目前，各高校的校园网主要以IPv4网络为主，但是，在很多学校的校园网中IPv4网络存在IP地址资源短缺、QoS、安全等问题。同时，高校作为学术研究的基地，建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践，抢占IPv6技术制高点同样有迫切的需求。

锐捷推出的高校IPv6校园网解决方案，遵循保证现有IPv4应用的正常应用，网络具有扩展性，最大限度地保护既有投资，网络方案要能够满足发挥IPv6的技术优势，支持IPv4业务与IPv6业务的互通、设计良好的网络安全规划、考虑IPv6网络对用户认证和计费方式的支持等网络建设原则。

IPv6校园网组网方案

建立IPv6校园网主要应当考虑校园网升级支持IPv6业务和采用同时支持IPv6/IPv4网络设备进行新建校园网建设两种情况，这里提供四种方案供参考。

方案一：隧道模式，升级核心快速实现IPv6接入

适用对象：

校园网中存在大量IPv4设备没有IPv6功能，或者不能升级到IPv6，快速将网络均升级为IPv6需要较长的时间。为了保护IPv4投资，同时又需要让新增用户使用IPv6业务，可以采用此方案。

组网模式：

升级的重点在于核心层。原有IPv4网络不进行改造，在核心增加一台支持IPv6 业务的核心交换机（锐捷RG-S8600）或者更换原有的核心交换机为锐捷RG-S8600。

核心交换机开启双栈功能，向上连接IPv6网络，向下开启ISATAP隧道功能，开启IPv6/IPv4主机可采用ISATAP隧道方式直接接入核心交换机。

网络中其余设备均无任何变化，原有IPv4业务正常运行。

方案优势：

只需增加一台支持IPv6业务的核心设备，其余设备保持不变，保护原有投资。

只需简单开启ISATAP隧道功能即可，快速实现校园网IPv6主机接入。新增的IPv6用户可以正常访问IPv6网络及IPv6业务。

原有IPv4业务不产生任何变化，正常运行。

双栈用户可以直接访问IPv4网络及IPv4业务。

方案二：隧道模式，升级核心与部分汇聚逐步支持IPv6

适用对象：

为了使原有的IPv4网络逐步升级到IPv6网络，在原有改造核心层设备基础上，逐步针对汇聚的三层设备进行更换。

组网模式：

升级的重点在汇聚层。在原有核心层改造基础上，逐步针对汇聚的三层设备进行更换，可以将汇聚层的原有三层交换机更换为RG-S5750或者RG-S3760双栈设备。

在双栈汇聚交换机与双栈核心交换机之间也可能会存在IPv4网络，可以使用IPv6 over IPv4隧道方式实现IPv6的连接。核心与汇聚交换机开启双栈功能，同时配置6over4隧道如手工隧道技术实现IPv6业务在原有IPv4网络上运行。

网络中其余设备均无任何变化，原有IPv4业务正常运行。

方案优势：

逐步实现对原有IPv4网络的改造，将部分汇聚与核心设备更换，为下一步实现整网IPv6网络部署奠定基础。

新增汇聚与核心之间可能存在IPv4网络，通过汇聚与核心之间开启隧道技术，新增的IPv6用户可以正常访问IPv6网络及IPv6业务。

原有IPv4业务不产生任何变化，正常运行。

双栈用户可以直接访问IPv4网络及IPv4业务。

方案三：双栈模式，升级核心与部分汇聚逐步支持IPv6

适用对象：

部分新建模式建议重新建设支持IPv6业务核心层和汇聚层，IPv4业务可以经由原有网络转发，IPv6业务经由新核心进行转发。为了使原有的IPv4网络逐步升级到IPv6网络，采用新建核心汇聚，支持IPv6，接入二层设备增加接口连入新网络中。

组网模式：

新增核心层支持IPv6的核心交换机，针对汇聚或者接入的三层IPv4设备进行更换，可以将汇聚层的原有三层交换机更换为RG-S5750或者RG-S3760的双栈设备，直接连接到双栈核心，并部署IPv6路由功能如OSPFv3、IPv6静态路由等。。

新增双栈汇聚/接入交换机与新增核心交换开启双栈功能。新增汇聚/接入可直接连接到双栈核心，开启IPv6路由功能，实现部分校园网的IPv6功能升级。

原有IPv4业务正常运行。

方案优势：

逐步实现对原有IPv4网络的改造，将部分汇聚与核心设备更换，为下一步实现整网IPv6网络部署奠定基础。同时也开启了IPv6路由功能，为未来整网维护IPv6路由积累管理经验。

新增的IPv6用户可以正常访问IPv6网络及IPv6业务。

原有IPv4业务不产生任何变化，正常运行。

双栈用户可以直接访问IPv4网络及IPv4业务。

方案四：新建IPv6网络

适用对象：

新建IPv6校园网，可采用全网支持IPv6的设备部署。

组网模式：

新建核心层、汇聚层全双栈部署IPv6路由，实现全网IPv6。

部分业务区域可采用二层到桌面，接入交换机可采用百兆或千兆到桌面，汇聚层部署RG-S5750，VRRP功能保证冗余。RG-S5750连接核心层RG-S8600开启IPv4/IPv6路由功能。

部分区域可采用百兆/千兆三层到桌面模型，直接将IPv6网关部署在接入三层双栈交换机上。

方案优势：

接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余，汇聚层、核心层设备采用双节点实现节点冗余。汇聚层设备作为用户接入点网关设备，通过运行VRRP实现网关冗余。保证整个IPv6网络的高可靠性。

核心层的双栈设备分别连接IPv4和IPv6网络，新增IPv6用户可以正常访问IPv6网络及业务。

双栈用户可以直接访问IPv4网络及业务。

设备选型

针对IPv6校园网网络结构的设计分析和用户的需求分析，结合校园网未来的业务发展需要，我们建议选用支持IPv6/IPv4双协议栈、IPv6 over IPv4隧道、ISATAP隧道、6to4隧道等过渡技术的核心、汇聚、接入的三层交换机。

而IPv6校园网网络出口路由器则需要满足先进的电信级IPv6/IPv4双栈路由器体系结构；交换背板提供高性能的多层和多种服务的交换结构，分布式体系结构，具有扩展性，交换矩阵无阻塞；支持IPv6协议及其编址结构、IPv6组播服务、MPLS服务支持、IPv6的访问控制；IPv4和IPv6互联互通及隧道技术等要求。

全面考虑了IPv6校园网建设对数据转发的能力与性能的要求，可以选择了具有自主知识产权的锐捷下一代高性能IPv6数据转发平台：

核心层设备：RG-S8614、RG-S8610

汇聚层设备：RG-S8606、RG-S5750

接入层设备：楼栋接入：RG-S5750、RG-S3760

楼层接入：RG-S2600

网络路由设计

IPv6校园网的IPv6网络路由规划，需要考虑到现有用户的使用习惯和主流的应用模式。对于目前广泛采用的各种IPv6的路由协议，IPv6的IGP可以选择ISISv6或者OSPFv3，但是考虑到多数校园网的习惯以及协议支持的广泛程度，部署OSPFv3可能更为实际。

对于IPv6校园网CERNET2主干网之间可使用BGP4＋动态路由协议或静态路由实现互联。从精确控制和管理路由的方面，建议采用BGP4+。不过需要和CERNET2运营管理者配合调试，比较复杂，同时CERNET2方面也没有开放BGP4+的对学校IPv6网络的连接，只在CERNET2和其他ISP之间做互联的时候使用了BGP4协议。

采用静态路由协议，区域学校向上制定IPv6的缺省路由到节点学校，节点学校将该区域的学校路由汇总，发布到核心网络上。实现路由条目的分级汇总，使得主干网的路由条目减小，方便管理，极大提高了网络设备的转发效率。

IPv6校园网网络安全规划

IPv4协议向IPv6协议升级过程中，构建可信任的下一代互联网，将是一项长期而艰巨的任务。在建设IPv6校园网的时候，需要全面考虑网络的安全问题。

设备级别的防护－CPP

随着IPv6在校园中的部署，IPv4和IPv6共存的情况还要持续一段时间，校园网的各种应用不断扩展，网络攻击不断增多，越来越需要为IPv6交换机提供一种保护机制。对发往交换机CPU的数据流，进行流分类和优先级分级处理，以及CPU的带宽限速，以确保在任何情况下CPU都不会出现负载过高的状况，从而能为用户提供一个稳定的网络环境。这种保护机制就是CPU Protect Policy（CPP）。CPP作为IPv6交换机的一个功能模块，按照以下四个阶段处理数据：Classifying、Queuing、Scheduling和Shaping。

S8600系列IPv4/IPv6交换机的管理板与线卡的架构使S8600系列交换机的CPP具有了分布式的特点，它的优点是在硬件实现CPP的基础上，由各个线卡进行一级过滤，而管理板进行二级过滤，通过这种二级过滤的机制，使管理板大大降低了被攻击的可能性，使管理板的各种协议能平稳地运行，最大程度的保护了管理板的CPU资源，保证了网络的安全和稳定。

通过CPP保护策略，使网络设备的安全能力得到了更大的提升。在部署IPv6的校园中，各种应用、攻击，都极大地考验着网络设备，我们建议在IPv6的校园网部署中，采用具有先进的CPU Protect Policy（CPP）机制的IPv6转发平台。

全局安全网络-GSN

IPv6技术在校园网大规模应用，IPv4和IPv6共存相互访问，各种应用大规模开展，网络访问控制NAC（Network Access Control）应运而生。网络访问控制解决方案旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度，对内网用户进行有效的管理。通过这一系列措施，实现内网用户身份的合法化，上网主机安全状况的健康化，网络通信的安全化以及用户网络访问行为的规范化。

GSN是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

部署了IPv4/IPv6兼容的全网安全防御系统，通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对IPv4/IPv6的网络安全进行监控、检测、防御和处理，帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。

IPv6计费运营解决方案

基于IPv4/IPv6的校园网计费运营管理，是校园网发展的趋势和必经之路，通过计费运营提高了网络管理部门的服务质量，保证了校园网的健康、可持续发展。

选择合适的计费认证系统，就是为用户创造高稳定性、高性能的计费运营运行环境，实现用户的入网认证及计费管理。计费运营系统以网络运营为基础，增强全局安全为中心，提高管理效率为目的，全面实现校园网的安全认证、计费管理。

建议在IPv6的校园网中，采用锐捷RG-SAM安全认证计费管理系统，该系统基于标准的RADIUS协议开发的。它不仅支持PPPOE和SCG的认证计费方式，还支持最新的802.1x接入控制技术，与其他厂商支持相应标准的产品兼容，结合锐捷的网络安全交换机提供更加丰富的功能。

锐捷RG-SAM安全认证计费管理系统在“高安全、可运营、易管理”三个方面具有业内相类似产品无可比拟的优势。通过负载均衡、群集部署等方案在硬件设备有限投入下提供最安全、最稳定的部署解决方案，同时以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案，另外，以好用、易用为原则，Web访问形式的友好界面，为用户提供贴心使用形式。

锐捷RG-SAM安全认证计费管理系统是全面支持IPv6协议的计费运营系统，是校园网IPv6建设的关键保障，具备高可用性、高稳定性、高冗余性，同时在校园网中具有很广泛的应用，经过大量用户的实践检验。

为了满足IPv6环境下的校园网计费运营，锐捷RG-SAM安全认证计费管理系统全面提供了以下功能和特性：基础框架支持、认证授权模块、用户模块、计费模块、运维模块。

IPv6 相比于IPv4 是一个巨大的进步，也是一个巨大的变革，从IPv4 网络逐步过渡到IPv6网络、到完全替代IPv4 网络将是一个比较长的演进过程，在这个演进过程中，网络各个组成部分将会逐步被新的部件所替代。伴随着网络演进的过程，相关的新技术、新应用甚至全新的运营模式也将逐步涌现。

作为最早涉足教育信息化领域的网络厂商，锐捷网络植根于国内的教育行业，密切关注教育信息化的发展与应用需求，并一直致力于和包括高校在内的各种力量一起推动IPv6技术和产业的发展，致力于推动IPv6产业链的完善，为我国能够在IPv6上占据有利地位而努力。

锐捷网络依托服务校园网建设的丰富经验，提供端到端的IPv6校园网解决方案，为校园网的下一代互联网建设助力。