立体管理的IPv6校园网络解决方案
概述
随着CERNET2骨干网的成功运行、IPv6驻地网出口改造完成,各高校IPv6校园网建设也陆续完善起来。国家在CNGI与IPv6试商用的整体重视和投入,极大推进了校园IPv6业务与用户的蓬勃发展。正式由于业务与用户的迅猛增长,致使双栈网络还是隧道过渡,已经不再是关注的重点。而如何能够将IPv6校园建设成和Iv4网络一样安全、可管理、可运营成为对校园信息化主管新的挑战。
挑战
管理好IPv6用户资源
在原有Iv4校园网中,用户管理一直是管理聚焦的环节,很多老师和供应商都设计、开发了相关技术以解决用户网络使用授权与运营、网络行为审计、用户攻击行为、安全准入等问题。而IPv6校园建设初期是以基础平台搭建为重点,缺乏对用户管理的有效手段,存在一定的用户资源不可控风险。比如基于IPv6的用户可控运营、IPv6非法网络行为审计、ND攻击与伪DHCv6服务等造成的安全隐患、Iv4与IPv6网络使用授权不统一的问题。
管理好IPv6业务资源
随着IPv6试商用建设在校园的部署,校园IPv6业务不断增加以满足更普遍的新业务服务。而IPv6业务在管理的维度将成为新的“黑盒子”,校园某些关键链路出现异常流量,而管理者并不清楚这是因为新业务正常增长而需要新的规划,还是因为某些安全隐患导致的异常;对于IPv6热点应用服务,也缺乏有效的服务质量保障。
管理好IPv6网络资源
每个学校都会有多个厂家提供的IPv6设备,数量规模不一,少则百余台多则近千台。庞大的IPv6网元组成的网络,有些部分是双栈,而有些部分则是纯IPv6协议,这样一张新网络需要实现有效管理,将会面临由于IPv6地址空间庞大而难以用传统技术生成拓扑的问题,以及厂家私有MIB充分管理利用的问题。
解决方案与价值实现
IPv6用户管理方案
IPv6安全准入——基于双栈或纯IPv6协议的802.1x等接入认证技术,验证IPv6用户准入权限,并记录其审计信息;
IPv6可信保障——ND攻击防御、伪DHC6防御等交换机技术特性(SAVI),防止IPv6接入环境的伪造行为,保障源地址真实可信;
IPv6业务运营——基于交换机MLD Snooing和用户认证管理技术,面向用户下发IPv6组播权限,并支持运营计费。
IPv6业务管理方案
H3C IPv6网络流量分析管理技术NTA over IPv6,支持分布式的SFLOW、分布式IFIX、可弹性扩容Netstream等多种方式进行双栈流量、纯IPv6流量数据采集,使IPv6校园网的业务分布情况、压力情况、变化趋势一目了然完全可视化。而对于IPv6业务集中的双栈数据中心,采用同时支持Iv4/IPv6的服务器负载均衡方案,帮助校园IPv6新热点业务大幅提升用户体验。
IPv6网络管理方案
H3C iMC在进行IPv6网络拓扑发现时,采用ND方式自动发现。该技术利用设备的ND信息,过滤出所有的全局IPv6地址,然后根据这些全局IPv6地址再次执行ND扫描,从而递归发现所有的网络设备。而该技术是基于公有IPv6-MIB(RFC2452)实现,只要第三方设备支持该MIB,就可以完成自动发现。而基于IPv6 ND的递归发现方式计算工作量大幅减小,极大提升了学校的管理工作效率。
小结
H3C 立体管理IPv6校园网解决方案,实现IPv6校园的安全、可控、可管和可运营,有效降低学校IPv6&Iv4 TCO,推进校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,为学校由IPv6试商用向正式商用提供了支撑。
相关阅读:IPv6校园网解决方案(上)
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
IP地址0.0.0.0能做什么?
IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……
-
无视IPv6连接?后果自负!
如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。
-
IPv6扩展报头:是好是坏?
IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。
-
如何避免IPv6“友邻发现”威胁?
IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。