1、 校園IPV6網(wǎng)絡(luò)融合平臺(tái)方案設(shè)計(jì) TOC o 1-3 h z u HYPERLINK l _Toc8982542 一. 概述 PAGEREF _Toc8982542 h 2 HYPERLINK l _Toc8982543 二. 校園網(wǎng)建設(shè)需求 PAGEREF _Toc8982543 h 2 HYPERLINK l _Toc8982544 2.1 生活區(qū)有線網(wǎng)絡(luò)統(tǒng)一建設(shè) PAGEREF _Toc8982544 h 2 HYPERLINK l _Toc8982545 2.2 全校無線覆蓋的統(tǒng)一規(guī)劃和建設(shè) PAGEREF _Toc8982545 h 2 HYPERLINK l _Toc898254

2、6 2.3 統(tǒng)一運(yùn)營(yíng)商管理平臺(tái)建設(shè)需求 PAGEREF _Toc8982546 h 3 HYPERLINK l _Toc8982547 2.4 準(zhǔn)入和準(zhǔn)出建設(shè)需求 PAGEREF _Toc8982547 h 3 HYPERLINK l _Toc8982548 2.5 身份認(rèn)證系統(tǒng)建設(shè)需求 PAGEREF _Toc8982548 h 3 HYPERLINK l _Toc8982549 2.6 IPv4和IPv6建設(shè)需求 PAGEREF _Toc8982549 h 4 HYPERLINK l _Toc8982550 2.7 設(shè)備選型需求 PAGEREF _Toc8982550 h 4 HYPERL

3、INK l _Toc8982551 三. 學(xué)院校園IPv6網(wǎng)絡(luò)方案設(shè)計(jì) PAGEREF _Toc8982551 h 4 HYPERLINK l _Toc8982552 3.1 Ipv6總體目標(biāo) PAGEREF _Toc8982552 h 4 HYPERLINK l _Toc8982553 3.2 學(xué)院IPv6規(guī)劃建設(shè)內(nèi)容 PAGEREF _Toc8982553 h 5 HYPERLINK l _Toc8982554 3.2.1 基礎(chǔ)交換系統(tǒng)： PAGEREF _Toc8982554 h 5 HYPERLINK l _Toc8982555 3.2.2 外網(wǎng)出口系統(tǒng)： PAGEREF _Toc89

4、82555 h 5 HYPERLINK l _Toc8982556 3.2.3 統(tǒng)一認(rèn)證計(jì)費(fèi)系統(tǒng)： PAGEREF _Toc8982556 h 5 HYPERLINK l _Toc8982557 3.2.4 統(tǒng)一運(yùn)維系統(tǒng)： PAGEREF _Toc8982557 h 5 HYPERLINK l _Toc8982558 3.3 IPv6 建設(shè)目標(biāo) PAGEREF _Toc8982558 h 6 HYPERLINK l _Toc8982559 3.3.1 基礎(chǔ)交換系統(tǒng)方面 PAGEREF _Toc8982559 h 6 HYPERLINK l _Toc8982560 3.3.2 外網(wǎng)出口系統(tǒng)方面

5、PAGEREF _Toc8982560 h 6 HYPERLINK l _Toc8982561 3.3.3 統(tǒng)一運(yùn)營(yíng)系統(tǒng)方面 PAGEREF _Toc8982561 h 6 HYPERLINK l _Toc8982562 3.3.4 統(tǒng)一運(yùn)維系統(tǒng)方面 PAGEREF _Toc8982562 h 6 HYPERLINK l _Toc8982563 3.4 學(xué)院Ipv6應(yīng)用前瞻性 PAGEREF _Toc8982563 h 7 HYPERLINK l _Toc8982564 3.4.1 建設(shè)思路之技術(shù)路線 PAGEREF _Toc8982564 h 7 HYPERLINK l _Toc898256

6、5 3.4.2 學(xué)院IPv6實(shí)施思路 PAGEREF _Toc8982565 h 8 HYPERLINK l _Toc8982566 3.4.3 IPv6校園網(wǎng)演進(jìn)部署方案 PAGEREF _Toc8982566 h 8 HYPERLINK l _Toc8982567 1 PAGEREF _Toc8982567 h 8 HYPERLINK l _Toc8982568 3.4.4 IPv6校園網(wǎng)設(shè)計(jì)部署場(chǎng)景一（分布式） PAGEREF _Toc8982568 h 9 HYPERLINK l _Toc8982569 3.4.5 IPv6校園網(wǎng)設(shè)計(jì)部署場(chǎng)景二（扁平化） PAGEREF _Toc898

7、2569 h 16概述 學(xué)院學(xué)生公寓網(wǎng)融合項(xiàng)目建設(shè)目的：充分融合學(xué)生公寓區(qū)、教學(xué)辦公區(qū)的有線、無線網(wǎng)絡(luò)為一張統(tǒng)一網(wǎng)絡(luò)服務(wù)平臺(tái)，為師生提供更優(yōu)質(zhì)的服務(wù)，以滿足學(xué)校各項(xiàng)教育信息化發(fā)展支撐保障需求。網(wǎng)絡(luò)融合項(xiàng)目具體內(nèi)容包括：學(xué)生公寓綜合布線，學(xué)生公寓區(qū)有線網(wǎng)絡(luò)和全校無線網(wǎng)絡(luò)建設(shè)三部分。隨著互聯(lián)網(wǎng)以及移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，學(xué)校已經(jīng)作為新科技、新時(shí)尚、新應(yīng)用的前言陣地，師生在享受信息化帶來的便利的同時(shí)，學(xué)院信息化也在促進(jìn)學(xué)校各項(xiàng)科研、教務(wù)教學(xué)以及管理工作的開展，幫助學(xué)校更好的學(xué)習(xí)環(huán)境。目前學(xué)院規(guī)模、師生數(shù)量在不斷擴(kuò)大和增長(zhǎng)，現(xiàn)有網(wǎng)絡(luò)已經(jīng)難以支撐師生對(duì)網(wǎng)絡(luò)資源訪問的需求，存在線路老化、遇到故障得不到及時(shí)響

8、應(yīng)和處理等問題。另外隨著無線終端和應(yīng)用的迅速發(fā)展和普及，人們隨時(shí)隨地都需要接入到網(wǎng)絡(luò)中，學(xué)院更是需要一套靈活接入、高帶寬的無線網(wǎng)絡(luò)。因此學(xué)院需要建設(shè)一個(gè)師生用戶體驗(yàn)好的有線無線統(tǒng)一的校園網(wǎng)絡(luò)。校園網(wǎng)建設(shè)需求此次學(xué)院校園網(wǎng)建設(shè)的重點(diǎn)內(nèi)容是生活服務(wù)區(qū)有線網(wǎng)絡(luò)、學(xué)院無線網(wǎng)絡(luò)的全覆蓋和建設(shè)一個(gè)統(tǒng)一的運(yùn)營(yíng)管理平臺(tái)。具體需求如下：生活區(qū)有線網(wǎng)絡(luò)統(tǒng)一建設(shè)對(duì)生活區(qū)的所有宿舍樓的有線網(wǎng)絡(luò)進(jìn)行改造升級(jí)。在接入層擬采用交換機(jī)百兆到桌面，千兆到樓棟匯聚交換機(jī)；樓棟匯聚交換機(jī)雙鏈路到校園網(wǎng)的兩臺(tái)RG-N18010的核心交換機(jī)上，同時(shí)該匯聚交換機(jī)需要具備萬兆擴(kuò)展能力，考慮未來升級(jí)擴(kuò)容的需求。全校無線覆蓋的統(tǒng)一規(guī)劃和建設(shè)學(xué)

9、院全校的無線覆蓋，為保障覆蓋的效果和用戶的接入體驗(yàn)，需要實(shí)際地勘，結(jié)合學(xué)校的實(shí)際環(huán)境進(jìn)行差異化的、有針對(duì)性的覆蓋，根據(jù)不同場(chǎng)景采用不同的無線部署方案，最終達(dá)到信號(hào)覆蓋好、用戶接入和使用體驗(yàn)好的目的。統(tǒng)一運(yùn)營(yíng)商管理平臺(tái)建設(shè)需求為避免運(yùn)營(yíng)商投資建設(shè)網(wǎng)絡(luò)的不可管理，學(xué)生上網(wǎng)行為不可控制、不透明等問題，本次項(xiàng)目建設(shè)最重要的內(nèi)容就是網(wǎng)絡(luò)設(shè)備知情權(quán)，建設(shè)一個(gè)全校統(tǒng)一賬戶、統(tǒng)一接入和統(tǒng)一運(yùn)營(yíng)管理的校園網(wǎng)。為了構(gòu)建一張統(tǒng)一運(yùn)營(yíng)商管理、學(xué)院可精確控制且?guī)熒w驗(yàn)好的校園網(wǎng)，在提高校園網(wǎng)絡(luò)運(yùn)維效率及安全性的前提下，強(qiáng)化網(wǎng)絡(luò)管理能力；因此對(duì)學(xué)院的運(yùn)營(yíng)管理和用戶管理體系進(jìn)行設(shè)計(jì)，實(shí)現(xiàn)學(xué)院對(duì)全網(wǎng)的統(tǒng)一監(jiān)控和管理，全校賬號(hào)

10、的統(tǒng)一管理和統(tǒng)一接入，全面的基于用戶、終端、區(qū)域、時(shí)間和服務(wù)等策略的精細(xì)化準(zhǔn)入準(zhǔn)出用戶認(rèn)證，學(xué)校和運(yùn)營(yíng)商之間管理邊界清晰。準(zhǔn)入和準(zhǔn)出建設(shè)需求統(tǒng)一的管理平臺(tái)；統(tǒng)一的校園網(wǎng)賬號(hào)密碼；內(nèi)外網(wǎng)認(rèn)證合二為一，自主選擇方便切換。 部署后的情況為：上網(wǎng)前自動(dòng)選擇內(nèi)網(wǎng)或外網(wǎng)，上網(wǎng)過程中可簡(jiǎn)單方便的進(jìn)行內(nèi)外網(wǎng)切換，切換不斷線、支持客戶端和瀏覽器兩種方式，提供人性化的用戶體驗(yàn)。身份認(rèn)證系統(tǒng)建設(shè)需求有線網(wǎng)全部采用802.1x準(zhǔn)入認(rèn)證模式，無線網(wǎng)采用WEB準(zhǔn)入認(rèn)證模式。因此要求接入層設(shè)備同時(shí)支持802.1x準(zhǔn)入和Web準(zhǔn)入，并在統(tǒng)一認(rèn)證計(jì)費(fèi)管理平臺(tái)的協(xié)同下，實(shí)現(xiàn)基于用戶身份和所在區(qū)域的多種認(rèn)證方式；為防范安全事件的發(fā)

11、生，要求實(shí)現(xiàn)支持真實(shí)源地址保障，即802.1x準(zhǔn)入和Web準(zhǔn)入均能夠在認(rèn)證通過時(shí)動(dòng)態(tài)的自動(dòng)綁定以下信息：用戶賬號(hào)+IP+MAC+交換機(jī)端口+交換機(jī)VLAN。要實(shí)現(xiàn)這個(gè)目標(biāo)，用戶無論是采用802.1X還是采用Web認(rèn)證方式，其認(rèn)證計(jì)費(fèi)數(shù)據(jù)都必須通過統(tǒng)一的認(rèn)證計(jì)費(fèi)平臺(tái)進(jìn)行集中。IPv4和IPv6建設(shè)需求數(shù)字校園網(wǎng)絡(luò)，要求計(jì)費(fèi)管理系統(tǒng)能夠在身份管理、用戶管理、安全管理以及計(jì)費(fèi)管理等方面提供豐富的IPv4和IPv6一體化技術(shù)支撐。例如，在用戶管理方面能夠分別實(shí)現(xiàn)IPv4用戶、IPv6用戶、IPv4/IPv6雙棧用戶的實(shí)時(shí)在線人數(shù)統(tǒng)計(jì)和歷史在線用戶統(tǒng)計(jì)；在安全管理方面實(shí)現(xiàn)在RADIUS Server端和

12、接入交換機(jī)端對(duì)用戶IPv6地址的綁定等。設(shè)備選型需求為保障學(xué)院整個(gè)系統(tǒng)和網(wǎng)絡(luò)的兼容性、保障售后服務(wù)階段的服務(wù)品質(zhì)，避免多廠商之間的相互推諉，所選設(shè)備盡量為統(tǒng)一品牌。選型品牌需為國(guó)內(nèi)知名廠商，且在教育行業(yè)有較高知名度和大量應(yīng)用案例的品牌。學(xué)院校園IPv6網(wǎng)絡(luò)方案設(shè)計(jì)Ipv6總體目標(biāo)建設(shè)一個(gè)IPv4/v6融合的校園網(wǎng)基礎(chǔ)平臺(tái)，不但滿足學(xué)院IPv6業(yè)務(wù)建設(shè)發(fā)展、實(shí)現(xiàn)與教育網(wǎng)IPv6應(yīng)用的無縫對(duì)接，還能搭建起一個(gè)面向下一代互聯(lián)網(wǎng)的IPv6用戶管理和資源管理界面。使得學(xué)院的信息化系統(tǒng)能夠更加合理、高效的進(jìn)行信息收集、加工、處理和生產(chǎn)，從而更好的為學(xué)校提供智慧的管理手段和輔助決策支持，構(gòu)建智慧的教學(xué)與學(xué)習(xí)

13、平臺(tái)，加強(qiáng)信息技術(shù)在教學(xué)中的應(yīng)用，提供充足的信息資源，形成多層次、多功能的信息資源開發(fā)、集成和共享機(jī)制，提高全校師生的信息素養(yǎng)，支持學(xué)校的戰(zhàn)略發(fā)展和教學(xué)改革，促進(jìn)辦學(xué)效率、辦學(xué)實(shí)力與管理水平的提高。努力實(shí)現(xiàn)“融合”的建設(shè)目標(biāo)：1）融合的交換系統(tǒng)：建設(shè)一個(gè)支持IPv4/v6雙棧及純IPv6轉(zhuǎn)發(fā)的交換系統(tǒng)。2）融合的出口系統(tǒng)：建設(shè)一個(gè)IPv4和IPv6分流的出口系統(tǒng)，并對(duì)出口雙向流量提供加速服務(wù)。3）融合的運(yùn)營(yíng)系統(tǒng)：建設(shè)一個(gè)支持IPv4和IPv6用戶的統(tǒng)一用戶運(yùn)營(yíng)和管理平臺(tái)。4）融合的運(yùn)維系統(tǒng)：建設(shè)一個(gè)支持IPv4和IPv6運(yùn)維數(shù)據(jù)采集、分析、呈現(xiàn)的統(tǒng)一管理界面。學(xué)院IPv6規(guī)劃建設(shè)內(nèi)容基礎(chǔ)交換系

14、統(tǒng)：在校園內(nèi)，用戶無論是采用傳統(tǒng)的IPv4還是采用IPv6地址都能隨時(shí)隨地的接入到網(wǎng)絡(luò)中。在通過校園網(wǎng)各個(gè)基于IP轉(zhuǎn)發(fā)的交換節(jié)點(diǎn)時(shí)，節(jié)點(diǎn)均能夠識(shí)別IPv6地址并對(duì)IPv6的數(shù)據(jù)從雙向上進(jìn)行安全策略的匹配以及高效的轉(zhuǎn)發(fā)；為了適應(yīng)校園網(wǎng)內(nèi)各種IPv6組播資源的應(yīng)用，交換節(jié)點(diǎn)還要支持大規(guī)模的IPv6組播服務(wù)；能夠?qū)Pv6數(shù)據(jù)流進(jìn)行各種身份、行為的合規(guī)性檢測(cè)，并且能夠智能的對(duì)非法IPv6流量進(jìn)行靈活的處理。外網(wǎng)出口系統(tǒng)：對(duì)校內(nèi)訪問外網(wǎng)的數(shù)據(jù)流量進(jìn)行IPv4和IPv6的分流，根據(jù)目的地址將不同的流量分別轉(zhuǎn)向運(yùn)營(yíng)商、和Cernet。對(duì)于校園網(wǎng)訪問外網(wǎng)的資源，在互聯(lián)網(wǎng)和Cernet區(qū)通過提供多鏈路負(fù)載均衡

15、，提高用戶體驗(yàn)度，支持IPv6的出口路由器進(jìn)行高性能轉(zhuǎn)發(fā)，實(shí)現(xiàn)和校外IPv6資源的無縫對(duì)接。對(duì)于外網(wǎng)訪問校園網(wǎng)內(nèi)部的資源，在互聯(lián)網(wǎng)和Cernet區(qū)通過智能DNS技術(shù)進(jìn)行訪問加速，消除運(yùn)營(yíng)商互聯(lián)瓶頸。統(tǒng)一認(rèn)證計(jì)費(fèi)系統(tǒng)：在校園內(nèi)，IPv6用戶無論采用哪種接入方式（有線、無線、VPN）、無論采用哪種認(rèn)證技術(shù)（802.1X、Web），都能夠?qū)崿F(xiàn)靈活的認(rèn)證和計(jì)費(fèi)功能，并且在統(tǒng)一的界面上能夠和IPv4用戶一起實(shí)現(xiàn)各種用戶策略的下發(fā)和管理功能的部署。統(tǒng)一運(yùn)維系統(tǒng)：對(duì)學(xué)校現(xiàn)有信息化系統(tǒng)中的IP網(wǎng)絡(luò)資源（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、重要終端等）、IP系統(tǒng)資源（包括操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等）、支持IP管理的外設(shè)（包

16、括打印機(jī)、掃描儀、視頻監(jiān)控等）、支持IP管理的環(huán)境資源（包括攝像頭、精密空調(diào)、各種傳感器探頭等）進(jìn)行拓?fù)渲貥?gòu)，在統(tǒng)一的界面上對(duì)這些IP基礎(chǔ)資源進(jìn)行性能管理和安全管理。IPv6 建設(shè)目標(biāo)基礎(chǔ)交換系統(tǒng)方面通過項(xiàng)目建設(shè)，學(xué)院基礎(chǔ)交換系統(tǒng)能夠在承擔(dān)原有IPv4數(shù)據(jù)轉(zhuǎn)發(fā)的基礎(chǔ)上，能夠支持純IPv6的數(shù)據(jù)轉(zhuǎn)發(fā)和策略部署；同時(shí)為了保證IPv4和IPv6的應(yīng)用過渡，基礎(chǔ)交換系統(tǒng)還支持主流的雙棧技術(shù)，能夠很好的融合IPv4/v6的業(yè)務(wù)轉(zhuǎn)發(fā)和策略部署；為了應(yīng)對(duì)IPv6資源的大規(guī)模應(yīng)用，基礎(chǔ)交換系統(tǒng)還支持大規(guī)模的IPv6組播部署。外網(wǎng)出口系統(tǒng)方面通過項(xiàng)目建設(shè)，學(xué)院外網(wǎng)出口能夠?qū)崿F(xiàn)IPv4和IPv6的數(shù)據(jù)分流；通過從

17、內(nèi)網(wǎng)訪問外網(wǎng)和外網(wǎng)訪問內(nèi)網(wǎng)兩個(gè)方向上進(jìn)行網(wǎng)絡(luò)加速，最大限度消除IPv4和IPv6資源訪問瓶頸；通過應(yīng)用加速校園網(wǎng)內(nèi)用戶在訪問、下載外網(wǎng)IPv4和IPv6資源時(shí)，能夠具有較好的體驗(yàn)度。統(tǒng)一運(yùn)營(yíng)系統(tǒng)方面通過項(xiàng)目建設(shè)，對(duì)校園網(wǎng)內(nèi)的用戶能夠?qū)崿F(xiàn)統(tǒng)一平臺(tái)的管理，無論用戶采用何種的接入方式、何種的認(rèn)證方式，也無論是IPv4用戶還是IPv6用戶，都能夠在統(tǒng)一的認(rèn)證計(jì)費(fèi)平臺(tái)上進(jìn)行匯總和管理。通過這個(gè)平臺(tái)，校園網(wǎng)的用戶管理者能夠監(jiān)控到用戶的接入方式、認(rèn)證方式、訪問權(quán)限、終端類型等。統(tǒng)一運(yùn)維系統(tǒng)方面對(duì)信息化系統(tǒng)的所有基于IP管理的基礎(chǔ)資源進(jìn)行統(tǒng)一界面的管理，消除IP基礎(chǔ)資源的廠商、設(shè)備類型、軟硬件形態(tài)等方面的差異

18、性；能夠?qū)⒂脩羧后w、應(yīng)用系統(tǒng)和底層支撐系統(tǒng)進(jìn)行關(guān)聯(lián)，在管理界面上很好的體現(xiàn)出各個(gè)系統(tǒng)的邏輯關(guān)系，通過各種維度來方便管理者進(jìn)行信息化建設(shè)的投入產(chǎn)出分析、可行性研究等。學(xué)院Ipv6應(yīng)用前瞻性通過項(xiàng)目建設(shè)，能夠?yàn)閷W(xué)院的IPv6應(yīng)用建設(shè)和業(yè)務(wù)整合提供一個(gè)高效、穩(wěn)定、安全的基礎(chǔ)支撐平臺(tái)，幫助學(xué)院在未來建設(shè)更多、更好、更有用的IPv6應(yīng)用業(yè)務(wù)，同時(shí)也為信息化系統(tǒng)進(jìn)行數(shù)據(jù)集中、挖掘、分析并向?qū)W院戰(zhàn)略發(fā)展提供決策支撐奠定了基礎(chǔ)。本項(xiàng)目的建設(shè)符合國(guó)家教育中長(zhǎng)期發(fā)展規(guī)劃綱要的指導(dǎo)思想，作為對(duì)高校招生、就業(yè)、教學(xué)、科研起到支撐作用的IPv6信息化系統(tǒng)，體現(xiàn)了信息化建設(shè)的先進(jìn)性和前瞻性，符合國(guó)家推進(jìn)信息化技術(shù)應(yīng)用、加

19、快物聯(lián)網(wǎng)、云服務(wù)等新產(chǎn)業(yè)模式建設(shè)的政策方向，不但能夠幫助學(xué)院順應(yīng)時(shí)代發(fā)展趨勢(shì)，也能夠幫助學(xué)院建立良好的品牌形象，具有較大的社會(huì)效益。同時(shí)，隨著高校用戶個(gè)性化需求的凸顯，融合交換、融合出口、融合運(yùn)營(yíng)、融合運(yùn)維四大融合系統(tǒng)的建設(shè)能夠很好的滿足學(xué)院校園網(wǎng)用戶群體的差異性需求，提高用戶使用校園網(wǎng)的體驗(yàn)度，增加了學(xué)院校園網(wǎng)運(yùn)營(yíng)收入。另外，靈活、方便、統(tǒng)一的運(yùn)營(yíng)、運(yùn)維管理界面也使得學(xué)院信息化建設(shè)和管理的職能部門能夠更好的優(yōu)化投入成本和維護(hù)成本，增加學(xué)院信息化系統(tǒng)的投入產(chǎn)出效率。綜上所述，IPv6建設(shè)符合國(guó)家政策、順應(yīng)行業(yè)發(fā)展趨勢(shì)、提高校園網(wǎng)運(yùn)營(yíng)收入、降低校園網(wǎng)維護(hù)成本，無論從社會(huì)效益還是經(jīng)濟(jì)效益都具有極其

20、重大和深遠(yuǎn)的意義。 建設(shè)思路之技術(shù)路線總體建設(shè)思路：首先根據(jù)信息化系統(tǒng)的用戶群體和業(yè)務(wù)類型進(jìn)行分類，將用戶劃分成以學(xué)校外部人員為主體的外部用戶，以學(xué)校內(nèi)部領(lǐng)導(dǎo)、教職工、學(xué)生為主體的內(nèi)部用戶，以及承擔(dān)信息化建設(shè)和管理職能的自身用戶三個(gè)部分；從數(shù)據(jù)流向上將校園網(wǎng)分成校內(nèi)交換、校外出口；從管理職能上分為運(yùn)營(yíng)管理和運(yùn)維管理。然后從用戶角度考慮體驗(yàn)度和差異化建設(shè)、從數(shù)據(jù)流向上考慮性能建設(shè)、從管理職能上考慮統(tǒng)一界面的建設(shè)。擬將現(xiàn)在學(xué)院現(xiàn)有的業(yè)務(wù)系統(tǒng)通過IPv6建設(shè)，使其不但滿足當(dāng)前IPv4和雙棧的使用，也能夠滿足未來純IPv6的使用。根據(jù)總體建設(shè)思路，制定如下技術(shù)路線：1.針對(duì)個(gè)性化的用戶數(shù)據(jù)流量，融合I

21、Pv4和IPv6流量，在統(tǒng)一的交換系統(tǒng)上進(jìn)行安全策略的部署并實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)轉(zhuǎn)發(fā)。通過高性能交換系統(tǒng)的建設(shè)，搭建一個(gè)高效、安全、穩(wěn)定的雙棧及純IPv6轉(zhuǎn)發(fā)平臺(tái)。2. 針對(duì)互聯(lián)網(wǎng)、Cernet的流量特性，融合IPv4和IPv6的出口流量，在承載融合的基礎(chǔ)上實(shí)現(xiàn)出口分離，并且通過應(yīng)用加速技術(shù)和其它智能出口技術(shù)來保證雙向訪問的時(shí)效性和低延時(shí)。3. 針對(duì)校園網(wǎng)用戶群體的特殊性，通過認(rèn)證計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)搭建一個(gè)忽略接入方式、認(rèn)證方式、IPv4和IPv6差異的上層運(yùn)營(yíng)系統(tǒng)，通過統(tǒng)一的界面來進(jìn)行差異化的用戶管理。4.針對(duì)校園網(wǎng)內(nèi)IP基礎(chǔ)資源的多樣性，通過運(yùn)維管理系統(tǒng)的設(shè)計(jì)搭建一個(gè)忽略廠商、設(shè)備類型、軟硬件差異的

22、上層運(yùn)維系統(tǒng)，通過統(tǒng)一的界面來進(jìn)行差異化的資源管理。學(xué)院IPv6實(shí)施思路1）分階段實(shí)施：先實(shí)施重點(diǎn)子系統(tǒng)，再逐步深化推廣。項(xiàng)目的實(shí)施統(tǒng)籌考慮，首先完成學(xué)校最急需、最重要的建設(shè)節(jié)點(diǎn)，根據(jù)學(xué)?，F(xiàn)行業(yè)務(wù)運(yùn)作周期的規(guī)律，確定實(shí)施的時(shí)間，同時(shí)考慮應(yīng)用實(shí)施的各種內(nèi)部、外部因素，制定分階段實(shí)施計(jì)劃加以實(shí)施。2）規(guī)范化的運(yùn)作：高質(zhì)量的實(shí)施過程是高質(zhì)量產(chǎn)品的保證，在實(shí)施過程中，保證實(shí)施過程的規(guī)范性，使項(xiàng)目有序高效的開展。系統(tǒng)實(shí)施的過程，也是規(guī)范建設(shè)運(yùn)營(yíng)的過程。3）技術(shù)部門和業(yè)務(wù)部門共同參與：項(xiàng)目由信息化辦牽頭組織，由業(yè)務(wù)部門主導(dǎo)和控制需求，確保項(xiàng)目的實(shí)施結(jié)果能滿足學(xué)校需要。IPv6校園網(wǎng)演進(jìn)部署方案在互聯(lián)網(wǎng)在推

23、動(dòng)IPv6商用的進(jìn)程中，還處于小范圍商用體驗(yàn)階段，IPv6的建設(shè)還是一個(gè)較長(zhǎng)期的過程，短期內(nèi)把IPv4遷移到IPv6是不可能的，校園網(wǎng)可以根據(jù)自己已有的組網(wǎng)環(huán)境和面臨的問題，采用不同的IPv4向IPv6的演進(jìn)部署方案，如下文提供的幾個(gè)典型應(yīng)用場(chǎng)景，選擇合適的方案部署建設(shè)IPv6校園網(wǎng)。隨著主流應(yīng)用和終端都支持IPv6后，可考慮逐步關(guān)閉IPv4網(wǎng)絡(luò)/協(xié)議棧，通過部署署NAT64來解決少量的IPv4內(nèi)容訪問需求。IPv4向IPv6的演進(jìn)將涉及以下幾個(gè)層面：基礎(chǔ)網(wǎng)絡(luò)層面：IPv6的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)包含路由器和交換機(jī)的基礎(chǔ)網(wǎng)絡(luò)設(shè)備、無線IPv6的更新；安全技術(shù)層面：IPv6出口安全防御、IPv6骨干安全防

24、御、IPv6接入安全防御；網(wǎng)絡(luò)管理層面：IPv6網(wǎng)絡(luò)資源管理、IPv6應(yīng)用流量分析、IPv6業(yè)務(wù)運(yùn)營(yíng)管理、IPv6可控組播管理；網(wǎng)絡(luò)應(yīng)用層面：IPv6的存儲(chǔ)、IPv6監(jiān)控、IPv6視頻會(huì)議、IPv6其它應(yīng)用等。IPv4向IPv6的演進(jìn)部署模式主要涉及三種，雙棧形式、隧道形式、地址翻譯等形式的混合。以下將通過詳細(xì)介紹校園網(wǎng)分布式場(chǎng)景、扁平化場(chǎng)景下的演進(jìn)部署思路IPv6校園網(wǎng)設(shè)計(jì)部署場(chǎng)景一（分布式）校園網(wǎng)IPv6演進(jìn)部署方案基礎(chǔ)網(wǎng)絡(luò)層面雙棧部署方案如上為簡(jiǎn)化拓?fù)鋱D在IPv4協(xié)議運(yùn)行的基礎(chǔ)上，在基礎(chǔ)網(wǎng)絡(luò)設(shè)備上部署IPv6協(xié)議，實(shí)現(xiàn)IPv4用戶走IPv4通道，IPv6用戶走IPv6通道。接入交換機(jī)：部

25、署IPv6功能，實(shí)現(xiàn)接入交換機(jī)可以IPv6網(wǎng)管，對(duì)于不支持IPv6功能的接入和匯聚交換機(jī)，在核心交換機(jī)部署IPv6 ISATAP隧道，使得接入PC通過ISATAP隧道傳輸IPv6數(shù)據(jù)流。匯聚/核心交換機(jī)：部署IPv6路由協(xié)議，可部署IPv6靜態(tài)路由協(xié)議、RIPng、OSPFv3動(dòng)態(tài)路由協(xié)議協(xié)議實(shí)現(xiàn)校園網(wǎng)內(nèi)路由互通。邊界路由器1：對(duì)于CERNET2主干節(jié)點(diǎn)的校園網(wǎng)邊界路由器，需要配置BGP4+（非主干節(jié)點(diǎn)的邊界路由器不需要配置），實(shí)現(xiàn)主干網(wǎng)節(jié)點(diǎn)設(shè)備之間互通。校園網(wǎng)內(nèi)部運(yùn)行OSPFv3路由協(xié)議，實(shí)現(xiàn)全網(wǎng)IPv6的路由可達(dá)。邊界路由器2：對(duì)于連接運(yùn)營(yíng)商的邊界路由器，隨著運(yùn)營(yíng)商的IPv6網(wǎng)絡(luò)建設(shè)，借助

26、于IPv4平臺(tái)傳輸IPv6數(shù)據(jù)，所以對(duì)于邊界路由器需要部署IPv6隧道技術(shù)，實(shí)現(xiàn)IPv6孤島間的用戶通過隧道正常通信。亦可根據(jù)設(shè)備的支持情況，部署邊界路由器的IPv4IPv6雙向的地址翻譯（NAT64或IVI技術(shù)）功能。無線IPv6部署方案CAPWAP建立方式：AP（無線接入點(diǎn)）與AC（無線控制器）的可以建立基于IPv6協(xié)議的Capwap隧道。多個(gè)AC之間也可以建立基于IPv6協(xié)議的Capwap隧道。用戶可以通過DHCPv6方式或者ND方式獲取IPv6通信地址。用戶的數(shù)據(jù)流封裝于Capwap隧道。數(shù)據(jù)中心IPv6部署方案校園數(shù)據(jù)中心交換平臺(tái)遷移至雙棧，同時(shí)校園數(shù)據(jù)中心IPv4/IPv6的安全防

27、御同等重要，不能因?yàn)槿狈Pv6防護(hù)，形成“漏桶效應(yīng)”，通過部署IPv6 FW防護(hù)和IPv6異常流量分析功能，快速發(fā)現(xiàn)并防御網(wǎng)絡(luò)層面存在的攻擊行為。安全技術(shù)層面部署方案IPv6接入安全防御SAVI：真實(shí)源地址認(rèn)證，是對(duì)源IP地址的確認(rèn)，包含三種驗(yàn)證方式支持接入網(wǎng)真實(shí)源地址驗(yàn)證、域內(nèi)真實(shí)源地址驗(yàn)證、域間真實(shí)源地址驗(yàn)證；結(jié)合常用的用戶接入身份認(rèn)證技術(shù)（802.1X, Web Portal）、以及SAVI的真實(shí)源地址認(rèn)證，實(shí)現(xiàn)真實(shí)用戶身份與真實(shí)地址認(rèn)證，可靈活綁定：端口，MAC地址，IP地址，UserID,權(quán)限，實(shí)現(xiàn)源地址和用戶身份可信。部署實(shí)現(xiàn)如下：主機(jī)接入安全控制：主機(jī)通過靜態(tài)配置IPv6地址和

28、DNS地址、無狀態(tài)地址自動(dòng)獲取方式（SLAAC方式）獲取IPv6地址和DNS地址、有狀態(tài)地址自動(dòng)獲取方式（DHCPv6方式）獲取IPv6地址和DNS地址，通過IPv6地址訪問IPv4和IPv6資源；接入用戶對(duì)網(wǎng)絡(luò)訪問的身份控制，對(duì)IPv4資源的訪問和對(duì)IPv6資源的訪問都需要進(jìn)行身份認(rèn)證（通過啟動(dòng)IPv6 web認(rèn)證或者802.1x認(rèn)證），符合準(zhǔn)入身份要求的合法用戶才能正常使用網(wǎng)絡(luò)資源。IPv6骨干安全防御通過部署原有的IPv4的內(nèi)網(wǎng)訪問控制，對(duì)新建的IPv6網(wǎng)絡(luò)的關(guān)鍵資源保護(hù)，需要添加新的IPv6訪問控制策略。骨干設(shè)備部署雙核心（VSU），當(dāng)設(shè)備出現(xiàn)故障時(shí)能快速切換到備用設(shè)備，實(shí)現(xiàn)對(duì)于IPv

29、6的訪問不間斷；IPv6出口安全防御利用雙棧防火墻進(jìn)行互聯(lián)網(wǎng)出口防御、對(duì)IPv4的互聯(lián)網(wǎng)流量，利用原有的防御規(guī)則；對(duì)IPv6的互聯(lián)網(wǎng)流量，需要利用新的IPv6訪問控制策略。網(wǎng)絡(luò)管理層面IPv6可控組播管理可控組播技術(shù)是在CNGI-CERNET2已經(jīng)建立的IPv6 SSM組播主干網(wǎng)的基礎(chǔ)上，實(shí)現(xiàn)主干網(wǎng)對(duì)組播源、組播組和組播帶寬的控制，利用ASM/SSM/單播協(xié)議之間轉(zhuǎn)換，把可控組播服務(wù)延伸到100所校園網(wǎng)，開發(fā)并安裝組播網(wǎng)管系統(tǒng)對(duì)組播服務(wù)進(jìn)行監(jiān)控和管理，為CNGI-CERNET2用戶提供組播發(fā)送和接收控制，并開展基于組播系統(tǒng)的視頻直播。部署可控組播技術(shù)需要部署可控組播網(wǎng)管服務(wù)器、可控組播網(wǎng)關(guān)、可

30、控組播交換機(jī)，實(shí)現(xiàn)組播源控制、組播流量控制、組播接收者控制實(shí)現(xiàn)組播控制。各組件的功能實(shí)現(xiàn)如下：可控組播網(wǎng)關(guān)：校園網(wǎng)支持SSM組播協(xié)議環(huán)境中，可控組播網(wǎng)關(guān)通過SSM協(xié)議 直接與主干網(wǎng)組播協(xié)議通信；校園網(wǎng)不支持SSM組播協(xié)議環(huán)境中，可控組播網(wǎng)關(guān)與其上連的核心節(jié)點(diǎn)的可控組播網(wǎng)關(guān)進(jìn)行組播協(xié)議報(bào)文轉(zhuǎn)換?？煽亟M播組播網(wǎng)管：校園網(wǎng)組播通達(dá)性監(jiān)控和管理、校園網(wǎng)組播接入交換機(jī)監(jiān)控和管理、校園網(wǎng)組播源、組播組和組播帶寬控制?？煽亟M播交換機(jī)：組播服務(wù)訪問授權(quán)、組播帶寬管理全國(guó)100所CNGI高校通過Cernet2網(wǎng)絡(luò)共享組播視頻資源，實(shí)現(xiàn)對(duì)組播資源的共享的同時(shí)，對(duì)組播源進(jìn)行控制，對(duì)組播接收用戶進(jìn)行身份控制，同時(shí)在接

31、入設(shè)備上對(duì)接收的組播進(jìn)行帶寬控制。當(dāng)前已經(jīng)建成的可控組播網(wǎng)絡(luò)如下：主干網(wǎng)部分：如上圖所示，左邊的部署部分屬于主干網(wǎng)部署。在主干網(wǎng)運(yùn)行IPv6 SSM協(xié)議，通過組播發(fā)送端的源地址對(duì)組播組的訪問進(jìn)行控制，通過組播組地址中的控制位來控制組播組的流量，實(shí)現(xiàn)應(yīng)用流量控制；在核心節(jié)點(diǎn)上部署可控組播網(wǎng)關(guān)，負(fù)責(zé)組播轉(zhuǎn)換，與校園網(wǎng)可控組播網(wǎng)關(guān)進(jìn)行相應(yīng)的組播轉(zhuǎn)換。組播網(wǎng)管系統(tǒng)：主干網(wǎng)全網(wǎng)組播通達(dá)性監(jiān)控和管理，對(duì)主干網(wǎng)的組播組、組播源以及各組播組所占用流量進(jìn)行控制，分配組播地址校園網(wǎng)部分：如上圖所示，右邊的部署部分屬于校園網(wǎng)部署，在校園網(wǎng)部署可控組播網(wǎng)關(guān)，當(dāng)校園網(wǎng)支持SSM組播協(xié)議環(huán)境時(shí)，可控組播網(wǎng)關(guān)通過SSM協(xié)議

32、直接與主干網(wǎng)組播協(xié)議通信；當(dāng)校園網(wǎng)不支持SSM協(xié)議組播協(xié)議環(huán)境下，可控組播網(wǎng)關(guān)與其上連的核心節(jié)點(diǎn)（如圖25個(gè)Cernet主節(jié)點(diǎn)）的可控組播網(wǎng)關(guān)進(jìn)行組播協(xié)議報(bào)文轉(zhuǎn)換。并可以通過部署網(wǎng)管系統(tǒng)實(shí)時(shí)監(jiān)控校園網(wǎng)的IPv6組播訪問速率情況，如下圖：IPv6業(yè)務(wù)運(yùn)營(yíng)管理用戶身份可管理：用戶主機(jī)IPv4/IPv6雙棧認(rèn)證、NAS和RADIUS Server間純IPv6通信和IPv4/IPv6雙棧通信、上網(wǎng)日志支持記錄純IPv6用戶或IPv4/IPv6雙棧用戶的相關(guān)信息、支持IPv4/IPv6雙棧的計(jì)天、計(jì)時(shí)長(zhǎng)、包月等時(shí)間周期性的計(jì)費(fèi)策略，部署拓?fù)淙缦拢涸诰W(wǎng)設(shè)備可網(wǎng)管：IPv6設(shè)備可網(wǎng)管性，配置IPv6的網(wǎng)管功

33、能，實(shí)現(xiàn)對(duì)IPv6的網(wǎng)管功能，通過SNMP上傳用戶的SAVI綁定表項(xiàng)，實(shí)現(xiàn)網(wǎng)管系統(tǒng)實(shí)時(shí)監(jiān)控接入設(shè)備上的用戶五元組綁定信息（五元組信息包含：MAC、IPv6地址、用戶VLAN、端口、地址獲取類型）IPv6資源管理、應(yīng)用流量分析部署網(wǎng)管軟件，實(shí)現(xiàn)支持對(duì)IPv6的日志進(jìn)行分析；支持對(duì)指定時(shí)間段的接口上的應(yīng)用帶寬趨勢(shì)進(jìn)行分析；支持對(duì)流量TOP N的節(jié)點(diǎn)及應(yīng)用的分析；面臨的問題可控大規(guī)模組播技術(shù)的商用時(shí)間限制由于可控大規(guī)模組播技術(shù)在2010年進(jìn)行實(shí)驗(yàn)室研究，2011年啟動(dòng)小范圍的試商用，2012年大范圍（CNGI百所高校）的試商用，整體的技術(shù)層面仍需要不斷的提升，如當(dāng)前的組播網(wǎng)關(guān)和網(wǎng)管服務(wù)器與接入交換機(jī)

34、只能工作于二層模式，否則組播網(wǎng)管服務(wù)器無法通過SNMP的MIB信息獲取到接入用戶的IPv6和MAC地址，無法做到真實(shí)的控制。正式的商用還需要一定的時(shí)間和性能考驗(yàn)。IPv4與IPv6間的地址翻譯技術(shù)在2010年10月發(fā)布了無狀態(tài)地址翻譯技術(shù)（通過預(yù)先設(shè)定的算法維護(hù)IPv4和IPv6之間的映射關(guān)系）RFC6052標(biāo)準(zhǔn)，明確了IVI地址翻譯技術(shù)的應(yīng)用，有別于有狀態(tài)地址翻譯技術(shù)（在翻譯設(shè)備中動(dòng)態(tài)產(chǎn)生并維護(hù)IPv4和IPv6的映射關(guān)系（代表為NAT-PT技術(shù)），需要邊界路由器支持IVI地址翻譯技術(shù)。IPv4和IPv6認(rèn)證一體化技術(shù)的優(yōu)化對(duì)于將在一定時(shí)期共存的IPv4與IPv6雙棧應(yīng)用，對(duì)于接入用戶，當(dāng)前

35、的實(shí)現(xiàn)是訪問IPv4、IPv6資源各自需要進(jìn)行認(rèn)證，對(duì)接入用戶來說無法實(shí)現(xiàn)身份統(tǒng)一，從管理運(yùn)維角度來說不便于統(tǒng)一管理；可以實(shí)現(xiàn)用戶可以通過IPv4認(rèn)證，成功后亦放通IPv6資源的訪問權(quán)限；相反用戶也可以通過IPv6認(rèn)證，成功后放通對(duì)IPv4資源的訪問權(quán)限。可以通過認(rèn)證服務(wù)器與出口認(rèn)證網(wǎng)關(guān)設(shè)備結(jié)合來實(shí)現(xiàn)；同時(shí)在出口網(wǎng)關(guān)上可以及時(shí)將同一用戶的IPv4和IPv6訪問流量進(jìn)行統(tǒng)一管理。接入設(shè)備的性能對(duì)于接入設(shè)備需要同時(shí)支持IPv4和IPv6安全檢測(cè)，對(duì)于安全檢測(cè)下發(fā)到硬件表項(xiàng)需要占用硬件資源，所以需要接入設(shè)備擴(kuò)大整機(jī)硬件支持表項(xiàng)，只有安全檢測(cè)表項(xiàng)足夠清晰和強(qiáng)大，才能便于進(jìn)行IPv4和IPv6雙棧環(huán)境下

36、的安全管控。IPv6防火墻支持的情況支持基于IPv6協(xié)議的狀態(tài)檢測(cè)、應(yīng)用層檢測(cè)等機(jī)制。需要防火墻設(shè)備支持基于IPv6的安全控制策略。無線IPv6功能的支持情況AC和AP之間同時(shí)支持基于IPv6/IPv4協(xié)議的CAPWAP隧道建立，實(shí)現(xiàn)IPv6組播功能的支持；同時(shí)AC之間的集群和冗余功能也能夠在交換機(jī)層面得到很好的支持和應(yīng)用。IPv6校園網(wǎng)設(shè)計(jì)部署場(chǎng)景二（扁平化）扁平化部署特點(diǎn)扁平化部署的初衷：學(xué)校和運(yùn)營(yíng)商在網(wǎng)絡(luò)建設(shè)、使用等方面理念上的差異，運(yùn)營(yíng)商由于要考慮投資回報(bào)，是否有商業(yè)價(jià)值，技術(shù)是否成熟可靠等，對(duì)于新技術(shù)的應(yīng)用非常謹(jǐn)慎，甚至消極。但學(xué)校不同，校園網(wǎng)除了要向全體師生提供信息化應(yīng)用服務(wù)之外，

37、也是一個(gè)非常好的網(wǎng)絡(luò)新技術(shù)、新應(yīng)用的探索和實(shí)驗(yàn)網(wǎng)絡(luò)，就像中國(guó)教科網(wǎng)(CERNET)的存在，除了向高校提供網(wǎng)絡(luò)接入服務(wù)外，更是網(wǎng)絡(luò)新技術(shù)、新應(yīng)用研究、建設(shè)和推廣的實(shí)驗(yàn)網(wǎng)。這幾年，校園網(wǎng)越來越重視管理層面的優(yōu)化，同時(shí)希望參考運(yùn)營(yíng)商的網(wǎng)絡(luò)建設(shè)模式，與運(yùn)營(yíng)商合作共建校園網(wǎng)，或者校園網(wǎng)采用運(yùn)營(yíng)商的建設(shè)模式（集中管理），建成具有校園特點(diǎn)的建設(shè)、運(yùn)營(yíng)和管理模式。目前已有45所高校已部署或者正在部署“扁平化網(wǎng)絡(luò)”（其中211高校有20所，普本21所，高職4所），使用路由器或者BRAS設(shè)備同時(shí)認(rèn)證計(jì)費(fèi)系統(tǒng)也切換為深瀾或者學(xué)校自研的認(rèn)證計(jì)費(fèi)系統(tǒng)。在前期的調(diào)研數(shù)據(jù)中，發(fā)現(xiàn)武漢、大連、南京、西安、江蘇、安徽、湖北等幾個(gè)城市近30所高校的調(diào)研結(jié)果中達(dá)到90%以上的用戶已經(jīng)部署或者計(jì)劃部署扁平化網(wǎng)絡(luò)結(jié)構(gòu)，通過逐步改善的思路，計(jì)劃通過簡(jiǎn)化接入?yún)^(qū)域設(shè)備的部署和運(yùn)維工作，使校園網(wǎng)逐步邁向“重核心、輕邊緣”的部署方向，優(yōu)化校園網(wǎng)絡(luò)部署結(jié)構(gòu)。使校園網(wǎng)的管理和運(yùn)維工作上收至核心。扁平化部署需求扁平化的部署，并非完全物理層面的扁平化（不是直接更改成接入核心的結(jié)構(gòu)），而是通過將策略集中部署于核心設(shè)備（路由器或者交換機(jī)），匯聚/接入主要進(jìn)行用戶間橫向