IPV6
解
决
方
案
2020年6月2日
目 录
前言 3
政策背景 4
政策解读 4
1高教IPv6演进阶段需求 6
2 高校IPv6升级改造面问题挑战 7
3 极简校园网IPV6解决方案设计 8
31 高校IPV6现状 8
32 方案设计概览 9
33 扁化IPV6设计 10
34 IPV6址设计 11
35 IPv6实名认证设计 14
351双栈认证代理方案设计 15
352 IPv6感知认证设计 16
36 IPv6出口选路设计 17
37 IPv6日志审计 19
371 IPV6日志审计 19
372 出口审计 19
38 IPv6业务支撑设计 20
4方案设计价值分析 23
5方案整体周期设计 24
前言
着移动互联网物联网工业40等新兴产业迅速发展现互联网(IPv4)址已分配殆代互联网(IPv6)拥128位IP址长度广阔网络址空间完全满足发展需
IPv6二十年发展目前IPv6技术应完全成熟已成全球通标准具备较高机密性完整性国家网络提供安全保障
政策背景
截止2017年7月代互联网全球部署率已超2014短短半年增长314果样速度增长代互联网部署率2018年达50%截2016年12月美国代互联网户普率4516利时部署率更高达59亚洲区印度代互联网户普率3259中国例数10整体发展相滞
国家重政策推进代互联网发展510年时间形成代互联网技术体系产业生态建成全球规模IPv6商业应网络实现代互联网济社会领域深度融合应成全球代互联网发展重导力量
政策解读
IPv6行动计划具体节点目标
Ø 2018年末市场驱动良性发展环境基形成IPv6活跃户数达2亿互联网户中占低20
Ø 2020年末市场驱动良性发展环境日臻完善IPv6活跃户数超5亿互联网户中占超50新增网络址私IPv4址
Ø 2025年末国IPv6网络规模户规模流量规模位居世界第位网络应终端全面支持IPv6全面完成代互联网滑演进升级形成全球领先代互联网技术产业体系
三年规划(先设备应)
l 2018
IPv6安全硬件设备软件台升级改造
中国教育科研计算机网完成升级改造支持IPv6接入
l 2019
完成域名解析系统IPv6改造
核心业务信息系统网站完成IPv6改造
l 2020
教育系统类网络门户网站重应系统完成升级改造支持IPv6访问
基IPv6安全保障体系基形成
1高教IPv6演进阶段需求
Ø 初始阶段需求
实现IPv6连通基础网络具备IPv6转发力
接入IPv6教育网(Cernet2)提供校户IPv6免费访问教育网资源
Ø 二阶段需求
初步实现IPv6访问控具体通IPv4身份认证IPv6放行方式
校部分服务器资源逐步具备提供IPv6服务力提供IPv4IPv6双栈服务力
Ø 三阶段需求
全校IPv6连通校业务通IPv6访问
IPv6业务控追溯做IPv6身份认证实名审计日志溯源
校外提供IPv6相应服务发布官网门户专APP服务
2 高校IPv6升级改造面问题挑战
² IPv6安全防护
IPv6通道访问控制
IPv6通道做审计工作
IPv6通道满足网络安全法
² IPv6滑渡
量改动现网结构
量户感知
投资代价
² IPv6网络开通
设备双栈开启
IPv6址获取
IPv6址分配
IPv6 DNS获
² IPv6业务支撑
IPv6业务线
IPv6业务保障
IPv6应识滤
3 极简校园网IPV6解决方案设计
31 高校IPV6现状
l 部分高校园区已开启IPv6者具备IPv6力
l 校园部采双栈模式
l 数IPv6访问国外教育资源极少数校提供IPv6服务
l 高校没IPv6实名认证审计前期IPv4认证IPv6 放通缺乏审计手段
l 针IPv6安全防护暂特殊考虑
l 目前IPv6出口带宽较少般十兆
32 方案设计概览
网络:
1采扁化架构仅核心出口支持IPv6快速实现全网IPv6 支持
2承载接入网络(线线专网)天然支持IPv6透明传输
3IPv6址分配采DHCPv6状态址动分配方式结合
安全认证:
1安全设备选型完全支持IPv6
2出口日志支持IPv6
3部署IPv6实名认证认证计费系统联动实现实名审计N18K支持SAVI
应:
1改造建设批支持IPv6应
2保留批纯IPv4应通WG 进行IPv6代理转换实现快速IPv6业务资源线
3部署IPv6缓存加速提升访问体验节约出口带宽投入
4DNS支持IPv6
33 扁化IPV6设计
传统IPV6部署
扁化架构
传统三层架构
核心*1需部署
IPV6配置IPV6路部署安全
IPV6配置IPV6路部署
汇聚*20台需部署
需配置
IPV6配置IPV6路部署
接入*>500台
需配置
安全改造
方案建议采N18K做扁化IPv4IPv6核心支持扁化SAVI功(N18K开启SAVI接入汇聚需配置支持6W双栈终端址状态支持45W双栈终端)中高职院校选RSR77X做扁化IPv4IPv6核心
扁化架构具备:维护简单业务线块安全隔离策略集中部署等特性中安全隔离锐捷特支持SupervlanQinQ端口隔离技术
传统三层架构目前核心交换路设备均支持双栈协议支持客户IPv6升级改造
34 IPV6址设计
目前量版Android手机支持DHCPv6状态址分配图示
方案终端址分配模式设计推荐:
1状态获取 部署适合全场景(推荐线场景)
状态址动配置指需DHCP服务器进行理客户端根网关RA(路通告)根MAC址计算出IPv6址
优势:终端插部署简单终端支持度广
2状态址分配:部署受限制适合PC(推荐线场景)
状态指址网关设备者DHCP服务器分配
优势:址序分配规分配便址理
问题:安卓终端支持状态获取址
35 IPv6实名认证设计
网络安全法公安部82号令明确指出网络户应该实名制接入户IPv6站点访问样需进行实名认证
现IPV6认证存问题:
双栈&认证:
1双栈客户端DNS解析会解析IPv4DNS记录&IPv6DNS记录
2客户端优先采IPv6连接 (RFC6724 ) Default Address Selection for Internet Protocol version 6 (IPv6)
问题:
1户优先访问web会默认进行IPv6认证前众设备支持IPv6认证
2双栈客户端等20S70S等时间进行IPv4重定访问户感受网络慢
3部分厂家IPv4IPv6需做次认证体验
351双栈认证代理方案设计
l IPv6 WEB认证
l 解决户IPv6优先长时间法弹出认证页面问题
l N18K响应终端IPv6认证请求封装IPv4 Portal址终端续流程通IPv4认证完成解决PortalRadiusNAS支持纯IPv6认证导致户认证长时间响应问题
认证方案优势:
Ø 强安全:解决IPv6实名安全问题
Ø 高性:支持10wIPv6认证噪音支持6W双栈业界水20倍
Ø 体验强:户认证秒弹支持10wIPv6认证噪音
Ø 开放兼容:需改造Portal改造需1台18K时支持厂商radiusportal
果RadiusPortal支持IPv6N18K支持进行IPv6转换户端发出IPv6请求N18K会采IPv6 TCP伪链接回复终端(含IPv4Portal址)续认证流程切换IPv4会携带IPv4IPv6址送Radius
352 IPv6感知认证设计
IPv6址变化网段通感知迁移方式动完成IPv6认证解决户掉线问题
IPv6认证:
户端优先IPv6N18K响应IPv6报文果RadiusPortal支持IPv6N18K支持进行IPv6转换户端发出IPv6请求N18K会采IPv6 TCP伪链接回复终端(含IPv4Portal址)续认证流程切换IPv4会携带IPv4IPv6址送Radius
IPv4认证:通兼容模式支持IPv4认证通IPv6放行
36 IPv6出口选路设计
着互联网企业V6应改造外部资源会逐步增部分流量牵引教育网V6出口存拥塞风险影响体验
方案提供流量智调度方案IPv6出口高峰拥塞前动引流IPv4出口低峰期切换回IPv6出口保障户体验
ü SDN设置IPv6流量监控流量超接口带宽90
ü SDN通OPENFLOW通告N18k需进行业务切换
ü 核心触发IPv6 DNS请求送CPU丢弃正常V6转发
ü 核心伪造DNS回应报文客户端DNS NODATA消息
ü 客户端判断DNS回应会快速启动IPv4服务
ü 续户访问流量走IPv4报文完成出口调度
优势:
Ø 省成需升级V6带宽
Ø 高体验:根户体验智调度业务减少户必投诉
Ø 智:需工干预全动化监控
37 IPv6日志审计
371 IPV6日志审计
出口设备户网行信息发日志设备包括户IPv6址访问网络URL日志设备SAM端获取户实名信息户行信息整合户实名日志信息
SAMelogBDS配合实现实名日志支持安全问题追溯
372 出口审计
容审计
URL网络搜索外发文件邮件微博等容审计
行控
邮件收发理邮件附件滤良网站封堵异常行告警
实名制网行审计
实名认证系统接
38 IPv6业务支撑设计
方案设计两种业务线模式:
方案:
网站防火墙通代理模式提供IPv6业务IPv4应服务器需做修改快速提供IPv6服务
方案二:
网站防火墙支持灵活代理模式时老旧IPv4服务器新增IPv6服务器组成集群提供统外IPv6业务访问逐步架IPv4服务保障滑迁移
IPv6业务缓存加速
减轻出口压力(IPv6带宽紧张费昂贵)
节省3050带宽资源
提升户体验
畅享网般极速体验
握网络热点动
缓存资源统计分析提供网络规划数挖掘
4方案设计价值分析
极简架构
扁化架构轻松升级IPv6
Ø 需维护台核心核心出口支持IPv6快速升级IPv6
Ø 接入网线线全兼容
Ø SDN视化IPv6理
安全合规
符合网络安全法建设实名审计
Ø IPv6实名认证SAVI源址安全滤
Ø IPv6实名访问日志
Ø IPv6实名审计
Ø IPv6安全态势感知整体解决方案
业务加速 滑渡
场景化IPv6方案设计保障v6体验
IPv6加速
Ø IPv6出口流量调度
Ø Powercache IPv6业务加速
业务体验保障
Ø 双栈代理认证次认证体验
Ø WG代理IPv4应需改造快速线IPv6
Ø IPv4IPv6混合集群滑渡
5方案整体周期设计
双栈支持
业务系统升级
IPv6 全面线
第期
校网全面开启双栈支持启IPv4+IPv6实名认证计费IPv6选路策略日志审计
第二期
校业务系统逐步改造提供IPv6服务门户网站开始业务系统根重性逐步改造部分应通代理方式修改快速提供IPv6服务
第三期
IPv6资源提供优先服务资源倾业务质量保障逐步全面迁移纯IPv6支持
— END —
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
IPV6
解
决
方
案
2020年6月2日
目 录
前言 3
政策背景 4
政策解读 4
1高教IPv6演进阶段需求 6
2 高校IPv6升级改造面问题挑战 7
3 极简校园网IPV6解决方案设计 8
31 高校IPV6现状 8
32 方案设计概览 9
33 扁化IPV6设计 10
34 IPV6址设计 11
35 IPv6实名认证设计 14
351双栈认证代理方案设计 15
352 IPv6感知认证设计 16
36 IPv6出口选路设计 17
37 IPv6日志审计 19
371 IPV6日志审计 19
372 出口审计 19
38 IPv6业务支撑设计 20
4方案设计价值分析 23
5方案整体周期设计 24
前言
着移动互联网物联网工业40等新兴产业迅速发展现互联网(IPv4)址已分配殆代互联网(IPv6)拥128位IP址长度广阔网络址空间完全满足发展需
IPv6二十年发展目前IPv6技术应完全成熟已成全球通标准具备较高机密性完整性国家网络提供安全保障
政策背景
截止2017年7月代互联网全球部署率已超2014短短半年增长314果样速度增长代互联网部署率2018年达50%截2016年12月美国代互联网户普率4516利时部署率更高达59亚洲区印度代互联网户普率3259中国例数10整体发展相滞
国家重政策推进代互联网发展510年时间形成代互联网技术体系产业生态建成全球规模IPv6商业应网络实现代互联网济社会领域深度融合应成全球代互联网发展重导力量
政策解读
IPv6行动计划具体节点目标
Ø 2018年末市场驱动良性发展环境基形成IPv6活跃户数达2亿互联网户中占低20
Ø 2020年末市场驱动良性发展环境日臻完善IPv6活跃户数超5亿互联网户中占超50新增网络址私IPv4址
Ø 2025年末国IPv6网络规模户规模流量规模位居世界第位网络应终端全面支持IPv6全面完成代互联网滑演进升级形成全球领先代互联网技术产业体系
三年规划(先设备应)
l 2018
IPv6安全硬件设备软件台升级改造
中国教育科研计算机网完成升级改造支持IPv6接入
l 2019
完成域名解析系统IPv6改造
核心业务信息系统网站完成IPv6改造
l 2020
教育系统类网络门户网站重应系统完成升级改造支持IPv6访问
基IPv6安全保障体系基形成
1高教IPv6演进阶段需求
Ø 初始阶段需求
实现IPv6连通基础网络具备IPv6转发力
接入IPv6教育网(Cernet2)提供校户IPv6免费访问教育网资源
Ø 二阶段需求
初步实现IPv6访问控具体通IPv4身份认证IPv6放行方式
校部分服务器资源逐步具备提供IPv6服务力提供IPv4IPv6双栈服务力
Ø 三阶段需求
全校IPv6连通校业务通IPv6访问
IPv6业务控追溯做IPv6身份认证实名审计日志溯源
校外提供IPv6相应服务发布官网门户专APP服务
2 高校IPv6升级改造面问题挑战
² IPv6安全防护
IPv6通道访问控制
IPv6通道做审计工作
IPv6通道满足网络安全法
² IPv6滑渡
量改动现网结构
量户感知
投资代价
² IPv6网络开通
设备双栈开启
IPv6址获取
IPv6址分配
IPv6 DNS获
² IPv6业务支撑
IPv6业务线
IPv6业务保障
IPv6应识滤
3 极简校园网IPV6解决方案设计
31 高校IPV6现状
l 部分高校园区已开启IPv6者具备IPv6力
l 校园部采双栈模式
l 数IPv6访问国外教育资源极少数校提供IPv6服务
l 高校没IPv6实名认证审计前期IPv4认证IPv6 放通缺乏审计手段
l 针IPv6安全防护暂特殊考虑
l 目前IPv6出口带宽较少般十兆
32 方案设计概览
网络:
1采扁化架构仅核心出口支持IPv6快速实现全网IPv6 支持
2承载接入网络(线线专网)天然支持IPv6透明传输
3IPv6址分配采DHCPv6状态址动分配方式结合
安全认证:
1安全设备选型完全支持IPv6
2出口日志支持IPv6
3部署IPv6实名认证认证计费系统联动实现实名审计N18K支持SAVI
应:
1改造建设批支持IPv6应
2保留批纯IPv4应通WG 进行IPv6代理转换实现快速IPv6业务资源线
3部署IPv6缓存加速提升访问体验节约出口带宽投入
4DNS支持IPv6
33 扁化IPV6设计
传统IPV6部署
扁化架构
传统三层架构
核心*1需部署
IPV6配置IPV6路部署安全
IPV6配置IPV6路部署
汇聚*20台需部署
需配置
IPV6配置IPV6路部署
接入*>500台
需配置
安全改造
方案建议采N18K做扁化IPv4IPv6核心支持扁化SAVI功(N18K开启SAVI接入汇聚需配置支持6W双栈终端址状态支持45W双栈终端)中高职院校选RSR77X做扁化IPv4IPv6核心
扁化架构具备:维护简单业务线块安全隔离策略集中部署等特性中安全隔离锐捷特支持SupervlanQinQ端口隔离技术
传统三层架构目前核心交换路设备均支持双栈协议支持客户IPv6升级改造
34 IPV6址设计
目前量版Android手机支持DHCPv6状态址分配图示
方案终端址分配模式设计推荐:
1状态获取 部署适合全场景(推荐线场景)
状态址动配置指需DHCP服务器进行理客户端根网关RA(路通告)根MAC址计算出IPv6址
优势:终端插部署简单终端支持度广
2状态址分配:部署受限制适合PC(推荐线场景)
状态指址网关设备者DHCP服务器分配
优势:址序分配规分配便址理
问题:安卓终端支持状态获取址
35 IPv6实名认证设计
网络安全法公安部82号令明确指出网络户应该实名制接入户IPv6站点访问样需进行实名认证
现IPV6认证存问题:
双栈&认证:
1双栈客户端DNS解析会解析IPv4DNS记录&IPv6DNS记录
2客户端优先采IPv6连接 (RFC6724 ) Default Address Selection for Internet Protocol version 6 (IPv6)
问题:
1户优先访问web会默认进行IPv6认证前众设备支持IPv6认证
2双栈客户端等20S70S等时间进行IPv4重定访问户感受网络慢
3部分厂家IPv4IPv6需做次认证体验
351双栈认证代理方案设计
l IPv6 WEB认证
l 解决户IPv6优先长时间法弹出认证页面问题
l N18K响应终端IPv6认证请求封装IPv4 Portal址终端续流程通IPv4认证完成解决PortalRadiusNAS支持纯IPv6认证导致户认证长时间响应问题
认证方案优势:
Ø 强安全:解决IPv6实名安全问题
Ø 高性:支持10wIPv6认证噪音支持6W双栈业界水20倍
Ø 体验强:户认证秒弹支持10wIPv6认证噪音
Ø 开放兼容:需改造Portal改造需1台18K时支持厂商radiusportal
果RadiusPortal支持IPv6N18K支持进行IPv6转换户端发出IPv6请求N18K会采IPv6 TCP伪链接回复终端(含IPv4Portal址)续认证流程切换IPv4会携带IPv4IPv6址送Radius
352 IPv6感知认证设计
IPv6址变化网段通感知迁移方式动完成IPv6认证解决户掉线问题
IPv6认证:
户端优先IPv6N18K响应IPv6报文果RadiusPortal支持IPv6N18K支持进行IPv6转换户端发出IPv6请求N18K会采IPv6 TCP伪链接回复终端(含IPv4Portal址)续认证流程切换IPv4会携带IPv4IPv6址送Radius
IPv4认证:通兼容模式支持IPv4认证通IPv6放行
36 IPv6出口选路设计
着互联网企业V6应改造外部资源会逐步增部分流量牵引教育网V6出口存拥塞风险影响体验
方案提供流量智调度方案IPv6出口高峰拥塞前动引流IPv4出口低峰期切换回IPv6出口保障户体验
ü SDN设置IPv6流量监控流量超接口带宽90
ü SDN通OPENFLOW通告N18k需进行业务切换
ü 核心触发IPv6 DNS请求送CPU丢弃正常V6转发
ü 核心伪造DNS回应报文客户端DNS NODATA消息
ü 客户端判断DNS回应会快速启动IPv4服务
ü 续户访问流量走IPv4报文完成出口调度
优势:
Ø 省成需升级V6带宽
Ø 高体验:根户体验智调度业务减少户必投诉
Ø 智:需工干预全动化监控
37 IPv6日志审计
371 IPV6日志审计
出口设备户网行信息发日志设备包括户IPv6址访问网络URL日志设备SAM端获取户实名信息户行信息整合户实名日志信息
SAMelogBDS配合实现实名日志支持安全问题追溯
372 出口审计
容审计
URL网络搜索外发文件邮件微博等容审计
行控
邮件收发理邮件附件滤良网站封堵异常行告警
实名制网行审计
实名认证系统接
38 IPv6业务支撑设计
方案设计两种业务线模式:
方案:
网站防火墙通代理模式提供IPv6业务IPv4应服务器需做修改快速提供IPv6服务
方案二:
网站防火墙支持灵活代理模式时老旧IPv4服务器新增IPv6服务器组成集群提供统外IPv6业务访问逐步架IPv4服务保障滑迁移
IPv6业务缓存加速
减轻出口压力(IPv6带宽紧张费昂贵)
节省3050带宽资源
提升户体验
畅享网般极速体验
握网络热点动
缓存资源统计分析提供网络规划数挖掘
4方案设计价值分析
极简架构
扁化架构轻松升级IPv6
Ø 需维护台核心核心出口支持IPv6快速升级IPv6
Ø 接入网线线全兼容
Ø SDN视化IPv6理
安全合规
符合网络安全法建设实名审计
Ø IPv6实名认证SAVI源址安全滤
Ø IPv6实名访问日志
Ø IPv6实名审计
Ø IPv6安全态势感知整体解决方案
业务加速 滑渡
场景化IPv6方案设计保障v6体验
IPv6加速
Ø IPv6出口流量调度
Ø Powercache IPv6业务加速
业务体验保障
Ø 双栈代理认证次认证体验
Ø WG代理IPv4应需改造快速线IPv6
Ø IPv4IPv6混合集群滑渡
5方案整体周期设计
双栈支持
业务系统升级
IPv6 全面线
第期
校网全面开启双栈支持启IPv4+IPv6实名认证计费IPv6选路策略日志审计
第二期
校业务系统逐步改造提供IPv6服务门户网站开始业务系统根重性逐步改造部分应通代理方式修改快速提供IPv6服务
第三期
IPv6资源提供优先服务资源倾业务质量保障逐步全面迁移纯IPv6支持
— END —
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档