個廠商的radius,portal；如果Radius或Portal不支持IPv6，N18K支持進行IPv6轉(zhuǎn)換，用戶端發(fā)出的IPv6的請求，N18K會采用IPv6 TCP的偽鏈接回復(fù)終端（內(nèi)含IPv4Portal地址），后續(xù)認證流程切換到IPv4，會攜帶IPv4和IPv6地

13、址送到Radius；3.5.2 IPv6無感知認證設(shè)計若IPv6地址變化在同一網(wǎng)段內(nèi)，通過無感知遷移方式自動完成IPv6認證，解決用戶掉線問題；IPv6認證：用戶端優(yōu)先IPv6，N18K響應(yīng)IPv6報文，如果Radius或Portal不支持IPv6，N18K支持進行IPv6轉(zhuǎn)換，用戶端發(fā)出的IPv6的請求，N18K會采用IPv6 TCP的偽鏈接回復(fù)終端（內(nèi)含IPv4Portal地址），后續(xù)認證流程切換到IPv4，會攜帶IPv4和IPv6地址送到Radius；IPv4認證：通過兼容模式支持，IPv4認證通過后，IPv6放行；3.6 IPv6出口選路設(shè)計隨著互聯(lián)網(wǎng)企業(yè)的V6應(yīng)用改造，外部資源會逐步

14、增多，部分流量牽引至教育網(wǎng)V6出口，存在擁塞風險，影響體驗。本方案提供流量智能調(diào)度方案，IPv6出口高峰擁塞前自動引流到IPv4出口，低峰期切換回IPv6出口，保障用戶體驗；ü SDN設(shè)置對IPv6的流量監(jiān)控，當流量超過接口帶寬的90%ü SDN通過OPENFLOW通告N18k需要進行業(yè)務(wù)切換ü 核心上觸發(fā)將IPv6 DNS請求送CPU，并且丟棄正常的V6轉(zhuǎn)發(fā)ü 核心上偽造DNS,回應(yīng)報文客戶端一個DNS NO-DATA消息ü 客戶端判斷無DNS回應(yīng)，會快速啟動IPv4服務(wù)ü 后續(xù)用戶訪問的流量走IPv4報文，完成出口調(diào)度優(yōu)勢：

15、16; 省成本:無需升級V6帶寬Ø 高體驗：根據(jù)用戶體驗智能調(diào)度業(yè)務(wù)減少用戶不必要投訴Ø 智能：無需人工干預(yù)，全自動化監(jiān)控3.7 IPv6日志與審計3.7.1 IPV6日志審計出口設(shè)備將用戶的上網(wǎng)行為信息發(fā)給日志設(shè)備，包括用戶的IPv6地址和訪問網(wǎng)絡(luò)的URL，日志設(shè)備再將從SAM端獲取到的用戶實名信息和用戶行為信息整合，得到用戶的實名日志信息。SAM和elog、BDS配合實現(xiàn)實名日志；支持安全問題追溯到人。3.7.2 出口審計內(nèi)容審計URL、網(wǎng)絡(luò)搜索外發(fā)文件、郵件微博等內(nèi)容審計行為管控郵件收發(fā)管理、郵件附件過濾、不良網(wǎng)站封堵、異常行為告警；實名制上網(wǎng)行為審計與實名認證系統(tǒng)對

16、接3.8 IPv6業(yè)務(wù)支撐設(shè)計本方案設(shè)計一下兩種業(yè)務(wù)上線模式：方案一：網(wǎng)站防火墻通過代理模式提供IPv6業(yè)務(wù)，IPv4應(yīng)用服務(wù)器無需做任何修改，快速提供IPv6服務(wù)；方案二：網(wǎng)站防火墻支持靈活的代理模式，可同時對老舊IPv4服務(wù)器和新增IPv6服務(wù)器組成的集群提供統(tǒng)一的對外IPv6業(yè)務(wù)訪問，后逐步下架IPv4服務(wù)，保障平滑遷移；IPv6業(yè)務(wù)緩存加速減輕出口壓力（IPv6帶寬緊張、費用昂貴)節(jié)省30%-50%的帶寬資源提升用戶體驗暢享如內(nèi)網(wǎng)般的極速體驗把握網(wǎng)絡(luò)熱點動向緩存資源統(tǒng)計、分析，提供網(wǎng)絡(luò)規(guī)劃和數(shù)據(jù)挖掘依據(jù)4.方案設(shè)計價值分析極簡架構(gòu)扁平化架構(gòu)，輕松升級IPv6Ø 只需要維護一臺核心，核心和出口支持IPv6即可快速升級IPv6Ø 接入網(wǎng)有線無線全兼容Ø SDN可視化IPv6管理安全合規(guī)符合網(wǎng)絡(luò)安全法建設(shè)，實名審計Ø IPv6實名認證，SAVI源地址安全過濾Ø IPv6實名訪問日志Ø IPv6實名審計Ø IPv6安全態(tài)勢感知整體解決方案業(yè)務(wù)加速 平滑過渡場景化IPv6方案設(shè)計，保障v6體驗IPv6加速Ø IPv6出口流量調(diào)度Ø Powercache IPv6業(yè)務(wù)加速業(yè)務(wù)體驗保障Ø