IPv6园区网解决方案

锐捷网络IPv6校园网解决方案V1.0星网锐捷网络有限公司版权所有侵权必究目录1 锐捷在IPv6的进展与成果 (1)2 锐捷IPv6校园网组网方案 (2)2.1 升级现有IPv4网络方案 (2)2.2 新建IPv6网络方案 (4)2.3 IPv6校园网网络安全规划 (5)2.3.1 设备级别的防护-CPP (5)2.3.2 全局安全网络-GSN (6)2.4 IPv6的计费运营解决方案 (7)3 解决方案的特色和优势 (8)4 结束语 (9)1 锐捷在IPv6的进展与成果锐捷网络作为教育行业领先的网络设备及解决方案供应商，持续服务高校校园信息化长达10年，为校园网的下一代互联网的建设提供了完整的解决方案。

锐捷网络作为教育行业第一民族品牌，肩负下一代互联网在校园网的推广应用使命，围绕着下一代互联网的关键技术-IPv6做了大量而有效的工作，掌握了下一代互联网的多项关键技术，核心操作系统RGOS具有完全自主知识产权，取得了丰富的成果：●2002年，锐捷开始在交换机和路由器操作系统RGOS上开发IPv6核心功能，实现了RFC2460、2461、2463等协议，并提供IPv6静态路由。

●2003年，锐捷获得国家计委（现国家发改委）投资的IPv6软件产业化项目，通过IPv4/IPv6双协议栈通用操作系统RGOS项目的验收。

●2004年，锐捷在NP平台上推出了国内第一台支持IPv6的万兆核心路由交换机S6800E系列。

●2005年，锐捷在ASIC平台上推出了国内第一款机架式IPv6路由交换机S3760系列，同年锐捷获得了由IPv6国际论坛组织颁发的IPv6 Ready第一阶段认证，标志着锐捷产品的IPv6功能的成熟。

●2006年，推出的RG-S8600产品全分布式ASIC硬件支持IPv6，并推出全新的模块化操作系统RGOS10.x，产品开始全面支持IPv6。

●2007年，获得IPv6 Ready第二阶段金牌认证，及国家IPv6信产部入网证书，锐捷全线IPv6产品全球范围内实现规模销售。

22Internet Technology互联网+技术单元的主要作用是构建与AFTR 连接的隧道，并对报文进行封装和发送处理；AFTR 负责终结隧道，对NAT 报文进行转换和发送；B4和AFTR 之间的隧道形式是IP-in-IP。

6RD 是快速部署IPv6的技术形式，其主要组成部分是6RD 和客户边界CE 中的6RD-BR 中继。

②6top 隧道技术：此种机制的主要形式是自动化隧道，其应用功能是使两个相对独立的IPv6站点能够跨越IPv4进行通信。

在此过程中，一个IPv6报文需要在IPv4报文里封装，以满足其在6to4隧道中的实际传输需求，将IPv6形式的报文转发到IPv4互联网中。

对于此类报文，借助于6RD-BR 技术，可使其在IPv4报文中得到良好的封装处理。

具体应用时，可将6RD-BR 里的IPv4地址作为相应报文的源地址使用，将CE/CPE 里的IPv4地址作为相应报文的目的地址使用。

③NAT-PT 技术：此项技术在IPv6主机服务不具备IPv6服务器的情况下适用，在隧道法无法解决互通问题的其他情况下也很适用。

具体应用中，NAT-PT 技术主要通过一个IPv4地址池进行公有IPv4地址的跨边界分配，并对IPv4地址、IPv6地址与端口之间的映射关系进行绑定和记录[2]。

通过这样的方式，便可为网络中的报文传送提供透明路由。

相比较IPv4，IPv6在IP 城域网中的主要应用优势包括以下几方面：①地址长度从原来的32位扩展到了128位，使地址扩展空间接近于无限大。

②报文头部更加简洁，处理效率实现了显著提升。

③其报头更具灵活扩展效果，便于协议的进一步扩展。

④其地址层次性非常强，为路由聚合提供足够便利。

⑤其地址配置工作可以自动化实现。

⑥其网络层可对IPSEC 进行自动认证，同时也可以对其实施有效的加密处理，从而使端到端通信更加安全。

传统IPv4到IPv6的双栈过渡示意图如图1所示。

在通过IPv6对IP 城域网进行优化改造时，相关单位与技术人员首先需要明确IP 城域网和IPv6技术，明确其具体的改造目标、原则和思路。

IPv6校园网解决方案建议书模板—4第2页图2-1 园区网典型组网方案—升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。

首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP 地址、VLAN 、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。

当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。

由于园区网中可能存在IPv6用户相对集中的节点，如，驻地网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。

针对这种情况，建议先用一个双栈低端设备作一次汇聚。

这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双议书栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。

从整网的角度来看，这样的组网也具有更好的可扩展性。

根据实际用户的带宽情况，可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。

通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。

新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。

在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。

同时，IPv4用户也会有访问IPv6业务资源的需求。

为实现这两种可能的业务互访的需求，需要考虑如何放置NA T-PT设备。

如果要访问的业务位于园区网内部，可以考虑在业务服务器出口处放置双栈路由器（如，SR路由器系列，或者支持NA TPT的SecBlade 系列的防火墙产品），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NA T-PT功能。

ipv6解决方案随着互联网的发展，IP地址的需求量也越来越大。

IPV4中的32位地址已经不能满足需求，因此IPV6应运而生。

IPV6使用128位地址，从根本上解决了地址枯竭的问题。

然而，IPV6的普及并不容易，需要设备、应用、网络和安全等各个方面的全面改进和应用。

本文主要介绍IPV6解决方案，分享IPV6应用的经验和教训。

一、IPV6解决方案的需求和现状1. IPV6解决方案产生的需求随着移动互联网、物联网等新技术的发展，对大量IP地址的需求量也在不断增加。

IPV4中的地址已经不能满足需求，IPV6的出现可以有效地解决地址枯竭的问题。

同时，IPV6还具有如下优势：（1）更加安全：采用数据分离技术，把数据和控制信息分开传输，增强了安全性；（2）更加智能：支持更多的路由优化、流量优化和质量服务(QoS)功能；（3）更加高效：允许多播和任意播，减少了网络拥塞，提高了网络效率。

2. IPV6解决方案的现状目前，IPV6在全球范围内已经应用广泛。

截至2020年底，全球IPV6的采用率已经达到了28.32%。

各大互联网公司、网络设备厂商、运营商等都积极推广IPV6应用。

但是，相对于IPV4，IPV6仍然存在着应用不足、设备支持不完善、网络部署困难等问题。

二、IPV6解决方案的实施1. IPV6网络架构的设计IPV6网络架构的设计是实现IPV6部署的重要环节。

IPV6网络架构的核心思想是利用IPV6中的路由优化、QoS等技术，实现网络拓扑的优化和流量的优化。

IPV6网络架构的设计应该从以下几个方面考虑：（1）网络规模：根据网络规模的大小，构建是否需要分域的网络结构；（2）网络拓扑：利用IPV6路由优化技术，实现网络拓扑的优化；（3）QoS：根据业务需求和网络环境，实现QoS功能的优化。

2. IPV6应用的升级IPV6应用的升级是实现IPV6部署的关键环节。

IPV6应用的升级需要从以下几个方面考虑：（1）网站升级：支持IPV6协议，实现IPV6地址的访问；（2）应用升级：应用程序适配IPV6协议，实现IPV6地址的访问；（3）安全升级：增加IPV6协议的安全防护和检查措施。

基于IPv6的智慧园区网络架构设计与实现基于IPv6的智慧园区网络架构设计与实现摘要：随着物联网技术的快速发展，智慧园区的建设逐渐成为城市发展的重要支撑。

IPv6作为下一代互联网协议，具有更大的地址空间、更好的安全性和更高的性能，成为智慧园区网络的理想选择。

本文探讨了基于IPv6的智慧园区网络架构设计与实现的关键问题，并通过具体实例论证了该架构在智慧园区的应用潜力。

一、引言智慧园区是指利用信息技术手段，对园区内的各类设施、系统和业务进行集成、管理和优化，提高园区综合管理和服务水平的一种模式。

随着城市化进程的加快和经济的快速发展，智慧园区的建设已成为城市发展战略的重要组成部分。

而网络作为智慧园区的基础设施，其架构设计与实现对于智慧园区的成功与否具有重要影响。

IPv6作为下一代互联网协议，具有更大的地址空间、更好的安全性和更高的性能，成为支持智慧园区的网络技术的理想选择。

本文旨在探讨基于IPv6的智慧园区网络架构设计与实现的关键问题，并通过具体实例论证该架构在智慧园区的应用潜力。

二、基于IPv6的智慧园区网络架构设计与实现的关键问题（一）网络拓扑设计智慧园区网络的拓扑设计是整个架构设计的基础，直接关系到网络的可靠性和性能。

在IPv6环境下，通过IPv6的大地址空间，可以更灵活地设计和扩展网络拓扑。

可以采用分层结构，将核心网络、汇聚层网络和接入层网络相分离，以提高网络的可扩展性和可管理性。

同时，采用多路径路由技术可以进一步提高网络的负载均衡和容错能力。

（二）地址分配与管理IPv6的地址空间极其庞大，地址分配与管理成为IPv6网络的重要问题。

在智慧园区网络中，大量的物联网设备和传感器需要分配IPv6地址，因此，需要解决地址分配的自动化和灵活性的问题。

可以使用DHCPv6协议实现自动化的地址分配，同时通过地址管理平台对地址进行统一管理和监控，以保证地址的可用性和安全性。

（三）安全与隐私保护智慧园区网络架构的安全性和隐私保护至关重要。

［导读］园区网络是支撑企业业务的核心网络。

在一个园区网络中，内部的终端数量庞大，业务种类丰富。

在园区网从IPv4升级为IPvWlPv4双栈网络中，如何考虑所涉及的网络设备、安全以及无线用户接入等方面的部署？一、IPv6园区网的整体结构IPv6园区网建设经过了多种方案的变化演进，从早期的使用隧道接入到部分网络采用双栈组网，再到现在的以双栈组网为主。

这样的变化是由IPv6业务的开展及网络设备的不断创新所推动的。

图1.典型的园区网络图1是一个典型的园区网组网方式，将一个园区网络分为接入、汇聚、核心的层次性结构。

一般的网络设计中，接入层网络为二层网络，用户的网关设置在汇聚层。

核心层起到互连汇聚层做高速转发。

在功能模块的划分中，园区网络主要由网络出口、数据中心及用户接入三大部分组成。

将该类型组网升级为双栈网络时，常规选择采用双栈部署，从汇聚层到核心层网络开始升级，然后根据网络的情况，升级防火墙等附加的业务设备；在另外的一些情况中，可以采用双栈网络为主、隧道技术为补充的升级方式。

在一个双栈网络升级后，原有的应用服务器可能无法同网络一起一步到位升级为双栈服务器，在这种情况下如果有一部分纯IPv6用户需要访问IPv4的服务器，需要在网络中部署NAT-PT设备，进行IPv6，IPv4的协议转换。

可见，将一张仅支持IPv4的园区网升级为支持IPv6/IPv4双栈的网络，涉及到多项网络技术，面临着多种升级方式的选择。

在这种情况下，对园区网络进行IPv6技术升级前，需要制定详细的升级流程:1）制定网络设备的升级计划。

2）评估网络中的现有产品对IPv6的支持情况。

3）评估网络中需要升级到双栈的网络服务。

4）制定IPv6地址的分配方案。

5）制定详细的IPv6网络升级方案。

6）在升级后进行必需的IPv6技术培训。

通过上述的IPv6升级步骤，逐步的将园区升级为IPv6/IPv4双栈网络，满足现阶段的双栈用户的接入需求。

二、IPv6园区网的部署1.双栈模式的园区网骨干部署在双栈模式的园区网的骨干网络进行建设时，遵循分层的网络建设模式。

目前，各高校的校园网主要以IPv4网络为主，但是，在很多学校的校园网中IPv4网络存在IP地址资源短缺、QoS、安全等问题。

同时，高校作为学术研究的基地，建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践，抢占IPv6技术制高点同样有迫切的需求。

锐捷推出的高校IPv6校园网解决方案，遵循保证现有IPv4应用的正常应用，网络具有扩展性，最大限度地保护既有投资，网络方案要能够满足发挥IPv6的技术优势，支持IPv4业务与IPv6业务的互通、设计良好的网络安全规划、考虑IPv6网络对用户认证和计费方式的支持等网络建设原则。

IPv6校园网组网方案建立IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况，这里提供四种方案供参考。

方案一：隧道模式，升级核心快速实现IPv6接入适用对象：校园网中存在大量IPv4设备没有IPv6功能，或者不能升级到IPv6，快速将网络均升级为IPv6需要较长的时间。

为了保护IPv4投资，同时又需要让新增用户使用IPv6业务，可以采用此方案。

组网模式：升级的重点在于核心层。

原有IPv4网络不进行改造，在核心增加一台支持IPv6 业务的核心交换机（锐捷RG-S8600）或者更换原有的核心交换机为锐捷RG-S8600。

核心交换机开启双栈功能，向上连接IPv6网络，向下开启ISATAP隧道功能，开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。

网络中其余设备均无任何变化，原有IPv4业务正常运行。

方案优势：只需增加一台支持IPv6业务的核心设备，其余设备保持不变，保护原有投资。

只需简单开启ISATAP隧道功能即可，快速实现校园网IPv6主机接入。

新增的IPv6用户可以正常访问IPv6网络及IPv6业务。

原有IPv4业务不产生任何变化，正常运行。

双栈用户可以直接访问IPv4网络及IPv4业务。

IPv6校园网解决方案建议书模板—4第2页图2-1 园区网典型组网方案—升级现有IPv4网络（图1）这种组网只适用少量IPv6/IPv4双栈用户的情况。

首先，由于用户直接接入核心设备，应避免核心设备的负担过重；其次，可以分别针对每个用户的IP 地址、VLAN 、端口作相应的策略，避免IPv6业务对原有网络的影响，同时保障核心设备的安全。

当IPv6/IPv4用户数量较大时，依然采用上述组网方式会使得配置太繁琐，而且大量的流量直接上传至核心设备会对原有业务造成不必要的冲击。

由于园区网中可能存在IPv6用户相对集中的节点，如，驻地网当中的IPv6试验网，或IPv6研究性质的网络，或者园区网中的IPv6用户数量较多。

针对这种情况，建议先用一个双栈低端设备作一次汇聚。

这类节点下的IPv6主机可使用IPv6接入交换机接入后，通过双议书栈直接上联至核心交换机；也可以根据网络实际情况，在IPv6接入交换机与双栈核心交换机间采用IPv6 over IPv4隧道方式连接，以穿过核心交换机与主机间可能存在的IPv4网络。

从整网的角度来看，这样的组网也具有更好的可扩展性。

根据实际用户的带宽情况，可以采用H3C E500系列交换机提供高性价比的IPv6安全防护、全千兆、弱IPv6三层特性的桌面级连接。

通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。

新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。

在IPv6建设初期，IPv6业务资源相对较少，因此需要考虑纯IPv6（Native IPv6）用户对于现有IPv4业务资源的访问。

同时，IPv4用户也会有访问IPv6业务资源的需求。

为实现这两种可能的业务互访的需求，需要考虑如何放置NA T-PT设备。

如果要访问的业务位于园区网内部，可以考虑在业务服务器出口处放置双栈路由器（如，SR路由器系列，或者支持NA TPT的SecBlade 系列的防火墙产品），完成NAT-PT功能；如果要访问的业务位于园区网外部，由于出口路由器也需要升级为双栈，因此可以考虑在园区网出口的路由器上实现NA T-PT功能。

思科提供业界领先的IPv6网络解决方案，从全面的产品线覆盖局域网和广域网，为我们迎接下一代Internet做好充分的准备，避免了IPv6的普及而带来的软硬件瓶颈，充分保护我们的投资。

基本步骤：用户部署IPv6的园区网络有不同的需求和机制, 但是基本步骤相同。

1.定义、注册IPv6 地址。

2.选择IPv6 路由协议。

3.准备DNS，注册AAAA。

4.设置IPv6 设备管理策略(确保能够穿过IPv4网络)。

5.设置IPv6 访问的安全策略。

IPv6地址申请国际上主要分配IPv6地址的机构是IANA(Internet Assigned Numbers Authority). 1999年12月，IANA开始通过分配正式的IPv6地址200::/13网段。

在各个大洲，都有相应的组织负责分配IPv6地址。

如欧洲的RIPE- NCC，亚太平洋地区的APNIC。

2000年4月26日，APNIC批准CERNET有关sTLA地址的申请，CERNET的TLA为：CERNET-CN-20000426，地址范围为2001:250::/35。

北京大学CERNET主结点是2004年上年加入CERNET IPv6实验床。

园区网络中的IPv4-IPv6网络的共存和过渡很长时间内，园区网络中IPv4应用仍将存在，因此同时支持IPv4和IPv6的系统是必要的。

现阶段有多种办法实现IPv4和IPv6的共存和过渡。

如配置隧道，隧道代理，隧道服务器，6TO4，GRE隧道。

ISATAP，自动IPV4兼容隧道等，在园区网络中我们常用的两种技术是：1.IPv4/IPv6双栈技术,使IPv4、IPv6在同一设备和网络中共存。

2.隧道技术，在升级主机，路由器时，避免购买时互相影响。

双协议栈实现IPv4和IPv6的共存双协议栈意味着IPv4,IPv6栈都可用。

IPv4/IPv6双栈节点与其它类型的多栈节点的工作方式相同。

链路层接收到数据段，拆开并检查包头。

IPv6网络安全策略与解决方案随着互联网的发展和IPv4地址的枯竭，IPv6作为新一代互联网协议已经开始得到广泛应用。

然而，随之而来的IPv6网络安全问题也日益成为互联网用户和企业关心的焦点。

本文将重点论述IPv6网络安全策略与解决方案，以帮助读者更好地应对IPv6网络中的安全挑战。

一、IPv6网络安全威胁1. 地址空间扩大带来的风险IPv6的地址位数增加至128位，相比IPv4的32位，拥有了更大的地址空间。

然而，这也为黑客提供了更大的攻击面。

黑客可以更容易地进行扫描、侦听和定位网络中的系统，从而更容易地实施攻击。

2. 地址自动配置与漏洞利用IPv6的地址自动配置（SLAAC）是一种便利的方式，能够为设备快速分配IPv6地址。

然而，攻击者可以利用地址自动配置的漏洞，进行中间人攻击，欺骗用户连接到恶意设备上，窃取数据或者进行其他恶意活动。

3. IPsec协议的缺陷虽然IPv6中集成了IPsec（Internet Protocol Security）协议，用于提供数据传输的机密性、完整性和身份验证等安全机制，但其实际应用中存在隐患。

比如，由于IPsec采用的是互联网密钥交换协议（IKE），而IKE的复杂性和低效性使得黑客能够利用其漏洞进行攻击。

二、IPv6网络安全策略1. 网络访问控制列表（ACL）ACL是一种基于网络设备过滤数据包的机制。

在IPv6网络中，ACL可以应用于路由器、防火墙等设备上，用于限制特定用户或特定网络范围的访问权限。

管理员可以根据需要配置ACL规则，禁止外部访问敏感网络资源，有效保护IPv6网络的安全。

2. 地址监控与管理针对IPv6地址的自动配置漏洞，管理人员可以采取以下措施进行地址监控与管理：- 定期检查网络设备的地址分配情况，及时发现异常情况。

- 启用IPv6防火墙，限制恶意IPv6地址的访问。

- 采用IPv6地址管理工具，对地址进行有效管理。

3. 全面加密通信由于IPsec协议的缺陷，管理员可以考虑采用其他加密协议进行全面加密通信。

基于IPv6的IP 城域网优化改造方案作者：左宏亮来源：《中国新通信》 2018年第12期【摘要】本文介绍了IP 城域网及IPv6 技术的概念及发展，通过对IP 城域网现状及IPv6 优化改造过渡技术的分析，综合考虑建议以双栈技术为主，结合隧道技术，快速解决用户的IPv6 访问需求和IPv6/IPv4 互访需求，同时采用NAT444 技术来解决IPv4 地址短缺的问题，保证IPv4 向IPv6 平滑过渡。

【关键词】 IPv6 城域网 NAT444 改造一、概述1.1 IP 城域网的概念IP 网，由路由设备互连起来的IP 子网组成，这些路由设备在IP 子网间寻找路由，并将IP 分组转发到下一个IP 子网。

城域网，简称MAN，基于一种大型的LAN。

IP 城域网是指在城市范围内，以IP 和ATM 电信技术为基础，以光纤作为传输媒介，集数据、语音、视频服务于一体的高带宽、多功能、多业务接入的多媒体通信网络。

1.2 IP 城域网的网络结构IP 城域网一般分为三层网络结构：（1）核心层：采用基于三层的业务承载和传送技术，由高端路由设备搭建组成。

（2）汇聚层：采用基于二层或三层的技术，或两者进行组合，由中高端路由设备或二/ 三层交换机搭建组成。

（3）接入层：采用物理层或二层业务承载技术，大部分通过部署二层交换设备或MSTP 设备搭建组成。

二、IPv6 现状和发展趋势近年来，IPv4 的发展进入到瓶颈阶段，IPv6 成为了全球网络发展的趋势。

IPv6 比IPv4的最大优势是庞大的IP 地址资源，在服务质量和安全方面等都有了很大提升。

我国一直在积极研究IPv6，如今在理论技术、设备研发、网络部署等各方面都取得了快速发展。

但从如今IPv6 的整体现状来看，规模商用化过程中还面临下面一些困难：2.1 内容和应用还比较匮乏IPv6 只有实现大规模商用化才能展现出演进的意义。

但目前我国许多网站和应用还未充分认识IPv6 的必要性和紧迫性，导致无法开发出能够发挥出IPv6 优势的应用，这对IPv6 的大规模商用形成了一个巨大屏障。

园区网技术发展了这么多年，想必大家对于IPv4场景下的接入安全问题已经烂熟于心。

随着IPv6技术的发展和推广，未来园区网架构向IPv6演进已经成为不可阻挡的趋势，而我们对于IPv6架构下的接入安全问题了解多少？比如，终端可以获取到正确的IPv6地址吗？拿到地址就可以正确封装报文信息吗？报文封装正确就可以转发正常吗？等等。

在IPv6环境下接入层还有哪些安全问题？我们又该如何解决？上一篇文章（IPv6系列安全篇——SAVI技术解析）为大家介绍了SAVI(Source Address Validation Improvements，源址合法性检验) 的技术原理，本文将聚焦IPv6在园区网有线部署的场景，阐述如何应用SAVI技术解决接入安全问题。

IPv6园区网接入安全问题众所周知，终端正常访问资源的前提是需要有一个可用的IP地址，那么如何获取正确的地址是我们要讨论的一个问题。

其次，为了正常访问网络资源进行流量转发，还需要正确解析对端的MAC地址或者网关的MAC地址（跨网段时），这样才能进行一个报文的完整封装。

在IPv4的场景中是通过ARP协议来解析地址，对应到IPv6场景是通过ND协议中的NS/NA报文交互来解析。

除此之外，为了给所有终端分配地址资源，地址源可谓是“尽心竭力”，因此它的资源是有限的，也需要额外关注。

看似平淡无奇的过程中暗藏着很多安全问题，下面我们来详细分析一下这些问题是如何发生，以及有何威胁。

地址获取欺骗在IPv6的场景中，地址获取的方式有多种：1、DHCPv6：通过DHCPv6协议实现地址的获取，整个流程和IPv4下的DHCP协议类似，但协议报文有部分差异，具体可以参考DHCPv6的报文详解。

2、SLAAC（Stateless Address Auto Configuration，无状态地址自动配置）：根据网关设备通告RA （Router Advertisement，路由器通告）报文中携带的网络前缀生成网络ID，根据EUI-64算法生成接口ID，通过两者结合生成一个IPv6地址。

ipv6解决方案简介随着互联网的快速发展和IPv4地址不断枯竭，IPv6（Internet Protocol Version 6）已成为未来互联网发展的必然趋势。

IPv6具有更加庞大的地址空间和更高的安全性，但是在实际应用中，很多企业和机构仍然面临IPv6部署和迁移的挑战。

本文将介绍一些常见的IPv6解决方案，以帮助读者充分了解并顺利实施IPv6。

1. 双栈部署双栈部署是一种常见的IPv6解决方案，它意味着在现有的网络中同时部署IPv4和IPv6协议栈。

这种部署方式可以保证同时支持IPv4和IPv6，对于网络迁移和IPv6的逐步推进非常有帮助。

双栈部署需要采取以下几个步骤：•部署IPv6网络设备：在现有的网络设备基础上，增加支持IPv6的设备。

•配置IPv6地址：为每个网络设备分配一个唯一的IPv6地址。

•配置双栈路由器：配置路由器支持IPv4和IPv6的转发功能，实现IPv4与IPv6的互联。

同时，对于支持双栈的应用程序和服务，需要进行适配和配置，以确保其能够适应IPv6环境。

2. NAT64/DNS64由于IPv4和IPv6之间的差异，为了实现IPv6与IPv4的互联，需要一种转换机制。

NAT64/DNS64是一种广泛使用的转换技术，可以实现IPv6与IPv4之间的互联。

NAT64使用单个IPv6地址来代表多个IPv4地址，将IPv6数据包与IPv4数据包进行转换。

而DNS64负责解决IPv6网络中由于IPv4地址不可用而导致的无法访问IPv4资源的问题，它通过在IPv6网络中生成虚假的IPv6地址，将IPv6节点的DNS请求转发给DNS64服务器，在DNS64服务器上将IPv4地址解析为虚假的IPv6地址。

通过NAT64/DNS64的组合，可以在IPv6网络中实现对IPv4资源的访问。

3. IPv6隧道IPv6隧道是一种将IPv6数据包封装在IPv4数据包中进行传输的技术，通过隧道可以在IPv4网络中传输IPv6数据，实现IPv6与IPv4之间的互联。

工业领域IPV6改造升级解决方案网络改造技术篇/前沿技术/其他1概述随着用户的数据中心、广域网、园区网络的成功运行、改造完成，网络建设规范也陆续完善起来。

由于业务与用户的迅猛增长，致使双栈网络还是隧道过渡，已经不再是关注的重点。

而如何能够将IPv6网络建设成和IPv4网络一样安全、可管理、可运营成为对当前用户网络新的挑战。

1.1背景当代中国，互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安全格局。

我国是世界上较早开展IPv6试验和应用的国家，在技术研发、网络建设、应用创新方面取得了重要阶段性成果，已具备大规模部署的基础和条件。

抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，加强统筹谋划，加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网，是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。

1.2实施目标在部署IPv6之前，我们首先应该考虑IPv6部署的总体方案和策略，具体考虑因素如下：首先考虑网络设备对IPv6业务支持的广度。

比如IPv6的过渡技术有手工隧道方式，自动隧道方式，有基于MPLS VPN技术的6PE方式，有基于网络地址转换技术的，IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的组播路由协议有PIM-DM，PIM-SM,PIM-SSM,MLDv1,MLDv2等等。

支持的业务种类越多越方便我们进行研究。

其次考虑网络设备对IPv6业务支持的深度。

IPv6首先应该部署在运营商网络。

这是因为在IPv6网络里没有私网地址概念（Site local 地址类型已经被IPv6工作组取消），永远不出现NAT（指类似IPv4私有地址访问公有地址的方式）。

现阶段IPv6网络的复杂度应该大于IPv4的电信运营网络，IPv4和IPv6混合组网的现象应该是当前的主旋律，也必定是一个长期演进的缓慢过程。

H3C IPv6全网解决方案H3C IPv6全网解决方案应用背景IPv4协议是目前广泛部署的因特网协议，然而，随着Internet的发展，该协议在历经了20多年的实践与考验后，已逐渐暴露出设计的先天不足以及诸多局限，成为IP技术应用和未来发展的瓶颈制约。

而IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的认可，为业务发展创造了机会：IPv6的产生从根本上解决了地址短缺的问题IPv6提供了更快捷的部署方法（即插即用）IPv6支持流标签能力，便于QoS的实施IPv6集成了安全特性IPv6具备更有效的报头结构，提高处理性能IPv6与IPv4网络之间可以平滑过渡以及相互访问解决方案作为全球领先的网络设备和解决方案供应商，H3C将IPv6作为一个战略性的发展目标，依托自身领先的技术实力，紧跟IPv6技术的前沿发展方向。

目前，H3C已推出从核心到接入、从高端到低端、从有线到无线全系列IPv6路由器、交换机产品，可以组建满足用户任意需求的解决方案。

针对网络流量的特点，分别提供核心路由器SR8800和核心汇聚交换机S9500。

通过核心层IPv6/IPv4双栈的部署，结合电信级设备可靠性和网络可靠性设计，实现IPv4网络向IPv6/IPv4双栈网络的稳定过渡。

在大型园区网和广域网IPv6部署中，分别提供S7500E和SR6600作为汇聚设备，实现IPv6业务流的汇聚。

同时，在中型网络中，SR6600和S7500E也可作为核心层设备使用。

面对接入层网络的复杂结构，分别提供系列化的接入层交换机和路由器。

在IPv6网络部署中可以分别满足二层/三层接入，支持百兆到桌面、千兆到桌面及万兆上行等多种组网模式，提供丰富的接入手段；在广域网IPv6分支部署中，MSR系列路由器可以满足不同规模网络的出口节点需求。

作为一种灵活的接入方式，无线全系列产品全面支持IPv6，既包括支持IPV4报文流量穿越IPv6隧道，同时也支持AP设备直接传输IPv6数据；无线用户可以通过IPv6正常访问IPv6网络及IPv6业务。

IPv6网络部署方案1.概述1.1IPv6 的部署阶段当前大量的网络是IPv4 网络，随着IPv6 的部署，很长一段时间是IPv4 与IPv6 共存的过渡阶段。

通常将IPv6 的部署划分为三个阶段：图1-1 IPv6 的部署阶段1.1.1IPv6 发展初期阶段在IPv6 网络部署初期，IPv6 站点的规模不大，因此在IPv4 网络中形成了一个个“IPv6 孤岛”。

业务应用上以原有的IPv4 应用为主，需要保证IPv6 站点与IPv4 网络之间的通信，以及IPv6 站点之间的互连。

1.1.2IPv6 与IPv4 共存阶段随着IPv6 网络规模的扩大，纯IPv6 网络与纯IPv4 网络并存。

基于IPv6 的传统业务逐渐开始大量部署，需要保证IPv6 与IPv4 之间的通信。

1.1.3IPv6 主导阶段纯IPv6 网络最终形成，原有的IPv4 网络大部分升级为IPv6，只剩下少数的IPv4 站点成为“IPv4 孤岛”。

此时适用于IPv6 的各种新型业务开始成为主流业务。

2.IPv6 的园区网IPv6 的部署基本是从建设IPv6 骨干开始的，采用设备为IPv6 骨干路由器。

如，国内面向IPv6 建设的CNGI 示范网络，就是由多个主干网通过国内互联中心互联构成，具体包括：由CERNET 网络中心承建的CERNET2，以及由中国电信、中国移动、中国联通、中国网通和中科院网络中心、中国铁通分别承建各自的下一代互联网示范网络核心主干网。

其中，CERNET 网络中心位于清华大学，中国网通和中科院网络中心位于中科院计算机网络信息中心。

自CNGI 项目启动后，为数众多的IPv6 试验网开始筹建，并呈现出规模化的发展趋势。

目前的建设主要集中在用户驻地网，通过用户驻地网的建设实现IPv6 主干网络向用户端的延伸，实现将IPv6 用户流量引入到主干网的作用。

随着IPv6 网络规模的扩大，需要建设全新的IPv6 网络。

可以采用H3C 的全系列IPv6 产品建设IPv6/IPv4 双栈园区网。

H3C IPv6全网解决方案H3C IPv6全网解决方案应用背景IPv4协议是目前广泛部署的因特网协议，然而，随着Internet的发展，该协议在历经了20多年的实践与考验后，已逐渐暴露出设计的先天不足以及诸多局限，成为IP技术应用和未来发展的瓶颈制约。

而IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的认可，为业务发展创造了机会：IPv6的产生从根本上解决了地址短缺的问题IPv6提供了更快捷的部署方法（即插即用）IPv6支持流标签能力，便于QoS的实施IPv6集成了安全特性IPv6具备更有效的报头结构，提高处理性能IPv6与IPv4网络之间可以平滑过渡以及相互访问解决方案作为全球领先的网络设备和解决方案供应商，H3C将IPv6作为一个战略性的发展目标，依托自身领先的技术实力，紧跟IPv6技术的前沿发展方向。

目前，H3C已推出从核心到接入、从高端到低端、从有线到无线全系列IPv6路由器、交换机产品，可以组建满足用户任意需求的解决方案。

针对网络流量的特点，分别提供核心路由器SR8800和核心汇聚交换机S9500。

通过核心层IPv6/IPv4双栈的部署，结合电信级设备可靠性和网络可靠性设计，实现IPv4网络向IPv6/IPv4双栈网络的稳定过渡。

在大型园区网和广域网IPv6部署中，分别提供S7500E和SR6600作为汇聚设备，实现IPv6业务流的汇聚。

同时，在中型网络中，SR6600和S7500E也可作为核心层设备使用。

面对接入层网络的复杂结构，分别提供系列化的接入层交换机和路由器。

在IPv6网络部署中可以分别满足二层/三层接入，支持百兆到桌面、千兆到桌面及万兆上行等多种组网模式，提供丰富的接入手段；在广域网IPv6分支部署中，MSR系列路由器可以满足不同规模网络的出口节点需求。

作为一种灵活的接入方式，无线全系列产品全面支持IPv6，既包括支持IPV4报文流量穿越IPv6隧道，同时也支持AP设备直接传输IPv6数据；无线用户可以通过IPv6正常访问IPv6网络及IPv6业务。

IPv6园区⽹解决⽅案.docIPv6园区⽹解决⽅案1IPv6园区⽹解决⽅案⼀、IPv6⽹络部署原则⽬前国内的各类园区⽹络、⾏业⽹络⼤部分为只⽀持IPv4的⽹络，由于IPv4与IPv6的完全不兼容，所以⽆法实现IPv4到IPv6⽹络的⾃然升级和平滑过渡。

少部分⽹络的部分设备⽀持通过升级软件或者添加基于NP的智能板卡升级到IPv6⽹络，但还是存在其他部分⽹络不⽀持IPv6的问题。

矚慫润厲钐瘗睞枥庑赖賃軔。

从技术上，当前⽹络要⽀持IPv6，必须有⽀持IPv6硬件转发的IPv6⽹络设备，不管是通过对现有设备升级实现还是购买新的IPv6⽹络设备。

本解决⽅案着重讨论通过添加新的IPv6⽹络设备给现有⽹络添加IPv6⽀持功能，通过新IPv6⽹络设备可以构建IPv6实验⽹络或者IPv6园区⽹络，新建的⽹络中⼼可以提供原⽣的IPv6协议⽀持，同时通过双栈技术和隧道技术对原IPv4⽹络中的IPv4⽤户进⾏IPv6接⼊覆盖。

聞創沟燴鐺險爱氇谴净祸測。

⽬前部署IPv6有⼀个很重要的原则，那就是除了少数科研IPv6⽹络之外，新建的IPv6⽹络⼀定是⼀个既⽀持IPv6也⽀持IPv4的⽹络，⽽不是纯的IPv6⽹络。

IPv4与IPv6将长期共存，直⾄IPv4完全消失，因为很长时间以内基于IPv4的⽹络资源还会⼤量存在，所以那种认为IPv6可以迅速替代IPv4并摒弃IPv4的想法在现实中是⾏不通的。

残骛楼諍锩瀨濟溆塹籟婭骒。

⼆、IPV6园区⽹解决⽅案随着此次驻地⽹信息点⼤幅增加，原有的以ISATAP隧道、配置隧道为主的低速过渡模式已经不能满⾜约来越多的IPv6访问需求，建设⾼速双栈园区⽹已经成为不可逆转的趋势。

为此建⽴此次IPv6⽹络建设为双栈分布式园区⽹，汇聚层以上交换设备必须⽀持硬件ASIC双栈，本节根据⽹络规模与实际节点数量不同分别给出了⼏种建议⽅案，⽅便⽹络建设时根据实际情况选⽤不同的⽅案。

酽锕极額閉镇桧猪訣锥顧荭。

(1) 20000点以上IPv6园区⽹解决⽅案⽅案采⽤可靠稳定的星型结构，模块化设计，核⼼层采⽤2台DCRS-9816机箱式⼗万兆路由交换机，采⽤VRRP实现双机热备。