高校校園網的IPv6過渡策略研究

◆常偉鵬 袁 泉

?

高校校園網的IPv6過渡策略研究

◆常偉鵬 袁 泉

（中國藥科大學圖書與信息中心 江蘇 211198）

與IPv4協議相比，IPv6具有地址資源數量、路由轉發速度、安全性和服務質量等方面的優勢。通過對IPv6在校園網部署進展緩慢現狀及原因的分析，梳理了常見的IPv4向IPv6的過渡技術，探討了校園網由IPv4向IPv6過渡的三個階段，歸納提煉了校園網進行IPv6過渡的指導思想和原則，以期對高校新一代校園網建設與管理提供參考思路。

高校校園網；IPv6過渡；過渡策略

1 IPv6及其特點

IPv6即IP協議第六版，是國際互聯網工程任務組IETF為解決現行的IPv4協議諸多不足而設計的下一代IP協議，是IPv4協議的替代版本。應用IPv6能夠使IPv4網絡地址數量不足的問題得到徹底解決，同時IPv6還具有很多方面的優勢，諸如報文結構高效、支持地址自動化配置、QoS支持性好、擴展能力強、內置移動性等，能夠有效地提高網絡的應用性能。具體來說，IPv6有以下特點：

（1）地址資源豐富。IPv6的地址長度為128位，地址容量是IPv4的約8*1028倍，有著能“給地球上的每一粒沙子都編上一個IP地址”的量級，有效解決了網絡地址資源不足的問題。

（2）更快的路由轉發速度。IPv6地址在分配之初就遵循聚類（Aggregation）的原則，在路由表中可用一條記錄來標識物理和邏輯上相近的一片子網，大大縮短了路由表的長度，縮短了路由條目的查找時間，提高了數據包的路由轉發的速率。

（3）更高的安全性和服務質量。IPv6內部設置的安全協議，采用數據校驗的方式來保證數據的完整性，并利用加密措施為數據進行加密處理，可保證數據在端端傳輸過程中的安全性[1]。此外IPv6 還會改變報頭結構，增加通訊流類型與數據流標簽，有效提高數據傳輸效率[2]。

2 校園網的IPv6部署現狀

IPv4是現階段主流采用的網絡層協議，其廣泛而深刻影響到校園網的各個層面，大至校園網核心路由器，小至用戶個人終端，均采用的IPv4協議。IPv6雖然在不少高校的校園網中已經部署，校園網全部或部分用戶可以接入IPv6網絡，甚至部分學校的主要網站和信息系統也支持IPv6訪問，但與IPv4相比，IPv6部署的廣度和深度都遠遠不夠，IPv6在校園網應用的工作仍然任重道遠。目前在校園網中部署IPv6的難度主要表現在以下幾個方面：

（1）設備數量多且類型復雜，部分設備不支持IPv6。高校校園網中存在大量的聯網設備，除交換機、路由器等網絡設備外，還擁有大量的服務器設備、網絡安全設備、物聯網設備，以及數量最為龐大的用戶終端設備，設備的種類復雜，并且存在部分設備因采購較早或類型特殊而不支持IPv6的狀況。

（2）網站和業務系統數量眾多，但IPv6的應用范圍小。目前高校校園網中部署IPv6主要方式為所有或部分區域用戶支持IPv6網絡接入，數據中心網站和業務系統沒有或只有一小部分支持IPv6訪問。由于并非所有業務系統都支持IPv6，而業務系統內部的強關聯性，導致數據中心全面升級至IPv6困難重重。

（3）校園網安全性、穩定性要求高，但升級過程中和升級后對安全性和穩定性造成的影響不容小視。高校校園網承擔全校的教學、科研、管理、服務等多種職能，其安全、穩定運行，對高校各種業務的開展具有重要的支撐和保障作用。基于IPv4有一套成熟、完善的安全體系，對網絡安全有明確、具體的操作要求和實施方案，而基于IPv6的網絡安全體系仍未健全和成熟。此外，基于IPv4的校園網已經運行多年，已經具有很強的穩定性，其升級至IPv6的過程中和升級后的穩定性無法保證。

3 IPv4過渡至IPv6的技術

IPv6與IPv4報頭結構的巨大差異，導致兩者無法兼容，從而使得兩者之間無法直接通信。而IPv4的巨大影響力和互聯網的超級龐大體系結構決定了互聯網無法全部迅速升級至IPv6，那么IPv6替代IPv4（IPv4向IPv6過渡）將會是一個相當長期而復雜的過程，也就是說在相當長的一段時間里，IPv4網絡和IPv6網絡將共存，在此過程中IPv6網絡不可避免的需要與IPv4網絡通信，甚至IPv6網絡之間的通信還需要依賴IPv4網絡。關于IPv4向IPv6過渡，IETF提出了雙協議棧（雙棧）、隧道和協議轉換三種過渡技術。

（1）雙棧技術。雙棧技術是指網絡中的節點同時支持IPv4和IPv6兩種協議棧，從而實現與IPv4/IPv6網絡的通信，當目標地址是IPv4網絡時，使用IPv4協議棧，當目標主機為IPv6網絡時，使用IPv6協議棧，雙棧節點可以看成IPv4和IPv6兩個單棧節點的結合。雙棧技術是最早的、最簡單的過渡技術，還是其他IPv6過渡技術的基礎。采用雙棧技術需要網絡中的節點都同時支持并配置IPv4和IPv6協議，相當于維護一套IPv4網絡的同時還維護一套IPv6網絡，這種情況會增加網絡管理維護的復雜度，此外雙棧技術并未解決IPv4地址短缺的問題[3]。

（2）隧道技術。隧道技術實現了兩個孤立的IPv6網絡通過IPv4網絡進行通信，實質上是一種封裝技術。將IPv4網絡作為隧道，隧道出入口節點均為雙棧節點，在隧道入口路由器將IPv6數據包封裝在IPv4包之中，在隧道出口路由器將IPv4數據包進行解封再轉發給IPv6目的節點，通過該方式將兩個互相孤立的IPv6網絡連起來。隧道技術具有透明性強、操作簡便的特點，將孤立的網絡通過隧道進行連通，不僅適用于過渡初期階段IPv4網絡連接孤立的IPv6網絡，也適用于過渡后期階段用IPv6網絡連接孤立的IPv4網絡。但隧道技術中的隧道封裝增加了報文的長度，增加了網絡維護的復雜度，并且無法實現IPv4節點和IPv6節點之間的直接通信。

（3）協議轉換技術。協議轉換技術即網絡地址-協議轉換技術，通過連接在IPv4和IPv6網絡中間的轉換器修改IP數據包報文頭部信息，實現協議轉化，從而實現IPv4和IPv6網絡的互通。協議轉換技術在不對原有IPv4和IPv6節點進行改造升級的情況下，即可實現IPv4和IPv6網絡節點之間的直接通信，對原有網絡改造影響小，另外該模式對網絡中的節點具有一定的安全防護功能。但該模式實現方式較為復雜，地址轉換和協議轉換產生的開銷大，對網絡時延有一定影響，當存在大量轉換時，容易產生網絡瓶頸，制約網絡性能，因此不適合在較大規模網絡中采用。

4 校園網IPv6過渡的過程

全面建立基于IPv6協議的網絡需要滿足兩點，一是網絡全面啟用IPv6，二是關閉IPv4 協議[4]。高校校園網的復雜性，決定了校園網由IPv4全面過渡至IPv6是一個復雜而緩慢的過程，這個過程大致可分為以下三個階段：

（1）初期階段。在這個階段IPv4是校園網的主體，IPv6在校園網核心骨干區域和部分支持IPv6協議的接入區域以雙協議棧的方式部署，校園網中存在一定數量不支持或未部署IPv6的區域，這些區域使用IPv4協議訪問網絡，IPv6網絡如需訪問這些區域，或者這些區域如需訪問IPv6網絡，可通過協議轉換的方式進行[5]。此外還有可能存在部分區域或節點支持IPv6部署，但與核心網絡相連中間部分鏈路不支持IPv6協議，對此可采用隧道技術與核心區域的IPv6網絡互通。

（2）中期階段。在這個階段校園網所有區域都完成了IPv6的部署，數據中心完成IPv6改造，所有信息系統都支持IPv6的直接訪問。校園網全面采用雙棧方式，IPv6和IPv4網絡共存，訪問IPv4資源使用IPv4網絡，訪問IPv6資源則使用IPv6網絡。

（3）后期階段。這個階段IPv6成為校園網的主體，新建設的網絡和部署上線的信息系統所分配的地址以IPv6地址為主，IPv4地址不再下發，并逐漸對已分配的IPv4地址進行收回。在這一過程中會出現“純IPv6”的節點或網絡，如IPv4網絡需訪問這些區域，可通過協議轉換的方式進行。隨著校園網中分配IPv4地址的區域越來越少，逐漸消失，校園網的IPv6過渡才算全部完成。

5 校園網IPv6過渡的指導思想與原則

校園網由IPv4全面過渡到IPv6是一個漫長的過程，在這個過程中應當結合高校校園網的自身定位和實際需求，應當循序漸進、有章可循，切忌盲目建設、一蹴而就，應當遵循一定的指導思想和原則。

5.1 指導思想

（1）整體規劃。校園網的IPv6部署，不論是采用過渡方式，還是純新建網絡，都需要基于一個校園網整體層面的長遠規劃。未來的校園網將會是一個基于IPv6網絡協議的集成多種業務的智慧網絡，除傳統的上網業務外，還將會容納監控、門禁、校園卡、多種物聯網傳感器等多種業務。校園網由IPv4過渡至IPv6只有遵從整體規劃，才能有序推進，避免片面和重復建設。

（2）資源驅動。資源驅動是保持網絡長效發展的持續動力，IPv4向IPv6演進不僅僅是為了解決IP地址資源匱乏的問題，還應著眼于向用戶提供全方位、多元化的應用服務[4]。要加強對IPv6網絡資源的建設，一方面需要盡快完成現有IPv4網絡資源的雙棧支持，另一方面要開發多種多樣的IPv6資源，這包括在IPv6支持更好的高清視頻會議資源、視頻點播資源，以及智慧校園中各種常用的業務資源。

（3）平穩過渡。校園網上承載著的大量業務，是高校各項工作開展的重要保障，網絡的穩定、可靠運行是校園網的最基本要求。由于IPv6對IPv4的不兼容，這要求校園網從IPv4向IPv6過渡中，一方面要保證IPv6網絡與IPv4網絡互訪的穩定，另一方面要保證IPv6網絡內部的穩定。

（4）注重安全。雖然安全性較IPv4有了提升，但IPv6并不是絕對安全的。在IPv6網絡中蠕蟲病毒、CC攻擊、DDos攻擊等網絡攻擊依然存在。由于IPv6大量用到組播并且無太多限制，該特點很容易被利用并進行傳播。在IPv4向IPv6過渡的過程中，也容易產生新的網絡漏洞，要從整體層面上對過渡時期的網絡安全進行規劃并部署實施。

（5）考慮成本。校園網的過渡方案，要綜合考慮成本投入和新業務達到的效果，注重保護現網投資，過渡是一個長期的過程，要根據現實需要逐步推進校園網向IPv6的過渡，切忌“一蹴而就”、“貪多求大”心態，注重網絡建設和資源建設之間的平衡。

5.2 指導原則

（1）循序漸進。過渡方案的制定要依據整體規劃，分階段、有計劃的逐步開展，依據整個互聯網層面的IPv6建設進程，在校園網中擴大IPv6的部署，逐步縮小IPv4的應用范疇。

（2）綜合可用。要明確在過渡時期IPv6網絡和IPv4網絡長期共存的事實，過渡方案設計時，務必確保所建網絡和資源對IPv6和IPv4網絡均可使用。

（3）穩定性、可靠性。方案的設計要以不影響現有業務運行為指導原則，同時新建內容須待測試通過，確保穩定可靠后，方可部署上線。

（4）靈活性、可擴展性。信息技術是不斷發展的，校園網是不斷增長的，過渡方案設計要依據現狀并對復雜狀況做出充分的預留、對未來發展做充分的預留，確保校園網有充分的擴展能力。

[1]廖姍姍.校園網用戶管理在大數據時代下的應用研究[J].數字技術與應用, 2011,07(5):89.

[2]畢軍,王優,冷曉翔.IPv6過渡研究綜述[J].電信科學.2008(10):12-22.

[3]吳海博,韓康.隧道技術與協議轉換相融合的IPv6過渡技術研究[J].科研信息化技術與應用.2018,9(1):30-37.

[4]陶晶.淺談高校校園網IPv4向IPv6過渡問題及對策[J].網絡安全技術與應用.2015(10):41,43.

[5]馬軍鋒.網絡向IPv6演進的過渡技術方案綜述[J].有線電視技術.2018(6):33-37.

2019年中央高校基本科研業務費專項資金資助項目（2632019PY16）。