IPv6過渡解決方案.ppt

1 IPv6過渡解決方案 nIPv6過渡技術(shù)需求分析 n傳統(tǒng)IPv6過渡技術(shù) n熱點IPv6過渡技術(shù) nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實踐應用 2 NATs necessary for IPv6, says IETF chair Housley holds out hope that NATs wont be in the Internet forever (Network World)22 July, 2008 09:28 For the Internet to continue growing, the bigger address space offered by IPv6 is needed. The original designers of IPv6 expected every host and router to begin running both IPv4 and IPv6 several years ago. This strategy would have resulted in a gradual transition, with all hosts and routers being able to use IPv6 long before IPv4 address allocations became a problem. However, the economic incentives were not in place to encourage IPv6 implementation and deployment. As a result, we need the capability to translate between IPv4 and IPv6 until every host and router supports IPv6. IPv6過渡技術(shù)的重要性 理想與現(xiàn)實之間的差距： 理想： 設計不兼容； “雙?！逼交葸M; 實際： “雙?！狈菑娭茍?zhí)行的技術(shù)標準； 4/6轉(zhuǎn)換技術(shù)必不可少； 3 在過渡到IPv6之前：首先要解決IPv4地址馬上要枯竭的問題： 目前，全球43 億IPv4 地址只剩下2.5 億(6%)，并以每年2 億的速度銳減，預計在2011 年底前耗盡。 中國電信現(xiàn)有上億規(guī)模的寬帶和移動用戶，但僅有7000 余萬的IPv4地址. 緊迫性 2010.06.30 2010.04.30 可用IPv4地址資源池的消耗速度正在加快。 4 IPv4IPv6 雙棧網(wǎng) 絡 雙棧終 端 雙棧 Internet 消耗IP地址的三大類設備： 終端規(guī)模； 【 TechSpot 】 報道，1月22日，全球網(wǎng)絡 監(jiān)控服務公司平道姆（Pingdom）發(fā)布了 一份2009年全球互聯(lián)網(wǎng)活動情況報告。截 至2009年9月，全球共有17.3億億互聯(lián)聯(lián)網(wǎng)用戶戶 ，比2008年增長了18%。 CP/SP規(guī)模; 【賽迪網(wǎng)訊】2010年1月26日消息，據(jù)國外 媒體報道，瑞典互聯(lián)網(wǎng)流量監(jiān)測機構(gòu) Pingdom近日公布的數(shù)據(jù)顯示，截至2009 年，全球網(wǎng)站數(shù)量已經(jīng)經(jīng)達到2.34億億家，而 .com域占8180萬個。 網(wǎng)絡規(guī)模； 按照每個終端用戶1001000的比例收斂 ，Internet網(wǎng)絡設備絡設備 的規(guī)規(guī)模在百萬/千萬的 量級級； 解決IPv4短缺問題如何著手 終端用戶消耗了最大數(shù)量的IPv4地址，并且最不可控， 是過渡技術(shù)關(guān)注的重點; 5 目錄 nIPv6過渡技術(shù)需求分析 n傳統(tǒng)IPv6過渡技術(shù) n熱點IPv6過渡技術(shù) nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實踐應用 6 IPv6的部署階段 IPv6孤島 IPv6孤島 IPv6孤島 協(xié)議轉(zhuǎn)換 IPv4 Internet IPv6 Internet IPv4孤島 IPv4孤島 IPv4 Internet IPv6孤島 IPv6孤島 IPv6 Internet IPv6的部署階段可以大致分為三個階段 ： lIPv6發(fā)展初期階段： IPv4占主導地位，IPv6以“孤島”的形 式存在，采用IPv6 over IPv4隧道技術(shù)將 IPv6孤島互連。 lIPv6與IPv4共存階段： IPv6規(guī)模擴大，出現(xiàn)IPv6骨干網(wǎng)絡， IPv4的業(yè)務依然大量存在，IPv6與IPv4 間的互訪需要協(xié)議轉(zhuǎn)換技術(shù)。 lIPv6占主導地位階段： Internet的骨干全部為IPv6，IPv4成為“ 孤島”，需要IPv4 over IPv6隧道實現(xiàn) IPv4孤島互連。 7 IPv6孤島互聯(lián)技術(shù) 采用隧道技術(shù)來完成互通 IPv6報文作為IPv4的載荷，或由 MPLS承載 主要隧道技術(shù)包括： 手工隧道 GRE隧道 自動隧道 6to4隧道 ISATAP隧道 6PE l優(yōu)點 充分利用現(xiàn)有網(wǎng)絡 骨干網(wǎng)內(nèi)部設備無須升級 l缺點 額外的隧道配置 效率降低 8 GRE隧道技術(shù) GRE隧道技術(shù) IPv6報文被包含在GRE報文中作為GRE的載荷 優(yōu)點 通用性好 技術(shù)成熟，易于理解 缺點 維護復雜 IPv4報頭IPv6報頭IPv6有效數(shù)據(jù) IPv4有效數(shù)據(jù) GRE 報頭 9 GRE隧道技術(shù)的流程 發(fā)送方與接收方都是雙棧設備 隧道已預先建立好 發(fā)送方封裝報文，接收方解封裝 IPv6孤島IPv6孤島 IPv4網(wǎng)絡 隧道 雙棧 雙棧 IPv6主機IPv6主機 IPv6報頭+數(shù)據(jù) IPv6報頭+數(shù)據(jù) IPv6報頭+數(shù)據(jù) IPv4報頭 源： 目的： GRE報頭 10 手動隧道技術(shù) 手動隧道技術(shù) IPv6報文被包含在IPv4報文中作為IPv4的載荷 同GRE隧道有類似的優(yōu)缺點 IPv4報頭IPv6報頭IPv6有效數(shù)據(jù) IPv4有效數(shù)據(jù) 11 自動隧道技術(shù) 自動隧道技術(shù) 目的地址為IPv4兼容IPv6地址，包含的IPv4地址即為隧道末端 IPv4兼容IPv6地址: 0:0:0:0:0:0:a.b.c.d 適用于不經(jīng)常性的IPv6節(jié)點連接需求 優(yōu)點 不需要為每條隧道預先配置 維護方便 缺點 目的地址要求是IPv4兼容IPv6地址 12 自動隧道技術(shù)的流程 發(fā)送方與接收方都是雙棧設備 發(fā)送方在發(fā)送時根據(jù)目的地址建立隧道 發(fā)送方封裝報文，接收方解封裝 IPv4網(wǎng)絡 隧道 雙棧設備 雙棧設備 IPv6報頭+數(shù)據(jù)IPv6報頭+數(shù)據(jù)IPv4報頭 IPv4地址： IPv6地址：: 源： 目的： 源：: 目的：: IPv4地址： IPv6地址：: 13 6to4隧道技術(shù) 6to4隧道技術(shù) 目的地址為6to4地址，包含的IPv4地址即為隧道末端 6to4地址: 2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx 可通過6to4中繼路由器，使6to4網(wǎng)點連接到大的純IPv6網(wǎng)絡 優(yōu)點 不需要為每條隧道預先配置，維護方便 缺點 整個IPv6網(wǎng)點使用特殊的6to4地址 6to4地址 14 6to4隧道技術(shù)的流程 6to4網(wǎng)絡 IPv4網(wǎng)絡 隧道 6to4邊緣 IPv6主機 IPv6主機 IPv6報頭+數(shù)據(jù) IPv6報頭+數(shù)據(jù) IPv6報頭+數(shù)據(jù) IPv4報頭 6to4網(wǎng)絡 6to4邊緣 2002:0901:0203:/48 2002:8001:0203:/48 純IPv6網(wǎng)絡 6to4中繼 3FFE:ABCD:/48 源： 目的： 同自動隧道技術(shù)類似 6to4中繼 通往純IPv6網(wǎng)絡的網(wǎng)關(guān) 15 ISATAP隧道技術(shù) ISATAP隧道技術(shù) 連接IPv4網(wǎng)點內(nèi)部的IPv6主機和IPv4/IPv6雙棧路由器 將IPv4網(wǎng)點作為一個NBMA鏈路，在IPv4報文中封裝IPv6報文 優(yōu)點 IPv4網(wǎng)點內(nèi)部的IPv6主機可自動獲得IPv6前綴 IPv6網(wǎng)絡 IPv4網(wǎng)絡 雙棧 v4/v6主機IPv6主機 IPv4地址： IPv6地址：1:5EFE: ND協(xié)議可跨網(wǎng)段進行 IPv4地址： IPv6地址：1:5EFE: 16 6PE/6VPE 通過IPv4或MPLS網(wǎng)絡連接多個IPv6 孤島，使用BGP交換IPv6可達信息 6PE中，IPv6網(wǎng)絡可被看作類似IPv4 VPN的一個網(wǎng)絡，多個IPv6孤島屬于同一VPN； 6VPE中，多個IPv6網(wǎng)絡可以劃分到不同IPv6 VPN中。利用VPN機制在PE之間建立隧道 連接,可以充分利用已有MPLS或VPN網(wǎng)絡 在BGP進行路由交換時，6VPE比6PE多了VPN標記。 MPLS/IPv4網(wǎng)絡 IPv4 VPN 純IPv6網(wǎng)絡 IPv6 VPN IPv6 VPN IPv6 IPv4 VPN IPv6 17 NAT-PT原理 NAT-PT的工作原理 類似于傳統(tǒng)NAT，但是將IPv6地址和IPv4地址互相轉(zhuǎn)換，另加上協(xié)議 轉(zhuǎn)換 通過中間的NAT-PT協(xié)議轉(zhuǎn)換服務器，實現(xiàn)純IPv6節(jié)點和純IPv4節(jié)點間 的互通 NAT-PT服務器分配IPv4地址來標識IPv6主機 NAT-PT服務器向相鄰IPv6網(wǎng)絡宣告96位地址前綴信息，用于標識IPv4 主機 優(yōu)點 只需設置NAT-PT服務器 缺點 資源消耗較大，服務器負載重，NAT-PT設備是性能瓶頸 18 NAT-PT種類 靜態(tài)NAT-PT NAT-PT服務器提供一對一的IPv6地址和IPv4地址的映射 配置復雜，使用大量的IPv4地址 動態(tài)NAT-PT NAT-PT服務器提供多對一的IPv6地址和IPv4地址的映射 采用上層協(xié)議復用的方法 NAT-PT DNS ALG 動態(tài)NAT-PT與DNS ALG聯(lián)合使用，轉(zhuǎn)換DNS請求 可利用原有的DNS服務器 19 靜態(tài)NAT-PT轉(zhuǎn)換過程 IPv6網(wǎng)絡 IPv6主機IPv4主機 IPv4網(wǎng)絡 映射地址： =1:1 2:2 = IPv6報頭+數(shù)據(jù)IPv4報頭+數(shù)據(jù) 1:1 NAT-PT轉(zhuǎn)換服務器 源： 1:1 目的：2:2 源： 目的： 源： 目的： 源 ： 2:2 目的： 1:1 20 動態(tài)NAT-PT轉(zhuǎn)換過程 IPv6網(wǎng)絡 IPv6主機 IPv4主機 IPv4網(wǎng)絡 IPv4地址池 - 映射地址：1:1 = =prefix: IPv6報頭+數(shù)據(jù)IPv4報頭+數(shù)據(jù) 1:1 NAT-PT轉(zhuǎn)換服務器 源： 1:1 目的：prefix: 源： 目的： 源： 目的： 源：prefix: 目的： 1:1 21 NAT-PT DNS ALG轉(zhuǎn)換過程 IPv6網(wǎng)絡 IPv6主機 IPv4主機 IPv4網(wǎng)絡 IPv4地址池 - 映射地址：1:1 = =prefix: =prefix: Pc1:1:1 Pc2: NAT-PT轉(zhuǎn)換服務器 源： 1:1 目的：prefix: 源： 目的： 源： 目的： 源：prefix: 目的： 1:1 IPv4 DNS Server 源： 1:1 目的：prefix: Whos Pc2(type AAAA) 源： 目的： Whos Pc2(type A) 源： 目的： Pc2 is (type A) 源：prefix: 目的： 1:1 Pc2 is prefix: (type AAAA) 22 目錄 nIPv6過渡技術(shù)需求分析 n傳統(tǒng)IPv6過渡技術(shù) n熱點IPv6過渡技術(shù) nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實踐應用 23 過渡技術(shù)匯總 序號HostNetworkCP/SP技術(shù)分類具體技術(shù) 分析 14/64/64/6雙棧雙棧 無法解決運營商IPv4地址短 缺問題 2444X424 NAT/NAPT NAT444 臨時措施，無法過渡到IPv6 3446X426 NAT-PT(RFC2766)建議有訪問IPv6資源的 IPv4主機強制轉(zhuǎn)換到IPv6； 4466 5644X624 有狀態(tài)類： NAT64(IETF) 無狀態(tài)： AFT(IVI) 過渡必須技術(shù)； 分有狀態(tài)與無狀態(tài)兩大類別 ； 6664 7646 X646 各種6over4隧道技術(shù) 6rd（IETF ） 基于IPv4網(wǎng)絡快速部署 IPv6業(yè)務; 8464 X464 孤島互聯(lián)： 4over6隧道 轉(zhuǎn)換技術(shù)： DS-Lite（IETF） 純4 over 6的隧道技術(shù)節(jié)省 不了IP地址; NAT464轉(zhuǎn)換技術(shù)目前大家 關(guān)注重點； 9666無 24 轉(zhuǎn)換技術(shù)分析NAT444 優(yōu)點：臨時解決IPv4短缺問題； 缺點：運營商網(wǎng)絡IPv4地址規(guī)劃， IPv4路由昏亂，不好管理； 對運營商來說，無法過渡到IPv6； X424類技術(shù) 25 轉(zhuǎn)換技術(shù)分析有狀態(tài)AFT(NAT64) 優(yōu)點： 缺點：有狀態(tài)連接，NAT64網(wǎng)關(guān)需要保留6、4地址池以及映射關(guān)系; 其它技術(shù)：NAT-PT X624類技術(shù) 26 IVI技術(shù)背景 IVI使用實現(xiàn)了IVI功能的IVI路由器連接IPv4與IPv6網(wǎng)絡，并在IVI路由器上進行IPv4與IPv6數(shù)據(jù)包的對 譯，以實現(xiàn)互訪，同時又不對原IPv4和IPv6網(wǎng)絡造成影響。在IVI路由器上實現(xiàn)的IVI功能主要有兩個 ： 一個是地址映射， 即通過統(tǒng)一的規(guī)則實現(xiàn)IPv4地址與IPv6地址的一一映射，以進行地址的翻譯； 另一個是協(xié)議翻譯， 即根據(jù)標準規(guī)定，實現(xiàn)IPv4/ICMPv4協(xié)議和IPv6/ICMPv6協(xié)議各字段的對譯，同時更新 TCP/UDP協(xié)議的相關(guān)字段，完成完整的數(shù)據(jù)包翻譯操作。 IVI的初衷是解決IPv4孤島通過IPv6骨干網(wǎng)的互聯(lián)問題； 27 IVI地址映射 (1) 根據(jù)IPv6地址的分配辦法，絕大部分服務提供商均有大于或等于/32 的IPv6地址前綴，IVI機制即以該/32地址前綴作為翻譯過程中的地址 前綴。 (2) 3239的8個bit為全1。 (3) 4072為32位IPv4地址的1：1映射； (4) 72127全零； 28 轉(zhuǎn)換技術(shù)分析無狀態(tài)AFT(IVI) 優(yōu)點：X64網(wǎng)關(guān)無狀態(tài)，不用保留地址映射關(guān)系，規(guī)模容易擴展； 缺點：對IPv6的主機有嚴格的地址規(guī)劃要求， 要求內(nèi)嵌公網(wǎng)IP地址 ，無法解決IPv4地址短缺的問題。 X624類技術(shù) 29 1:N IVI技術(shù) 優(yōu)點：與1:1的IVI技術(shù)相比，能達到節(jié)省IPv4地址的目的； 缺點：IPv6主機地址規(guī)劃比較復雜; 非IVI IPv6主機還需要在接入側(cè)部署第二個IVI網(wǎng)關(guān)（dIVI）; 1：N XLATE網(wǎng)關(guān)沒有映射池，但還要進行4/6協(xié)議轉(zhuǎn)換; 主機通過 A+P地址池 共享同一個 公網(wǎng)IP地址 dIVI 轉(zhuǎn)換網(wǎng)關(guān) 30 IVI技術(shù)總結(jié) 1、IVI技術(shù)核心內(nèi)容較少， 主要就是地址映射規(guī)則的定義； 2、IVI并不能獨立組網(wǎng)： 協(xié)議翻譯部分遵從SIIT； 沒有解決ALG問題，在部署時仍然需要ALG； 3、IVI地址浪費嚴重： 實際上只有前32位可以給IPv6網(wǎng)絡使用。32位是從APNIC申請的，其它8位 運營商是全F， IVI地址后面全部為0，地址空間浪費嚴重; 4、在X624地址轉(zhuǎn)換中的缺陷： 1：1的IVI技術(shù)， 能做到無狀態(tài)，但需預先規(guī)劃IPv6地址，管理工作量大； 1：N的IVI技術(shù)， 需要在IPv6接入側(cè)再增加一個針對IPv6地址的轉(zhuǎn)換網(wǎng)關(guān)， 是有狀態(tài)的，喪失了優(yōu)勢； 31 DS-Lite組網(wǎng)技術(shù) CPE CPE CPE N-PE IPv6接入網(wǎng) IPv4 InternetIPv6 Internet IPv4 over IPv6 tunnel IPv4/IPv6主機 IPv6主機IPv4主機 解隧道封裝后N- PE對私網(wǎng)報文做 NAPT轉(zhuǎn)換，轉(zhuǎn)成 公網(wǎng)IPv4 私網(wǎng)IPv4報文 封裝進入IPv6 隧道 X464類技術(shù) 先基于NAPT,將公網(wǎng) IPv4轉(zhuǎn)化為私網(wǎng)IPv4， 再將報文轉(zhuǎn)發(fā)至CPE的 隧道 解除IPv6隧道 ，報文轉(zhuǎn)發(fā)至 用戶 如何節(jié)約IPv4？ IPv4主機采用私網(wǎng)IP地址規(guī)劃； 接入網(wǎng)采用IPv6， 網(wǎng)絡設備不需要跑雙棧; N-PE設備下所有的C-PE可以共享同一個NAPT地址池; NAPT Tunnel Tunnel 32 DS-Lite(A+P) X464類技術(shù) 區(qū)別： 把N-PE上做的NAPT轉(zhuǎn)換功能分散到下面各個CPE設備上; 本方案相比DS-Lite的優(yōu)點： N-PE設備無狀態(tài)，負擔輕，容易實現(xiàn)高性能；方便做備份與負載分擔； 下行IPv4流量 基于Address + Port的策略 路由進入IPv6 隧道 對私網(wǎng)IPv4做 NATPT轉(zhuǎn)為公 網(wǎng)IPv4地址后 再入IPv6隧道 CPE CPE CPE N-PE IPv6接入網(wǎng) IPv4 InternetIPv6 Internet IPv4 over IPv6 tunnel IPv4/IPv6主機 IPv6主機IPv4主機 解除IPv6隧道 ，做NAPT,把 公網(wǎng)IPv4轉(zhuǎn)為 私網(wǎng)IPv4 上行流量直接 轉(zhuǎn)往公網(wǎng) Tunnel NAPT Tunnel 33 DNS/DHCP Server NPE 1. CPE上電，從NPE獲取設備WAN口IPv6地址， 以及 用于IPv4地址轉(zhuǎn)換的公網(wǎng)IPv4 A+P地址池; NPE同時創(chuàng) 建一條基于IPv4A+P地址策略的4over6隧道到CPE設備 IPv4 Host 私網(wǎng)IPv4 IPv6 TUNNELIPv4公網(wǎng) IPv4主機訪問IPv4應用: DS- Lite(A+P) X464轉(zhuǎn)換場景 PE-AGG CPE IPv6城域網(wǎng) IPv4 Internet 2. Host完成DNS解析（DNS可任意部署， 過程忽略）， 向CPE發(fā)送一個IPv4報文 3. CPE首先進行NAPT轉(zhuǎn)化；把Host的私網(wǎng)IPv4地址與 端口號修改為A+P地址池中的數(shù)值,并保留映射關(guān)系; CPE把報文封裝進入IPv6隧道，并發(fā)送至NPE 4. NPE剝掉IPv6隧道，將報文轉(zhuǎn)發(fā)至IPv4 Internet 5. IPv4應用的回應報文 6. NPE基于A+P的策略進行策略路由，進IPv6隧道 7. CPE剝掉IPv6隧道， 根據(jù)映射表， 對IPv4進行A+P地址轉(zhuǎn)換 34 DS-Lite(A+P)如何減少連接狀態(tài) CPE A CPE B CPE C N-PE IPv6接入網(wǎng) IPv4 InternetIPv6 Internet IPv4/IPv6主機 IPv4主機IPv4主機 N-PE對下行流量需要維護的表項（可事先 創(chuàng)建）： ACL1: if source IP = 0 AND 0= port = 255; Forward IPv4 to IPv6 tunnel to CPEA ACL2: if source IP = 0 AND 256= port = 511; Forward IPv4 to IPv6 tunnel to CPEB ACL3: if source IP = 0 AND 512= port = 767; Forward IPv4 to IPv6 tunnel to CPEC CPE A NAPT地址池： IPv4：0 Port 范圍（0255） CPE B NAPT 地址池： IPv4：0 Port 范圍（256511） CPE C NAPT 地址池： IPv4：0 Port 范圍（512767） N-PE入tunnel的表項根據(jù)CPE設備來建立 ，N-PE不需要像NAPT設備那樣為每個 Host發(fā)起的連接建立連接狀態(tài)表： 無狀態(tài)好處： 設備冗余保護與負載分擔容易實現(xiàn)； 可實現(xiàn)高性能處理; 不容易遭到針對狀態(tài)連接的攻擊，安全 性較高; 35 運營商過渡技術(shù)總結(jié) 過渡技術(shù)必不可少； 傳統(tǒng)過渡技術(shù)分類： 雙棧、孤島互聯(lián)、轉(zhuǎn)換； 熱點過渡技術(shù)： 好的過渡技術(shù)要結(jié)合運營商實際業(yè)務場景， 綜合考慮過渡技術(shù)； 目前為止，沒有一種過渡技術(shù)解決所有問題， 運營商也在抓緊試點； DS-Lite， IVI ，NAT444, NAT64等被關(guān)注； 36 目錄 nIPv6過渡技術(shù)需求分析 n運營商IPv6過渡技術(shù)介紹 nH3C運營商IPv6解決方案 nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實踐應用 37 IPv6網(wǎng)絡升級建議 評估現(xiàn)有網(wǎng)絡中的產(chǎn)品制定遷移計劃 評估需要升級到IPv6 的服務 制定地址分配方案 部署后進行后續(xù) 必要的培訓 建立IPv6的測試環(huán)境 IPv6的 網(wǎng)絡部署 預先計劃，逐步升級預先計劃，逐步升級 38 數(shù)據(jù)中心IPv6建設方案 數(shù)據(jù)中心虛擬化 數(shù)據(jù)中心存儲與災備 數(shù)據(jù)中心應用優(yōu)化 數(shù)據(jù)中心高可用 數(shù) 據(jù) 中 心 運 維 管 理 前 端 網(wǎng) 絡絡 后 端 網(wǎng) 絡絡 核心交換機FirewallIPS匯聚交換機接入交換機 WAN優(yōu)化 防毒卡 應用優(yōu) 化 安全管理 網(wǎng)管監(jiān)控日志分析磁盤陣列 存儲 應用優(yōu)化網(wǎng)絡 虛擬化平臺 數(shù)據(jù)中心安全 u核心層設備升級為雙棧，IPv4/IPv6服務器/雙棧服務器分區(qū)部署 u采用IRF技術(shù)整合核心層和接入層設備，提高網(wǎng)絡的可靠性 u使用IPS/FW/LB板卡提高安全性，通過安全虛擬化特性控制業(yè)務 u支持自動部署和配置，服務器即連即用 H3C數(shù)據(jù)中心解決方案 39 雙棧數(shù)據(jù)中心建設 n應用部署方式1：從WEB層到數(shù)據(jù)庫層建 設端到端的IPv6服務器 n應用部署方式2：僅升級前端WEB層，與 后端的中間件及數(shù)據(jù)庫通信仍然采用IPv4， 這是一種過渡的服務器部署方式 IPV4應用 IPV6應用 IPV4應用 IPV6應用 n高性能：雙棧設備組網(wǎng)，建設高性能 的雙棧數(shù)據(jù)中心 n高安全：使用雙棧防火墻配合雙棧應 用的隔離 n高可靠：使用H3C的IRF2技術(shù)滿足數(shù) 據(jù)中心建設的高可靠性要求 H3C S12500H3C S12500 雙棧數(shù)據(jù)中心雙棧數(shù)據(jù)中心 核心交換機核心交換機 40 園區(qū)網(wǎng)IPv6建設方案 H3C虛擬園區(qū)網(wǎng)解決方案 u網(wǎng)絡 u用戶側(cè)采用雙棧建設 u網(wǎng)絡承載層從接入層，匯聚層到核心層采用IRF技術(shù)橫向整合 u采用MPLS VPN及6VPE技術(shù)縱向隔離，實現(xiàn)網(wǎng)絡路徑虛擬化 u業(yè)務 u終端準入認證，智能聯(lián)動安全管理 u用戶、資源、業(yè)務統(tǒng)一管理 41 園區(qū)網(wǎng)IPv6建設方案 雙棧核心交換機 CERNET CERNET2 雙棧匯聚交換機 接入層交換機 IPv4服務器區(qū) NAT-PT IPv6服務器區(qū) IPv6服務器一般 用于純IPv6用戶 或雙棧用戶訪問 可以不部署NAT-PT IPv4提供服務占 大多數(shù)，需要保 證所有的用戶都 能夠進行訪問 雙棧出口路由器 雙棧用戶進行接入 從出口/核心/匯聚 滿足用戶接入要求 無線用戶通過無線 控制器接入IPv6 匯聚層交換機上通 過擴展無線控制器 插卡接入無線用戶 匯聚層交換機上擴 展防火墻插卡提升 園區(qū)網(wǎng)安全水平 42 廣域網(wǎng)IPv6建設方案 面向業(yè)務的網(wǎng)絡 精細化QoS HQoS、TE、VOQ 廣域EAD準入控制 網(wǎng)絡融合安全插卡 廣域網(wǎng)加速 組件化的統(tǒng)一管理平臺 基于TR069的分支管理 SLA，iAR智能報表 面向業(yè)務的架構(gòu) 模型可持續(xù)發(fā)展 扁平化、區(qū)域中心、雙 平面 面向業(yè)務的應 用可持續(xù)發(fā)展 IPv4/v6，單播/組播 面向業(yè)務的廣域 網(wǎng)虛擬化 L3/L2 MPLS VPN、VPE 面向業(yè)務的網(wǎng) 絡高可靠性 BFD、GR、NQA H3C 廣域網(wǎng) 解決方案 一體化業(yè)務安全和智能 IPv4/V6互聯(lián)的網(wǎng)絡 面向業(yè)務的統(tǒng)一管理 u使用雙棧、NAT以及隧道等技術(shù)實現(xiàn)IPv4和IPv6網(wǎng)點的互聯(lián)互通 u運營級IPv4地址轉(zhuǎn)換技術(shù)，有效減少IPv4公網(wǎng)地址的使用 43 目錄 nIPv6過渡技術(shù)需求分析 n運營商IPv6過渡技術(shù)介紹 nH3C運營商IPv6解決方案 nH3C行業(yè)IPv6解決方案 nH3C的IPv6產(chǎn)品規(guī)格 nH3C的IPv6實踐應用 44 H3C的IPv6技術(shù)發(fā)展 MSR系列路由器 獲得信產(chǎn)部IPv6入網(wǎng)證 S9500通過 IPv6 Phase II認證 MSR系列、 S7500E通過 IPv6 Phase II認證 S5500/S5510/S3610 通過 IPv6 Phase II認證 開始Comware V5 IPv6軟件平臺開發(fā) 發(fā)布Comware V5 IPv6軟件平臺 30余個高校 陸續(xù)開通IPv6 S9500獲得信產(chǎn)部IPv6入網(wǎng)證 MSR IPv6路由器發(fā)布 S7500E 獲得 信產(chǎn)部IPv6入網(wǎng)證 全系列網(wǎng)絡產(chǎn)品 通過Tolly測試 CERNET2駐地網(wǎng) S7500E成功部署 2003.112003.11 2006.62006.6 2006.72006.7 2006.92006.9 2006.112006.11 2007.12007.1 2007.32007.3 2007.42007.4 2007.122007.12 20082008 20092009 全國高校IPv6 駐地網(wǎng)項目份額 近60% 2010 2010 集成H3C的IRF,多業(yè)務 設備提供更加智能，可靠 彈性的IPv6網(wǎng)絡 45 H3C的IPv6核心技術(shù) u硬件加速技術(shù)：ASIC/NP/FPGA 專利號專利中文名稱 200610142815.9一種支持IPv6業(yè)務的方法及其應用的交換設備 200710119887.6建立IPv6隧道的方法、IPv6隧道通信方法及IPv4邊緣設備 200710121819.3防止IPv6報文攻擊的方法及網(wǎng)絡設備 200810000774.9實現(xiàn)隧道邊緣設備IPv6路由信息自動學習的方法的系統(tǒng) 200810147001.3防止IPv6數(shù)據(jù)報文攻擊的方法、裝置和交換路由設備 200810224468.3在6to4網(wǎng)絡間轉(zhuǎn)發(fā)IPv6組播報文的方法及6to4設備 200910085817.2IPv6 over IPv4隧道切換方法及設備 200910086128.3IPv6網(wǎng)絡中鄰居表保護方法及鄰居表保護裝置 200910143921.2一種防止鄰居發(fā)現(xiàn)協(xié)議報文攻擊的方法及裝置 200910086572.5一種防止偽造報文攻擊的方法和中繼設備 200910162577.1一種IPv6網(wǎng)絡中發(fā)送IPv4流量的方法和裝置 。 。 。 uIPv6專利申請數(shù)超過50件 46 H3C的IPv6規(guī)格-路由器 基本功能IPv6 ND、IPv6 PMTU、雙棧轉(zhuǎn)發(fā)、 IPv6 ACL、ICMPv6、DHCPv6 Server/Proxy 隧道技術(shù)IPv6手動隧道、IPv6-over-IPv4 、 GRE隧道、IPv4兼容IPv6自動隧道、 6to4隧道、ISATAP隧道、6PE、DS- Lite NATNATPT，NAT64 、IVI(1:1) 路由靜態(tài)路由，RIPng，OSPFv3，IS-ISv6 ，BGP4+ 組播協(xié)議MLDv1/v2、PIM6-DM、PIM6-SM、 PIM6-SSM SR & MSR系列