Hillstone高校IPv6解決方案
責編:admin |2015-01-20 15:16:30概述
隨著IPv4地址的枯竭,物聯網、云計算、移動互聯網、“三網融合”新業務的驅動,IPv6得到越來越廣泛的關注和應用。在“十二五”規劃的指引下,中國IPv6下一代互聯網產業正朝目標大步邁進。 高校方面,由教育部組織,CERNET網絡中心負責協調,25個CNGI-CERNET2核心節點學校帶動100所高校共同承擔CNGI高校駐地網建設項目,于2008年9月通過項目驗收。在國內34個城市率先建成了100個完成升級改造并實現IPv6普遍覆蓋的校園網,IPv6用戶規模超過200萬。實現了教育科研門戶網站、重點學科信息資源、大學數字博物館、高等學校網上招生等一批教育科研重大應用的IPv6技術升級,開發了一批基于IPv6的視頻直播點播、高清視頻會議、無線寬帶通信等教育科研示范應用,在100個校園網上實現了累計1300多個應用系統的技術升級,為網站系統IPv6升級改造及IPv6應用服務進行了有益嘗試。
Hillstone高校IPv6解決方案,利用高性能、高可靠的Hillstone數據中心防火墻,部署在高校互聯網出口、IDC出口處,通過IPv6過渡技術、NDP安全防護、攻擊防護等功能,實現高校多鏈路接入的IPv4、IPv6流量的轉發和安全防護,以及IPv4和IPv6網絡的共存和互訪,幫助高校進行IPv6校園網的建設。
1、安全需求
目前,各高校的校園網主要以IPv4網絡為主,在建設高校IPv6校園網時首先必須考慮到如何將IPv6引入到當前的IPv4網絡,IPv4和IPv6將在較長時期內共存,所以實現IPv4向IPv6的平穩過渡是引入IPv6的前提。高校在我國的當前的IPv6建設和研究方面起著舉足輕重的作用,我們要充分考慮到學校在整個CERNET2建設中的位置,無論是作為核心節點、駐地網節點,還是接入節點,要切實根據本校的網絡現狀,選擇適合本校的IPv6建設模式,融合IPv6與IPv4網絡的互聯互通,避免“信息孤島”的生成,特別是在選擇過渡機制的時候,要充分對雙棧模式、隧道技術、NAT轉換、DNS64/NAT64等幾種過渡方式的各自優缺點,結合本校的網絡結構,尋求最適合的IPv6網絡引入機制。目前,高校IPv6建設需求包括:
● 多鏈路下IPv4和IPv6的流量轉發和安全防護: 高校采用多鏈路接入,在同時接入IPv4網絡和IPv6網絡時,需要高性能防火墻同時支持IPv4和IPv6協議棧,流量能夠正常轉發并互不影響。同時,對于IPv4和IPv6網絡中異常攻擊能進行實時有效的安全防護。
● 校園網IPv4和IPv6網絡的共存: 目前高校校園網還是以IPv4為主,會逐漸增加相應的IPv6教育科研門戶網站、重點學科信息資源、大學數字博物館、高等學校網上招生等一批教育科研重大應用以及基于IPv6的視頻直播點播、高清視頻會議、無線寬帶通信等教育科研示范應用,會出現相應的IPv6網絡,那么IPv4和IPv6將在較長時期內共存,也是實現IPv4向IPv6的平穩過渡是引入IPv6的前提。
● 校園網IPv4和IPv6終端、服務器的互訪: 隨著高校中IPv4和IPv6相關業務不斷增加,尤其目前還是IPv4業務為主,就需要IPv6終端能對IPv4業務進行訪問,做到IPv4和IPv6之間的互訪。
● 校園網IPv6日志記錄: 隨著高校中IPv6相關業務不斷增加,需要對學生IPv6終端訪問服務器相關日志進行記錄,對校園網中會話日志和NAT日志進行記錄,方便管理員進行日志查詢。
2、解決方案
在IPv6校園網建設中,Hillstone數據中心防火墻部署在校園網多鏈路的出口處和校園網內部的IPv6服務器邊界處,同時支持IPv4和IPv6流量的轉發和攻擊防護,支持IPv4和IPv6網絡的共存和互訪,支持IPv6 HA和相關日志記錄。
在IPv6校園網建設中,Hillstone數據中心防火墻主要通過以下技術來滿足高校的建設需求:
● IPv6的過渡技術:Hillstone數據中心防火墻支持多種過渡技術,滿足不同場景的過渡需求。
雙棧技術:雙棧節點可以同時與IPv4和IPv6互通,互通性好,實現簡單,允許應用逐漸從IPv4過渡到IPv6;
隧道技術:通過6to4的手工隧道和自動隧道,來滿足IPv6孤島的相互通信,充分利用現有組網,校園網內部設備無需升級,符合從邊緣過渡的策略。
NAT-PT:通過NAT進行IPv4地址和IPv6地址的相互轉換,來滿足IPv6和IPv4協議網絡節點之間的通信,校園網內部設備無需升級。
DNS64和NAT64:通過和DNS服務器配合進行地址轉換,解決IPv6終端可以主動訪問IPv4網絡中業務服務器,不需要在IPv6客戶端或IPv4服務器端做任何修改,校園網內部設備無需升級。
● NDP安全防護:針對NDP協議發起的一系列攻擊,Hillstone數據中心防火墻提供了IP-MAC綁定、NDP學習、NDP檢查、NDP欺騙防護、NDP防御功能,校園網用戶可以針對不同的網絡情況應用不同的防護功能。
● IPv6攻擊防護:Hillstone數據中心防火墻能提供全面的IPv6攻擊防護,進行會話限制,可以基于域進行攻擊防護,對Flood攻擊和異常報文攻擊等常見攻擊進行有效的阻斷,保護業務服務的可用性。同時,Hillstone數據中心防火墻的高性能也為分析和阻擋各類攻擊提供了強大的支持。
● IPv6 HA:Hillstone數據中心防火墻支持IPv6 HA,主、備兩臺設備可以同步配置、文件及RDO(Runtime Dynamic Object)等信息,可以實現毫秒級的切換,主備設備切換時可有效保證IPv6業務系統的暢通。
● IPv6日志記錄:Hillstone數據中心防火墻支持會話日志和NAT日志,對學生終端訪問IPv6業務進行記錄,可以方便管理進行日志查詢和溯源。
3、方案效果
通過在IPv6校園網互聯網出口及內網服務器邊界處部署Hillstone數據中心防火墻,有效支持了校園網多鏈路下的IPv4和IPv6流量的共存和互通,IPv6服務器的隔離與安全防護,Hillstone數據中心防火墻具有的高性能、高可擴、高可靠,在IPv6校園網中將發揮如下的建設效果:
● 高性能應對校園網海量業務訪問: Hillstone的數據中心防火墻最高可支持100Gbps 吞吐量、180 萬新建連接速率(HTTP)、6000 萬并發連接數的處理能力,能夠從容應對高校校園網中海量業務訪問對性能的挑戰。
● 高可靠保障校園業務連續: Hillstone數據中心防火墻能夠支持設備級別的HA解決方案,為網絡層提供會話級別的狀態同步機制,保證設備在切換過程中數據傳輸的連續性及網絡的持久暢通,甚至在設備進行主備切換的時候都不會中斷校園業務的運營,保證了網絡的高可靠性。
● 豐富的IPv6過渡技術滿足各種過渡場景: Hillstone數據中心防火墻提供了雙棧、隧道、NAT-PT、DNS64NAT64過渡技術,可以滿足校園網IPv6和IPv4共存和互訪的各種過渡場景的需求,不改變校園網現有網絡結構,保護用戶現有的網絡設備投資。
● 強大的安全防護特性保障IPv6業務安全: Hillstone數據中心防火墻提供了強大的NDP安全防護和IPv6攻擊防護,對NDP攻擊、Flood攻擊及異常報文攻擊等常見攻擊進行有效的攻擊檢測和防護,有效防范針對IPv6的惡意攻擊,避免了IPv6服務器的癱瘓,保障了校園網IPv6業務的安全運行。
● IPv6日志滿足審計查詢需求: Hillstone數據中心防火墻針對可以進行IPv6的會話日志和NAT日志,會話日志可以記錄Session Start、Session End、Deny Session、Default Session日志,記錄相關五元組及Session、時間相關信息。NAT日志可以記錄相關Snat和Dnat日志。通過日志信息可以幫助管理員準確查詢和溯源相關內網用戶訪問信息。
● 高可擴不斷適應校園網規模增長: 通過增加安全服務模塊,Hillstone數據中心防火墻的性能可以從20Gbps逐步提升到100Gbps,最大并發連接數也從1200萬逐步擴展到6000萬,在不需要新增設備的前提下,不斷適應校園網的規模增長,并有效保護前期投資。