IPv6過(guò)渡解決方案.pptVIP

1 IPv6過(guò)渡解決方案 nIPv6過(guò)渡技術(shù)需求分析 n傳統(tǒng)IPv6過(guò)渡技術(shù) n熱點(diǎn)IPv6過(guò)渡技術(shù) nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實(shí)踐應(yīng)用 2 NATs necessary for IPv6, says IETF chair Housley holds out hope that NATs wont be in the Internet forever (Network World)22 July, 2008 09:28 For the Internet to continue growing, the bigger address space offered by IPv6 is needed. The original designers of IPv6 expected every host and router to begin running both IPv4 and IPv6 several years ago. This strategy would have resulted in a gradual transition, with all hosts and routers being able to use IPv6 long before IPv4 address allocations became a problem. However, the economic incentives were not in place to encourage IPv6 implementation and deployment. As a result, we need the capability to translate between IPv4 and IPv6 until every host and router supports IPv6. IPv6過(guò)渡技術(shù)的重要性 理想與現(xiàn)實(shí)之間的差距： 理想： 設(shè)計(jì)不兼容； “雙棧”平滑演進(jìn); 實(shí)際： “雙?！狈菑?qiáng)制執(zhí)行的技術(shù)標(biāo)準(zhǔn)； 4/6轉(zhuǎn)換技術(shù)必不可少； 3 在過(guò)渡到IPv6之前：首先要解決IPv4地址馬上要枯竭的問(wèn)題： 目前，全球43 億IPv4 地址只剩下2.5 億(6%)，并以每年2 億的速度銳減，預(yù)計(jì)在2011 年底前耗盡。 中國(guó)電信現(xiàn)有上億規(guī)模的寬帶和移動(dòng)用戶，但僅有7000 余萬(wàn)的IPv4地址. 緊迫性 2010.06.30 2010.04.30 可用IPv4地址資源池的消耗速度正在加快。 4 IPv4IPv6 雙棧網(wǎng) 絡(luò) 雙棧終 端 雙棧 Internet 消耗IP地址的三大類設(shè)備： 終端規(guī)模； 【 TechSpot 】 報(bào)道，1月22日，全球網(wǎng)絡(luò) 監(jiān)控服務(wù)公司平道姆（Pingdom）發(fā)布了 一份2009年全球互聯(lián)網(wǎng)活動(dòng)情況報(bào)告。截 至2009年9月，全球共有17.3億億互聯(lián)聯(lián)網(wǎng)用戶戶 ，比2008年增長(zhǎng)了18%。 CP/SP規(guī)模; 【賽迪網(wǎng)訊】2010年1月26日消息，據(jù)國(guó)外 媒體報(bào)道，瑞典互聯(lián)網(wǎng)流量監(jiān)測(cè)機(jī)構(gòu) Pingdom近日公布的數(shù)據(jù)顯示，截至2009 年，全球網(wǎng)站數(shù)量已經(jīng)經(jīng)達(dá)到2.34億億家，而 .com域占8180萬(wàn)個(gè)。 網(wǎng)絡(luò)規(guī)模； 按照每個(gè)終端用戶1001000的比例收斂 ，Internet網(wǎng)絡(luò)設(shè)備絡(luò)設(shè)備 的規(guī)規(guī)模在百萬(wàn)/千萬(wàn)的 量級(jí)級(jí)； 解決IPv4短缺問(wèn)題如何著手 終端用戶消耗了最大數(shù)量的IPv4地址，并且最不可控， 是過(guò)渡技術(shù)關(guān)注的重點(diǎn); 5 目錄 nIPv6過(guò)渡技術(shù)需求分析 n傳統(tǒng)IPv6過(guò)渡技術(shù) n熱點(diǎn)IPv6過(guò)渡技術(shù) nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實(shí)踐應(yīng)用 6 IPv6的部署階段 IPv6孤島 IPv6孤島 IPv6孤島 協(xié)議轉(zhuǎn)換 IPv4 Internet IPv6 Internet IPv4孤島 IPv4孤島 IPv4 Internet IPv6孤島 IPv6孤島 IPv6 Internet IPv6的部署階段可以大致分為三個(gè)階段 ： lIPv6發(fā)展初期階段： IPv4占主導(dǎo)地位，IPv6以“孤島”的形 式存在，采用IPv6 over IPv4隧道技術(shù)將 IPv6孤島互連。 lIPv6與IPv4共存階段： IPv6規(guī)模擴(kuò)大，出現(xiàn)IPv6骨干網(wǎng)絡(luò)， IPv4的業(yè)務(wù)依然大量存在，IPv6與IPv4 間的互訪需要協(xié)議轉(zhuǎn)換技術(shù)。 lIPv6占主導(dǎo)地位階段： Internet的骨干全部為IPv6，IPv4成為“ 孤島”，需要IPv4 over IPv6隧道實(shí)現(xiàn) IPv4孤島互連。 7 IPv6孤島互聯(lián)技術(shù) 采用隧道技術(shù)來(lái)完成互通 IPv6報(bào)文作為IPv4的載荷，或由 MPLS承載 主要隧道技術(shù)包括： 手工隧道 GRE隧道 自動(dòng)隧道 6to4隧道 ISATAP隧道 6PE l優(yōu)點(diǎn) 充分利用現(xiàn)有網(wǎng)絡(luò) 骨干網(wǎng)內(nèi)部設(shè)備無(wú)須升級(jí) l缺點(diǎn) 額外的隧道配置 效率降低 8 GRE隧道技術(shù) GRE隧道技術(shù) IPv6報(bào)文被包含在GRE報(bào)文中作為GRE的載荷 優(yōu)點(diǎn) 通用性好 技術(shù)成熟，易于理解 缺點(diǎn) 維護(hù)復(fù)雜 IPv4報(bào)頭IPv6報(bào)頭IPv6有效數(shù)據(jù) IPv4有效數(shù)據(jù) GRE 報(bào)頭 9 GRE隧道技術(shù)的流程 發(fā)送方與接收方都是雙棧設(shè)備 隧道已預(yù)先建立好 發(fā)送方封裝報(bào)文，接收方解封裝 IPv6孤島IPv6孤島 IPv4網(wǎng)絡(luò) 隧道 雙棧 雙棧 IPv6主機(jī)IPv6主機(jī) IPv6報(bào)頭+數(shù)據(jù) IPv6報(bào)頭+數(shù)據(jù) IPv6報(bào)頭+數(shù)據(jù) IPv4報(bào)頭 源： 目的： GRE報(bào)頭 10 手動(dòng)隧道技術(shù) 手動(dòng)隧道技術(shù) IPv6報(bào)文被包含在IPv4報(bào)文中作為IPv4的載荷 同GRE隧道有類似的優(yōu)缺點(diǎn) IPv4報(bào)頭IPv6報(bào)頭IPv6有效數(shù)據(jù) IPv4有效數(shù)據(jù) 11 自動(dòng)隧道技術(shù) 自動(dòng)隧道技術(shù) 目的地址為IPv4兼容IPv6地址，包含的IPv4地址即為隧道末端 IPv4兼容IPv6地址: 0:0:0:0:0:0:a.b.c.d 適用于不經(jīng)常性的IPv6節(jié)點(diǎn)連接需求 優(yōu)點(diǎn) 不需要為每條隧道預(yù)先配置 維護(hù)方便 缺點(diǎn) 目的地址要求是IPv4兼容IPv6地址 12 自動(dòng)隧道技術(shù)的流程 發(fā)送方與接收方都是雙棧設(shè)備 發(fā)送方在發(fā)送時(shí)根據(jù)目的地址建立隧道 發(fā)送方封裝報(bào)文，接收方解封裝 IPv4網(wǎng)絡(luò) 隧道 雙棧設(shè)備 雙棧設(shè)備 IPv6報(bào)頭+數(shù)據(jù)IPv6報(bào)頭+數(shù)據(jù)IPv4報(bào)頭 IPv4地址： IPv6地址：: 源： 目的： 源：: 目的：: IPv4地址： IPv6地址：: 13 6to4隧道技術(shù) 6to4隧道技術(shù) 目的地址為6to4地址，包含的IPv4地址即為隧道末端 6to4地址: 2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx 可通過(guò)6to4中繼路由器，使6to4網(wǎng)點(diǎn)連接到大的純IPv6網(wǎng)絡(luò) 優(yōu)點(diǎn) 不需要為每條隧道預(yù)先配置，維護(hù)方便 缺點(diǎn) 整個(gè)IPv6網(wǎng)點(diǎn)使用特殊的6to4地址 6to4地址 14 6to4隧道技術(shù)的流程 6to4網(wǎng)絡(luò) IPv4網(wǎng)絡(luò) 隧道 6to4邊緣 IPv6主機(jī) IPv6主機(jī) IPv6報(bào)頭+數(shù)據(jù) IPv6報(bào)頭+數(shù)據(jù) IPv6報(bào)頭+數(shù)據(jù) IPv4報(bào)頭 6to4網(wǎng)絡(luò) 6to4邊緣 2002:0901:0203:/48 2002:8001:0203:/48 純IPv6網(wǎng)絡(luò) 6to4中繼 3FFE:ABCD:/48 源： 目的： 同自動(dòng)隧道技術(shù)類似 6to4中繼 通往純IPv6網(wǎng)絡(luò)的網(wǎng)關(guān) 15 ISATAP隧道技術(shù) ISATAP隧道技術(shù) 連接IPv4網(wǎng)點(diǎn)內(nèi)部的IPv6主機(jī)和IPv4/IPv6雙棧路由器 將IPv4網(wǎng)點(diǎn)作為一個(gè)NBMA鏈路，在IPv4報(bào)文中封裝IPv6報(bào)文 優(yōu)點(diǎn) IPv4網(wǎng)點(diǎn)內(nèi)部的IPv6主機(jī)可自動(dòng)獲得IPv6前綴 IPv6網(wǎng)絡(luò) IPv4網(wǎng)絡(luò) 雙棧 v4/v6主機(jī)IPv6主機(jī) IPv4地址： IPv6地址：1:5EFE: ND協(xié)議可跨網(wǎng)段進(jìn)行 IPv4地址： IPv6地址：1:5EFE: 16 6PE/6VPE 通過(guò)IPv4或MPLS網(wǎng)絡(luò)連接多個(gè)IPv6 孤島，使用BGP交換IPv6可達(dá)信息 6PE中，IPv6網(wǎng)絡(luò)可被看作類似IPv4 VPN的一個(gè)網(wǎng)絡(luò)，多個(gè)IPv6孤島屬于同一VPN； 6VPE中，多個(gè)IPv6網(wǎng)絡(luò)可以劃分到不同IPv6 VPN中。利用VPN機(jī)制在PE之間建立隧道 連接,可以充分利用已有MPLS或VPN網(wǎng)絡(luò) 在BGP進(jìn)行路由交換時(shí)，6VPE比6PE多了VPN標(biāo)記。 MPLS/IPv4網(wǎng)絡(luò) IPv4 VPN 純IPv6網(wǎng)絡(luò) IPv6 VPN IPv6 VPN IPv6 IPv4 VPN IPv6 17 NAT-PT原理 NAT-PT的工作原理 類似于傳統(tǒng)NAT，但是將IPv6地址和IPv4地址互相轉(zhuǎn)換，另加上協(xié)議 轉(zhuǎn)換 通過(guò)中間的NAT-PT協(xié)議轉(zhuǎn)換服務(wù)器，實(shí)現(xiàn)純IPv6節(jié)點(diǎn)和純IPv4節(jié)點(diǎn)間 的互通 NAT-PT服務(wù)器分配IPv4地址來(lái)標(biāo)識(shí)IPv6主機(jī) NAT-PT服務(wù)器向相鄰IPv6網(wǎng)絡(luò)宣告96位地址前綴信息，用于標(biāo)識(shí)IPv4 主機(jī) 優(yōu)點(diǎn) 只需設(shè)置NAT-PT服務(wù)器 缺點(diǎn) 資源消耗較大，服務(wù)器負(fù)載重，NAT-PT設(shè)備是性能瓶頸 18 NAT-PT種類 靜態(tài)NAT-PT NAT-PT服務(wù)器提供一對(duì)一的IPv6地址和IPv4地址的映射 配置復(fù)雜，使用大量的IPv4地址 動(dòng)態(tài)NAT-PT NAT-PT服務(wù)器提供多對(duì)一的IPv6地址和IPv4地址的映射 采用上層協(xié)議復(fù)用的方法 NAT-PT DNS ALG 動(dòng)態(tài)NAT-PT與DNS ALG聯(lián)合使用，轉(zhuǎn)換DNS請(qǐng)求 可利用原有的DNS服務(wù)器 19 靜態(tài)NAT-PT轉(zhuǎn)換過(guò)程 IPv6網(wǎng)絡(luò) IPv6主機(jī)IPv4主機(jī) IPv4網(wǎng)絡(luò) 映射地址： =1:1 2:2 = IPv6報(bào)頭+數(shù)據(jù)IPv4報(bào)頭+數(shù)據(jù) 1:1 NAT-PT轉(zhuǎn)換服務(wù)器 源： 1:1 目的：2:2 源： 目的： 源： 目的： 源 ： 2:2 目的： 1:1 20 動(dòng)態(tài)NAT-PT轉(zhuǎn)換過(guò)程 IPv6網(wǎng)絡(luò) IPv6主機(jī) IPv4主機(jī) IPv4網(wǎng)絡(luò) IPv4地址池 - 映射地址：1:1 = =prefix: IPv6報(bào)頭+數(shù)據(jù)IPv4報(bào)頭+數(shù)據(jù) 1:1 NAT-PT轉(zhuǎn)換服務(wù)器 源： 1:1 目的：prefix: 源： 目的： 源： 目的： 源：prefix: 目的： 1:1 21 NAT-PT DNS ALG轉(zhuǎn)換過(guò)程 IPv6網(wǎng)絡(luò) IPv6主機(jī) IPv4主機(jī) IPv4網(wǎng)絡(luò) IPv4地址池 - 映射地址：1:1 = =prefix: =prefix: Pc1:1:1 Pc2: NAT-PT轉(zhuǎn)換服務(wù)器 源： 1:1 目的：prefix: 源： 目的： 源： 目的： 源：prefix: 目的： 1:1 IPv4 DNS Server 源： 1:1 目的：prefix: Whos Pc2(type AAAA) 源： 目的： Whos Pc2(type A) 源： 目的： Pc2 is (type A) 源：prefix: 目的： 1:1 Pc2 is prefix: (type AAAA) 22 目錄 nIPv6過(guò)渡技術(shù)需求分析 n傳統(tǒng)IPv6過(guò)渡技術(shù) n熱點(diǎn)IPv6過(guò)渡技術(shù) nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實(shí)踐應(yīng)用 23 過(guò)渡技術(shù)匯總 序號(hào)HostNetworkCP/SP技術(shù)分類具體技術(shù) 分析 14/64/64/6雙棧雙棧 無(wú)法解決運(yùn)營(yíng)商IPv4地址短 缺問(wèn)題 2444X424 NAT/NAPT NAT444 臨時(shí)措施，無(wú)法過(guò)渡到IPv6 3446X426 NAT-PT(RFC2766)建議有訪問(wèn)IPv6資源的 IPv4主機(jī)強(qiáng)制轉(zhuǎn)換到IPv6； 4466 5644X624 有狀態(tài)類： NAT64(IETF) 無(wú)狀態(tài)： AFT(IVI) 過(guò)渡必須技術(shù)； 分有狀態(tài)與無(wú)狀態(tài)兩大類別 ； 6664 7646 X646 各種6over4隧道技術(shù) 6rd（IETF ） 基于IPv4網(wǎng)絡(luò)快速部署 IPv6業(yè)務(wù); 8464 X464 孤島互聯(lián)： 4over6隧道 轉(zhuǎn)換技術(shù)： DS-Lite（IETF） 純4 over 6的隧道技術(shù)節(jié)省 不了IP地址; NAT464轉(zhuǎn)換技術(shù)目前大家 關(guān)注重點(diǎn)； 9666無(wú) 24 轉(zhuǎn)換技術(shù)分析NAT444 優(yōu)點(diǎn)：臨時(shí)解決IPv4短缺問(wèn)題； 缺點(diǎn)：運(yùn)營(yíng)商網(wǎng)絡(luò)IPv4地址規(guī)劃， IPv4路由昏亂，不好管理； 對(duì)運(yùn)營(yíng)商來(lái)說(shuō)，無(wú)法過(guò)渡到IPv6； X424類技術(shù) 25 轉(zhuǎn)換技術(shù)分析有狀態(tài)AFT(NAT64) 優(yōu)點(diǎn)： 缺點(diǎn)：有狀態(tài)連接，NAT64網(wǎng)關(guān)需要保留6、4地址池以及映射關(guān)系; 其它技術(shù)：NAT-PT X624類技術(shù) 26 IVI技術(shù)背景 IVI使用實(shí)現(xiàn)了IVI功能的IVI路由器連接IPv4與IPv6網(wǎng)絡(luò)，并在IVI路由器上進(jìn)行IPv4與IPv6數(shù)據(jù)包的對(duì) 譯，以實(shí)現(xiàn)互訪，同時(shí)又不對(duì)原IPv4和IPv6網(wǎng)絡(luò)造成影響。在IVI路由器上實(shí)現(xiàn)的IVI功能主要有兩個(gè) ： 一個(gè)是地址映射， 即通過(guò)統(tǒng)一的規(guī)則實(shí)現(xiàn)IPv4地址與IPv6地址的一一映射，以進(jìn)行地址的翻譯； 另一個(gè)是協(xié)議翻譯， 即根據(jù)標(biāo)準(zhǔn)規(guī)定，實(shí)現(xiàn)IPv4/ICMPv4協(xié)議和IPv6/ICMPv6協(xié)議各字段的對(duì)譯，同時(shí)更新 TCP/UDP協(xié)議的相關(guān)字段，完成完整的數(shù)據(jù)包翻譯操作。 IVI的初衷是解決IPv4孤島通過(guò)IPv6骨干網(wǎng)的互聯(lián)問(wèn)題； 27 IVI地址映射 (1) 根據(jù)IPv6地址的分配辦法，絕大部分服務(wù)提供商均有大于或等于/32 的IPv6地址前綴，IVI機(jī)制即以該/32地址前綴作為翻譯過(guò)程中的地址 前綴。 (2) 3239的8個(gè)bit為全1。 (3) 4072為32位IPv4地址的1：1映射； (4) 72127全零； 28 轉(zhuǎn)換技術(shù)分析無(wú)狀態(tài)AFT(IVI) 優(yōu)點(diǎn)：X64網(wǎng)關(guān)無(wú)狀態(tài)，不用保留地址映射關(guān)系，規(guī)模容易擴(kuò)展； 缺點(diǎn)：對(duì)IPv6的主機(jī)有嚴(yán)格的地址規(guī)劃要求， 要求內(nèi)嵌公網(wǎng)IP地址 ，無(wú)法解決IPv4地址短缺的問(wèn)題。 X624類技術(shù) 29 1:N IVI技術(shù) 優(yōu)點(diǎn)：與1:1的IVI技術(shù)相比，能達(dá)到節(jié)省IPv4地址的目的； 缺點(diǎn)：IPv6主機(jī)地址規(guī)劃比較復(fù)雜; 非IVI IPv6主機(jī)還需要在接入側(cè)部署第二個(gè)IVI網(wǎng)關(guān)（dIVI）; 1：N XLATE網(wǎng)關(guān)沒(méi)有映射池，但還要進(jìn)行4/6協(xié)議轉(zhuǎn)換; 主機(jī)通過(guò) A+P地址池 共享同一個(gè) 公網(wǎng)IP地址 dIVI 轉(zhuǎn)換網(wǎng)關(guān) 30 IVI技術(shù)總結(jié) 1、IVI技術(shù)核心內(nèi)容較少， 主要就是地址映射規(guī)則的定義； 2、IVI并不能獨(dú)立組網(wǎng)： 協(xié)議翻譯部分遵從SIIT； 沒(méi)有解決ALG問(wèn)題，在部署時(shí)仍然需要ALG； 3、IVI地址浪費(fèi)嚴(yán)重： 實(shí)際上只有前32位可以給IPv6網(wǎng)絡(luò)使用。32位是從APNIC申請(qǐng)的，其它8位 運(yùn)營(yíng)商是全F， IVI地址后面全部為0，地址空間浪費(fèi)嚴(yán)重; 4、在X624地址轉(zhuǎn)換中的缺陷： 1：1的IVI技術(shù)， 能做到無(wú)狀態(tài)，但需預(yù)先規(guī)劃IPv6地址，管理工作量大； 1：N的IVI技術(shù)， 需要在IPv6接入側(cè)再增加一個(gè)針對(duì)IPv6地址的轉(zhuǎn)換網(wǎng)關(guān)， 是有狀態(tài)的，喪失了優(yōu)勢(shì)； 31 DS-Lite組網(wǎng)技術(shù) CPE CPE CPE N-PE IPv6接入網(wǎng) IPv4 InternetIPv6 Internet IPv4 over IPv6 tunnel IPv4/IPv6主機(jī) IPv6主機(jī)IPv4主機(jī) 解隧道封裝后N- PE對(duì)私網(wǎng)報(bào)文做 NAPT轉(zhuǎn)換，轉(zhuǎn)成 公網(wǎng)IPv4 私網(wǎng)IPv4報(bào)文 封裝進(jìn)入IPv6 隧道 X464類技術(shù) 先基于NAPT,將公網(wǎng) IPv4轉(zhuǎn)化為私網(wǎng)IPv4， 再將報(bào)文轉(zhuǎn)發(fā)至CPE的 隧道 解除IPv6隧道 ，報(bào)文轉(zhuǎn)發(fā)至 用戶 如何節(jié)約IPv4？ IPv4主機(jī)采用私網(wǎng)IP地址規(guī)劃； 接入網(wǎng)采用IPv6， 網(wǎng)絡(luò)設(shè)備不需要跑雙棧; N-PE設(shè)備下所有的C-PE可以共享同一個(gè)NAPT地址池; NAPT Tunnel Tunnel 32 DS-Lite(A+P) X464類技術(shù) 區(qū)別： 把N-PE上做的NAPT轉(zhuǎn)換功能分散到下面各個(gè)CPE設(shè)備上; 本方案相比DS-Lite的優(yōu)點(diǎn)： N-PE設(shè)備無(wú)狀態(tài)，負(fù)擔(dān)輕，容易實(shí)現(xiàn)高性能；方便做備份與負(fù)載分擔(dān)； 下行IPv4流量 基于Address + Port的策略 路由進(jìn)入IPv6 隧道 對(duì)私網(wǎng)IPv4做 NATPT轉(zhuǎn)為公 網(wǎng)IPv4地址后 再入IPv6隧道 CPE CPE CPE N-PE IPv6接入網(wǎng) IPv4 InternetIPv6 Internet IPv4 over IPv6 tunnel IPv4/IPv6主機(jī) IPv6主機(jī)IPv4主機(jī) 解除IPv6隧道 ，做NAPT,把 公網(wǎng)IPv4轉(zhuǎn)為 私網(wǎng)IPv4 上行流量直接 轉(zhuǎn)往公網(wǎng) Tunnel NAPT Tunnel 33 DNS/DHCP Server NPE 1. CPE上電，從NPE獲取設(shè)備WAN口IPv6地址， 以及 用于IPv4地址轉(zhuǎn)換的公網(wǎng)IPv4 A+P地址池; NPE同時(shí)創(chuàng) 建一條基于IPv4A+P地址策略的4over6隧道到CPE設(shè)備 IPv4 Host 私網(wǎng)IPv4 IPv6 TUNNELIPv4公網(wǎng) IPv4主機(jī)訪問(wèn)IPv4應(yīng)用: DS- Lite(A+P) X464轉(zhuǎn)換場(chǎng)景 PE-AGG CPE IPv6城域網(wǎng) IPv4 Internet 2. Host完成DNS解析（DNS可任意部署， 過(guò)程忽略）， 向CPE發(fā)送一個(gè)IPv4報(bào)文 3. CPE首先進(jìn)行NAPT轉(zhuǎn)化；把Host的私網(wǎng)IPv4地址與 端口號(hào)修改為A+P地址池中的數(shù)值,并保留映射關(guān)系; CPE把報(bào)文封裝進(jìn)入IPv6隧道，并發(fā)送至NPE 4. NPE剝掉IPv6隧道，將報(bào)文轉(zhuǎn)發(fā)至IPv4 Internet 5. IPv4應(yīng)用的回應(yīng)報(bào)文 6. NPE基于A+P的策略進(jìn)行策略路由，進(jìn)IPv6隧道 7. CPE剝掉IPv6隧道， 根據(jù)映射表， 對(duì)IPv4進(jìn)行A+P地址轉(zhuǎn)換 34 DS-Lite(A+P)如何減少連接狀態(tài) CPE A CPE B CPE C N-PE IPv6接入網(wǎng) IPv4 InternetIPv6 Internet IPv4/IPv6主機(jī) IPv4主機(jī)IPv4主機(jī) N-PE對(duì)下行流量需要維護(hù)的表項(xiàng)（可事先 創(chuàng)建）： ACL1: if source IP = 0 AND 0= port = 255; Forward IPv4 to IPv6 tunnel to CPEA ACL2: if source IP = 0 AND 256= port = 511; Forward IPv4 to IPv6 tunnel to CPEB ACL3: if source IP = 0 AND 512= port = 767; Forward IPv4 to IPv6 tunnel to CPEC CPE A NAPT地址池： IPv4：0 Port 范圍（0255） CPE B NAPT 地址池： IPv4：0 Port 范圍（256511） CPE C NAPT 地址池： IPv4：0 Port 范圍（512767） N-PE入tunnel的表項(xiàng)根據(jù)CPE設(shè)備來(lái)建立 ，N-PE不需要像NAPT設(shè)備那樣為每個(gè) Host發(fā)起的連接建立連接狀態(tài)表： 無(wú)狀態(tài)好處： 設(shè)備冗余保護(hù)與負(fù)載分擔(dān)容易實(shí)現(xiàn)； 可實(shí)現(xiàn)高性能處理; 不容易遭到針對(duì)狀態(tài)連接的攻擊，安全 性較高; 35 運(yùn)營(yíng)商過(guò)渡技術(shù)總結(jié) 過(guò)渡技術(shù)必不可少； 傳統(tǒng)過(guò)渡技術(shù)分類： 雙棧、孤島互聯(lián)、轉(zhuǎn)換； 熱點(diǎn)過(guò)渡技術(shù)： 好的過(guò)渡技術(shù)要結(jié)合運(yùn)營(yíng)商實(shí)際業(yè)務(wù)場(chǎng)景， 綜合考慮過(guò)渡技術(shù)； 目前為止，沒(méi)有一種過(guò)渡技術(shù)解決所有問(wèn)題， 運(yùn)營(yíng)商也在抓緊試點(diǎn)； DS-Lite， IVI ，NAT444, NAT64等被關(guān)注； 36 目錄 nIPv6過(guò)渡技術(shù)需求分析 n運(yùn)營(yíng)商IPv6過(guò)渡技術(shù)介紹 nH3C運(yùn)營(yíng)商IPv6解決方案 nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實(shí)踐應(yīng)用 37 IPv6網(wǎng)絡(luò)升級(jí)建議 評(píng)估現(xiàn)有網(wǎng)絡(luò)中的產(chǎn)品制定遷移計(jì)劃 評(píng)估需要升級(jí)到IPv6 的服務(wù) 制定地址分配方案 部署后進(jìn)行后續(xù) 必要的培訓(xùn) 建立IPv6的測(cè)試環(huán)境 IPv6的 網(wǎng)絡(luò)部署 預(yù)先計(jì)劃，逐步升級(jí)預(yù)先計(jì)劃，逐步升級(jí) 38 數(shù)據(jù)中心IPv6建設(shè)方案 數(shù)據(jù)中心虛擬化 數(shù)據(jù)中心存儲(chǔ)與災(zāi)備 數(shù)據(jù)中心應(yīng)用優(yōu)化 數(shù)據(jù)中心高可用 數(shù) 據(jù) 中 心 運(yùn) 維 管 理 前 端 網(wǎng) 絡(luò)絡(luò) 后 端 網(wǎng) 絡(luò)絡(luò) 核心交換機(jī)FirewallIPS匯聚交換機(jī)接入交換機(jī) WAN優(yōu)化 防毒卡 應(yīng)用優(yōu) 化 安全管理 網(wǎng)管監(jiān)控日志分析磁盤陣列 存儲(chǔ) 應(yīng)用優(yōu)化網(wǎng)絡(luò) 虛擬化平臺(tái) 數(shù)據(jù)中心安全 u核心層設(shè)備升級(jí)為雙棧，IPv4/IPv6服務(wù)器/雙棧服務(wù)器分區(qū)部署 u采用IRF技術(shù)整合核心層和接入層設(shè)備，提高網(wǎng)絡(luò)的可靠性 u使用IPS/FW/LB板卡提高安全性，通過(guò)安全虛擬化特性控制業(yè)務(wù) u支持自動(dòng)部署和配置，服務(wù)器即連即用 H3C數(shù)據(jù)中心解決方案 39 雙棧數(shù)據(jù)中心建設(shè) n應(yīng)用部署方式1：從WEB層到數(shù)據(jù)庫(kù)層建 設(shè)端到端的IPv6服務(wù)器 n應(yīng)用部署方式2：僅升級(jí)前端WEB層，與 后端的中間件及數(shù)據(jù)庫(kù)通信仍然采用IPv4， 這是一種過(guò)渡的服務(wù)器部署方式 IPV4應(yīng)用 IPV6應(yīng)用 IPV4應(yīng)用 IPV6應(yīng)用 n高性能：雙棧設(shè)備組網(wǎng)，建設(shè)高性能 的雙棧數(shù)據(jù)中心 n高安全：使用雙棧防火墻配合雙棧應(yīng) 用的隔離 n高可靠：使用H3C的IRF2技術(shù)滿足數(shù) 據(jù)中心建設(shè)的高可靠性要求 H3C S12500H3C S12500 雙棧數(shù)據(jù)中心雙棧數(shù)據(jù)中心 核心交換機(jī)核心交換機(jī) 40 園區(qū)網(wǎng)IPv6建設(shè)方案 H3C虛擬園區(qū)網(wǎng)解決方案 u網(wǎng)絡(luò) u用戶側(cè)采用雙棧建設(shè) u網(wǎng)絡(luò)承載層從接入層，匯聚層到核心層采用IRF技術(shù)橫向整合 u采用MPLS VPN及6VPE技術(shù)縱向隔離，實(shí)現(xiàn)網(wǎng)絡(luò)路徑虛擬化 u業(yè)務(wù) u終端準(zhǔn)入認(rèn)證，智能聯(lián)動(dòng)安全管理 u用戶、資源、業(yè)務(wù)統(tǒng)一管理 41 園區(qū)網(wǎng)IPv6建設(shè)方案 雙棧核心交換機(jī) CERNET CERNET2 雙棧匯聚交換機(jī) 接入層交換機(jī) IPv4服務(wù)器區(qū) NAT-PT IPv6服務(wù)器區(qū) IPv6服務(wù)器一般 用于純IPv6用戶 或雙棧用戶訪問(wèn) 可以不部署NAT-PT IPv4提供服務(wù)占 大多數(shù)，需要保 證所有的用戶都 能夠進(jìn)行訪問(wèn) 雙棧出口路由器 雙棧用戶進(jìn)行接入 從出口/核心/匯聚 滿足用戶接入要求 無(wú)線用戶通過(guò)無(wú)線 控制器接入IPv6 匯聚層交換機(jī)上通 過(guò)擴(kuò)展無(wú)線控制器 插卡接入無(wú)線用戶 匯聚層交換機(jī)上擴(kuò) 展防火墻插卡提升 園區(qū)網(wǎng)安全水平 42 廣域網(wǎng)IPv6建設(shè)方案 面向業(yè)務(wù)的網(wǎng)絡(luò) 精細(xì)化QoS HQoS、TE、VOQ 廣域EAD準(zhǔn)入控制 網(wǎng)絡(luò)融合安全插卡 廣域網(wǎng)加速 組件化的統(tǒng)一管理平臺(tái) 基于TR069的分支管理 SLA，iAR智能報(bào)表 面向業(yè)務(wù)的架構(gòu) 模型可持續(xù)發(fā)展 扁平化、區(qū)域中心、雙 平面 面向業(yè)務(wù)的應(yīng) 用可持續(xù)發(fā)展 IPv4/v6，單播/組播 面向業(yè)務(wù)的廣域 網(wǎng)虛擬化 L3/L2 MPLS VPN、VPE 面向業(yè)務(wù)的網(wǎng) 絡(luò)高可靠性 BFD、GR、NQA H3C 廣域網(wǎng) 解決方案 一體化業(yè)務(wù)安全和智能 IPv4/V6互聯(lián)的網(wǎng)絡(luò) 面向業(yè)務(wù)的統(tǒng)一管理 u使用雙棧、NAT以及隧道等技術(shù)實(shí)現(xiàn)IPv4和IPv6網(wǎng)點(diǎn)的互聯(lián)互通 u運(yùn)營(yíng)級(jí)IPv4地址轉(zhuǎn)換技術(shù)，有效減少IPv4公網(wǎng)地址的使用 43 目錄 nIPv6過(guò)渡技術(shù)需求分析 n運(yùn)營(yíng)商IPv6過(guò)渡技術(shù)介紹 nH3C運(yùn)營(yíng)商IPv6解決方案 nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實(shí)踐應(yīng)用 44 H3C的IPv6技術(shù)發(fā)展 MSR系列路由器 獲得信產(chǎn)部IPv6入網(wǎng)證 S9500通過(guò) IPv6 Phase II認(rèn)證 MSR系列、 S7500E通過(guò) IPv6 Phase II認(rèn)證 S5500/S5510/S3610 通過(guò) IPv6 Phase II認(rèn)證 開(kāi)始Comware V5 IPv6軟件平臺(tái)開(kāi)發(fā) 發(fā)布Comware V5 IPv6軟件平臺(tái) 30余個(gè)高校 陸續(xù)開(kāi)通IPv6 S9500獲得信產(chǎn)部IPv6入網(wǎng)證 MSR IPv6路由器發(fā)布 S7500E 獲得 信產(chǎn)部IPv6入網(wǎng)證 全系列網(wǎng)絡(luò)產(chǎn)品 通過(guò)Tolly測(cè)試 CERNET2駐地網(wǎng) S7500E成功部署 2003.112003.11 2006.62006.6 2006.72006.7 2006.92006.9 2006.112006.11 2007.12007.1 2007.32007.3 2007.42007.4 2007.122007.12 20082008 20092009 全國(guó)高校IPv6 駐地網(wǎng)項(xiàng)目份額 近60% 2010 2010 集成H3C的IRF,多業(yè)務(wù) 設(shè)備提供更加智能，可靠 彈性的IPv6網(wǎng)絡(luò) 45 H3C的IPv6核心技術(shù) u硬件加速技術(shù)：ASIC/NP/FPGA 專利號(hào)專利中文名稱 200610142815.9一種支持IPv6業(yè)務(wù)的方法及其應(yīng)用的交換設(shè)備 200710119887.6建立IPv6隧道的方法、IPv6隧道通信方法及IPv4邊緣設(shè)備 200710121819.3防止IPv6報(bào)文攻擊的方法及網(wǎng)絡(luò)設(shè)備 200810000774.9實(shí)現(xiàn)隧道邊緣設(shè)備IPv6路由信息自動(dòng)學(xué)習(xí)的方法的系統(tǒng) 200810147001.3防止IPv6數(shù)據(jù)報(bào)文攻擊的方法、裝置和交換路由設(shè)備 200810224468.3在6to4網(wǎng)絡(luò)間轉(zhuǎn)發(fā)IPv6組播報(bào)文的方法及6to4設(shè)備 200910085817.2IPv6 over IPv4隧道切換方法及設(shè)備 200910086128.3IPv6網(wǎng)絡(luò)中鄰居表保護(hù)方法及鄰居表保護(hù)裝置 200910143921.2一種防止鄰居發(fā)現(xiàn)協(xié)議報(bào)文攻擊的方法及裝置 200910086572.5一種防止偽造報(bào)文攻擊的方法和中繼設(shè)備 200910162577.1一種IPv6網(wǎng)絡(luò)中發(fā)送IPv4流量的方法和裝置 。 。 。 uIPv6專利申請(qǐng)數(shù)超過(guò)50件 46 H3C的IPv6規(guī)格-路由器 基本功能IPv6 ND、IPv6 PMTU、雙棧轉(zhuǎn)發(fā)、 IPv6 ACL、ICMPv6、DHCPv6 Server/Proxy 隧道技術(shù)IPv6手動(dòng)隧道、IPv6-over-IPv4 、 GRE隧道、IPv4兼容IPv6自動(dòng)隧道、 6to4隧道、ISATAP隧道、6PE、DS- Lite NATNATPT，NAT64 、IVI(1:1) 路由靜態(tài)路由，RIPng，OSPFv3，IS-ISv6 ，BGP4+ 組播協(xié)議MLDv1/v2、PIM6-DM、PIM6-SM、 PIM6-SSM SR & MSR系列