基于IPv6 的校園網(wǎng)部署方案

楊 陽(yáng)

（天津電子信息職業(yè)技術(shù)學(xué)院 天津300150）

隨著2010 年2 月3 日國(guó)際互聯(lián)網(wǎng)名稱和編號(hào)分配公司（ICANN）將最后5 組IP 地址 （基于互聯(lián)網(wǎng)通信協(xié)議IPv4）分配給全球5 大區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)，第一代互聯(lián)網(wǎng)地址總庫(kù)已經(jīng)枯竭，互聯(lián)網(wǎng)未來(lái)的發(fā)展將系于在全球范圍內(nèi)普及下一代互聯(lián)網(wǎng)通信協(xié)議IPv6。

IPv6 的特點(diǎn)

海量的地址空間 IPv6 最根本的改變是能滿足未來(lái)全球范圍內(nèi)可確定的地址空間需求。IPv6 將地址位數(shù)從IPv4 的32 位，擴(kuò)展到128 位。 這意味著可以為地球上任何需要加入互聯(lián)網(wǎng)的設(shè)備提供唯一的確定的地址。 正因?yàn)橛辛巳蚍秶鷥?nèi)可確定的唯一地址，IPv6 提供了全球范圍內(nèi)的地址可達(dá)性、端到端的安全通信以及所有對(duì)地址有要求的應(yīng)用和服務(wù)的支持。

無(wú)需NAT 海量的地址空間使得作為暫時(shí)解決地址空間不足的NAT （Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)慢慢退出歷史舞臺(tái)， 從而提高了網(wǎng)絡(luò)的效率。

沒(méi)有廣播地址 IPv6 包括單播地址（一到一），多播地址（一到多） 和新的任意播地址 （一到最近），而沒(méi)有了廣播地址。

更簡(jiǎn)單的報(bào)頭提高了路由器的效率 更簡(jiǎn)單的報(bào)頭提供了更多優(yōu)于IPv4 的地方， 包括路由選擇效率更高，有助于提高性能和轉(zhuǎn)發(fā)速率；不需要處理校驗(yàn)和；報(bào)頭擴(kuò)展機(jī)制更簡(jiǎn)單，效率更高。

IPv4 到IPv6 的過(guò)渡

雖然IPv6 的使用是必然的，但現(xiàn)階段Internet 無(wú)論是網(wǎng)絡(luò)設(shè)備還是用戶設(shè)備主要基于IPv4，要將這些設(shè)備都替換成IPv6 設(shè)備，需要大量的經(jīng)費(fèi)。 另外，網(wǎng)絡(luò)的升級(jí)換代需要時(shí)間，不能以暫停現(xiàn)有業(yè)務(wù)為代價(jià)。 為了實(shí)現(xiàn)IPv4 到IPv6的 平 穩(wěn) 過(guò) 渡 ，IETF （Internet Engineering Task Force， 互聯(lián)網(wǎng)工程任務(wù)組）設(shè)計(jì)了多種方法，主要分為雙協(xié)議棧、隧道化、網(wǎng)絡(luò)地址轉(zhuǎn)換。

雙協(xié)議棧 雙協(xié)議棧是指在設(shè)備上同時(shí)啟用IPv4 和IPv6 協(xié)議棧。 雙棧節(jié)點(diǎn)根據(jù)目標(biāo)地址決定使用哪個(gè)協(xié)議棧， 這樣就需要每臺(tái)設(shè)備都要支持兩種協(xié)議， 而且每臺(tái)設(shè)備都要配置兩種協(xié)議，需要雙尋址方案，IPv4 和IPv6 選路協(xié)議的雙重管理，IPv4 和IPv6 兩個(gè)路由表占用更多資源， 更使得管理成本更高， 故障排除和監(jiān)管工作更加復(fù)雜。

隧道技術(shù) 隧道 （Tunnel）是指一種協(xié)議封裝到另外一種協(xié)議中來(lái)實(shí)現(xiàn)傳輸互聯(lián)的目的。 現(xiàn)階段有多種隧道機(jī)制可用來(lái)部署IPv6。人工配置隧道：隧道的兩個(gè)端點(diǎn)需要使用適當(dāng)?shù)腎Pv4 和IPv6 地址進(jìn)行配置，坐落于端點(diǎn)的邊緣路由器通常是雙棧路由器。 通用路由封裝（Generic Routing Encapsulation，GRE）隧道：按照IPv4 網(wǎng)絡(luò)傳輸數(shù)據(jù)的定義，GRE 通過(guò)將需要傳輸?shù)臄?shù)據(jù)包封裝在GRE 包內(nèi)， 從而傳輸IPv6 數(shù)據(jù)。 GRE 是通過(guò)隧道傳輸IPv6 業(yè)務(wù)負(fù)載的一個(gè)理想的機(jī)制。 6to4 隧道：是使用嵌在IPv6 地址中的一個(gè)IPv4 地址來(lái)確認(rèn)隧道的端點(diǎn)，并自動(dòng)建立隧道。

網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT-PT（Network Address Trans-lation Protocol）附帶協(xié)議轉(zhuǎn)換器的網(wǎng)絡(luò)地址轉(zhuǎn)換器，是一種轉(zhuǎn)換機(jī)制，需要部署在只支持IPv6 的網(wǎng)絡(luò)和只支持IPv4的網(wǎng)絡(luò)之間， 但是需要連接兩個(gè)IPv6 網(wǎng)絡(luò)的時(shí)候， 使用它并不合適，因?yàn)檫@將需要在兩個(gè)地方進(jìn)行轉(zhuǎn)換，使得效率降低。

現(xiàn)階段我國(guó)IPv6 的發(fā)展情況

1998 年，教育部建設(shè)了CERNET-IPv6 試驗(yàn)網(wǎng)。 2003 年8 月經(jīng)國(guó)務(wù)院批準(zhǔn)，我國(guó)下一代互聯(lián)網(wǎng)示范項(xiàng)目（CNGI）正式啟動(dòng)。 此項(xiàng)目由國(guó)家發(fā)改委等八個(gè)部委共同組織，六大全國(guó)性網(wǎng)絡(luò)運(yùn)營(yíng)商和清華大學(xué)、北京大學(xué)、中國(guó)科學(xué)院等一百多所高校和研究單位以及華為公司、 中興通訊、CISCO 等幾十個(gè)網(wǎng)絡(luò)設(shè)備制造商通力合作參與，成為我國(guó)下一代互聯(lián)網(wǎng)進(jìn)程的一個(gè)里程碑。 2004 年12 月25 日，由國(guó)家發(fā)改委等八大部委聯(lián)合宣布我國(guó)第一個(gè)下一代互聯(lián)網(wǎng)示范網(wǎng)（CNGI）—CERNET2 主干網(wǎng)正式開(kāi)通， 標(biāo)志著我國(guó)以IPv6 為核心的下一代互聯(lián)網(wǎng)正式進(jìn)入實(shí)質(zhì)發(fā)展階段。 2011 年12 月，國(guó)務(wù)院總理溫家寶主持召開(kāi)國(guó)務(wù)院常務(wù)會(huì)議，研究部署加快發(fā)展我國(guó)下一代互聯(lián)網(wǎng)產(chǎn)業(yè)。 2012 年5 月，工信部發(fā)布了《互聯(lián)網(wǎng)行業(yè)“十二五”發(fā)展規(guī)劃》，要求“十二五”期間骨干網(wǎng)全面支持IPv6， 使得IPv6 網(wǎng)絡(luò)在中國(guó)開(kāi)始更加引人關(guān)注。

校園網(wǎng)的IPv6 的技術(shù)部署

隨著IPv6 業(yè)務(wù)的不斷開(kāi)展以及網(wǎng)絡(luò)設(shè)備的不斷更新，校園網(wǎng)成為推動(dòng)IPv6 發(fā)展的主要?jiǎng)恿Α?初期的校園網(wǎng)使用隧道技術(shù)在以IPv4 為主的原有網(wǎng)絡(luò)上部署IPv6，逐漸過(guò)渡到部分網(wǎng)絡(luò)采用雙棧技術(shù)組網(wǎng)，直到目前的以雙棧網(wǎng)絡(luò)為主校園網(wǎng)，經(jīng)歷了長(zhǎng)時(shí)間的規(guī)劃和更新過(guò)程。 目前，筆者所在學(xué)院的雙棧模式校園網(wǎng)部署方案如1 所示。

圖1 雙棧模式校園網(wǎng)部署方案示意圖

如圖1 所示，在校園網(wǎng)骨干網(wǎng)絡(luò)部署中采用三層拓?fù)浣Y(jié)構(gòu)：（1）核心層： 需要提供高速?gòu)V域網(wǎng)接口， 最長(zhǎng)的網(wǎng)絡(luò)正常運(yùn)行時(shí)間，全面的網(wǎng)絡(luò)安全性和可擴(kuò)展性，并且能適應(yīng)未來(lái)發(fā)展并保護(hù)投資體系結(jié)構(gòu)， 有多種業(yè)務(wù)的支持能力，包括IPv6 隧道以及IPv6/IPv4 雙棧協(xié)議等等。 （2）匯聚層：高密度接口，高性能，高容量，多種業(yè)務(wù)支持能力， 包括IPv6 隧道以及IPv6/IPv4 雙棧協(xié)議。 （3）接入層：高性能，多業(yè)務(wù)支持，支持IPv6/IPv4 雙棧協(xié)議，校園內(nèi)的用戶可以經(jīng)過(guò)接入設(shè)備方便地訪問(wèn)IPv6 和IPv4 的資源。

對(duì)于雙棧的終端設(shè)備，IPv6 網(wǎng)關(guān)和IPv4 網(wǎng)關(guān)都部署在匯聚層的三層交換機(jī)上。 為提高網(wǎng)絡(luò)可靠性，匯聚層和核心層之間、接入層和匯聚層之間均采用雙鏈路上聯(lián)，以實(shí)現(xiàn)鏈路的冗余，匯聚層設(shè)備作為用戶接入點(diǎn)網(wǎng)關(guān)設(shè)備，通過(guò)運(yùn)行VRRP 實(shí)現(xiàn)網(wǎng)關(guān)冗余，核心節(jié)點(diǎn)采用雙核心部署保證節(jié)點(diǎn)冗余。

雙棧校園網(wǎng)的安全問(wèn)題

網(wǎng)絡(luò)安全問(wèn)題是網(wǎng)絡(luò)建設(shè)中必不可少的考慮因素。 針對(duì)雙棧校園網(wǎng)， 不僅要考慮針對(duì)IPv4 接入層和匯聚層的安全防御，同樣要考慮針對(duì)IPv6 協(xié)議族的攻擊帶來(lái)的安全問(wèn)題。

首先，考慮添加雙棧防火墻設(shè)備來(lái)提高網(wǎng)絡(luò)的安全性。 目前，我國(guó)對(duì)過(guò)渡時(shí)期防火墻設(shè)備的規(guī)范還處于起步階段，雙棧防火墻設(shè)備技術(shù)要求的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)也尚未制定。 因此，中國(guó)移動(dòng)牽頭、華為參與起草的《雙棧防火墻設(shè)備技術(shù)要求》行業(yè)標(biāo)準(zhǔn)，成為我國(guó)首個(gè)對(duì)IPv4 向IPv6 過(guò)渡中的防火墻設(shè)備的技術(shù)規(guī)范標(biāo)準(zhǔn)。

其次， 采用802.1X 的傳統(tǒng)認(rèn)證方式。 雙棧用戶通過(guò)認(rèn)證后，本地地址信息上傳到認(rèn)證服務(wù)器，為用戶提供審計(jì)，保證了用戶接入的合法性和安全性。

最后， 采用接入層防攻擊策略，其中包括防欺騙攻擊，防DOS攻擊，防DAD 攻擊等等。

[1]楊立身.陳艷格.IPv6 校園網(wǎng)架構(gòu)探討[J].光通信研究，2008（5）.

[2]劉震.基于IPv6 的下一代校園網(wǎng)設(shè)計(jì)研究[D].上海：東華大學(xué)，2005.

[3]陸孺牛.IPv6 校園網(wǎng)的設(shè)計(jì)與部署[D].西安：西安電子科技大學(xué)，2008.

[4]Diane Teare.CCNP ROUTE學(xué)習(xí)指南[M].北京：人民郵電出版社，2011.

[5]杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐[M].北京：電子工業(yè)出版社，2011.

[6]張五紅，王宇.高校IPv6 校園網(wǎng)的部署與配置[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007（13）.

[7]張?zhí)煸?IPv6 技術(shù)及其在校園網(wǎng)的部署[J].甘肅科技縱橫，2006（1）.