基于IPv4/IPv6雙棧機制的高校網絡改造研究

周凱 褚寧琳

摘 ? 要：在國家戰略的推動下，高校都展開了IPv6網絡的建設工作，但從IPv4網絡向IPv6網絡的過渡是一個漫長的過程，面對當下各高校現網的實際情況，需要制定一個系統的、科學的、可行性高的IPv6建設方案，進行有步驟、分層次的建設。文章將從高校IPv4網絡建設的實際情況出發，分析IPv6與IPv4特性上的優勢差異及IPv6組網規劃設計中應重點考慮的若干問題，給出基于雙棧協議的3層組網架構和大二層扁平化組網架構的IPv6校園建設實例。

關鍵詞：第6版互聯網協議;規劃設計;部署方案

現今高校網絡建設由于資金投入不足、運營模式多樣、校區擴建、新舊設備共存等諸多問題，導致校園網絡向互聯網協議第6版（Internet Protocol Version 6，IPv6）升級改造具有一定的復雜性及難度。如何順利平穩過渡這一時期是當下需要思考的問題，本文將綜合考慮高校網絡的現狀，通過對IPv6與IPv4的特性分析，升級改造初期的部署規劃和設計，給出高校IPv6改造部署的可行性方案。

1 ? ?IPv6特性

1.1 ?地址空間

IPv6相比IPv4最顯著的優勢就是使用了128位地址長度來代替了原協議的32位地址長度，并支持多層子網劃分及地址分配，這些IP地址滿足了Internet中更多用戶、應用的使用。實現了端到端的完整通信，避免了網絡地址轉換（Network Address Translation，NAT）。

1.2 ?數據報頭格式

全新的IPv6報頭格式設計，把一些不重要的字段和擴展字段移到了IPv6頭部之后的擴展頭部，簡化了IPv6的頭部信息，提高路由處理信息的效率。雖然基本頭部是IPv4的兩倍，但提供了IPv4地址的4倍位數。

1.3 ?狀態和無狀態的地址配置

IPv6同時支持狀態地址和無狀態地址配置，并可以同時使用。無狀態地址配置，鏈路上的主機可以使用IPv6本地鏈路地址、過渡地址、前綴生成地址來自動配置。如沒有路由器，則兩臺主機可以通過本地鏈路地址自動配置與鏈路上相鄰節點進行通信，相比IPv4簡化了配置。

1.4 ?IPSec

IPSec頭部對IPv4支持為可選，對IPv6的支持為必選。這樣的必選不僅提供了標準化的安全解決方案，還為不同IPv6協議程序之間的互聯操作提供了方便。IPSec主要由認證頭部（Authentication Header，AH）和封裝安全負載（Encapsulated Security Payload，ESP）協議組成，AH負責保護IPv6數據包，并確保數據的完整性及消息認證，ESP頭部和尾部負責確保數據的完整性和機密性，并對數據進行認證，同時，保護ESP封裝的負載[1]。

1.5 ?優先級傳輸

可擴展對于如何處理和識別數據流IPv6頭部給出了新的字段，數據流通過Traffic Class字段進行排序，路由通過Flow Label字段識別和處理每個流的數據包。當數據包有效負載由IPSec和ESP加密時，仍然可以有序地發送由IPv6報頭信息識別的流量。

1.6 ?可擴展

可擴展可以在頭部后面通過添加擴展頭部進行擴展IPv6，擴展頭部的大小只受限于IPv6數據包大小，而不像IPv4頭部可選字段只支持40字節。

2 ? ?高校IP6網絡部署規劃

高校IPv6建設的驅動力決定IPv6網絡建設的必須性，但IPv4向純IPv6網絡過渡是一個漫長而復雜的過程。不可否認，這個過渡期將長期處于IPv4和IPv6共存的狀態。怎樣科學、穩步地對高校網絡升級改造，避免資源浪費、重復性建設值得思考。筆者認為，在升級改造前依據學校實際信息化建設及發展現狀，科學地制定詳細的IPv6網絡部署規劃是必需的，這個部署規劃過程如下。

2.1 ?評估

部署之前應對當前的網絡基礎設施進行細致的評估，它可以給出初步的參考依據。評估的內容主要包括以下幾點：

（1）網絡，調查當前的網絡基礎架構，包括網絡類型、設備類型、設備性能和功能以及記錄相關數據，以確認這些設備是否滿足相關IPv6技術改造的要求。

（2）地址分配，確認現行地址分配方案，力求與IPv6地址規劃與分配方案之間建立相關的聯系。

（3）網絡服務，確定現網中運行的網絡服務，如DNS，NTP，DHCP等。

（4）網絡管理，確認現有網絡的網絡管理工具是否可以管理IPv6網絡;若不能管理，將采用何種工具。

（5）網絡應用，梳理現網中所有業務系統、數據庫、操作系統等并記錄，而后確認這些網絡應用與IPv6的交互方式。

2.2 ?設計

總體設計要從前期評估摸底的實際情況出發，高校IPv6網絡建設主要從編址設計、過渡方案的選擇、網絡服務、安全性、穩定性5個層面設計。

2.2.1 ?IPv6編址方案設計

編址方案的設計不僅要滿足當前的編址需要，還要充分考慮到未來學校信息化持續發展的需求。公網地址由IANA負責分配，IANA會委派區域性的互聯網注冊機構（Regional Internet Registry，RIR）分配地址塊。目前，高校IPv6地址主要由中國教育和科研計算機網分配。基本分配原則會遵循RIR的地址分配指引，得到單個/48子網，可以獲得65 536個/64網絡。對于高校而言，雖然地址量很大，但也要合理分配，以達到高效路由選擇和路由聚合的效果。

編址方針為有效區分各網絡類型。高校網絡類型從屬性上分為管理地址和業務地址兩類;從場景上分為教學生活網、數據中心網、業務網3大塊。細分的話，教學生活網包含生活網和教學網;數據中心網分為常規管理網、私有云平臺管理網、其他各專網等;業務網分為非托管業務、托管業務、物聯網業務等。面對這樣一套復雜的網絡分類，應首先滿足每個LAN子網都是/64位網絡，確定網絡標識符所需的地址空間，RFC 3627推薦0子網空間的/126網絡專用于鏈路子網的地址分配。

地址分配要兼顧路由選擇，基本前提是不能影響現有IPv4路由選擇，對于兩種協議路由選擇，應盡可能結合使用。主機獲取地址時，無論是采用無狀態地址自動分配特征，還是使用狀態化地址配置特征，都是建立高效、穩定路由選擇的關鍵。對于一些特殊需求主機，也可以使用IP地址隱私擴展功能，使主機可以基于時間段自動更換IPv6地址。

2.2.2 ?過渡機制選擇

純IPv6網絡的實現將是個長期過程，這個過程屬于IPv4與IPv6共存階段。選擇何種機制主要從當前網絡環境、網絡設備的支持、應用的支持及未來IPv6的流量方面來考慮。筆者在《高校IPv6網絡部署的關鍵性技術研究》一文中對多種過渡機制的優劣作了詳細的闡述。

2.2.3 ?網絡服務與安全性

（1）網絡服務：主要包括DNS，AAA，DHCP等，給予用戶等價于IPv4網絡的服務也是改造的關鍵。如實施雙棧DNS，提供IPv4/IPv6地址解析、是否對主機提供自動配置特性或DHCPv6等。

（2）安全性：處于過渡期的網絡，不僅要防御IPv4網絡中存在的安全威脅，還要防御IPv6網絡帶來的新的安全威脅。如攻擊者通過隧道方式封裝IPv6流量，鬼使神差地通過安全設備進行攻擊。所以在IPv6網絡建設時，要對現網中不支持IPv6安全防御的設備進行升級或采購。在防火墻、IPS等設備上部署相應的安全防御策略、IPsec。

3 ? ?高校IPv6部署方案設計

高校IPv6網絡部署，基本都會基于現有IPv4網絡進行升級改造，組網架構可分為大二層架構（見圖1）與傳統3層網絡架構（見圖2）兩種。本文將根據這兩種架構闡述IPv4/IPv6雙棧部署實例，以面向教學生活網與數據中心業務網兩種環境。

大二層扁平化架構常用于教學生活網架構采用收縮核心的設計思想，忽略匯聚層直接至接入層，通過控制層面設備有效減少網絡層的物理和邏輯級聯級數，架構清晰便于精細化管理維護[2]。如圖1所示的多業務控制網關（Broadband Remote Access Server，BRAS）是整網的核心。這種大二層扁平化架構向IPv6網絡改造時，保持現有IPv4網路拓撲不變，開啟全網所有網絡設備和主機相關接口的IPv4/IPv6雙棧功能，在核心BRAS上配置IPv6上聯口和下聯口的靜態路由或OSPv3路由，并通過BRAS的DHCP功能，按照預先制定好的地址編制、規劃自動分配動態地址即可。需要認證計費的場景開啟BRAS的AAA認證功能并與三方的認證計費系統配合實現用戶準入、準出的認證、計費和管理。出口防火墻負責與ISP的接入及相關IPv6網絡的安全策略部署，原IPv4配置保持不變。

3層網絡架構采用層次化設計，分為核心層、匯聚層、接入層，每一層都有各自特定的功能。這種架構也是傳統校園網（含數據中心）組網方案。（1）接入層：主要負責物理或虛擬主機的接入。（2）匯聚層：匯聚一組接入層交換機，并提供應用的負責均衡、安全性服務等，如防火墻服務、IPS服務、深度包檢測、網絡監控等。（3）核心層：網絡的高速交換主干。核心層的穩定、高速、可控、可擴展是基礎[3]。數據中心網絡向IPv6網絡改造時，原IPv4拓撲結構不變，開啟全網所有網絡設備和主機的相關接口的IPv4/IPv6雙棧功能，手動按照預先規劃好的地址在主機上配置靜態地址即可。對于數據中心服務器地址的分配也可采用基于RFC 5006草案SLAAC部署，以擴展路由器通告消息，令其包含DNS信息。開啟IPv6協議棧的網絡適配器激活后，網絡適配器會根據自己的MAC地址和已知的IPv6前綴，自動分配一個IPv6地址，配置核心交換機上聯口和下聯口的相關IPv6路由。出口防火墻配置ISP的接入及相關IPv6網絡的安全策略，DNS啟用AAAA記錄進行解析，原IPv4配置保持不變。對采用3層架構的教學生活網，主要不同在于地址的分配形式及其他相關網絡服務上，如增加DHCP、認證計費系統等。

4 ? ?結語

本文主要闡述了高校IPv6網絡規劃設計中應具體考慮的若干問題及基于雙棧協議、基礎組網架構的IPv6校園網絡建設實例。給出了一套系統的IPv4向IPv6過渡的組網方案。但面對復雜多變的網絡環境如混合模式IPv6的實施、SAN網絡中的IPv6實施、虛擬化技術的IPv6實施、IPv6網絡安全、IPv6網絡管理等，都應在IPv6網絡部署的基礎上，因地制宜地給出具體的適應實際環境的解決方案，以達到最佳過渡效果。

[參考文獻]

[1]潘平江.基于IPv6的IPSec與防火墻協同策略的研究與設計[D].廣州：華南理工大學，2015.

[2]郭立志.高校扁平化園區網的架構設計[J].科技經濟導刊，2016（29）：22-23.

[3]曾華燊.園區網建設技術縱橫[J].計算機應用，1995（5）：1-4.