锐捷网络IPv6校园网解决方案

锐捷网络IPv6校园网解决方案
V1.0
星网锐捷网络有限公司
版权所有侵权必究
目录
1 锐捷在IPv6的进展与成果 (1)
2 锐捷IPv6校园网组网方案 (2)
2.1 升级现有IPv4网络方案 (2)
2.2 新建IPv6网络方案 (4)
2.3 IPv6校园网网络安全规划 (5)
2.3.1 设备级别的防护-CPP (5)
2.3.2 全局安全网络-GSN (6)
2.4 IPv6的计费运营解决方案 (7)
3 解决方案的特色和优势 (8)
4 结束语 (9)
1 锐捷在IPv6的进展与成果
锐捷网络作为教育行业领先的网络设备及解决方案供应商，持续服务高校校园信息化长达10年，为校园网的下一代互联网的建设提供了完整的解决方案。

锐捷网络作为教育行业第一民族品牌，肩负下一代互联网在校园网的推广应用使命，围绕着下一代互联网的关键技术-IPv6做了大量而有效的工作，掌握了下一代互联网的多项关键技术，核心操作系统RGOS具有完全自主知识产权，取得了丰富的成果：
●2002年，锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能，实现
了RFC2460、2461、2463等协议，并提供IPv6静态路由。

●2003年，锐捷获得国家计委（现国家发改委）投资的IPv6软件产业化项目，通过
IPv4/IPv6双协议栈通用操作系统RGOS项目的验收。

●2004年，锐捷在NP平台上推出了国内第一台支持IPv6的万兆核心路由交换机
S6800E系列。

●2005年，锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系
列，同年锐捷获得了由IPv6国际论坛组织颁发的IPv6 Ready第一阶段认证，标志
着锐捷产品的IPv6功能的成熟。

●2006年，推出的RG-S8600产品全分布式ASIC硬件支持IPv6，并推出全新的模块
化操作系统RGOS10.x，产品开始全面支持IPv6。

●2007年，获得IPv6 Ready第二阶段金牌认证，及国家IPv6信产部入网证书，锐捷
全线IPv6产品全球范围内实现规模销售。

●2008年，锐捷在IPv6方面进行了进一步的完善，支持IPv6的统一的操作系统RGOS
全面应用于S8600系列、S5750系列、S5760系列、S2900、S2600系列。

同时，在
锐捷的安全计费管理系统RG-SAM3.x上实现了对IPv6的支持。

●锐捷具备提供端到端全面IPv6网络解决方案能力。

2 锐捷IPv6校园网组网方案
2.1 升级现有IPv4网络方案
建设IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况。

图2-1隧道模式（ISATAP隧道），升级核心
组网模式：
●原有IPv4网络不进行改造，核心增加或者更换支持IPv6 业务的核心交换机。

●核心交换机开启双栈，向上连接IPv6网络，向下开启ISATAP隧道功能，开启
IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。

●网络中其余设备均无任何变化，原有IPv4业务正常运行。

方案优势：
●只需增加支持IPv6业务的核心设备，保护原有投资。

●只需简单开启ISATAP隧道功能即可，快速实现校园网IPv6主机接入。

图2-2隧道模式，升级核心与部分汇聚逐步支持IPv6
组网模式：
●在原有核心层改造的基础上，逐步对汇聚的三层设备进行更换，将汇聚层的原有三
层交换机更换为支持IPv4/IPv6的双栈设备。

●汇聚交换机与核心交换机之间会存在IPv4网络，使用IPv6 over IPv4隧道方式实
现IPv6的连接。

核心与汇聚交换机开启双栈功能，同时配置6over4隧道如手工隧
道技术。

方案优势：
●逐步实现对原有IPv4网络的改造，将部分汇聚与核心设备更换，为下一步实现整
网IPv6网络部署奠定基础。

●原有IPv4业务不产生任何变化，正常运行。

双栈用户可以直接访问IPv4网络及IPv4
业务。

2.2 新建IPv6网络方案
图2-3新建IPv6网络
组网模式：
●新建核心层、汇聚层全双栈部署IPv6路由，实现全网IPv6。

●业务区域采用二层到桌面，接入交换机采用百兆或千兆到桌面，汇聚层部署IPv6
VRRP功能保证冗余。

汇聚层连接核心层IPv4/v6双栈路由功能。

方案优势：
●接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余，汇聚层、核心层设
备采用双节点实现节点冗余。

●新增IPv6用户可以正常访问IPv6网络及业务。

双栈用户可以直接访问IPv4网络
及业务。

2.3 IPv6校园网网络安全规划
IPv4协议向IPv6协议升级过渡的过程中，多种安全问题将暴露出来，构建可信任的下一代互联网，将是一项长期而艰巨的任务。

在建设IPv6校园网时候，需要全面考虑网络的安全
问题。

IPv6校园网安全问题划分为：设备级别、全网安全级别。

2.3.1 设备级别的防护-CPP
随着IPv6在校园中的部署，校园网的各种应用不断扩展，网络攻击的不断增多，越来越需要为IPv6交换机提供一种保护机制。

对发往交换机CPU的数据流，进行流分类和优先级分
级处理、CPU的带宽限速，以确保在任何情况下CPU都不会出现负载过高的状况，为用户提供
一个稳定的网络环境。

这种保护机制是CPU Protect Policy（CPP）。

CPP作为IPv6交换机的
一个功能模块，按照以下四个阶段处理数据：Classifying、Queuing、Scheduling和Shaping。

S8600系列IPv4/IPv6交换机的管理板与线卡的架构使S8600系列交换机的CPP具有了分布式
的特点，它的优点是在硬件实现的CPP的基础上，由各个线卡进行一级过滤，而管理板进行
二级过滤，通过这种二级过滤的机制，管理板降低了被攻击的可能性，使管理板的各种协议
能平稳地运行，最大程度的保护了管理板的CPU资源，保证了网络的安全和稳定。

通过CPP保护策略，网络设备的安全能力有了更大的提升。

在部署IPv6的校园中，各种
应用、攻击，都极大地考验着网络设备，在IPv6的校园中的部署中，应该采用具有先进的CPU
Protect Policy（CPP）机制的IPv6转发平台。

2.3.2 全局安全网络-GSN
IPv6技术在校园网大规模应用，各种应用大规模开展，网络访问控制接入控制应运而生。

网络访问控制解决方案旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度，
对内网用户进行有效的管理。

实现内网用户身份的合法化，上网主机安全状况的健康化，网
络通信的安全化以及用户网络访问行为的规范化。

GSN是由软件和硬件联动的安全系统，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

部署IPv4/IPv6兼容的全网安全防御系统，通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对IPv4/IPv6的网络安全进行监控、检测、防御和
处理，帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。

2.4 IPv6的计费运营解决方案
基于IPv4/IPv6的校园网计费运营管理，是校园网发展的趋势和必经之路，通过计费运营提高了网络管理部门的服务质量，保证了校园网的健康、可持续发展。

实现IPv6用户的入网认证及计费管理。

IPv6计费运营系统以网络运营为基础，增强全局安全为中心，提高管理效率为目的，全面实现校园网完善IPv6的安全认证、计费管理。

采用锐捷RG-SAM IPv6安全认证计费管理系统，该系统基于标准的RADIUS协议开发的。

它不仅支持PPPOE和SCG的认证计费方式，还支持最新的802.1x接入控制技术，与其他厂商
支持相应标准的产品兼容，结合锐捷的网络安全交换机提供更加丰富的功能。

锐捷RG-SAM安全认证计费管理系统在“高安全、可运营、易管理”的特点。

通过负载均衡、群集部署等方案在硬件设备有限投入下提供最安全、最稳定的部署解决方案，同时以其
基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案，另外，以好
用、易用为原则，Web访问形式的友好界面，为用户提供贴心使用形式。

锐捷RG-SAM安全认
证计费管理系统是全面支持IPv6协议的计费运营系统，是校园网IPv6建设的关键保障。

3 解决方案的特色和优势
●提供端到端的全网建设方案
全系列的交换机产品线：S8600系列、S7600系列、S5750系列、S3760系列、S2600系列，全面支持IPv6。

校园网IPv6整体解决方案提供了IPv6的网络设备、网络管理、计费认证的全网端到端的解决方案；
●所有交换产品硬件支持IPv6，提供IPv6应用的高性能保障
全系列的IPv6交换机产品，通过ASIC硬件实现IPv6，提供万/千/百兆端口的IPv6报文线速转发。

全面满足校园网对IPv6路由、IPv6组播、IPv4/IPv6过渡等各种IPv6功能和性能需求；通过信息产业部指定单位的IPv6入网测试，获得IPv6进网检验报告，并通过信息产业部的严格评审，获得IPv6入网证；
●提供多种IPv4/IPv6过渡技术和方案
锐捷的IPv6交换机产品，提供完善的IPv4/IPv6双协议栈，以及多种成熟的IPv4/IPv6隧道技术，帮助各高校平滑的实现IPv4和IPv6网络及应用的过渡。

●配套安全计费管理系统实现完整解决方案
锐捷RG-SAM3.X实现了对IPv6的支持，结合交换机的802.1x认证和Web认证功能，实现了在IPv6环境下全网用户的安全、计费与管理。

●成熟广泛的应用
锐捷IPv6的系列产品是经过多年的实际使用检验的成熟产品。

在107所211高校中，锐捷全线交换机产品进入了88所，万兆IPv6高端交换产品进入了其中的58所；
校园网IPv6解决方案
9
4 结束语
IPv6 相比于IPv4 是一个巨大的进步，也是一个巨大的变革，从IPv4 网络逐步过渡到IPv6网络、到完全替代IPv4 网络将是一个比较长的演进过程，在这个演进过程中，网络各个组成部分将会逐步被新的部件所替代。

伴随着网络演进的过程，相关的新技术、新应用甚至全新的运营模式也将逐步涌现。

作为最早涉足教育信息化领域的网络厂商，锐捷网络植根于国内的教育行业，密切关注教育信息化的发展与应用需求，并一直致力于和包括高校在内的各种力量一起推动IPv6技术和产业的发展，致力于推动IPv6产业链的完善。

锐捷网络依托服务校园网建设的丰富经验，提供端到端的IPv6校园网解决方案，为校园网的下一代互联网建设贡献力量。