IPV4升級(jí)到IPV6建設(shè)設(shè)計(jì)方案

1、IPv6 全網(wǎng)解決方案應(yīng)用背景IPv4 協(xié)議是目前廣泛部署的因特網(wǎng)協(xié)議，然而，隨著 Internet 的發(fā) 展，該協(xié)議在歷經(jīng)了 20 多年的實(shí)踐與考驗(yàn)后，已逐漸暴露出設(shè)計(jì)的 先天不足以及諸多局限，成為 IP 技術(shù)應(yīng)用和未來發(fā)展的瓶頸制約。 而 IPv6 作為下一代網(wǎng)絡(luò)的基礎(chǔ)以其鮮明的技術(shù)優(yōu)勢得到廣泛的認(rèn)可， 為業(yè)務(wù)發(fā)展創(chuàng)造了機(jī)會(huì)：IPv6 的產(chǎn)生從根本上解決了地址短缺的問題IPv6 提供了更快捷的部署方法（即插即用）IPv6支持流標(biāo)簽?zāi)芰?，便于QoS的實(shí)施IPv6 集成了安全特性IPv6 具備更有效的報(bào)頭結(jié)構(gòu)，提高處理性能IPv6 與 IPv4 網(wǎng)絡(luò)之間可以平滑過渡以及相互訪問解決方案建設(shè) I

2、Pv6 網(wǎng)絡(luò)主要應(yīng)當(dāng)考慮現(xiàn)有網(wǎng)絡(luò)升級(jí)支持 IPv6 業(yè)務(wù)和采 用同時(shí)支持 IPv6/IPv4 網(wǎng)絡(luò)設(shè)備進(jìn)行新建網(wǎng)絡(luò)建設(shè)兩種情況。1、升級(jí)現(xiàn)有 IPv4 網(wǎng)絡(luò)方案組網(wǎng)模式:原有IPv4局域網(wǎng)不進(jìn)行改造，核心增加或者更換支持IPv6業(yè)務(wù)的核心交換機(jī)。核心交換機(jī)開啟雙棧，向上連接IPv6網(wǎng)絡(luò)，向下開啟ISATAP隧 道功能，開啟IPv6/IPv4主機(jī)可采用ISATAP隧道方式直接接入核心 交換機(jī)。網(wǎng)絡(luò)中其余設(shè)備均無任何變化，原有IPv4業(yè)務(wù)正常運(yùn)行。 方案優(yōu)勢：只需增加支持IPv6業(yè)務(wù)的核心設(shè)備，保護(hù)原有投資。只需簡單開啟ISATAP隧道功能即可，快速實(shí)現(xiàn)網(wǎng)絡(luò)IPv6主機(jī)接臧譏說牯川riSATAPR

3、U5n+*mv6I悴右干旻nmw石R$IK豹航半直料嘰斗 蚪應(yīng)框IFM艸豬兇區(qū)IPV4A/6#Ifg/v閃P第収域隧道模式（ISATAP隧道），升級(jí)核心再知弗求橋IPV6 的詛雷I弊材干芟捕019*評(píng)斥不空和X eiinft娛尹i tSff j 宵A *9l：；廠一十、； 搖人層4 4 4A $令令令i 用皿圈 冬矗已.整IPv4/v6|r毎區(qū)域 IPv4/vd奔區(qū)域IPv4業(yè)務(wù)富域隧道模式，升級(jí)核心與部分匯聚逐步支持IPv6組網(wǎng)模式：在原有核心層改造的基礎(chǔ)上，逐步對(duì)匯聚的三層設(shè)備進(jìn)行更換， 將匯聚層的原有三層交換機(jī)更換為支持IPv4/IPv6的雙棧設(shè)備。匯聚交換機(jī)與核心交換機(jī)之間會(huì)存在 IP

4、v4網(wǎng)絡(luò)，使用IPv6 over IPv4隧道方式實(shí)現(xiàn)IPv6的連接。方案優(yōu)勢：逐步實(shí)現(xiàn)對(duì)原有IPv4網(wǎng)絡(luò)的改造，將部分匯聚與核心設(shè)備更換， 為下一步實(shí)現(xiàn)整網(wǎng)IPv6網(wǎng)絡(luò)部署奠定基礎(chǔ)。原有IPv4業(yè)務(wù)不產(chǎn)生任何變化，正常運(yùn)行。雙棧用戶可以直接 訪問IPv4網(wǎng)絡(luò)及IPv4業(yè)務(wù)。2、新建IPv6網(wǎng)絡(luò)方案核心IE匯層按人屋用戶必IPwl/V 罰 P 芳罠域IPv4/V6ihlX ifIP v4/V6 業(yè)務(wù)阿城新建IPv6網(wǎng)絡(luò)組網(wǎng)模式:新建核心層、匯聚層全雙棧部署IPv6路由，實(shí)現(xiàn)全網(wǎng)IPv6。 業(yè)務(wù)區(qū)域采用二層到桌面，接入交換機(jī)采用百兆或千兆到桌面。匯聚層連接核心層IPv4/v6雙棧路由功能。方案優(yōu)

5、勢：接入層與匯聚層、匯聚層與核心層間采用雙上聯(lián)實(shí)現(xiàn)鏈路冗余， 匯聚層、核心層設(shè)備采用雙節(jié)點(diǎn)實(shí)現(xiàn)節(jié)點(diǎn)冗余。新增IPv6用戶可以正常訪問IPv6網(wǎng)絡(luò)及業(yè)務(wù)。雙棧用戶可以直 接訪問IPv4網(wǎng)絡(luò)及業(yè)務(wù)3、IPv6網(wǎng)絡(luò)安全規(guī)劃：IPv4協(xié)議向IPv6協(xié)議升級(jí)過渡的過程中，多種安全問題將暴露出來，構(gòu)建可信任的下一代互聯(lián)網(wǎng)，將是一項(xiàng)長期而艱巨的任務(wù)。在 建設(shè) IPv6 網(wǎng)絡(luò)的時(shí)候，需要全面考慮網(wǎng)絡(luò)的安全問題。 IPv6 網(wǎng)絡(luò)安 全問題劃分為：設(shè)備級(jí)別、全網(wǎng)安全級(jí)別。3.1 設(shè)備級(jí)別的防護(hù)隨著 IPv6 在局域網(wǎng)中的部署，局域網(wǎng)的各種應(yīng)用不斷擴(kuò)展，網(wǎng) 絡(luò)攻擊的不斷增多，越來越需要為 IPv6 交換機(jī)提供一種保

6、護(hù)機(jī)制。 對(duì)發(fā)往交換機(jī)CPU勺數(shù)據(jù)流，進(jìn)行流分類和優(yōu)先級(jí)分級(jí)處理、CPU勺帶寬限速，以確保在任何情況下CPU都不會(huì)出現(xiàn)負(fù)載過高的狀況，為 用戶提供一個(gè)穩(wěn)定勺網(wǎng)絡(luò)環(huán)境。 這種保護(hù)機(jī)制是 CPUProtect Policy (CPP。CPP作為IPv6交換機(jī)的一個(gè)功能模塊，按照以下四個(gè)階段 處理數(shù)據(jù)： Classifying 、 Queuing、 Scheduling 和 Shaping 。通過CPP保護(hù)策略，網(wǎng)絡(luò)設(shè)備的安全能力有了更大的提升。在部署 IPv6 的局域網(wǎng)中，各種應(yīng)用、攻擊，都極大地考驗(yàn)著網(wǎng)絡(luò)設(shè)備， 在 IPv6 的校園中的部署中， 應(yīng)該采用具有先進(jìn)的 CPUProtect Policy(CPP機(jī)制的IPv6轉(zhuǎn)發(fā)平臺(tái)。3.2 全局安全網(wǎng)絡(luò)IPv6 技術(shù)在大規(guī)模應(yīng)用， 各種應(yīng)用大規(guī)模開展， 網(wǎng)絡(luò)訪問控制接 入控制應(yīng)運(yùn)而生。 網(wǎng)絡(luò)訪問控制解決方案旨在通過身份驗(yàn)證、 主機(jī)健 康性保障、網(wǎng)絡(luò)安全性保障等多重角度， 對(duì)內(nèi)網(wǎng)用戶進(jìn)行有效的管理。 實(shí)現(xiàn)內(nèi)網(wǎng)用戶身份的合法化， 上網(wǎng)主機(jī)安全狀況的健康化， 網(wǎng)絡(luò)通信 的安全化以及用戶網(wǎng)絡(luò)訪問行為的規(guī)范化。部署 IPv4/IPv6 兼容的全網(wǎng)安全防御系