基于IPv6的校園網過渡方案研究

程 軍

（1安徽大學計算機科學與技術學院，安徽 合肥 230039）

（2巢湖學院計算機與信息工程學院，安徽 巢湖 238000）

1 引言

從20世紀70年代出現后就廣為使用的IPv4協議，給互聯網的發展起到了巨大的推動作用。但隨著互聯網的高速發展，IPv4協議已暴露出越來越多的缺陷，其中最嚴重的問題就是IP地址資源的逐漸枯竭，此外諸如缺乏安全性、路由表膨脹等問題也已成為制約互聯網發展的瓶頸。為了徹底解決IPv4存在的問題，IETF（互聯網工程任務組）公布了RFC2460標準協議規范，即IPv6協議。目前針對IPv6的研究在世界各國政府、科研機構以及運營商等層面呈現加速態勢。

我國高度重視并大力支持以IPv6為基礎的下一代網絡建設。早在2003年由國家發改委會同科技部等八部委啟動了中國下一代互聯網項目 （CNGI），到2006年核心示范網絡CERNET2項目在清華大學成功驗收，CERNET2是目前全球最大的純IPv6網絡；而針對高校的科研力量以及用戶群體特性，在2007年國家發改委又批準啟動了CNGI示范網絡的駐地網建設項目，計劃將100所以上的著名高校接入到CERNET2，以開展科研應用和培養技術人才；在2008年12月又正式啟動下一代互聯網業務試商用及設備產業化專項“教育科研基礎設施IPv6技術升級和應用示范”項目，借助校園網研究完善試商用網絡支撐技術及公共服務功能，為下一代網絡運營提供經驗。由此在全國范圍內拉開了多所高校校園網建設向IPv6過渡的序幕。

2 IPv6校園網過渡的主要技術

目前針對IPv4向IPv6過渡技術已提出多種策略與過渡方案，其中較為成熟的技術有雙協議棧技術（Dual Stack）、隧道技術（Tunnel）以及協議轉換技術（NAT-PT）。

1 雙協議棧技術

雙協議棧是在單個節點上同時啟用IPv4和IPv6兩種協議棧，使之既能與支持IPv4協議的節點通信，又能與支持IPv6協議的節點通信。雙協議棧節點通常是采用一種雙IP層結構來實現，如圖1所示。

圖1

雙協議棧技術是處理過渡問題中應用最廣泛和最簡單的方式，同時，它也是所有其他過渡技術的基礎。雙棧技術的優點是容易實現，對IPv4和IPv6提供了完全的兼容；缺點則是必須給每個雙棧節點都分配一個合法的 IPv4 地址，因此不能真正解決IPv4地址資源耗盡的問題；而且每個雙棧節點要同時運行IPv4和IPv6兩套協議，增加了每個節點的負擔，對節點的性能產生更高要求。

2. 隧道技術

隧道技術是基于現有的IPv4路由體系來傳遞IPv6數據報的方法，將IPv6數據報作為數據封裝在IPv4數據報中，通過 IPv4 網絡進行傳輸。對源站點和目的站點而言隧道是透明的。隧道可以在路由器與路由器之間、路由器與主機之間以及主機與主機之間建立。隧道可以由手工配置，也可以是自動生成。。其通信方式如圖2所示。

圖2

通過IPv4隧道傳送IPv6數據報的過程可劃分為3個階段：封裝、隧道傳輸和拆封。隧道的入口節點和出口節點都必須是支持雙協議棧的節點，它們連接兩種網絡，進行報文的封裝與拆封。在隧道入口處，入口節點將IPv6數據報作為上層協議數據單元封裝進IPv4數據報中，該IPv4數據報的源地址和目的地址分別是隧道入口處和出口處的IPv4地址。封裝后的IPv4數據報將通過IPv4的路由器轉發傳送到出口節點。在隧道的出口處，出口節點對IPv4數據報進行拆封，將IPv6數據報提取出來，再轉發給目的站點。

隧道技術巧妙地利用了現有的IPv4網絡，其優點在于隧道的透明性，使得IPv6主機之間的通信可以忽略隧道的存在，隧道只起到一條物理通道的功能，網絡中不需要大量的IPv6專用路由器設備和專用鏈路，因而可減少投資。隧道技術的缺點則是在IPv4網絡中配置IPv6隧道往往比較麻煩，而且隧道技術并不能實現IPv4站點與IPv6站點之間的直接通信，因此只適用于在IPv6網絡建設初期。

3. 協議轉換技術

NAT-PT （Network Address Translation-Protocol Translation）就是直接轉換兩種不同協議的數據報中相應字段，從而實現讓兩種協議互通的目的。其通信方式如圖3所示。NAT-PT技術一般需要和應用層的網關協作來完成轉換，即轉換網關作為連接使用不同網絡協議的網絡間的中間設備，在IPv4和IPv6網絡間進行地址轉換（NAT），同時將IPv6數據報和IPv4數據報進行首部格式及相應語義的翻譯（PT）。

圖3

NAT-PT技術最大的特點是簡單易行，不需要對網絡內IPv4節點或IPv6節點進行更換或升級，只需要在兩種網絡的交界處安裝NAT-PT設備，即可實現純IPv4站點和純IPv6站點之間的通信。它的缺點則是轉換操作會使傳輸時延增大，當網絡中有大量轉換的需求出現時，該缺點會被放大，成為制約提升網絡性能的瓶頸；其次，使用NAT-PT技術會破壞IP端到端間的路徑跟蹤，在安全性上存在隱患；另外，對于一些使用內嵌地址信息的高層協議 (如DNS、FTP)，這種技術在采用網絡層加密和數據完整性保護的環境下將無法工作。

3 IPv6校園網的建設模式

目前全國各高校基本上都組建了基于IPv4的校園網，并接入國際互聯網（Internet），大部分高校校園網同時還接入教育科研網（CERNET），實現全方位的數據共享，提供教學管理、多媒體教學，辦公自動化、遠程教學等服務。不過作為IPv4地址匱乏的直接受害者，校園網中IP短缺最為明顯，據國家網絡信息中心2011年4月份報告稱：隨著亞太地區進入IPv4地址耗盡的最后階段，CERNET已無法再從APNIC獲得更多的IPv4地址，CERNET現有會員單位也無法獲得IPv4地址，新接入會員單位在原則上可依相關政策獲得少量基礎設施必需的IPv4地址。建議校園網投入IPv6網絡的建設和部署，并申請IPv6地址。同時高校作為知識和人才基地，本身肩負著為下一代互聯網的普及培養大批忠實用戶以及為下一代互聯網的商業化進行技術試驗以積累寶貴經驗的內在需求，因此校園網要由現有IPv4校園網過渡到IPv6校園網成為必然趨勢。

由于在當前互聯網中基于IPv4的應用程序和設備已經相當成熟并具有相當規模，難以一夜之間完成所有更新換代；另一方面，IPv6的相關技術和設備也還不夠完善成熟，因此現有IPv4網絡向IPv6網絡過渡必然要經歷一個循序漸進、相互共存的過程。結合各院校的不同網絡狀況，IPv6校園網的部署建設一般可分為如下幾種情況：

（1）新建校園網。新設立的院校在新建校園網時，建議采用同時支持IPv4/IPv6的網絡設備進行組網建設，使得校園網平臺同時支持兩種業務流的承載和互通。

（2）老校園網升級。如果原有校園網中設備支持IPv6業務，則可通過升級軟件方式實現雙棧；而如果原有校園網中設備不支持IPv6業務，無法通過升級方式支持，則需要購買新的雙棧設備來進行更換或投入安裝。

（3）網絡教學單位建設試驗教學網絡。高等院校內的計算機學院、網絡中心等試驗教學部門可將計算機機房建設成純IPv6網絡以供科研、試驗教學等。在這些單位內可通過多臺不同檔次路由器和高性能交換機連接，形成一個實驗教學網絡。

3.1 新建校園網

校園網核心層采用支持雙棧的三層交換機，匯聚層和接入層均采用普通IPv4交換機即可，校園網出口處采用高效雙棧路由器實現與IPv6網絡和IPv4網絡的互通，如圖4所示。通信過程中所有關于IPv6的三層功能均交由核心層交換機處理。當然如果經濟條件允許以及希望未來快速升級，也可考慮在匯聚層直接布放雙棧路由器，接入樓層交換機。在匯聚層與核心層、接入層與匯聚層之間采用雙歸鏈路上聯實現鏈路冗余，核心節點處采用雙核心設置保證節點冗余，匯聚設備作為用戶接入點網關設備，通過運行VRRP協議等實現網關冗余，這樣可形成具有網絡層次的IPv6網絡，并提高網絡的可靠性。

圖4

網絡業務互通情況設置：

（1）校園網內部 IPv4-IPv4、IPv6-IPv6 之間業務,通過雙棧核心設備直接互通，不涉及IPv4協議和IPv6協議的轉換，類似于普通單網絡內業務轉發；

（2）校園網內部IPv4-IPv6之間業務，通過在雙棧核心交換機中運行NAT-PT技術實現互通；

（3）校園網內部IPv6-校園網外部IPv4之間業務，通過在雙棧邊界路由器中運行NAT-PT技術實現互通；

（4）校園網內部IPv6-校園網外部IPv6節點之間業務，通過對雙棧邊界路由器設置隧道，穿越IPv4海洋實現互通；如果新建校園網采用專線方式接入CERNET2，也可通過CERNET2網絡直接連通。

3.2 老校園網升級

老校園網改造升級為IPv6網絡時需要考慮舊設備利用和升級費用的問題，因此一般不會通過直接更換所有設備、改造現有網路的方式將網絡升級到IPv6，而是采用先部分升級改造，再逐步擴大，逐漸升級的方式。老校園網改造升級方式又可分如下幾種情況考慮。

如果老校園網的核心交換機可以通過升級方式支持IPv6業務，則將其升級成雙棧設備，此種情況下校園網部署和業務互通方案都類似前文所述新建校園網模式。

如果校園網的核心交換機無法升級，則必須購買新的雙棧設備以支持IPv6業務。這時較經濟快速的升級方式是直接用新購置的雙棧設備將原核心交換機替換，部署和業務互通方案也類似新建校園網模式。另外還可使用部分新建模式來升級老校園網。

部分新建模式是重新建設一個支持IPv6業務的核心層和匯聚層，使校園網成為一個雙核心匯聚網絡，如圖5所示。這樣IPv4業務可以通過原有網絡轉發，而IPv6業務則通過新建網絡轉發。出口邊界路由器通過軟件升級或直接更換成性能更高的雙棧路由器。部分新建模式通過新增一個支持IPv6業務的核心匯聚網絡，因此能夠高效地支持大容量IPv6數據的轉發，業務支持性能較好，但投資成本相對來說也較為昂貴。

圖5

部分新建模式下網絡業務互通情況設置：

（1）校園網內部IPv4-IPv4以及校園網內部IPv4-外部IPv4之間業務，通過老校園網直接互通；

（2）校園網內部IPv6-IPv6之間業務，通過新建IPv6校園網直接互通；

（3）校園內部IPv4-校園網內部IPv6之間業務，通過在雙棧核心中運行NAT-PT技術實現互通；

（4）校園網內部IPv6-校園網外部IPv4之間業務,通過在雙棧邊界路由器中運行NAT-PT技術實現互通；

（5）校園內部IPv6-校園網外部IPv6孤島之間業務，通過對雙棧邊界路由器設置隧道，穿越IPv4海洋實現互通或直接通過CERNET2網絡互通。

3.3 用于教學科研目的的純IPv6網絡

純粹的IPv6節點網絡的建設，可以為下一代互聯網的建設和研究提供極有參考價值的幫助。高等院校內計算機機房因其自成一體，相對獨立，且是培養學生學習和積累計算機及網絡等操作實踐的主要場所，可以率先應用IPv6技術，建立成純IPv6網絡。建設該類網絡時建議選用以路由器為主的設備，進行大規模組網。因為路由器以網絡處理器或通用CPU為硬件平臺，一般具備隨時升級能力，這樣可保證在較長時間內不用替換；另外，路由器接口豐富，功能齊全，便于教學，可以在實驗網中將MPLS、MPLS VPN、IPSec、VoIP等功能運用于教學過程中。同時純IPv6網絡的建成也為校內相關研究人員提供了科研的實驗平臺。

4 總結

從目前來看，計算機網絡由IPv4技術向IPv6技術過渡是發展的必然趨勢，這個過渡過程同時是一個循序漸進、相互共存的過程。在過渡期間需要兩種網絡共存，需要解決好彼此兼容的問題，逐步完成過渡，最終實現全球范圍的純IPv6網絡。

我國一直高度重視并大力支持以IPv6為基礎的下一代網絡建設。隨著CERNET2主干網的正式開通，以及國家相關部委科技計劃的不斷推出和支持下，各高校應緊緊抓住發展契機，積極完成校園網的升級改造。校園網的成功升級和建設對于各種企事業單位網絡的IPv6升級可以積累寶貴經驗，同時IPv6校園網環境下的教學和特色應用更可以為下一代互聯網的普及培養大批忠實用戶，進而帶動我國信息產業和國民經濟基礎行業的更快發展。

[1]Joseeph Davies理解IPv6[M].張曉彤，晏國晟，曾慶峰，譯.北京：清華大學出版社，2004.

[2]盧顯良，宋杰，黃淳.新一代Internet協議Ipv6[M].北京：清華大學出版社，2000.

[3]朱爽.CERNET 停止 IPv4地址分配[J].中國教育網絡，2011，（6）.

[4]中國下一代互聯網示范工程（CNGI）駐地網建設要求和參考設計。

[5]李長利，應小昆，張四海，孫青林，陳增強.IPv6校園網組網模式探討及隧道代理的實現[J].南開大學學報（自然科學版），2007，40（1）.

[6]張五紅，王宇.高校IPv6校園網的部署與配置[J].計算機工程與設計,2007,28（13）.

[7]范德明.IPv6技術與校園網的規劃部署及實驗研究[J].科技信息（學術版）,2007，（4）.

[8]王宇杰，楊志軍.北京交通大學下一代校園網建設進入新階段[J].中國教育網絡，2010，（6）.

[9]王竹威.北京大學快速部署IPv6校園網[J].中國教育網絡，2006，（11）.