中兴陈志伟：中兴通讯IPv6园区网解决方案

网易科技讯 4月15日消息，2009全球IPv6暨移动互联网峰会今天在北京召开，网易科技做为战略合作媒体在现场做了直播报道。

以下为中兴通讯承载网产品线总工陈志伟介绍中兴通讯IPv6园区网解决方案：

主持人：谢谢Hiroshi Esaki先生的演讲，下一位演讲者是中兴通讯承载网产品线总工陈志伟，题目是“从IPv6 ready到IPv6 now—中兴通讯IPv6园区网解决方案”，有请。

陈志伟：各位来宾大家好，今天非常高兴来参加IPv6的峰会。

众所周知IPv6技术发展已经很多年了，但是大规模的商用还没有开始执行。这个问题的原因是什么，有没有什么方法来解决这个问题，促使IPv6大规模的部署，下面我跟大家讨论这个问题，并和大家一起分享中兴通讯在IPv6方面的看法和实践。

首先我会介绍一下中兴通讯对IPv6技术的看法，回顾一下中兴通讯在IPv6上所做的努力。然后我会介绍一下中兴通讯在IPv6园区网的解决方案。

中兴通讯的IPv6的战略用三句话来表示，第一大方针是研发通用平台，希望我们所有的设备都跑到统一的平台，这样保持我们设备协议的先进性。其次，我们提供全网的解决方案，针对用户不同的应用场景，我们提供不同的产品组合和技术的组合，以便能够达到最好的Comepaks和Opaks（音译）的要求，最后是立足于创新的。

中兴通讯有协议站的平台，ZXROS首先有自主的平台，有非常好的发展基础。其次是多协议的平台，目前包含了所有的IPv4、IPv6所有协议的支持。最后我们称之这个平台是Flex架构的，这目前是在几百万行的级别，整体来讲仍然是可裁减的是控制和转发层面分离的，是统一封装的，这会很好的应用。

目前为止，中兴通讯的产品线有大量的产品使用了ZXROS平台，也就有了IPv6特性的支持。右边的表是已经发布的ZXROS平台的IPv6的特性极，所有的我们已经全部发布。值得一提的是除了标准协议的支持，在IPv6的一些性能和安全性方面，我们会有一些自己的突破。

提供全网解决方案是中兴通讯IPv6方面重要的一节，我们来讲全网络解决方案是重要的支持，目前来讲我们有全网来支持IPv6。第二，我们对用户迁移的理解和用户场景的理解，是我们全网解决方案的灵魂。中兴通讯有幸参与了很多项目，包括中国联通和移动CN架的交换，也积累了很多经验。

立足创新是中兴通讯IPv6研发的重要战略，我们积极参加IPv6相关的研发工作。大家知道IPv6到目前为止，虽然协议成熟，但是具体的产品，包括在网络的具体应用都没有大规模的应用，所以在设备的开发和具体的组网，帮助用户组网的过程当中我们会遇到很多种问题。而解决问题的思路和方法，包括解决问题的手段也形成了一批自主知识产权的专利。我们目前有一批国内国际的专利，包括一些基本的专利。

对于IP设备最核心的上游的延伸我们也做了一些工作，我们现在也开始做大规模的IPv6转化芯片。

这张图勾勒出来中兴通讯IPv6的发展轨迹，从2000年开始我们已经启动了IPv6的预演。我们参加了国家863的项目，并且推出了路由机。2001年我们发明了双栈的版本，2004年交换机的全系列产品通过了ready的认证，目前已经提供了全方案的IPv6的解决方案。

下面以一个例子解释一下IPv6从目前的ready到now我们应该做什么样的工作，拿最普通的园区网作为一个例子。

首先，相对于IPv6协议的成熟，到底什么阻碍了IPv6大规模的商用，我们认为从两个方面。目前是需求方面，杀手级的应用我们仍然不清楚，地址耗尽的压力，因为有一些NET的技术减缓了这些方面的压力。在需求方面，我们认为后续3G应用的逐步推广，像DVS这种系统的推广，包括尤其是在中国的一些大规模的应用，包括各国政府应对金融危机采取的一些手段和措施，对于运营商或者是电子信息产业都会有一些推动，这方面可能会对IPv6有很好的需求拉动。

第二是技术方面，作为设备提供商和解决方案提供商，我们更关心的是在技术方面如何能保证IPv6的实现。对于IPv6怎么迁移，这并不仅仅是一个地址的问题，会考虑到很多问题，包括设备的性能，IPv6是否能和IPv4一样，包括网络是否可靠，包括安全性、网络管理，包括如何历久能够保护用户的前期投资。

首先我们提出了恒定的高性能，日益增长的用户量和业务量，对性能提出了越来越多的要求。但是目前IPv6的地址长度要四倍于IPv4，所以对于大容量的路由查找算法会是很大的压力。如果扩张到普通的ADSL的话，应该长度是八倍于IPv4。

看看带宽的需求，有几点。首先是流向模型的转变，最开始的外部模型现在已经转变为P2P的业务占主流对等的模型。这样结合的带宽会逐步提高，我们从百兆、千兆到最新的400G，到最新的BA已经基本成熟。但是带宽的需求在增加，和性能反而存在着一种差距。右边的图我们画了三种实现的方法，分别是传统的CPU实现方法，NP处理方式，EPGA/ASCI处理方式。大家看到端口带宽和最大转发性能和恒定转发性能不是一个概念。对于VPN来讲，处理了网络的空间和逻辑复杂的问题，所以在支持大容量的ADSL方面也会有一些瓶颈。唯一比较好的是EPGA/ASCI能保持一些。

我们看一下器件，这纳米的成熟可以使我的器件做得更小，封装的技术更高。TCAM的技术也会有很大的提高，首先表现在冗余上、频率上。两个芯片的产生使我们已经有了单芯片和BPS的支持。我想说的40G的BPS是建立在25条IP路由或者是12万条IPV6ACL上，因为有这些核心技术的突破，中兴通讯跟这些核心技术完成了我们的路由器和高端交换机的开发。

性能问题解决完了之后，我们再考虑解决性，IPv6网络的可靠性，我们希望肯定要保持至少在IPv4同样的水平。网络的可靠性我们认为可以分为三个层次，也就是我们说的全方位的网络可靠性。首先我们提出了节点安全，节点安全是所有的核心硬件都是要冗余安全的，包括主控板、交换板。我们在硬件冗余的情况下，我们需要一些软件的方法来保证主备倒换热补丁。我们采用了拓扑的安全，采用了管网的安全，这称之为链路的可靠性，包括一些技术。

中兴通讯的智能以太环网称为ZESR是我们用在园区网的汇聚层。大家知道园区是数心组网，一个宕机所有都得浪费掉。这样的话，我使用了链路的方式，双口的带宽都需要成本的增长。我们采用环网的话，对端口只增加一个端口。在IPv6网络当中，环网可以很好地和VRP联动起来，实现联动或者是三层的协同，这样我们会有更安全的保护。

再谈谈安全，IPv4网络当中安全问题有很多，但是IPv6网络当中这些安全还存在吗？当然IPv6在协议开发的过程当中，也考虑了一些协议的问题，主要是通过IP SSIC来实现，但是远远不够。

首先看几种网络安全的问题，IPv4再向IPv6迁移的过程当中，经过会用到一些隧道的技术，这是有安全性的。比如说6to4的攻击，可以通过防火墙攻击。比如说IIPv6的协议，现在IPv6的网络没有很好的检测和管理机制，IPv6下面的病毒也已经产生。总的来说IPv6也没有进入，还好我们在IPv4问题当中遇到了很多问题积累了很多经验，我们用这样的方式来实施怎么样解决IPv6网络的问题。

首先是安全首先要解决设备自身的问题，我们称之为设备加固。我们有首先通过CPU保护技术，让CPU免受IPv6协议的攻击，我可以通过区分不同的级，让CPU对优先级的报文进行处理，避免有攻击的报文。其次，我们利用了ASIC做流分类。大家可以看到128个字节，这不但看到了IPv6的包文头还有扩展头，这样的话我们用识别的方法来控制网络病毒和木马的攻击。

我们看看ND协议，这是很重要的协议，取代了IPv4当中像UP 的协议。但是他自己是有自己的弱点的，最重要的是默认采信邻居节点发来的ND报文，可以通过编作ND报文更改受害者的Destination。攻击的结果是DAD检测失败，DoS拒绝服务，中间人。

关于安全我们有很多详细的策略，我们的同事会在接下来的演讲当中做报告。

DPI是我们的安全技术，我们称之为安全芯，是用用户识别的方法去做识别检测，做完了之后，我们也有表文的统计，这个支持是双栈支持的。

对于园区运维是两个方面，一个是统一的接入方案，包括对用户怎么样进行安全认证、灵活计费，第二有灵活的手段。再有是统一的网管系统。

对于用户灵活接入，我们认为有三点，首先是在具体的认证方法上支持IPv6，例如我们标准的认证方法802.1x，我们要在后台的系统上对IPv6进行支持，包括ready Over的系统上，包括我们支持IPv6技术的属性。第三，无论是在IPv4和IPv6的网络中我们需要精确的定位，通过中兴通讯的A系统我们可以知道用户的具体位置，方便排除网络故障，也方便错误跟踪。

中兴通讯的A平台是包括了网络管理和业务管理。我们看看平滑迁移，我在从IPv4网络转移到IPv6网络的时候，我能保证了历旧和用户的投资，我在后续的发展当中能继续保持对后续发展的支持。

我们以一个新园区网络的建设为例子。大家看左边的这张图，首推的方案是双栈方案。也就是说在新园区的建设里面，我们采用双栈的出口路由器，加上核心的交换机和汇聚的交换机，接入的二层做入转，对于源的IPv4网络的用户，如果访问IPv6网络的话，我们可以采用标准的标准隧道来实现，这个方法比较容易对后续的演进提供帮助。

中兴通讯愿意和业界同仁一起努力，聚焦IPv6商用化，助力IPv6网络建设。谢谢大家。