IPv6網(wǎng)絡(luò)部署原則
目前國內(nèi)的各類園區(qū)網(wǎng)絡(luò)、行業(yè)網(wǎng)絡(luò)大部分為只支持IPv4的網(wǎng)絡(luò),由于IPv4與IPv6的完全不兼容,所以無法實(shí)現(xiàn)IPv4到IPv6網(wǎng)絡(luò)的自然升級(jí)和平滑過渡。少部分網(wǎng)絡(luò)的部分設(shè)備支持通過升級(jí)軟件或者添加基于NP的智能板卡升級(jí)到IPv6網(wǎng)絡(luò),但還是存在其他部分網(wǎng)絡(luò)不支持IPv6的問題。
從技術(shù)上,當(dāng)前網(wǎng)絡(luò)要支持IPv6,必須有支持IPv6硬件轉(zhuǎn)發(fā)的IPv6網(wǎng)絡(luò)設(shè)備,不管是通過對(duì)現(xiàn)有設(shè)備升級(jí)實(shí)現(xiàn)還是購買新的IPv6網(wǎng)絡(luò)設(shè)備。本解決方案著重討論通過添加新的IPv6網(wǎng)絡(luò)設(shè)備給現(xiàn)有網(wǎng)絡(luò)添加IPv6支持功能,通過新IPv6網(wǎng)絡(luò)設(shè)備可以構(gòu)建IPv6實(shí)驗(yàn)網(wǎng)絡(luò)或者IPv6園區(qū)網(wǎng)絡(luò),新建的網(wǎng)絡(luò)中心可以提供原生的IPv6協(xié)議支持,同時(shí)通過雙棧技術(shù)和隧道技術(shù)對(duì)原IPv4網(wǎng)絡(luò)中的IPv4用戶進(jìn)行IPv6接入覆蓋。
目前部署IPv6有一個(gè)很重要的原則,那就是除了少數(shù)科研IPv6網(wǎng)絡(luò)之外,新建的IPv6網(wǎng)絡(luò)一定是一個(gè)既支持IPv6也支持IPv4的網(wǎng)絡(luò),而不是純的IPv6網(wǎng)絡(luò)。IPv4與IPv6將長期共存,直至IPv4完全消失,因?yàn)楹荛L時(shí)間以內(nèi)基于IPv4的網(wǎng)絡(luò)資源還會(huì)大量存在,所以那種認(rèn)為IPv6可以迅速替代IPv4并摒棄IPv4的想法在現(xiàn)實(shí)中是行不通的。
IPv6園區(qū)網(wǎng)解決方案
隨著此次駐地網(wǎng)信息點(diǎn)大幅增加,原有的以ISATAP隧道、配置隧道為主的低速過渡模式已經(jīng)不能滿足約來越多的IPv6訪問需求,建設(shè)高速雙棧園區(qū)網(wǎng)已經(jīng)成為不可逆轉(zhuǎn)的趨勢。為此建立此次IPv6網(wǎng)絡(luò)建設(shè)為雙棧分布式園區(qū)網(wǎng),匯聚層以上交換設(shè)備必須支持硬件ASIC雙棧,本節(jié)根據(jù)網(wǎng)絡(luò)規(guī)模與實(shí)際節(jié)點(diǎn)數(shù)量不同分別給出了幾種建議方案,方便網(wǎng)絡(luò)建設(shè)時(shí)根據(jù)實(shí)際情況選用不同的方案。
20000點(diǎn)以上IPv6園區(qū)網(wǎng)解決方案
圖 1 20000點(diǎn)以上園區(qū)網(wǎng)建議方案
如圖1所示,方案采用可靠穩(wěn)定的星型結(jié)構(gòu),模塊化設(shè)計(jì),核心層采用2臺(tái)DCRS-9816機(jī)箱式十萬兆路由交換機(jī),采用VRRP實(shí)現(xiàn)雙機(jī)熱備。根據(jù)需求也可以和其它區(qū)域的核心交換互聯(lián),擴(kuò)展為環(huán)網(wǎng),以增強(qiáng)骨干核心的交換能力。DCRS-9800系列交換機(jī)是神州數(shù)碼最高端的N*100G高端平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPv6
核心路由交換機(jī),支持基于ASIC的分布式硬件IPv6轉(zhuǎn)發(fā)方式,可以在本地實(shí)現(xiàn)IPv6報(bào)文的處理,并可在接口模塊內(nèi)部及模塊與背板間實(shí)現(xiàn)IPv6報(bào)文的線速轉(zhuǎn)發(fā),避免了集中式轉(zhuǎn)發(fā)的瓶頸和時(shí)延問題,為IPv6真正走向大規(guī)模商用提供了有力保障。
匯聚層采用神州數(shù)碼DCRS-7608做為萬兆大匯聚設(shè)備;DCRS-5950做為萬兆小匯聚。提供基于領(lǐng)先技術(shù)的卓越性能和可靠性。提供萬兆、千兆等豐富的網(wǎng)絡(luò)接口,在未來的應(yīng)用中可以直接擴(kuò)展到萬兆及IPV6的應(yīng)用。
出口安全防護(hù)采用神州數(shù)碼DCFW-1800E-10G終結(jié)者多核防火墻,該產(chǎn)品專為萬兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商,大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),2U專用萬兆線速安全平臺(tái),完全模塊化可擴(kuò)展結(jié)構(gòu),設(shè)備采用64位多核多線程處理器芯片和高速交換總線技術(shù),實(shí)現(xiàn)了芯片級(jí)的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。同時(shí),神州數(shù)碼終結(jié)者系列多核防火墻可以全面支持IPv6,實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。
10000點(diǎn)以上IPv6園區(qū)網(wǎng)解決方案
圖 2 10000點(diǎn)以上園區(qū)網(wǎng)建議方案
如圖2所示,方案核心層采用2臺(tái)DCRS-7608機(jī)箱式萬兆路由交換機(jī),采用VRRP實(shí)現(xiàn)雙機(jī)熱備。DCRS-7600系列路由交換機(jī)為豐富多變的企業(yè)網(wǎng)絡(luò)、精準(zhǔn)苛刻的電信網(wǎng)絡(luò)提供了無與倫比的下一代IP通信新核心。DCRS-7600系列路由交換機(jī)完善的IPv6特性、出色的安全體系設(shè)計(jì)、優(yōu)良高效的網(wǎng)絡(luò)管理、先進(jìn)的萬兆功能以及運(yùn)營商級(jí)的可靠性,不僅保證了IPv6/v4復(fù)雜網(wǎng)絡(luò)的安全和穩(wěn)定,同時(shí)幫助您的企業(yè)切實(shí)提升商務(wù)效率和競爭力、顯著縮減總體擁有成本,成為您構(gòu)建下一代網(wǎng)絡(luò)的主力軍。
匯聚交換機(jī)采用DCRS-6804與DCRS-5950路由交換機(jī),與核心交換機(jī)萬兆光纖雙歸屬上聯(lián),增強(qiáng)網(wǎng)絡(luò)可靠性。其中上網(wǎng)人數(shù)較多區(qū)域,采用性能相對(duì)較高的DCRS-6804做匯聚,上網(wǎng)人數(shù)相對(duì)較少的區(qū)域可以采用DCRS-5950做匯聚。
出口安全防護(hù)采用神州數(shù)碼DCFW-1800E-8G終結(jié)者多核防火墻,該產(chǎn)品專為千兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商,大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),2U專用千兆線速安全平臺(tái),完全模塊化可擴(kuò)展結(jié)構(gòu),設(shè)備采用64位多核多線程處理器芯片和高速交換總線技術(shù),實(shí)現(xiàn)了芯片級(jí)的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。同時(shí),神州數(shù)碼終結(jié)者系列多核防火墻可以全面支持IPv6,實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。
5000點(diǎn)以上IPv6園區(qū)網(wǎng)解決方案
圖 3 5000點(diǎn)以上園區(qū)網(wǎng)建議方案
如圖3所示,核心層采用2臺(tái)DCRS-6808機(jī)箱式十萬兆路由交換機(jī)做雙機(jī)熱備,實(shí)現(xiàn)網(wǎng)絡(luò)的可靠性,根據(jù)實(shí)際的情況也可以采用單機(jī)核心設(shè)計(jì),DCRS-6800系列路由交換機(jī)率先通過最為苛刻的國際IPv6
Ready第二階段認(rèn)證、IPv6金牌增強(qiáng)認(rèn)證以及DHCPv6認(rèn)證。借助芯片級(jí)的轉(zhuǎn)發(fā)能力和多樣化的業(yè)務(wù)支持,以及較高的性價(jià)比,DCRS-6800系列成為企業(yè)級(jí)網(wǎng)絡(luò)和電信城域匯聚層部署IPv6的最佳解決方案的一部分。
匯聚層采用神州數(shù)碼DCRS-5950系列交換機(jī),與核心交換機(jī)萬兆光纖雙歸屬上聯(lián),增強(qiáng)網(wǎng)絡(luò)可靠性。DCRS-5950系列交換機(jī)是神州數(shù)碼網(wǎng)絡(luò)推出的盒式高性能硬件IPv6萬兆路由交換機(jī),該系列交換機(jī)采用硬件ASIC芯片實(shí)現(xiàn)IPv4與IPv6雙協(xié)議棧,可全線速轉(zhuǎn)發(fā)IPv4/IPv6的2/3層數(shù)據(jù)包,在IPv6方面處于業(yè)界領(lǐng)先的地位。
出口安全防護(hù)采用神州數(shù)碼DCFW-1800E-4G終結(jié)者多核防火墻,該產(chǎn)品專為千兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商,大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),2U專用千兆安全平臺(tái),完全模塊化可擴(kuò)展結(jié)構(gòu),設(shè)備采用64位多核多線程處理器芯片和高速交換總線技術(shù),實(shí)現(xiàn)了芯片級(jí)的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。同時(shí),神州數(shù)碼終結(jié)者系列多核防火墻可以全面支持IPv6,實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。
2000點(diǎn)以上IPv6園區(qū)網(wǎng)解決方案
圖 4 2000點(diǎn)以上園區(qū)網(wǎng)建議方案
如圖4所示,本方案采用兩臺(tái)DCRS-7604交換機(jī)做雙機(jī)熱備,根據(jù)需要也可以采用單機(jī)核心設(shè)計(jì),或選用DCRS-6804交換機(jī),核心層提供完善的IPv6特性、出色的安全體系設(shè)計(jì)、優(yōu)良高效的網(wǎng)絡(luò)管理、先進(jìn)的萬兆功能以及運(yùn)營商級(jí)的可靠性,可以保證IPv6/v4復(fù)雜網(wǎng)絡(luò)的安全和穩(wěn)定運(yùn)行
匯聚交換機(jī)采用DCRS-5950與DCRS-5650路由交換機(jī),與核心交換機(jī)千兆光纖雙歸屬上聯(lián),增強(qiáng)網(wǎng)絡(luò)可靠性。其中上網(wǎng)人數(shù)較多區(qū)域,采用性能相對(duì)較高的DCRS-5950做匯聚,上網(wǎng)人數(shù)相對(duì)較少的區(qū)域可以采用DCRS-5650做匯聚。
出口安全防護(hù)采用神州數(shù)碼DCFW-1800E-2G終結(jié)者多核防火墻,該產(chǎn)品專為千兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商,大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計(jì),1U專用千兆安全平臺(tái),完全模塊化可擴(kuò)展結(jié)構(gòu),設(shè)備采用64位多核多線程處理器芯片和高速交換總線技術(shù),實(shí)現(xiàn)了芯片級(jí)的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。同時(shí),神州數(shù)碼終結(jié)者系列多核防火墻可以全面支持IPv6,實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。
500點(diǎn)以上IPv6園區(qū)網(wǎng)解決方案
圖 5 500點(diǎn)以上園區(qū)網(wǎng)建議方案
如圖5所示,由于網(wǎng)絡(luò)規(guī)模較小,本方案采用單臺(tái)DCRS-5950-26交換機(jī)做單核心設(shè)計(jì),根據(jù)需要也可以做雙機(jī)熱備核心,或選用其它型號(hào)的DCRS-5950系列交換機(jī),DCRS-5950系列交換機(jī)是神州數(shù)碼網(wǎng)絡(luò)推出的盒式高性能硬件IPv6萬兆路由交換機(jī),該系列交換機(jī)采用硬件ASIC芯片實(shí)現(xiàn)IPv4與IPv6雙協(xié)議棧,可全線速轉(zhuǎn)發(fā)IPv4/IPv6的2/3層數(shù)據(jù)包,在IPv6方面處于業(yè)界領(lǐng)先的地位。
匯聚層采用神州數(shù)碼DCRS-5650系列交換機(jī),與核心交換機(jī)千兆光纖上聯(lián)。DCRS-5650系列交換機(jī)采用高速的背板帶寬設(shè)計(jì),為所有端口提供線速轉(zhuǎn)發(fā)的能力。支持基于硬件ASIC的IPv4/﹡IPv6多路由協(xié)議實(shí)現(xiàn)技術(shù),包括RIPv1 v2、OSPF、BGP等,實(shí)現(xiàn)三層數(shù)據(jù)線速轉(zhuǎn)發(fā),滿足大型網(wǎng)絡(luò)組網(wǎng)的需求。
出口安全防護(hù)采用神州數(shù)碼DCFW-1800E-V2終結(jié)者多核防火墻,1U專用千兆安全平臺(tái),完全模塊化可擴(kuò)展結(jié)構(gòu),設(shè)備采用64位多核多線程處理器芯片和高速交換總線技術(shù),實(shí)現(xiàn)了芯片級(jí)的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。同時(shí),該產(chǎn)品全面支持IPv6,實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。
500點(diǎn)以下IPv6園區(qū)網(wǎng)解決方案
圖 6 500點(diǎn)以下園區(qū)網(wǎng)建議方案
如圖6所示,本方案主要針對(duì)網(wǎng)絡(luò)規(guī)模較小的園區(qū)網(wǎng)或?qū)嶒?yàn)網(wǎng)而設(shè)計(jì),采用DCRS-5650交換機(jī)做核心,DCRS-5650系列交換機(jī)采用高速的背板帶寬設(shè)計(jì),為所有端口提供線速轉(zhuǎn)發(fā)的能力。支持基于硬件ASIC的IPv4/﹡IPv6多路由協(xié)議實(shí)現(xiàn)技術(shù),包括RIPv1 v2、OSPF、BGP等,實(shí)現(xiàn)三層數(shù)據(jù)線速轉(zhuǎn)發(fā),滿足網(wǎng)絡(luò)組網(wǎng)的需求。
出口安全防護(hù)采用神州數(shù)碼DCFW-1800S-V2終結(jié)者多核防火墻,神州數(shù)碼DCFW-1800S-V2防火墻專為中型企業(yè)網(wǎng)絡(luò)中心、電子商務(wù)網(wǎng)站、數(shù)據(jù)中心、電子政務(wù)網(wǎng)、教育城域網(wǎng)等網(wǎng)絡(luò)而設(shè)計(jì),功能強(qiáng)大、性能穩(wěn)定卓越、抗拒絕服務(wù)攻擊能力突出。在網(wǎng)絡(luò)中,存在著以千兆網(wǎng)絡(luò)接口存在的服務(wù)器,而DCFW-1800S-V2防火墻多端口的特點(diǎn),不僅可以直接對(duì)大量網(wǎng)絡(luò)服務(wù)器進(jìn)行接入,并且可以有效的劃分不同安全區(qū)域,根除服務(wù)器之間的被跳板入侵等的安全隱患。在保護(hù)網(wǎng)絡(luò)安全的同時(shí)還降低了成本。設(shè)備采用64位多核多線程處理器芯片和高速交換總線技術(shù),實(shí)現(xiàn)了芯片級(jí)的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。同時(shí),該產(chǎn)品全面支持IPv6,實(shí)現(xiàn)IPv6報(bào)文的基于狀態(tài)檢測的包過濾。