基于ＩＰｖ６網絡環境的校園網搭建

摘要：針對在IPV4的基礎上運行的互聯網面臨日益嚴重的地址耗盡問題，提出了一種使用IPv6網絡構建校園網的方法。對校園網進行了整體規劃，“流過濾”技術融合了包過濾和應用代理安全性和優點，克服了包過濾和應用代理的諸多缺陷，代表了一種全新的防火墻技術結構。最后，設計了一種支持流過濾技術的IPv6防火墻系統。

關鍵詞：IPV6；校園網；防火墻系統

中圖分類號：TP911文獻標識碼：A文章編號：1009-3044(2008)35-2466-02

A Design of Campus Network Based on IPv6

WU Bin

(Modern Education Technology Center，Yueyang Vocational Technical College，Yueyang 414000，China)

Abstract: Because of the Internet based on the IPV4 foundation facing serious address exhausts question day by day， this method of using IPv6 network structure to construct the campus network is presented. \"Flow filtration\" represents a brand new structure of the firewall technology which interinfiltrates the advantage of packet filtering and security agents’ application， overcoming many defects of the application of agents. Finally， this paper designs a flow filtration under the support of the IPv6 firewall system.

Key words: IPV6; campus network; firewall system

在中國網絡教育發展的今天，如何推廣校園網絡教育，從而推動我國教育事業的發展，開發一個實時性好、利用率高、交互功能完善、大眾信賴的平臺非常有必要。然而，基于IPv4的網絡環境開發的教育平臺無法真正有效的滿足這點，IIPv6協議不再需要上層協議的支持，（如DHCP，BOOTP）就可以直接實現地址的自動分配。這大大簡化了終端設備的網絡配置工作，簡化了大量非專業人士上網時繁瑣的設置，也使得各種各樣的非人工控制設備輕松上網成為可能[1]。因此，IPv6網絡為作為科研平臺的校園網建設提供了更好的技術支持。

1 IPv6全國主干網CERNET2

中國教育和科研計算機網CERNET支持全新的更豐富的下一代互聯網的重大應用，包括：網格計算、高清晰度電視、強交互點到點視頻語音綜合通信、遠程教育等。CERNET2的網絡拓撲結構如圖1所示。

2 校園網的網絡拓撲結構

各教研室的電腦通過一臺三層交換機接入到匯聚層交換機，然后通過地區核心交換機連入CERNET2的長沙接入入口。網絡拓撲圖如圖2所示。

3 校園網的規劃

首先，選擇適宜操作系統和服務器軟件，然后使用網頁開發工具進行代碼開發，最后完成網站建設。

經過討論，我們的示范網站包括六個大的部分，分別是：首頁、相關文檔、配置方法、軟件下載、站點服務、主題論壇。結構圖如圖3所示。

下面我們將分別介紹每個大的模塊的具體構造：

首頁：包括管理入口，一些網站的相關鏈接；

相關文檔：包括收集到的一些學習文檔，資料；

配置方法：包括我們收集到的現有操作系統下IPv6的配置方法，方便大家的配置；

軟件下載：包括我們使用過的軟件以及網上找到的一些好的軟件，主要是關于我們提供的服務的；

站點服務：加入了一些音頻和視頻文件實行流媒體服務和FTP下載；

主題論壇：在這里可以討論、請教各種知識。

4 IPv6的技術原理

4.1 地址格式

與IPv4的32地址相比，IPv6的地址要長的多。IPv6共有128位地址，是IPv4的整整四倍。與IPv4一樣，一個字段由16位二進制數組成，因此，IPv6有8個字段。每個字段的最大值為16384，但在書寫時用四位的十六進制數字表示，并且字段與字段之間用“：”隔開，而不是原來的“.”。而且字段中前面為零的數值可以省略，如果整個字段為零，那么也可以省略。128位地址所形成的地址空間在可預見的很長時期內，它能夠為所有可以想象出的網絡設備提供一個全球唯一的地址。128位地址空間包含的準確地址數是340，282，366，920，938，463，463，374，607，431，768，211，456。

IPv6的地址如圖4所示。“FP”是就是地址前綴(也稱為“格式前綴”)，用于區別其它地址類型。隨后分別是13位的TLAID(頂級聚集體ID號)、8位的Res)保留位，以備將來TLA或NLA擴充之用。)、24位的NLAID (次級聚集體ID號)、16位SLAID(節點ID號)和64位Interface ID(主機接口ID號)。TLA、NLA、SLA三者構成了自頂向下排列的三個網絡層次，并且依次向上一級申請ID號。分層結構的最底層是網絡主機[2]。

4.2 地址分類

IPv6定義了三種不同的地址類型。分別為單播地址(Unicast Address)，多播地址(Multicast Address)和任播地址(Anycast Address)。所有類型的IPv6地址都是屬于接口(Interface)而不是節點(node)。一個IPv6單點傳送地址被賦給某一個接口，而一個接口又只能屬于某一個特定的節點，因此一個節點的任意一個接口的單播地址都可以用來標示該節點[3]。

IPv6中的單播地址是連續的，以位為單位的可掩碼地址與帶有CIDR的IPv4地址很類似，一個標識符僅標識一個接口的情況。在IPv6中有多種單播地址形式，包括基于全局提供者的單播地址、基于地理位置的單播地址、NSAP地址、IPX地址、節點本地地址、鏈路本地地址和兼容IPv4的主機地址等。

多播地址是一個地址標識符對應多個接口的情況（通常屬于不同節點）。IPv6多播地址用于表示一組節點。一個節點可能會屬于幾個多播地址。這個功能被多媒體應用程序所廣泛使用，它們需要一個節點到多個節點的傳輸。RFC-2373對于多播地址進行了更為詳細的說明，并給出了一系列預先定義的多播地址。

任播地址也是一個標識符對應多個接口的情況。如果一個報文要求被傳送到一個任播地址，則它將被傳送到由該地址標識的一組接口中的最近一個（根據路由選擇協議距離度量方式決定）。任播地址是從單播地址空間中劃分出來的，因此它可以使用表示單播地址的任何形式。從語法上來看，它與單播地址間是沒有差別的。當一個單播地址被指向多于一個接口時，該地址就成為任播地址，并且被明確指明。當用戶發送一個數據包到這個任播地址時，離用戶最近的一個服務器將響應用戶。這對于一個經常移動和變更的網絡用戶大有益處。

那么從接口主機來講(主要從功用來分)，IPv6又可以把主機接口類型進行地址配置：全球地址(Globally)、全球單播地址Unicast)、區域地址(On-site)、鏈路本地地址(LinklocalAddress)、地區本地地址(SitelocalAddress)、廣播地址(Broadcast)、多播群地址(MulticastGroupAddress)、任播地址(AnycastAddress)、移動地址(Mobility)、家鄉地址(HomeAddress)、轉交地址(Care-ofAddress)

5利用流過濾技術實現防火墻

“流過濾”技術[4]是以狀態檢測包過濾的形態實現對應用層保護的一種防火墻過濾技術，基本原理是在狀態檢測包過濾的基礎上，針對具體應用層協議采用專門設計的TCP/IP協議棧實現對鏈路層數據流在應用層重組并在此基礎上進行過濾，以包過濾的形態提供應用層保護能力，使得規則匹配在防火墻內部由數據鏈路層直達應用層。

5.1 流過濾的處理步驟

當對關鍵報文應用流過濾技術處理時，流過濾技術邏輯上斷開數據發送端與數據接受端之間的直接網絡連接，即發送端與接受端之間在傳輸數據之前建立的網絡連接仍然存在，但發送端與接受端之間的數據傳輸必須通過使用流過濾技術的防火墻中轉。

防火墻利用流過濾技術對關鍵報文進行處理的過程，按照時間先后順序可分為三個步驟：

1) 對發送端發送應答報文，并將同一會話中的全部關鍵報文在應用層數據重組。

2) 按照流過濾規則對重組后的完整數據進行合法性檢查，并做相應處理。

3) 對通過合法性檢查的數據發送給接受端，并處理接受端發出的應答報文。

5.2 防火墻系統結構

利用流過濾技術在IPv6網絡通信中，數據流是以密文的形式在網絡中傳輸，IPv6報文都是加密的，防火墻無法獲得相關信息進行過濾，要么全部阻攔數據包則網絡將不能進行通信，要么全部放行則容易受到攻擊。為解決這一問題，本文將采用屏蔽子網防火墻系統結構在此系統中的堡壘主機上實現流過濾技術，該系統層次結構示意圖如圖5所示。

6 結束語

在IPv6環境下搭建的校園網，可以提供多種在IPv4環境下也能提供的應用層服務，包括在線閱讀技術文檔，瀏覽網頁等http服務，觀看電影，收聽歌曲等流媒體服務，和上傳下載文件的ftp服務，同時，還開辟了專門的論壇供使用者和愛好者學習討論和交流，

對教學工作帶來了極大的方便。

參考文獻：

[1] 張萬光，李長利.基于Windows系統組建IPv6/IPv4實驗網絡[J].南開大學報，2003， 36，(4):23-25.

[2] 董紅政，史曉鵬，王忠勇.IPv6環境下信息家電系統網絡終端設計[J].微計算機信息，2007，12(2):159-160.

[3] 代剛，馬嚴.移動IPv6技術的研究及其在Linux環境下的實現[J].中興通訊技術，2002(3):24-27.

[4] 王常杰，秦浩，王育民.基于IPv6的防火墻設計[J].計算機學報，2001，24(2):221-223.