1、IPv6 校园网建设实施方案XXXX 年 XX 月 XX 日文档密级:第2页, 共 11页目录1 项目技术方案 .31.1 校园网网络拓扑设计方案 31.1.1 校园网 IPv6 部署中需要考虑的问题 .31.1.2 整网设计原则 .31.1.3 IPv6 过渡技术简介 41.1.4 校园网 IPv6 部署模式分析 .61.1.5 校园网 IPv6 无线网络部署方案 121.2 IPv4 和 IPv6 地址规划方案 .161.2.1 IPv4 地址规划 .161.2.2 IPv6 地址规划 .181.3 路由设计方案 181.3.1 IPv4 路由规划 .181.3.2 IPv6 路由规划 .
2、191.4 接入主干网设计方案,线路落实情况和拟接入核心节点情况 211.5 建立 IPv4/IPv6 校园网运行管理支撑系统设计方案 .231.6 支持基于真实 IPv6 源地址的用户标识和认证服务、IPv4/IPv6 过渡服务和可控组播服务等的技术方案 .231.6.1 基于真实 IPv6 源地址的用户标识和认证服务 231.6.2 IPv4/IPv6 过渡服务 .241.6.3 IPv6 可控组播服务 24文档密级:第3页, 共 11页1 项目技术方案1.1 校园网网络拓扑设计方案(根据各学校实际情况添加)1.1.1 校园网 IPv6 部署中需要考虑的问题在校园网部署 IPv6 之前,我
3、们首先要考虑部署的总体方针和策略:1 网络中部署 IPv6 业务的模式:在校园网中部署 IPv6 可以有全双栈模式和隧道模式。全双栈模式组网是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4 和 IPv6 的逻辑界面清晰。隧道模式属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。2 考虑网络设备对 IPv6 业务支持的广度:如:IPv6 的过渡技术有手工隧道方式,自动隧道方式,有基于 MPLS VPN 技术的 6PE 方式,有基于网络地址转换技术的 NAT-PT 等等,IPv6 的单播路由协议有OSPFv3,ISISv6,BGP4+等等,IP
4、v6 的组播路由协议有 PIM-SM,PIM-SSM 等等。3校园网 IPv6 技术升级建设应考虑部署后的可管理性:在本次网络建设后,应充分考虑网络部署 IPv6 的可管理及可维护性,要能够满足日常教学科研的需要。4针对不同的网络环境进行建设:采用 H3C 的设备的学校可以考虑直接扩容为全双栈模式,适当兼顾只支持 IPv4 协议栈的终端;并可根据学校的实际情况,可以先建设部分双栈网络,其他部分采用隧道模式允许用户访问CERNET2,逐步将不支持 IPv6 的设备进行换代升级。综上所述,本次部署 IPv6 网络的时候,建议有条件的网络中采用全双栈部署,完成本次驻地网的大部分改造,其次根据现有校园
5、网内的实际情况,采用部分过渡技术,在不影响现有 IPv4 校园网主体拓扑结构的条件下,使得校园网中需要部署 IPv6 网络的地方能够通过隧道技术,接入CERNET2。1.1.2 整网设计原则在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层:接入层、汇聚层、核心层。1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos 和 POE 功能都位于这一层。对于校园园区网的接入层设备,建议有条件的网络采用采用千兆接入的方式,其他的网络中升级可以采用百兆的接入方式。文档密级:第4页, 共
6、 11页2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了 MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。3) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的 RRPP/RPR 环网结构或多设备冗余的星型
7、结构。对于校园园区网核心层设备,应该在提供大容量、高性能 L2/L3 交换服务基础上,能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现校园网 IT 资源整合的需求。1.1.3 IPv6 过渡技术简介ISATAP 隧道:随着 IPv6 技术的推广,现有的 IPv4 网络中将会出现越来越多的 IPv6 主机,ISATAP 隧道技术为这种应用提供了一个较好的解决方案。ISATAP 隧道是点到点的自动隧道技术,通过在 IPv6报文的目的地址中嵌入的 IPv4 地址,可以自动获取隧道的终点。使用 ISATAP 隧道时,IPv6 报
8、文的目的地址和隧道接口的 IPv6 地址都要采用特殊的地址:ISATAP 地址。ISATAP 地址格式为:Prefix(64bit):0:5EFE:IPv4ADDR(IPv4ADDR 即隧道端点的 IPv4 源地址,形式为 a.b.c.d 或者 xxxx:xxxx,其中 xxxx:xxxx 是由 32 位 IPv4 源地址 a.b.c.d 转化而来的 32 位 16 进制表示) 。通过这个嵌入的 IPv4 地址就可以自动建立隧道,完成 IPv6 报文的传送。ISATAP 隧道的地址格式ISATAP 隧道可以用于在 IPv4 网络中 IPv6 路由器IPv6 路由器、主机路由器的连接。由于不要求
9、隧道节点具有全球唯一的 IPv4 地址,可以用于内部私有网络中各双栈主机进行 IPv6 通信,所以 ISATAP 隧道适用于在 IPv4 网络中的 IPv6 主机之间的通信或 IPv4 网络中 IPv6 主机接入到IPv6 网络的通信(如下图所示) 。如果是内部主机之间通讯,路由器的作用就是给主机自动分配ISATAP 地址,主机利用得到的地址与其他主机通信。文档密级:第5页, 共 11页主机路由器的 ISATAP 隧道应用在 IPv6 网络的建设初期,出于投资的考虑,可能很难实现对原有 IPv4 网络整体升级至IPv6/IPv4 双栈的模式,因此多采用将驻地网的汇聚层或出口设备(如,路由器)首
10、先升级至双栈的模式,而汇聚层设备以下仍保持原有的 IPv4 网络。为实现位于 IPv4 驻地网内部的双栈主机与其他 IPv6 网络的通信,或 IPv6 主机之间的通信,即可采用 ISATAP 主机路由器的隧道部署方式。6to4 隧道分析:和 ISATAP 隧道一样,6to4 隧道也是一种自动构造隧道的方式。6to4 隧道是点到多点的自动隧道,主要用于将多个 IPv6 孤岛通过 IPv4 网络连接到 IPv6 网络。6to4 隧道通过 IPv6 报文的目的地址中嵌入的 IPv4 地址,可以自动获取隧道的终点。6to4 隧道采用特殊的地址:6to4 地址,它以 2002 开头,后面跟着 32 位的
11、 IPv4 地址转化的 32 位 16 进制表示,构成一个 48 位的 6to4 前缀2002:IPv4ADDR:/48。6to4 隧道的地址格式6to4 隧道只能将前缀为 2002:/16 的网络连接起来,但在 IPv6 网络中也会使用像 2001:/16 这样的非 6to4 网络地址。为了使这些地址可达,必须有一台 6to4 路由器作为网关转发到 IPv6 网络的报文,从而实现 6to4 网络(地址前缀以 2002 开始)与 IPv6 网络的互通,这台路由器就叫做6to4 中继(6to4 Relay)路由器。6to4 隧道的作用就是解决孤立的 IPv6 站点、IPv6 子网,在没有 Int
12、ernet 提供商提供 IPv6 服务的情况下的与其他孤立的 IPv6 站点、IPv6 主干网内部站点之间的通信问题。通常在这种情况下,隧道是建立在 IPv6 子网或者 IPv6 站点的边界路由器上。起点在源站点的边界路由器上、终点在目的站点的边界路由器上。文档密级:第6页, 共 11页6to4 隧道的应用因此在实际网络中,这种隧道可以很好地解决 IPv6 的分支网络间通过 IPv4 网络建立 6to4 隧道实现互联。而且由于可以实现 6to4 Relay 的功能,使得 6to4 隧道可以在更加复杂的 IPv6 路由环境下提供 IPv6 孤岛间的通信。需要注意的是,因为 6to4 地址是自动从
13、站点的 IPv4 地址派生出来的,因此如果需要 6to4 隧道穿越 IPv4 公网时(如,现在的 Internet) ,就要求每个 6to4 节点必须具有一个全球唯一的 IPv4地址。但是通常校园网中主机和出口路由器之间建立隧道,跨越公网的可能性比较小。还有一种运用模式,如下图所示。与 ISATAP 隧道的典型应用场景类似,6to4 隧道也能提供主机路由器的隧道部署方式。此时,只要 6to4 主机与 6to4 路由器的 IPv4 路由可达即可实现隧道,并不要求必须是全球唯一的 IPv4 地址。主机路由器的 6to4 隧道应用1.1.4 校园网 IPv6 部署模式分析完全新建模式(全双栈模式)文
14、档密级:第7页, 共 11页拓扑简述:所有驻地网三层设备均为 IPv4/v6 双栈设备。并通过 IPv6 出口交换机通过 GE 链路连接到CERNET2。实现原理:驻地网(校园网)中部署双协议栈网络是最理想的方法,系统开销最小、厂家技术、芯片技术都已经成熟。以前有人选择过渡技术,是因为改造成本相对高而不能选择。这次项目实际上就是一次很好的改造契机。如上图所示,通过对校园网的核心层设备升级到 H3C S7500E/S9500、汇聚层设备升级到S5500EI 或 S7500E、接入设备升级到 E126A 或 S5100EI,完成将整体校园网升级到“全双栈模式”校园网络架构。在校园网中部署全双栈的网
15、络,这样对于新建的驻地网(校园网) 中双栈用户可以同时访问访问IPv6 和 IPv4 网络。对于双栈终端,IPv4 网关和 IPv6 网关均部署在汇聚 3 层交换机上。驻地网内所有三层设备由于均是双栈设备,既运行 IPv4 路由协议也运行 IPv6 路由协议。不同协议的数据转发路径可能一致,也可以不同。全双栈模式优点:文档密级:第8页, 共 11页从技术角度这是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4 和 IPv6 的逻辑界面清晰。原有设备利旧模式(双栈+隧道模式):拓扑简述:原有网络设备不支持 IPv6,设计中将原有的核心或汇聚层设备下移一层,将原有的核
16、心 8500设备下移至汇聚层,接入部分 IPv4 用户。将原有的汇聚层及核心层设备替换为支持 IPv4/IPv6 双栈的设备。对于 S8500 下面的需要接入 IPv6 网络用户通过 ISATAP 隧道接入到 IPv6 网络,其他的IPv6 用户通过双栈设备接入。实现原理:如上图所示,通过对校园网的核心层设备升级到 H3C S7500E/S9500、汇聚层设备升级到S5500EI 或 S7500E、接入设备升级到 E126A 或 S5100EI,完成部分原有网络设备升级到 IPv6 网络。文档密级:第9页, 共 11页同时,可以利用原有的核心设备接入部分 IPv4 用户,利用 ISATAP 隧
17、道接入 IPv6 网络。利旧模式优点:这个方案可以充分利用原有网络中淘汰的高端设备,避免投资浪费,又能够充分获得 IPv6/IPv4 双栈部署的优点。混合组网模式:1. 双平面组网模式:拓扑简述:需要保留原有网络中的汇聚层及核心层的不支持 IPv6 的网络设备,在相同的层次上新建立一套 IPv6 汇聚层与核心层设备。实现原理:使用双平面校园网,即在现有校园网的基础上,核心、汇聚每台设备旁边拷贝一套新的网络平面。第一平面负责原有 IPv4 业务,第二平面即作为 IPv6 业务平面,也作为 IPv4 业务的热备平面。第二平面中,核心层设备使用 H3C S7500E,汇聚层设备使用 H3C S550
18、0EI/S7500E。文档密级:第10页, 共 11页双平面组网模式的优点:IPv6 业务平面随时可随意以开展 IPv6 业务研究而不影响现有业务,作为备份平面,大幅提升整个校园网的可靠性和带宽。并且在第三方设备过保淘汰时,可以保证现网业务不中断平滑割接。需要注意的是:这种方案有个前提:学校布线资源需要改造,包括核心汇聚之间的单模光纤、包括楼宇内部垂直布线系统(接入交换机双上行到 IPv4 汇聚、IPv6 汇聚) ,但是本次项目国家拨款中是包括环境设施改造的。2. 核心改造模式:拓扑简述:仅保留原有网络中的接入层设备,将核心层与汇聚层设备替换为支持 IPv6/IPv4 双栈的设备。实现原理:原
19、有的接入层设备能够满足本次 IPv6 的升级要求,无需升级,所以本次升级仅升级核心层及汇聚层设备,将其升级到支持 IPv6/IPv4 双栈的设备,满足本次部署需要。在本次升级中,核心层设备选用 H3C S7500E,汇聚层设备选用 H3C S5500EI/S7500E。核心改造模式的优点:文档密级:第11页, 共 11页充分利用资金,对校园网核心、汇聚进行充分改造,从而使校园网对 IPv6/IPv4 的支持和转发性能提升到新的高度。同时 IPv4 和 IPv6 的逻辑界面清晰。1.1.5 校园网 IPv6 无线网络部署方案在WLAN 集中管理架构中, AP(Access Point接入点)和
20、AC(Access Controller接入控制器)之间通过LWAPP协议建立管理和数据隧道。接入控制器通过管理隧道完成对接入点服务的配置,监控,以及管理,接入点通过接入控制器为无线接入用户提供网络接入服务。集中管理架构的WLAN网络中,接入控制器是整个 WLAN网络的核心,它实现了整个WLAN网络的服务管理;所有的接入点只有成功和接入控制器建立链接,并且成功从接入控制器获得相应的服务配置以后,才可以提供无线接入服务。目前,集中管理架构WLAN在接入点和接入控制器之间采用LWAPP协议构建,而且同时支持IPv4和IPv6协议。也就是,接入控制器作为服务器,可以接收来自IPv4以及IPv6网络的
21、接入点的链接请求;而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接。Fit AP设备为零配置设备,该设备在上电后可以自动发现接入控制器,选择当前能够提供最优服务的接入控制器建立链接。由于接入点为零配置设备,不能判断当前接入的网络为IPv4还是IPv4网络,所以接入点会首先在IPv4网络进行接入控制器的发现和链接处理,如果接入点无法成功通过IPv4网络和接入控制器建立链接,则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。另外,无线接入用户使用IPv4还是IPv6网络,对于WLAN网络是透明的,WLAN 设备只是实现了无线接入用户数据的二层转发。虽然在接入点和接入控
22、制器之间会通过LWAPP数据隧道(使用UDP传输协议)实现转发,但是无论在接入点还是接入控制器都是根据二层信息实现转发,而且LWAPP隧道封装的载荷也是二层协议报文。所以LWAPP协议不会关心无线接入用户的上层协议,同样无线接入用户也不需要关心LWAPP数据隧道采用IPv4还是IPv6协议。隧道的动态选择和建立:Fit AP设备为零配置设备。对于 AP和AC建立IPv4隧道还是建立IPv6隧道,Fit AP也是自动完成;而对于接入控制器则同时可以支持IPv4隧道和IPv6隧道。下图描述了Fit AP自动建立隧道的过程:1. Fit AP正常上电运行;2. LWAPP客户端开始动态的发现AC,并
23、且发起和AC建立连接;Fit AP只有成功和AC建立连接,才可以提供服务;3. LWAPP客户端会先使用IPv4隧道和AC建立连接;4. 如果使用IPv4隧道,无法发现AC或者和AC无法建立连接,LWAPP客户端将切换到使用IPv6隧道;否则Fit AP开始使用IPv4隧道提供服务;5. 如果使用IPv6隧道,也无法发现AC或者和AC无法建立连接,LWAPP客户端将再次切换到使用IPv4隧道;否则Fit AP开始使用IPv6隧道提供服务。文档密级:第13页, 共 14页Fit AP设备通过上面的自动使用 IPv4隧道和IPv6隧道机制,可以使用在任何网络中的应用。当Fit AP被安装在IPv4
24、 网络中, Fit AP可以使用IPv4隧道和AC 建立连接,如果Fit AP被安装在IPv6网络中时,Fit AP将无法使用IPv4 隧道和AC建立连接,进而可以和AC建立IPv6的隧道并开始提供服务。WLAN 和 IPv6 综合应用:下面几个章节,将逐一给出WLAN在IPv6网络中具体应用的说明。在 IPv4 网络中构建 IPv6 的 WLAN 接入服务:目前,Internet 网络主要还是采用 IPv4建立,随着一些IPv6的网络的逐渐建立,这些IPv6网络如同一个个孤岛存在于现有的网络中。文档密级:第14页, 共 14页在建设WLAN 网络时,同样需要考虑这样的问题。例如,在现有的IP
25、v4网络的基础上,如何建立一个IPv6 的WLAN 网络,实现无线接入用户接入到 IPv6网络的需求。WLAN接入服务可以自然满足该种需求,集中管理架构的WLAN 设备接入点和接入控制器之间通过IPv4 协议建立控制和数据隧道,无线接入用户的所有IPv6 协议报文将被透明的在接入点和接入控制器之间进行隧道转发。在上图中,接入控制器AC和IPv6网络相连接,接入控制器AC起到了WLAN到IPv6 网络Portal功能,实现了WLAN 网络和IPv6 网络连通,进而创建了一个 IPv6的WLAN 网络。接入点Fit AP通过IPv4骨干网络和接入控制器建立连接,实现了穿越IPv4网络提供WLAN接
26、入服务功能。当无线接入用户成功和接入点AP建立无线链路连接以后,便成功接入到该IPv6的WLAN网络。通过WLAN 提供的接入服务,无线终端成功的连接到IPv6 网络中,无线终端可以通过动态获取IPv6地址或者静态设置IPv6地址,之后无线终端可以访问该IPv6 网络的各种服务。该无线终端的所文档密级:第15页, 共 14页有数据都被WLAN的通过接入点和接入控制器之间隧道进行透传,而无线接入用户在使用IPv6网络时根本不关心是否穿越了一个IPv4网络。综上,在IPv4网络中,WLAN可以创建IPv6的WLAN 网络,为无线客户端提供 IPv6网络的接入服务;而且对现有网络不需要进行任何的改造
27、。在 IPv6 网络中提供 IPv4 的 WLAN 接入服务:可以预计,随着IPv6网络的发展和普及,主干网络可能会逐渐被IPv6网络所代替,但是有一些关键的网络或者设备可能无法支持IPv6,或者无法快速完成网络的切换。为了保证网络服务的正常应用,在网络建设时也需要考虑如何解决。集中管理WLAN也可以简单地解决该问题。集中管理架构的WLAN 设备接入点和接入控制器之间通过IPv6 协议建立控制和数据隧道,所有的无线接入用户的IPv4协议报文将被透明的在接入点和接入控制器之间进行隧道转发,保证无线客户端可以通过WLAN 接入到指定的IPv4网络。在上图中,接入控制器AC和IPv4网络相互连通,接
28、入控制器起到WLAN网络的Portal 功能,实现了WLAN 网络和 IPv4网络的连通,进而构建了一个 IPv4的WLAN 网络。当接入点Fit AP通过IPv6骨干网络和接入控制器成功建立连接,进而实现了穿越IPv6网络提供WLAN接入服务。当无线接入用户成功和接入点AP建立无线链路连接后,便成功接入到该WLAN网络。通过WLAN 提供的服务接入,该无线终端成功的连接到IPv4 网络中,无线终端可以通过动态获取IPv4地址或者静态设置IPv4地址,之后无线终端可以访问该IPv4网络的各种服务。该无线终端的所有数据都被WLAN的通过接入点和接入控制器之间隧道进行透传,而无线接入用户在使用IP
29、v4网络时根本不关心是否穿越了一个IPv6网络。综上,在IPv6网络中,可以构建IPv4的WLAN网络,为无线客户端提供IPv4网络的接入服务,而且对IPv6 网络不需要进行任何的改造。文档密级:第16页, 共 14页在 IPv6 网络中构建私有的 IPv6 的 WLAN 网络服务:在纯IPv6网络中部署WLAN接入服务,和当前在 IPv4中部署WLAN 接入服务没有任何差别,WLAN为无线终端提供了接入到指定网络的服务。虽然该无线终端没有通过有线网络和指定网络连接,甚至该无线客户端和指定网络之间还被其他的网络隔离,但是通过WLAN接入服务,无线客户端宛如直接连接到该指定网络中。所有的无线终端
30、相关报文数据都会被接入控制器和接入点之间的隧道在无线终端和接入网络之间进行转发,而无线终端不需要关心隧道所穿越的网络。另外可以支持接入点和接入控制器之间通过任何网络进行连接,例如二层网络连接或者三层网络连接。可以根据需要在IPv6公用网络中构建IPv6的WLAN内部网络,建立特定的WLAN 接入网络,通过WLAN 接入服务控制指定的无线终端用户接入到IPv6网络中。1.2 IPv4 和 IPv6 地址规划方案1.2.1 IPv4 地址规划IP 地址的合理规划是网络设计中的重要一环,校园网必须对 IP 地址进行统一规划并得到实施。IP 地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性
31、能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP 地址规划必须考虑到今后和其他院系互联后的地址冲突问题。IP 地址分配原则IP 地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器 CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:文档密级:第17页, 共 14页 唯一性:一个 IP 网络中不能有两个主机采用相同的 IP 地址; 简单性:地址分配应简单易
32、于管理,降低网络扩展的复杂性,简化路由表项 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。主流的 IP 地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。IP 地址规划方案地址编码规范建议校园网的 IP 地址进行严格的编码,每位代表不同的含义。其编码规则(举例如下)为: 0 1 0 01. 网 络
33、 号 2. 单 位 地 址 标 识 ( 北 京 或 烟 台 ) 3.单 位 内 部 某 汇 聚 区 域 地 址标 识 4. 应 用 标 识 5. 用 户 网 络 地 址 2 3 5 网 络 互 连 地 址 1 备 用 0 语 音 、 视 频 类 1 01 网 络 设 备 管 理 类 别 标 识 应 用 标 识 地 址 编 码 规 范 1 4 备 用 备 用 备 用 W浏 览 类相 应 IP地 址 类 别 通过地址标识可以清楚地区分出 IP 地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出,通过我们的规划,我们能从 IP 地址分析出 IP 地址的来源、用途等,这将为网络的维护带来方便。
34、具体的 IP 地址定义将结合实际情况确定。中心交换机支持静态或动态的 IP 地址分配,并支持动态 IP 地址分配方式下 DHCP-Relay 功能,DHCP SERVER 可安放在园区内部。对于固定 IP 地址用户,需要针对标识符(MAC 地址)设定保留 IP 地址。文档密级:第18页, 共 14页1.2.2 IPv6 地址规划IP 地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6 地址有 128 位,其中可供分配为网络前缀的空间有 64bit。按照最新的 IPv6 RFC3513,IPv6 地址分为全球可路由前缀和子网 ID 两部分,协议并没有明确的规定全球可路由前缀和子
35、网 ID 各自占的 bit 数,目前APNIC 能够申请到的 IPv6 地址空间为/32 的地址。IPv6 的地址使用方式有两类,一类是普通网络申请使用的 IP 地址,这类地址完全遵从前缀+接口标识符的 IP 地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示 IP 地址。IP 地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6 地址规划目前尚没有主流的规则,具体的 IP 地址分配通常在工程实施时统一规划实施,可以遵循一些 分配原则: 地址资源应全网统一分配 地址划分应有层次性,便于网络互联,简化路由表 IP地址的规划与划分应该考虑到网络的发展要求 充分合理利用
36、已申请的地址空间,提高地址的利用效率。IP 地址规划应该是网络整体规划的一部分,即 IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。CERNET2 分配给各个驻地网用户的 IPv6 地址空间会是一个或几个 /48 的 IPv6 地址前缀。我们知道全球可聚集 IPv6 地址的前缀为 64 位,后 64 位为主机的 interface id.所以各个驻地网用户用于可分配的 IPv6 地址前缀空间的范围为 /48 至/64 之间。IPv6 的地址分配原则同 IPv4 一样遵循 CIDR 原则。IPv6 的地址规
37、划时考虑三大类地址:1、公共服务器地址,如 DNS,EMAIL,FTP 等。2、网络设备互联地址和网络设备的 LOOPBACK 地址。根据 IETF IPv6 工作组的建议 IPv6 网络设备互联地址采用 /64 的地址块。IPv6 网络设备的LOOPBACK 地址采用 /128 的地址。3、用户终端的业务地址。此外由于目前网络设备的 IPv6 MIB 信息的获取和 OSPFv3 中 ROUTER ID 等均要求即使是一个纯 IPv6 网络也必须要求每个网络设备拥有 IPv4 地址。所以一个纯 IPv6 网络也必须规划 IPv4 地址(仅需要网络设备互联地址和网络设备的LOOPBACK 地址)
38、 。文档密级:第19页, 共 14页1.3 路由设计方案1.3.1 IPv4 路由规划路由协议的规划:1) 整个骨干网络采用 OSPF 路由协议,OSPF 协议在整个骨干网中不会引起路由回环,利于校园网骨干网的健壮性。2) 在汇聚与核心交换机之间采用 OSPF 路由的方式,OSPF 路由的方式可以建设网络中心人员对于校园网的维护量。3) OSPF 在校园网中只在核心骨干中进行运行这样大大减少了骨干节点之间 OSPF 协议的收敛周期,在实际的应用的过程当中可以提高校园网的高稳定性。4) 内置 DHCP Server 实现全网的 DHCP Server 的分散,避免单点故障。5) 核心交换机可以支
39、持防私设 DHCP Server、与 IDS 联动实现全网的安全无阻塞设计。1.3.2 IPv6 路由规划路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对 IPv6 的支持功能。从路由协议的应用范围来看,OSPFv3、RIPng 和 IS-ISv6 适用于自治域内部路由,为内部网关协议;BGP4+ 用来在自治域之间交换网络可达信息,是外部网关协议。域内路由协议选择支持 IPv6 的内部网关协议有:RIPng、OSPFv3、IS-ISv6 协议。从路由协议标准化进程看,RIPng 和 OSPFv3 协议已较为成熟,支持 IPv6 的 IS-IS 协议标准草案也已经过多次讨论修
40、改,标准正在形成之中,而且 IS-ISv6 已经在主流厂家的相关设备得到支持。从协议的应用范围的角度,RIPng 协议适用于小规模的网络,而 OSPF 和 IS-IS 协议可用于较大规模的网络。对于大规模的 IP 网络,为了保证网络的可靠性和可扩展性,内部路由协议(IGP)必须使用链路状态路由协议,只能在 OSPF 与 IS-IS 之间进行选择,下面对两种路由协议进行简单的对比。目前在 IPv4 网络中大量使用的 OSPF 路由协议版本号为 OSPFv2,能够支持 IPv6 路由信息的 OSPF 版本称为 OSPFv3,能够支持 IPv6 路由信息交换的 ISIS 路由协议称为 IS-ISv6
41、。OSPFv3:OSPFv3 与 OSPFv2 相比,虽然在机制和选路算法并没有本质的改变,但新增了一些OSPFv2 不具备的功能。OSPFv3 只能用来交换 IPv6 路由信息,ISISv6 可以同时交换 IPv4 路由信息和 IPv6 路由信息。OSPF 是基于 IP 层的协议,OSPF v3 是为 IPv6 开发的一套链路状态路由协议。大体与支持IPv4 的 OSPF v2 版本相似。对比 OSPF v2,在 OSPF v3 中有以下区别:虽然 OSPFv3 是为 IPv6 设计的,但是 OSPF 的 Router ID、Area ID 和 LSA Link State ID 依文档密级
42、:第20页, 共 14页然保持 IPv4 的 32 位的格式,而不是指定一个 IPv6 的地址。所以即使运行 OSPF v3 也需要为路由器分配 IPv4 地址。协议的运行是按照每一条链路(Per-link)进行的,而不是按照每个子网进行的(per-subnet) ;把地址域从 OSPF 包和一些 LSA 数据包中去除掉,使得成为网络层协议独立的路由协议:与 OSPFv2 不同,IPv6 的地址不再出现在 OSPF 包中,而是会在链路状态更新数据包中作为LSA 的负载出现;Router-LSA 和 Network-LSA 也不再包含网络地址,而只是简单的表示拓扑信息;邻居路由器的识别将一直使用
43、 Router ID,而不是像 OSPFv2 一样在某些使用端口会将端口地址作为标识。Link-Local 地址可以作为 OSPF 的转发地址。除了 Virtual link 必须使用 Global unicast 地址或者使用 Site-local 地址。去掉了认证信息。在 OSPF v3 中不再有认证方面的信息。如果需要加密,可以使用 IPv6 中定义的 IP Authentication Header 来实现。OSPF 数据包格式发生了一些变化: OSPF 的版本号由 2 变成了 3; Hello 包和 Database description 包的选项域增加到 24 位; 认证域去掉了
44、; Hello 信息中不再包含地址信息; 引入了两个新的选项:R 位和 V6 位; 为实现单链路上多 OSPF 进程的实现,在 OSPF 包头中加入了 Instance ID 域; 类型 LSA 3 名字改为:Inter-Area-Prefix-LSA ,类型 LSA 4 名字改为:Inter-Area-Router-LSAOSPF v2 和 OSPF v3 都使用最短路经优先算法,在 Area 划分、链路类型、LSA 传播等方面基本一致。总的来说,由于 OSPF 发展成熟,厂商支持广泛,已经成为世界上使用最广泛的 IGP,尤其在企业级网络,也是 IETF 推荐的唯一的 IGP。其他路由协议所
45、能适应的网络和具备的主要优点,OSPF 都能适应。IPv4 和 IPv6 的混合计算:ISIS 对于 IPv6 的支持是新增加了 2 个 TLV 以便携带 IPv6 前缀,但是必须要求 IPv4 和 IPv6的 ISIS 拓扑必须保持一致,为了增加灵活性又增加了新的 TLV 以支持多拓扑环境,即使用 2 个SPF 去分别计算 IPv4 和 IPv6 的 ISIS 拓扑关系。由于 IPv4 前缀、 IPv6 前缀、 CSPF 以及未来所有的扩展 TLV 均在同一个 LSP 中进行扩散,文档密级:第21页, 共 14页所以导致的问题:1、增加了网络中 LSP 的溢流程度。2、因为现在 LSP 的分
46、段最多到 256 个,从而这种混合计算方式更加限制了 LSP 中所能够承载 IP PREFIX 数量。3、在 IPv4、IPv6 以及 IPv4 流量工程(IPv6 的流量工程目前还没有定义)混在的生产环境目前没有得到证实。它们之间的相互影响现在还没有确定。OSPF 定义了新的版本 OSPFV3,采用新的 LSA 类型承载 IPv6 PREFIX。所以 OSPFV3 和 OSPFV2 是两个独立的路由进程进行独立的 SPF 计算。OSPFV3 的拓扑关系是基于链路而不是基于子网的,允许每链路上多个 OSPFv3 进程。IPv4、IPv4 的流量工程相对 IPv6、及未来的 IPv6 的流量工程
47、从原理上是互不影响,拓扑结构也可以完全不一致。尽管 ISIS 被国内外大型运营商骨干所采用,但是 CERNET2 为了验证 OSPFv3 的新的特性,所以 CERNET2 骨干网和城域网的 IGP 协议采用了 OSPFv3.域间路由协议选择域间路由协议采用 BGP4+,从而实现不同 ISP 核心网络之间的互通,而且目前大多数典型的路由器设备都支持这个协议。BGP4+处理各 ISP 间的路由传递,是一种域间路由协议。其特点是有丰富的路由策略,这是 RIPng、OSPFv3 等协议无法做到的,因为它们需要全局的信息计算路由表。BGP4+通过在 ISP 边界路由器上增加一定的策略,选择过滤路由,把R
48、IPng、 OSPFv3、BGP4+等路由发送到对方。随着 IPv6 网络的大量组建,BGP4+ 将得到越来越多的应用。IPv6 路由规划建议相比 CERNET2 核心网和城域网来讲,驻地网(校园网) 内部的 IPv6 网络的路由规划较为简单。IGP 可以选择 ISISv6 或者 OSPFv3,但是考虑到使用者的习惯、大多数三层交换机不支持 ISISv6 路由,以及必要性。部署 OSPFv3 可能更为实际。OSPFv3 域的设计可以沿用 OSPFv2 的思路。新建校园网全网部署双协议栈,IPv4 部分和原有校园网平滑对接。三层设备上同时运行OSPFv2 和 OSPFv3 两套协议,尽管运行在同
49、一个设备上,这两套协议是互相独立的。OSPFv3的逻辑拓扑图(AREA 规划)和 OSPFv2 可以完全不同。驻地网(校园网) IPv6 出口的路由规划:通常来讲,按照国际上 IPv6 地址的分配规则,CERNET2 城域网会分配一块或几块 IPv6 PREFIX :/48 的地址给驻地网( 校园网) 。对于单出口的情况,可能较为简单。CERNET2 城域网接入路由器将指向驻地网(校园网) 的静态路由引入到 IBGP4+中宣告出去。文档密级:第22页, 共 14页1.4 接入主干网设计方案,线路落实情况和拟接入核心节点情况对于 CERNET2 的核心节点所在城市的驻地网(校园网) 的 IPv6 接入方式采用光纤直连方式。在设计网络拓扑结构时,依据驻地网 IPv6 的建设不能影响现有 CERNET IPv4 网络的生产环境的原则,对原有校园网中 CERNET 出口路由器和 CT/CNC 出口路由器以及交换网络不做任何改动。在驻地网接入建设项目中已经新增一台核心双栈路由器和一台双栈交换机作为驻地网(校园网)的 IPv6 接入设备,通过 GE 上连到所属核心节点之一的城域网接入设备。骨干网接入路由器(对端)是 XXX 学校,目前链路是千兆光纤直连(根据实际情况更改) 。利用 CERNET 网络作为 IPv6 出口的线路备份。需要
