IPv6校园网接轨CERNET2拟解决的关键问题*
2010-08-15石良武
石良武
(湖南商学院现代教育技术中心,湖南长沙410205)
IPv6校园网接轨CERNET2拟解决的关键问题*
石良武
(湖南商学院现代教育技术中心,湖南长沙410205)
CERNET2主干网的建成和开通,在全国范围的高校之间架起了一座IPv6的立交桥。这要求准备向IPv6升级的高校校园网络必须提供一个高性能、高带宽的综合解决方案。本文就接轨CERNET2纯IPv6网络规划、核心交换机定性、汇聚交换机选型、出口路由器设备选型、用户地址选择以及IPv6路由技术选择等拟解决的关键问题进行探讨。
CERNET2;校园网;IPv6
一、引言
CERNET2主干网的建设依托设在清华大学的中国教育和科研计算机网(CERNET)国家网络中心,以2.5G~10G速率连接全国20个主要城市的25个CNGI-CERNET2主干网核心节点,为全国高校和科研单位提供高速的下一代互联网IPv6接入服务。CERNET2主干网的建成和开通,在全国范围的高校之间架起了一座IPv6的立交桥。近200所高校的抢先接入,似乎开始了以教育信息化为基础的国内高校知名度的重新洗牌。
目前很多学校校园网建设都准备向IPv6升级,开展数字图书馆子网、学生宿舍子网、教工宿舍子网建设等多元化的高校校园网建设。由于学生数量和应用平台的增加,网络中会出现大量的数据转移;网上视频点播、多媒体通信,这些都需要QoS(Quality of Service)支持;同时,学校还存在集中上网、网络流量突发的现象。这就要求新的校园网络必须提供一个高性能、高带宽的综合解决方案。
二、接轨CERNET2纯IPv6网络规划
结合学校目前的网络建设情况,本着充分利用现有设备、能够实现全网IPv6部署、维护简便的原则,笔者拟作如下规划:将现有楼栋汇聚三层交换机不支持IPv6的设备替换为支持IPv6的三层交换机,由于三层交换机作为接入用户的网关,所以需要该设备支持多种IPv6协议,如双栈、隧道等,这样接入用户就可以实现IPv6的互连;为了便于统一管理,在新的万兆核心启用IPv6,该批核心设备也要求支持双栈、隧道等,从接入到汇聚再到核心全线实现IPv6;为了能够提高学校IPv6网络的使用效率,规划尽早接入CERNET2,扩大IPv6网络的教学研究应用面,同时确保CERNET2的出口安全,拟在出口部署一台支持IPv6的路由器,以实现与CERNET2进行互连。
三、核心交换机定性
应用技术定向:万兆至十万兆标准;硬件支持IPv6。
设计技术定向:数据平面、控制平面、管理平面完全分离+平面保护;NP+ASIC+分布式表项的设计体系;Buffered Crossbar芯片及线卡光电复用技术;LPM+HDR路由提升技术。
四、汇聚交换机选型
1.高性能IPv4/IPv6双栈协议多层交换
高背板带宽为所有的端口提供非阻塞性能;硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和ISATAP隧道等),可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;双协议栈的支持和处理,使得无需改变网络架构,即可将现有网络无缝升级为下一代IPv6方案;丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要。
2.灵活完备的安全控制
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防DOS攻击、防黑客IP扫描机制等,还网络一片绿色环境;特有的CPU保护控制,对发送到CPU的数据进行带宽控制,以避免对CPU的恶意攻击;SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
3.强大的多应用支持能力
支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量多播服务的环境,实现网络的可扩展和多业务应用;支持IGMPv1/v2/v3全部版本,适应不同组播环境,满足组播安全应用的需要;支持丰富的路由协议如策略路由、等价路由、权重路由等的三层特性和业务特性,满足不同网络链路规划下的通信需要。
4.完善的QoS策略
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、2到7层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用以及不同应用所需要的服务质量特性,提供服务。
5.高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;支持VRRP虚拟路由器冗余协议,有效保障网络稳定。
6.方便易用易管理
SFP和电口任意选用的架构设计,可选配多种规格千兆接口模块,支持千兆铜缆、单/多模光纤接口模块的混合配置,支持模块热插拔,能极大方便用户灵活配置和扩展网络;简单网络时间协议(SNTP)保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;CLI界面方便高级用户配置和使用;Java-based Web管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。
五、出口路由器设备选型
出口路由器设备应具备的特点如下:全面的VPN业务可满足最多的客户需求;同时运行第2层虚拟电路、第2层VPN、第2.5层互通VPN、第3层2547 VPN、VPLS、IPSec、IP over IP和GRE等;扩展性高,可支持成千上万的VPN;低延迟、低抖动性能的高精度QoS,可支持话音、视频及其他实时应用;按DLCI、VP、VC、VLAN、信道(DS0)和端口QoS;分类、速率限制、整形、加权循环调度、严格优先级调度、加权随机早期检测、随机早期检测和数据包标记;第2层(802.1p、CLP、DE)映射到第3层QoS(IPDSCP、MPLSEXP);基于硬件的IPv6性能、MPLS IPv6、IPv6 over IPv4 GRE隧道、IPv6/IPv4双栈;强大的组播支持包括IGMP v1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGP VPN中的组播,以高效利用资源、传输高价值内容;基于网络的安全业务包括NAT和状态防火墙,以及按VRF的NAT和状态防火墙;用于汇聚链路的MLPPP、MLFR.15和MLFR.16,802.3ad;基于XML的Script API便于第三方和内部OSS开发;用于RE切换的无中断切换,具有无中断转发特性;联机软件升级可实现无中断的较小升级;MPLSFRR确保流量能够迅速地绕过故障;MPLSTE路径控制用于路径优化,结合了可预测的性能,可用于话音和视频等延迟敏感型业务;LSP ping等高级OA&M特性可用来排除MPLS的故障;IETF平稳协议重启机制可用来无中断重启IS-IS、BGP、OSPF、OSPFv3、LDP、RSVP、第2层VPN和第3层VPN;模块化RGNOS软件可确保某一个模块发生故障时不会对整个操作系统产生影响;用户友好的命令可对正在运行的网络安全地实施新配置,也可以回退到以前的工作配置。高性能NAT、状态型防火墙、攻击检测和通过多业务PIC实现的IPSec;隔离路由层面和控制层面,可利用状态型防火墙保护控制层面;Flow状态型数据包流监控带有标准的flowd v5和v8记录,可全面监控网络;扩展性高的过滤、单点发送RPF和速率限制可防止IP欺骗和DOS攻击;高性能IPSec和MPLS IPSec具有数字证书支持特性,可进一步加强安全性;其他无处不在的安全特性,如端口镜像、加密管理会话业务、安全隧道功能、安全远程登录和可配置的权限级别及用户账户。
六、用户地址选择
由于现在IPv6地址非常充分,IPv6的地址获得有多种方式,有静态指定IPv6地址,有动态获得IPv6地址。动态获得IPv6地址由两个部分组成,第一部分由IPv6三层交换机即楼栋汇聚三层交换机向客户分发IPv6地址前缀,第二部分结合用户计算机的MAC地址计算出来,前缀与MAC地址计算出来的部分就形成了IPv6的地址,这样不仅给用户使用IPv6网络带来了方便,同时针对用户来说也是透明的,非常方便用户端的接入。所以应选择动态获得IPv6地址的方式。
七、IPv6路由技术选择
将网络分为四个部分:用户端到楼栋汇聚交换机;楼栋汇聚交换机到主核心交换机;主核心交换机到出口路由器设备;出口路由器到外网。
1.用户端到楼栋汇聚交换机
目前校园网中还是以IPv4网络为主,结合学校现状,为了能够在不改变现有IPv4网络的情况下,在接入用户到楼栋三层汇聚设备之间启用双栈的形式,那么用户发过来的数据包不论是IPv4还是IPv6,双栈节点即楼栋三层交换机在链路层接收到数据段,即拆开并检查包头。如果IPv4/IPv6包头中的第一个字段,即IP包的版本号是4,该包就由IPv4栈来处理;如果版本号是6,则由IPv6栈处理,这样就可以在不改变用户原有IPv4配置情况下实现接入IPv6网络,非常方便进行用户端的实施和维护。
2.楼栋汇聚交换机到主核心交换机
从用户端到楼栋采用双栈的方式,结合学校具体的情况,如果用户发来的是IPv4数据包,在楼栋汇聚交换机到核心交换机直接采用IPv4的路由方式进行路由,如果用户端过来的是IPv6数据包,在楼栋汇聚交换机到核心交换机需要通过IPv4来传输IPv6的数据包,为了能够使IPv6的数据包穿透IPv4的网络,在楼栋汇聚交换机到主核心交换机之间采用隧道的方式,这样就可以有效处理IPv6数据包穿透IPv4网络的情况了。
3.主核心交换机到出口路由器
由于主核心交换机到出口路由器只有一条链路,为了部署简单,在主核心交换机和出口路由器采取双栈的方式,这样可以有效实现IPv4与IPv6的共存,而且使得出口设备维护非常简单。
4.出口路由器到外网
由于出口路由器连接多个出口,有IPv4的网络也有IPv6的网络,为了使到达出口路由器的数据包进行正常的转发,在出口路由器采取双栈方式,过来的是IPv4数据包则走IPv4的路由方式,IPv6数据包则走IPv6相关的路由,这样可以使维护出口非常简便,同时也可很好地实现多个不同运营商、不同协议的有效融合。☉
[1]徐志桐.在IPV4环境下部署IPV6网络的策略[J].中国新技术新产品,2009(9):40.
[2]边锋.基于IPv6网络设备选型指南IPv6应用迫在眉睫[J].中国计算机用户,2009(18):58-62.
[3]丛林,陈阳,邓北星,李星.CERNET2 IPv6网络层拓扑发现[J].厦门大学学报(自然科学版),2007(S2):6-8.
[4]程敏.基于IPv6的数字化校园网络系统的研究[J].机电信息,2009(24):167-168.
[5]石良武.接轨CERNET2纯IPv6网络核心交换机定性分析[J].计算机工程与设计,2007(18):4417-4453.
(编辑:隗爽)
book=17,ebook=26
TP393
A
1673-8454(2010)13-0017-03
湖南省教育厅科学研究项目“突破校园网瓶颈接轨CERNET2纯IPv6网络应用研究”(08C485);国家“十一五”教育规划课题“我国高校应用型人才培养模式研究”子课题“高等学校信息资源优化整合与教学网络平台研究与建设”(FIB070335-A8-17)。