1、IPv6全網解決方案應用背景IPv4協議是目前廣泛部署的因特網協議，然而，隨著Internet的發展，該協議在歷經了20多年的實踐與考驗后，已逐漸暴露出設計的先天不足以及諸多局限，成為IP技術應用和未來發展的瓶頸制約。而IPv6作為下一代網絡的基礎以其鮮明的技術優勢得到廣泛的認可，為業務發展創造了機會： IPv6的產生從根本上解決了地址短缺的問題IPv6提供了更快捷的部署方法（即插即用） IPv6支持流標簽能力，便于QoS的實施 IPv6集成了安全特性 IPv6具備更有效的報頭結構，提高處理性能 IPv6與IPv4網絡之間可以平滑過渡以及相互訪

2、問解決方案建設IPv6網絡主要應當考慮現有網絡升級支持IPv6業務和采用同時支持IPv6/IPv4網絡設備進行新建網絡建設兩種情況。1、升級現有IPv4網絡方案隧道模式（ISATAP隧道），升級核心組網模式：原有IPv4局域網不進行改造，核心增加或者更換支持IPv6 業務的核心交換機。核心交換機開啟雙棧，向上連接IPv6網絡，向下開啟ISATAP隧道功能，開啟IPv6/IPv4主機可采用ISATAP隧道方式直接接入核心交換機。網絡中其余設備均無任何變化，原有IPv4業務正常運行。方案優勢：只需增加支持IPv6業務的核心設備，保護原有投資。只需簡單開啟ISATAP隧道功能即可，快速實現網絡IPv

3、6主機接入。隧道模式，升級核心與部分匯聚逐步支持IPv6組網模式：在原有核心層改造的基礎上，逐步對匯聚的三層設備進行更換，將匯聚層的原有三層交換機更換為支持IPv4/IPv6的雙棧設備。匯聚交換機與核心交換機之間會存在IPv4網絡，使用IPv6 over IPv4隧道方式實現IPv6的連接。方案優勢：逐步實現對原有IPv4網絡的改造，將部分匯聚與核心設備更換，為下一步實現整網IPv6網絡部署奠定基礎。原有IPv4業務不產生任何變化，正常運行。雙棧用戶可以直接訪問IPv4網絡及IPv4業務。2、新建IPv6網絡方案新建IPv6網絡組網模式：新建核心層、匯聚層全雙棧部署IPv6路由，實現全網IPv

4、6。業務區域采用二層到桌面，接入交換機采用百兆或千兆到桌面。匯聚層連接核心層IPv4/v6雙棧路由功能。方案優勢：接入層與匯聚層、匯聚層與核心層間采用雙上聯實現鏈路冗余，匯聚層、核心層設備采用雙節點實現節點冗余。新增IPv6用戶可以正常訪問IPv6網絡及業務。雙棧用戶可以直接訪問IPv4網絡及業務。3、IPv6網絡安全規劃：IPv4協議向IPv6協議升級過渡的過程中，多種安全問題將暴露出來，構建可信任的下一代互聯網，將是一項長期而艱巨的任務。在建設IPv6網絡的時候，需要全面考慮網絡的安全問題。IPv6網絡安全問題劃分為：設備級別、全網安全級別。3.1設備級別的防護隨著IPv6在局域網中的部署

5、，局域網的各種應用不斷擴展，網絡攻擊的不斷增多，越來越需要為IPv6交換機提供一種保護機制。對發往交換機CPU的數據流，進行流分類和優先級分級處理、CPU的帶寬限速，以確保在任何情況下CPU都不會出現負載過高的狀況，為用戶提供一個穩定的網絡環境。這種保護機制是CPU Protect Policy（CPP）。CPP作為IPv6交換機的一個功能模塊，按照以下四個階段處理數據：Classifying、Queuing、Scheduling和Shaping。通過CPP保護策略，網絡設備的安全能力有了更大的提升。在部署IPv6的局域網中，各種應用、攻擊，都極大地考驗著網絡設備，在IPv6的校園中的部署中，應該采用具有先進的CPU Protect Policy（CPP）機制的IPv6轉發平臺。3.2全局安全網絡IPv6技術在大規模應用，各種應用大規模開展，網絡訪問控制接入控制應運而生。網絡訪問控制解決方案旨在通過身份驗證、主機健康性保障、網絡安全性保障等多重角度，對內網用戶進行有效的管理。實現內網用戶身份的合法化，上網主機安全狀況的健康化，網絡通信的安全化以及用戶網絡訪問行為的規范化。部署IPv4/IPv6兼容的全網安全防御系統，通過軟硬件的聯動、計算