下一代跨校區數字化校園網實現策略與研究

摘要:我國高等教育的快速發展促使大校合并、校區擴建，VPN技術建設校園網使教學資源得到充分優化利用的一種虛擬教育環境。隨中國互聯網客戶逐年增多，IPv4地址問題日趨嚴重，互聯網向IPv6過渡已是大勢所趨。本文從VPN和IPV6升級技術、實施方案等方面討論下一代跨校區數字化校園網實現策略與研究。

關鍵詞:數字化;跨校區VPN;IPv6過渡技術隧道技術

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)32-8902-03

The Next Generation of Inter-school Digital Campus Area Network Implementation Strategy and Research

YU Sha

(Hunan Institute of Engineering Vocational and Technical College， Changsha 410114， China)

Abstract: The rapid development of china higher education promote the merger of university and campus districts expansion.The VPN technology used in the campus network is a virtual education environment，which make full and optimization utilization of teaching resource.IPv4 problems is going to be on the rise along with the gradually increase of China internet users，it has been inevitable trend that Ipv4 upgrade to Ipv6. This paper makes a discussion on the subject of implemetation strategies and research of next generation inter-campus districts digital campus network through upgrading technology and implement scheme of VPN and IPV6.

Key words: digitize; VPN inter-campus districts; IPv6 transition mechanisms and tunnel technology

各校區間地理位置分散及校區之間既相互獨立又聯系的特點，造成一定程度上的資源浪費和教學成本高，效率低。數字化校園是在網絡基礎上用先進的信息化手段、技術，將學校各類主要信息資源進行數字化處理，并實現數字化的信息傳播方式和管理方式，形成高度信息化的教育教學和人才培養環境。隨著數字化校園的引入，可達到方便管理、提高效率，資源共享、充分利用，能很好的解決多校區大學的許多困難和弊端。

1 下一代數字化校園

1.1 數字化校園

“數字化校園”是以數字化信息為基礎，以計算機技術和網絡系統為依托，支持學校教學和管理信息流，實現教育教學、科研管理、技術服務等校園信息從收集到優化利用的一種虛擬教育環境。其核心是指用全數字化的信息獲取、存儲、傳輸及處理技術，去控制和操縱整個學校的事務。數字化校園建設主要內容包括:1) 數字化環境建設:包括網絡建設、數據中心建設、用戶體系結構建設、安全管理及門戶的建設;2) 數字化管理建設:包括教學、科研、管理、辦公自動化等方面的管理信息系統和業務系統，標準體系規范的建設;3) 數字化學習建設:包括數字化教學與學習平臺建設、數字化資源中心和資源建設機制、數字化學習資源制作平臺。

1.2 下一代數字化校園實現策略

下一代跨校區大學的數字化校園就是利用VPN技術將存在地域差距的多校區校園網這個虛擬的空間整合起來。利用從現有的IPv4升級到IPv6的過渡策略，大大地擴大地址空間，恢復原來因地址受限而失去的端到端連接功能，為學校師生提供網絡基礎服務、強化學校組織管理、支撐各校區的教學活動，實現教學過程、管理、數字化、科研、公共服務體系和校園社區服務的數字化，解決多校區大學的實際問題，為互聯網的普及和發展提供基礎條件。

2 下一代跨校區校園網實現策略

2.1 VPN技術校園網建設

VPN是網絡虛擬專用網技術，通過附加的安全隧道，用戶認證，訪問控制等技術實現與專用網絡的公用網絡安全地對單位內部專用網絡進行遠程訪問的連接方式，實現對重要信息的安全傳輸。主要優點包括:成本低，利用現有的Internet組建虛擬專網，無需專用線路就能實現數據安全的傳輸，避免了大量人力物力的投資;易擴展，網絡路由設備配置簡單;內部網絡結點越來越多時，只需在結點處架設VPN設備，就可利用Internet建立安全連接;安全性強， VPN技術利用可靠的加密技術在內部網絡建立隧道，以防止信息被泄漏、篡改和復制。

VPN的主要技術包括:隧道技術是VPN的基本技術，是在共用網中建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸;加解密技術是數據通信中一項比較成熟的技術，VPN可直接利用現有技術保證傳輸數據的安全;密鑰管理技術的主要任務是如何在公共數據網上安全地傳遞密鑰而不被竊取。現行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

如圖1所示，Intranet VPN方案在主、校區間建立Intranet VPN，可通過Internet這一公共網絡將其相連，以便學校的資源共享、信息交流和數據傳送。在兩校區間使用帶VPN功能的路由器通過對兩地的路由器進行路由、帳戶、地址池及協議的適當配置，在主校區路由器和分校區路由器之間建立虛擬專用鏈路。當主校區的用戶訪問分校區網絡時，根據主校區VPN路由器上的靜態路由，用戶可以通過在兩個校區之間建立的虛擬隧道，到達分校區的路由器，分校區的路由器分配給該用戶一個分校區校園專用網的IP地址，根據用戶帳戶名等信息檢查自身的配置，然后根據檢查結果賦予用戶相應的訪問權限。反之亦然。策略上允許兩地間的所有用戶互訪。也可以使用IPSec和L2TP，其安全性比PPTP的安全性要高，更容易實現，但成本會相對較高，尤其是在網內用戶多的情況下。雖然校園網用戶大多使用的是Windows系統平臺，可以利用Windows系統在兩地分別建立VPN路由，但考慮到VPN方案的一個重要因素———穩定性以及設備的交換能力，具有VPN功能的路由器是更好的選擇。隧道將在兩個校區具有VPN功能的路由器之間建立，路由器起到封裝和解包的作用。

2.2 IPv6

2.2.1 IPv6過渡技術

隨著互聯網的迅速發展IPv4定義的有限空間必將影響互聯網的進一步發展。而IPv6采用128位地址長度，擴大了地址空間、提高網絡的整體吞吐量、改善服務質量(QoS)、安全性有更好的保證、支持即插即用和移動性、更好實現多播功能。目前公認的過渡解決方案有如下3種:

1) 雙協議棧技術:雙協議棧是指在一個網絡結點同時支持IPv4和IPv6兩種協議棧。由于兩者都屬于網絡層協議，且加載于其上的傳輸層協議T C P和UDP也沒有太大區別。所以支持雙協議棧的結點能夠支持IPv4和IPv6協議的結點通信，因此雙棧協議是其它過渡技術的基礎， 仍然是目前最為流行的IPv4向IPv6過渡的基本策略之一。

2) 隧道技術:隧道方式是目前具有普遍意義的過渡策略。是指將一種協議(IPv6)封裝到另一種協議(IPv4)中。在隧道入口處，將被封裝協議封裝入封裝協議，在隧道出口處再將被封裝協議報文取出。在整個隧道的傳輸過程中，被封裝協議是作為封裝協議的負載。隧道技術只需在隧道出入口進行修改，而對中間部分沒有特殊要求，較為容易實現。但需注意隧道技術不能實現IPv4主機與IPv6主機的直接通信。

3) 協議翻譯(NAT-PT):NAT-PT(RFC2766)是附帶協議轉換器的網絡地址轉換，用于IPv6網絡和IPv4網絡之間，通過修改協議報文頭來轉換網絡地址，使他們能夠互通。N A T技術主要是通過將IPv6到IPv4的地址映射由靜態變為動態，來緩解IPv4地址短缺所帶來的問題，因這種過渡方式破壞網絡端到端傳輸的特性等問題，正逐步被業界淘汰。

2.2.2 IPv6升級技術方案的選擇與對比

1) 全雙棧模式:校園網中部署雙協議棧網絡是IPv6升級最理想的方法，校園網內所有三層設備由于均是雙棧設備，同時運行IPv4和IPv6路由協議，對于雙棧終端，IPv4網關和IPv6網關均部署在匯聚3層交換機上。從技術角度這是最理想的方案，不必為不同類型的用戶單獨部署網絡配置，開銷小，管理簡單、IPv4和IPv6的邏輯界面清晰。但由于校園網原有的網絡實際上都是IPv4網絡，要建設全雙棧網絡，必須將原有網絡設備淘汰棄用，投資過大，設備資源浪費。實際上這種模式只適合新建的網絡。

2) 隧道模式:由于校園網原有網絡建設已經成熟穩定，校園網內所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉發，所以需部署客戶端到路由器的自動隧道6to4/ISATAP來完成。可考慮新增IPv6路由器和原有IPv4路由器下的IPv4網絡互通。隧道模式可保留原有投資的網絡拓撲和路由，客戶端只要簡單設置即可訪問全球IPv6資源。使用隧道完成的主機—路由器隧道，只需確定隧道對端路由器接口的IPv4地址即可。這種技術非常適合于在IPv4仍然是網絡主宰的校園網中使用。隧道技術屬于過渡技術，另外隧道兩端點設備也需要花費額外的系統開銷，因此并不是最終的理想方案，但對于原有IPv4網絡平滑支撐IPv6業務不失為一種有效的手段。

3) IPv6透傳模式:校園網內所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉發，所以需要把所有含有IPv6終端的VLAN在接入交換機上行方向均設置為802.1q Trunk鏈路，并把這些VLAN包含于Trunk。這樣就能讓原有IPv4三層設備將IPv6報文透傳到IPv6路由器上。當傳輸IPv4報文時正常轉發，IPv4網關將IPv4非廣播報文終結，當傳輸IPv6報文時則當作VLAN內廣播報文透傳到上層交換機，直到出口路由器接收到這些IPv6報文，進行統一的全局轉發。透傳模式優點: 可保留原有投資變向實現類似雙棧網絡的效果，但對于存在IPv6終端的子網，幾乎所有IPv6報文都要類似廣播方式影響整個校園網，占用網絡資源、帶來一定的安全隱患。

2.2.3 IPv6升級部署方案

為了保護現有的網絡設備和投資，在實現IPv4向IPv6過渡的過程中，應盡量使用IPv4/IPv6兼容的過渡技術。應逐步從軟件到硬件上進行更新和升級，穩妥可靠地從純IPv4網絡向純IPv6網絡過渡。

1) 老校區改造解決方案:對于規模不大或比較有把握的用戶，可直接進行原校園網絡改造成雙棧網絡。由于現有網絡為IPv4 網絡且具備相當的用戶規模，如對全網設備進行升級將面臨投資較大、網絡重新規劃、業務整合等一系列的問題。

對于尚未支持IPv6的應用，可以繼續采用IPv4的方式接入;對于已支持IPv6的應用，可以以IPv6的方式直接接入。原來的一部分IPv4用戶可以仍然采用IPv4的方式接入，也可以升級為雙棧的方式接入。新加入的用戶以v4/v6雙棧的方式接入雙棧網。為了增加網絡的可靠性，核心交換機采用冗余雙核心。接入外網的方式，建議采用可以增加內網的安全性出口路由器的方式。

2) 新校區建設解決方案:目前IPv6技術逐漸成熟，新校區建設推薦采用雙棧的模式建設。建網思路如:核心層和匯聚層可選用雙棧交換機，接入層可使用現有的二層接入交換機組網。根據用戶帶寬的需要，分別選用“百兆到桌面”或“千兆到桌面”的模式。為提高網絡的可靠性，匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯實現鏈路冗余;匯聚設備作為用戶接入點網關設備，通過運行VRRP 協議實現網關冗余;核心節點采用雙核心部署保證節點冗余。由于目前windows，以及其他的一些操作系統都支持雙棧，所以，對于新建校園網用戶接入方式都建議采用雙棧的方式接入。對于要求三層到桌面的用戶，可以把接入層路由器2800換成3900A系列交換機。

本方案采用傳統的出口路由器+核心交換機的方式，核心交換機采用雙核心的模式。匯聚層與核心層之間可以采用雙歸鏈路，運行STP/RSTP/MSTP協議，提供鏈路冗余設計;也可以采用中興特有的以太網環技術ZESR，組成環網以提高網絡的可靠性 。如果2臺交換機之間的光纖因故斷損，仍然能夠保證整個網絡的正常運行。

3 結束語

IPv6校園網的建設是中國下一代互聯網(CNGI)的重要組成部分。它是在IPv4校園網絡的基礎上進行的新的建設。通過以上的一些分析采用不同的方法和步驟進行過渡，在數字化校園建設的基礎上，IPv4向IPv6過渡的策略很好的解決了IPv4隨互聯網發展導致的地址空間不足的情況，保證了IPv4與IPv6互連互通，實現全面部署IPv6網絡，最終實現下一代跨校區數字化校園網建設。下一代跨校區數字化校園網的規劃、配置和建設方案就需要依據不同高校的網絡狀況和不同的實現技術進行設計，全面部署IPv6網絡，無論哪種方式都要綜合考慮校園網的發展規劃和實際情況。IPv6將在發展中不斷完善，過渡需要時間和成本，但從長遠看，IPv6有利于互聯網的持續和長久發展。

參考文獻:

[1] 湯紅軍.基于高校下一代數字化校園網的探索與研究[J].科技信息，2008(7).

[2] 張國祥.基于隧道技術實現IPv4到IPv6的演進[J].湖北師范學院學報，2006(1).

[3] 柯曉華.高校校園網過渡到IPv6的策略及問題[J].現代計算機，2004(10).

[4] 師仁松.基于VPN的IPv6隧道代理的設計與實現[J].計算機技術與發展，2006(7).