首页 | 新闻中心 | 报道精选

确保下一代互联网平滑过渡


  伴随着CNGI-CERNET2的蓬勃发展,中国各高等院校正在积极主动地迎接着IPv6的到来。在IPv4向IPv6的过渡阶段,如何利用现有设备,最大限度的节约投资?又该采用何种策略,更好的保证下一代互联网在应用上的平滑过渡?

  目前的Internet以IPv4为主导,不可能一次性将网络的所有设备升级为IPv6,必须分步骤分阶段的进行部署;为此,IPv6试商用需要提供多种过渡技术和解决方案,保证与IPv4的互联互通。

  从2006年起,赛尔网络就与清华大学等科研机构合作,研发一系列与IPv6建设相关的产品和解决方案,力求支持各高校由IPv4向IPv6平滑过渡。根据赛尔网络对各高校接入情况的调查分析,目前IPv6网络的接入需求主要归纳为以下两种:第一,在原有网络中增加新的IPv6网络;第二,建设全新的IPv6校园网络。

  部分高校,原有的IPv4网络建设完善、网络资源丰富,鉴于预算、技术等方面的原因希望在进行IPv6部署时能够充分保护原有的设备投资。

  面对这种情况,学校可以在原有网络中采用隧道技术作为补充,将纯IPv6终端接入IPv6广域网络,原有网络拓扑和路由几乎无需调整,只需要增加隧道终结的设备就能够使客户端访问广域的IPv6资源。

  实践证明,采用ISATAP自动隧道是理想的部署(见图1),如果网络中有较多的IPv6用户需要接入,可以增加隧道终结路由器的数量,以保证IPv6报文的转发能力。

  还有一部分高校出于对未来发展的整体考虑,更愿意直接建设一个全新的IPv6网络。这时,可以使用双栈设备进行组网接入IPv6(见图2),组网按核心、汇聚、接入三层结构进行设计,利用汇聚层及核心层网络进行高速转发。其中新建的核心层和汇聚层设备中全部设置了IPv4和IPv6两套协议栈,针对的对象是通信端节点(包括主机和路由器)。

  这种方式对IPv4和IPv6提供了完整的兼容。使用NAT-PT进行协议转换,根据协议不同对分组做相应的语义翻译,从而使纯IPv4和IPv6站点之间能够透明通信。NAT-PT技术可以较好地解决IPv4和IPv6的互通问题,使得大部分应用层协议不需要修改就能够实现互通?

  在IPv6/IPv4的网络中,不仅要考虑针对IPv4的接入层,汇聚层的安全防御,同样也要考虑在设备升级为双栈设备后,针对IPv6协议族的攻击带来的安全问题。

  赛尔网络的解决方案是采用三层防护:

  首先,在接入层设备上使用用户身份认证及接入层ND防攻击方案,保证接入层的安全性;

  其次,在汇聚层设备上配置双栈防火墙业务板卡,对园区内的IPv6访问进行策略控制;

  最后,对网络出口层、核心层、汇聚层、接入层的网络设备的安全策略均进行部署,使用SSH访问,关闭不使用的端口,使用SNMPv3进行控制,在路由协议中使用验证机制。

  总之,通过多方部署,保护网络不受攻击,控制异常行为影响网络高效数据转发,以及保护日常园区网的正常使用。
伴随CNGI-CERNET2的建设与发展,赛尔网络坚持自主创新,积极开展IPv6运行保障和应用技术的研发工作,协助高校全面向下一代互联网平滑过渡,努力推动我国下一代互联网的产业化进程。

来源:《中国教育网络》



 
版权所有:赛尔网络有限公司
-->