前言

中國是世界上人口最多的國家，網民數量居世界第二，中國網絡地址的希缺與網絡規模的大發展形成了鮮明的對比，采用IPv6將完全改觀這種局面，使中國網絡未來的發展沖破地址資源匱乏的樊籬。高校向來是國家前沿技術的陣地，在下一代互聯網的重大歷史機遇面前，承擔起IPv6的研究工作責無旁貸。

l  IPv6校園網建設需求

國家重視的驅動

◆IPv6將推動我國信息產業的發展

IPv6將帶來中國在互聯網領域趕超其他國家的重大機遇，對于設備商、運營商、家電商、甚至最終用戶，抓住機遇都將帶來充滿生機的變化。

◆使中國贏得從引進技術轉變到引導技術發展的機會

IPv6作為一個新的I核心技術，將帶動信息通信乃至其他產業的信息化發展，獲得戰略性競爭優勢。真正需要IPv6的不是歐美日，而是中國。

學校的面臨的機遇

◆CERNET2將成為真正意義上的“中國教育與科研計算機網”（目前的CERNET網實際上已經成為運營網），作為下一代網絡的研究示范平臺，供各高校接入，以便有效開展IPv6的技術與應用的研究之用。

◆目前很多高校已經或開始建設校園內的IPv6網絡（局部）或IPv6的城域網（覆蓋城域范圍內的若干高校），這些IPv6網絡都將接入CERNET2。

◆211高校或者有重點學科的院校，最終都要接入CERNET2，目前已掀起建設“局部IPv6網/IPv6網絡實驗室”的熱潮。

IPv6技術發展的驅動

◆支持IPv6的硬件芯片成熟、穩定，

◆IPv6協議標準化得到了極大的發展

◆網絡設備IPv6特性的完備性得到極大發展

◆校園IPv6業務、軟件，如雨后春筍般不斷出現

2  H3C IPv6校園網解決方案

全新雙棧IPv6校園網方案

◆新建核心層、匯聚層全雙棧，全網運行OSFv3/RIng

◆匯聚層、核心層之間可采用10GE連接。

◆匯聚層設備作為用戶接入點網關設備，通過運行VRR實現網關冗余。

◆接入層與匯聚層、匯聚層與核心層間采用雙上聯實現鏈路冗余，匯聚層、核心層設備采用雙節點實現節點冗余。

◆支持穿透二層到桌面、百兆三層到桌面模型、千兆三層到桌面模型多種需求類型

利舊改造IPv6校園網方案

◆升級的重點在于網絡核心層，使用雙棧核心設備替代現有的Iv4核心設備。其余網絡層次保持不變。

◆IPv6用戶接入方式：IPv6/Iv4主機可采用ISATA隧道方式直接接入核心交換機。

3 立體管理的IPv6校園網絡解決方案

概述

隨著CERNET2骨干網的成功運行、IPv6駐地網出口改造完成，各高校IPv6校園網建設也陸續完善起來。國家在CNGI與IPv6試商用的整體重視和投入，極大推進了校園IPv6業務與用戶的蓬勃發展。正式由于業務與用戶的迅猛增長，致使雙棧網絡還是隧道過渡，已經不再是關注的重點。而如何能夠將IPv6校園建設成和Iv4網絡一樣安全、可管理、可運營成為對校園信息化主管新的挑戰。

挑戰

管理好IPv6用戶資源

在原有Iv4校園網中，用戶管理一直是管理聚焦的環節，很多老師和供應商都設計、開發了相關技術以解決用戶網絡使用授權與運營、網絡行為審計、用戶攻擊行為、安全準入等問題。而IPv6校園建設初期是以基礎平臺搭建為重點，缺乏對用戶管理的有效手段，存在一定的用戶資源不可控風險。比如基于IPv6的用戶可控運營、IPv6非法網絡行為審計、ND攻擊與偽DHCv6服務等造成的安全隱患、Iv4與IPv6網絡使用授權不統一的問題。

管理好IPv6業務資源

隨著IPv6試商用建設在校園的部署，校園IPv6業務不斷增加以滿足更普遍的新業務服務。而IPv6業務在管理的維度將成為新的“黑盒子”，校園某些關鍵鏈路出現異常流量，而管理者并不清楚這是因為新業務正常增長而需要新的規劃，還是因為某些安全隱患導致的異常；對于IPv6熱點應用服務，也缺乏有效的服務質量保障。

管理好IPv6網絡資源

每個學校都會有多個廠家提供的IPv6設備，數量規模不一，少則百余臺多則近千臺。龐大的IPv6網元組成的網絡，有些部分是雙棧，而有些部分則是純IPv6協議，這樣一張新網絡需要實現有效管理，將會面臨由于IPv6地址空間龐大而難以用傳統技術生成拓撲的問題，以及廠家私有MIB充分管理利用的問題。 #p#

解決方案與價值實現

IPv6用戶管理方案

IPv6安全準入——基于雙棧或純IPv6協議的802.1x等接入認證技術，驗證IPv6用戶準入權限，并記錄其審計信息；

IPv6可信保障——ND攻擊防御、偽DHC6防御等交換機技術特性（SAVI），防止IPv6接入環境的偽造行為，保障源地址真實可信；

IPv6業務運營——基于交換機MLD Snooing和用戶認證管理技術，面向用戶下發IPv6組播權限，并支持運營計費。

IPv6業務管理方案

H3C IPv6網絡流量分析管理技術NTA over IPv6，支持分布式的SFLOW、分布式IFIX、可彈性擴容Netstream等多種方式進行雙棧流量、純IPv6流量數據采集，使IPv6校園網的業務分布情況、壓力情況、變化趨勢一目了然完全可視化。而對于IPv6業務集中的雙棧數據中心，采用同時支持Iv4/IPv6的服務器負載均衡方案，幫助校園IPv6新熱點業務大幅提升用戶體驗。

IPv6網絡管理方案

H3C iMC在進行IPv6網絡拓撲發現時，采用ND方式自動發現。該技術利用設備的ND信息，過濾出所有的全局IPv6地址，然后根據這些全局IPv6地址再次執行ND掃描，從而遞歸發現所有的網絡設備。而該技術是基于公有IPv6-MIB（RFC2452）實現，只要第三方設備支持該MIB，就可以完成自動發現。而基于IPv6 ND的遞歸發現方式計算工作量大幅減小，極大提升了學校的管理工作效率。 #p#

小結

H3C 立體管理IPv6校園網解決方案，實現IPv6校園的安全、可控、可管和可運營，有效降低學校IPv6&Iv4 TCO，推進校園網用戶的IPv6普遍訪問和校園網信息資源的IPv6普遍服務，為學校由IPv6試商用向正式商用提供了支撐。

H3C IPv6解決方案優勢

H3C的IPv6校園網解決方案的價值

IPv6園區網——通過完善的IPv6路由與交換產品線，為學校提供端到端的雙棧部署與IPv6過渡遷移方案，并實現基于IPv6的虛擬化園區網絡，為學校IPv6規模商用、IPv6業務精細化運維提供堅實基礎。

IPv6無線校園——將校園有線網絡與無線網絡基于IPv6進行無縫整合，使其在雙棧和純IPv6環境下無障礙部署，并在管理配置、用戶安全、組播業務等維度實現了Iv4/IPv6、有線/無線的同等承載能力。

IPv6安全管理——H3C將安全滲透網絡解決方案升級到IPv6，實現IPv6用戶的安全可信接入，確保用戶接入網絡的身份可信、杜絕仿冒攻擊；同時利用雙棧防火墻與IS產品將外網對校園的攻擊、對校園數據中心服務器的攻擊有效阻斷。

IPv6網絡管理——不僅實現有效管理校園IPv6設備資源，快速發現IPv6拓撲并有效配置，而且實現校園IPv6業務在網絡中的可視化管理，使學校不會因為IPv6業務部署而出現管理上的盲點。

IPv6增值運營——通過用戶管理系統與IPv6組播交換機的配合，協助學校將IPv6組播業務實現基于用戶和組播套餐的運營，同時可以控制非法組播源/非法組播接收者的接入，使校園IPv6實現有序可控的業務增值運營。

H3C的IPv6發展戰略

IPv6核心技術的積累

H3C緊密跟蹤國內外先進的IPv6技術，對IPv6技術中新出現的各項新特性進行分析并逐步納入開發，IPv6專利申請數量超過50件，保持H3C的IPv6技術領先

平臺的戰略

基于H3C領先的COMWARE平臺，通過軟件升級實現各產品IPv6功能

硬件平臺和設計充分考慮IPv6的要求，平滑升級IPv6，保護用戶在Iv4的設備投資

平臺集豐富特性，支撐業務融合，產品按需定制

發展方向——IToIPv6

IPv6是華三公司的IToI戰略的發展目標

從核心到接入、從高端到低端的全系列IPv6路由器、交換機產品；從基礎IPv6架構，到IPv6安全、管理、業務運營全方位發展

多媒體通信融合方案實現對IPv6技術的支持

數據中心實現IPv6與Iv4業務的無縫融合解決方案

整體規劃，與業務研究同步進行，新業務應用將隨網絡的發展同步實現

教育行業IPv6實踐經驗

作為主要設備供應商參與CERNET2主干網及駐地網建設；

包括山東大學、北京郵電大學、中國政法大學等高校，至2009年10月已有近200所高校整體采用H3C系統開通IPv6業務

“IPv6試商用項目”通過出色的入圍測試效果與服務承諾，近90所高校選擇H3C，市場份額第一

H3C攜手開拓IPv6新課題

H3C：擁有國內I通信最強大的研發團隊，擁有最規范的產品開發管理，擁有最廣泛的各行業市場拓展團隊

高校：擁有IPv6領域最前沿的理論研究，擁有最深刻的IPv6部署經驗

H3C+高校=最尖端的技術課題+最大的成果轉化市場

我們的共同成果將服務于各IPv6校園網、IPv6電子政務網、IPv6運營商網絡、IPv6企業網絡，整體推進我國IPv6技術商用進程

我們的共同努力將在IETF等領域提升我國IPv6領域的地位與發言權