高校IPv6 網絡升級改造探討

◆周 強

（中山大學新華學院 廣東 510520）

2019 年11 月26 日，歐洲網絡協調中心宣布全球所有的43億個IPv4 地址已經全部分配完畢，意味著ISP 無法再申請到新的可路由的全球公網IPv4 地址，如今必須面對可重用和未使用的IPv4 地址越來越少的情況。目前采用NAT 技術可以將多個私有地址轉化為少數幾個公有地址，能在一定程度上緩解IPv4 地址枯竭的問題。但通過NAT 技術后破壞了設備通信端到端的連接模型，NAT 后計算機連接數量也是有限制的。鑒于IPv4 過渡到IPv6 具有可行性，選擇IPV6 技術來才是從根本上解決IPv4地址空間不足問題的方式。

IPv4 地址是由32 位二進制數構成，理論上總地址數為2^32。IPv6 地址是由128 位二進制數構成，理論上總地址數為2^128。后者是前者的2^96 倍，因此采用后者能徹底解決當前地址空間不足的問題，并能滿足今后相當長的一段時間地址空間分配的需求。采用IPv6 技術，另一個顯著優點：不用改變原有物理的網絡拓撲結構，核心層、匯聚層設備升級支持IPv6 即可。整體上看IPv6 的網絡配置原理與IPv4 網絡配置原理相似，通過配置設備接口地址，管理地址，新建IPv6 路由策略以及策略路由來實現數據傳輸。好比，IPv4 原來是公路，現在公路下新建一條IPv6的地鐵，都是為了跑數據建立的業務體系，并且二者的業務不會相互影響。

1 網絡拓撲

我校采用混合式三層網絡拓撲架構，防火墻作為出口路由實現教育網1、教育網2、移動ISP 網的“三網接入”并為不同網絡業務做不同策略路由，同時起到第一層安全防護。下聯上網行為管理設備，完成對通過的流量進行控制和日志審計功能。之后連入核心層交換機S7706。核心交換機完成數據高速轉發，并定義部分VLAN 接口。再做鏈路聚合下聯多個匯聚層交換機：服務器區交換機，宿舍區匯聚交換機，行政辦公區交換機，教學實驗區交換機。各匯聚層交換機主要實現VLAN 定義，VLAN 接口ip 配置，配置靜態路由完成到核心交換機的路由可達。宿舍區匯聚交換機再分別上聯電信ISP、移動ISP。各匯聚交換機下聯接入層交換機，接入層交換機直連設備終端。

在服務器區域，由我校自行搭建DHCP、DNS 等服務器，核心層和匯聚層設備使用DHCP 中繼模式使各管理vlan 獲取服務器分配ipv4 地址信息，采用策略路由在核心層選擇不同next-hop。升級后，教育網1 同時為我校提供IPv4 和IPv6 業務，通過相同的物理鏈路，完成IPv6 數據傳輸。

2 地址規劃

IPv6 是由128 位二進制數構成，即32 位十六進制數，通常用8 組（4 位/組）16 進制數表示。例如2001:0DA8:202A:0:0:0:0，也可簡寫成2001:da8:202a::。

我校由教育網1 提供IPv6 業務，分配給我校的業務地址為2001:da8:202a::/48。可自行管理，即前綴是2001:da8:202a::的2^80個IP 皆為全球可路由公網IP 地址，地址范圍是2001:da8:202a::至2001:da8:202a:ffff:ffff:ffff:ffff:ffff。通常來講，最后4 組地址是與設備mac 地址值有關聯，第3 組作為可規劃的管理IP 地址。規劃的核心思想是對第3 組的4 位十六進制數做劃分，可以根據功能或者物理區域劃分，并保證在策略配置時，這些路由可以做匯聚，簡化路由條目。

對于普通的PC 機，我校采用無狀態自動配置（見圖1）。后4 組接口ID 通常是根據EUI64 算法轉化后得到，EUI64 主要將48 位MAC 地址轉換成64 位地址。在此基礎上，RFC3041 引進隨機地址機制，由隨機數字代替MAC 地址轉化為接口ID，該地址存在生存周期，周期結束，地址更換，能夠有效解決網絡訪問被跟蹤的問題。由IPv6 的NS 報文和NA 報文實現DAD 機制，避免IP 地址沖突。我校辦公網絡vlan1633，在不影響原來IPv4業務基礎下，新增IPv6 后配置信息如下

圖1 普通PC 機IP 規劃

關于服務器，我校采用有狀態手動配置，核心思想是關聯原來的 IPv4 網絡，有規律可循。舉例原設備 IP 地址192.168.255.33/24 所屬vlan 20。

可以為vlan20 新增IPv6 接口管理IP 2001:da8:202a:20::1，服務器IP 地址規劃為2001:da8:202a:20:192:168:255:33/64。（見圖2）。因為兩者為同一設備的不同IP，方便記憶與管理。

圖2 服務器IP 分配

3 路由可達

IPv6 可以采用基于OSPFv2 開發的OSPFv3 的動態路由，OSPFv3 最大的改變就是新增了對IPv6 地址的支持，并且兼容IPv6 的體系架構，同時保留OSPFv2 的機制：如區域劃分、DR選舉、flooding、根據鏈路狀態的最短路徑算法等，并且OSPFv3相比OSPFv2 對部分功能也做了一定增強。鑒于我校網絡拓撲結構不是太復雜，我們采用是靜態路由技術：在防火墻對應接口配置好教育網1 的IPV6 接口IP，完成區域劃分以及出口路由和回執路由的配置信息。配置好下聯核心交換機接口，防火墻與核心交換機中間設備均采用透明轉發模式。核心交換機配置默認路由指向防火墻，根據目的地址配置策略路由指向目標匯聚層交換機。各匯聚層交換機配置默認路由指向核心層交換機，接入層交換機不做更改，達成的目標為ipv6 的全網可路由。后期可以根據需求，在交換機做策略路由，同IPv4 網絡：定義流分類，制定流行為，匹配流規則。最后將流規則應用到流量入接口或者出接口。

4 應用業務升級

我校目前使用BIND 搭建的DNS 服務器，此次升級需為DNS服務器新增IPv6 地址，forward 字段添加上級的IPv6 的DNS 信息，為內部網站域名添加AAAA 記錄。地址分配方面，如果是使用中繼服務，DHCPv6 需同步更新DNS 服務器地址信息。在Web 服務器升級方面，由于各大門戶網站并未全面支持IPv6 地址信息，目前IPv6 建設中存在比較顯著的天窗問題：由于網站中存在相互引用的現象，當被引用的鏈接不支持IPv6 訪問，IPv6用戶即便使用雙棧技術訪問這個外鏈，也會出現內容無法顯示的故障。如果資金方面允許，可以采用翻譯設備，能夠緩解這個問題。

5 IPv4 與IPv6 互訪以及過渡

校園網IPv6 的升級改造，要綜合考慮根本需求，設備利用和經濟費用的因素。在長時間內，IPv4 和IPv6 網絡是共存的狀態，在這個過渡期，IPv4 和IPv6 的互訪是關鍵，目前的主流技術分雙協議棧技術、翻譯技術、隧道技術。三種技術如何選擇，具體情況需具體分析。我校目前的建設方案：初期選用翻譯技術適應WEB 應用，成熟階段使用雙棧技術讓用戶訪問互聯網絡，最終可以使用純IPv6 環境，讓客戶端和服務端通過IPv6 網絡透明通信。

6 IPv6 安全問題

當前，我國關于IPv6 網絡在國際出口方面的流量限制較小，例如在IPv4 網絡中受限的“雅虎”等網站資源能夠通過IPv6 網絡正常訪問。某些不適宜的資源流入也是對我們的挑戰，我們必須牢牢掌握意識形態工作領導權和主動權，學校必須重視在這方面的引導。

另一方面，安全防護的軟硬件也應該適用IPv6 網絡，按需進行升級。我校IPv6 的網絡安全目前是通過兩項：（1）天融信防火墻作為出口路由，制定嚴格安全訪問控制策略，并在允許公網訪問的IPv6 上均執行了病毒檢測；（2）深信服AF 設備部署在出口鏈路上，對通過的流量進行檢測和控制。二者結合使用保證內部網絡的安全。

7 結語

IPv6 的升級是基于設備升級，關鍵點還是要保證對現有IPv4應用程序的可訪問性，因此。在實際升級前，要做好方案規劃，考慮全面方能更好實施下一階段的工作。IPv6 是當前網絡發展的趨勢，但是徹底取代IPv4 還是要有相當長的一段時間，相關建設者也應盡心考量，共同推進IPv6 網絡體系建設。