高校校園網IPv6升級改造探索

摘 ?要：現階段隨著5G和物聯網技術的發展，萬物互聯的時代即將到來，由于IPv4網絡地址緊缺，IPv6網絡逐步替代IPv4網絡是時代所趨。文章對IPv6網絡相關技術進行了研究和實踐，并從紹興職業技術學院IPv4/IPv6共存的網絡建設技術方案出發，從IPv6升級改造技術選型、網絡拓撲結構設計、IPv6網絡地址規劃、IPv6網絡路由設計、應用業務改造這幾個方面提出了高校IPv6改造思路和技術解決方案。

關鍵詞：IPv4/IPv6;校園網;網絡拓撲結構設計

中圖分類號：TP393.04 ? ? 文獻標識碼：A 文章編號：2096-4706（2020）23-0103-03

Exploration on Upgrading IPv6 of Campus Network in Colleges and Universities

——Take Shaoxing Vocational & Technical College for Example

XIE Hulin

（Shaoxing Vocational & Technical College，Shaoxing ?312000，China）

Abstract：At present，with the development of 5G and internet of things technology，the era of internet of everything is coming. Due to the shortage of IPv4 network addresses，it is the trend of the times for IPv6 networks to gradually replace IPv4 networks. This paper studies and practices IPv6 network related technologies，and from the network construction technical scheme of the coexistence of IPv4 and IPv6 in Shaoxing Vocational & Technical College，this paper puts forward the IPv6 transformation ideas and technical solutions for colleges and universities from the aspects of IPv6 upgrading technology selection，network topology design，IPv6 network address planning，IPv6 network routing design and application business transformation.

Keywords：IPv4/IPv6;campus network;network topology design

0 ?引 ?言

IPv6是Internet工程任務組（Internet Engineering Task Force，IETF）為替代IPv4而設計的下一代IP協議。IPv6地址號聲稱能夠為世界上每一粒沙子編碼一個地址。IPv4最大的問題是網絡地址資源有限，嚴重制約了互聯網的應用和發展，而IPv6的使用不僅可以解決網絡地址資源的數量問題，而且可以解決各種接入設備接入Internet的障礙[1]。IPv6作為互聯網的新版本，其根本目的是繼承和取代IPv4，但由于歷史原因，目前很多互聯網站點和應用對IPv6網絡的支持還沒有普及，IPv4和IPv6的不兼容，使一個協議的設備不能與另一個協議的設備進行通信，作者在單位負責學校的信息化推進工作，因我校信息化建設面臨著IPv4基礎網絡升級到IPv6網絡的問題，本文作者就如何進行校園網IPv6升級改造，在技術層面進行了一定的研究并將研究所得運用到了實際工作中。

1 ?IPv6升級改造技術選型

目前，由于IPv6網絡資源不如IPv4網絡，將IPv4網絡升級為IPv6的主要過渡技術包括翻譯技術、隧道技術和雙協議棧技術：

（1）翻譯技術，基于能夠使IPv4和IPv6互聯互通的無狀態翻譯技術和雙重翻譯技術的協議翻譯器，能保證IPv4和IPv6網絡的互通。

（2）隧道技術，是在現有IPv4路由系統的基礎上傳輸IPv6數據的技術，是過渡階段最容易采用的技術，適用于IPv6主機/網絡之間的互通。

（3）雙協議棧技術，是同時運行IPv4和IPv6兩套協議棧，完全兼容IPv4和IPv6，適用于任何IPv4、IPv6網絡。

從盡量不改變現有網絡拓撲，不影響用戶的上網體驗，平穩演進到純IPv6網絡，IPv6升級應盡量使用戶無感知，IPv6升級應充分考慮可持續發展性和可管理性。我校采用的是基于雙棧協議，IPv4/IPv6共存的網絡建設技術方案。

網站升級IPv4/IPv6雙棧協議不是簡單的升級，而是一個系統的全面升級。雙棧協議策略的特點是：所有軟硬件設備同時運行IPv4和IPv6協議棧，可以同時處理IPv4和IPv6數據包，同時支持IPv6和IPv4接入。

雙棧升級包括以下幾個方面：

（1）網絡層改造：制定IPv6網絡升級方案，開放網絡設備IPv6協議，接入ISP運營商（我校以電信出口為例）IPv6帶寬，獲取IPv6地址，做IPv6地址DHCP策略。

（2）設備層改造：所有硬件設備都需要支持IPv6，全部開放IPv6協議棧。

（3）業務系統改造：所有前后業務管理系統、數據庫系統、網絡安全系統、應用系統，全部啟用IPv6協議，支持同時運行IPv4/IPv6協議[2]。

2 ?網絡拓撲結構

我校采用三層網絡組網架構，外網防火墻作為出口路由實現電信500 Mbps出口、移動500 Mbps出口的“兩網接入”，并為不同網絡業務做不同策略路由，外網防火墻旁側設置DMZ區，防火墻同時對內網和DMZ區起到第一層安全防護。下串聯深信服上網行為管理設備AC，實現對通過的流量進行控制和日志審計功能。AC下串聯和城市熱點上網認證設備，采用Web Portal認證實現對上網用戶的入網認證，之后連入核心層交換機S7606E。核心交換機完成數據高速轉發，并定義部分VLAN接口。再做鏈路聚合下聯三個匯聚層交換機：教師線匯聚交換機，機房線匯聚交換機，數據中心交換機，其中核心交換機和數據中心交換機之間接入內網防火墻，保障服務器區的安全。各匯聚層交換機主要實現VLAN定義，VLAN接口IP配置，配置靜態路由完成到核心交換機的路由可達。各匯聚交換機下聯接入層交換機，接入層交換機直連設備終端。在服務器區，由我校自行搭建Web、DHCP、DNS等服務器，核心層和匯聚層設備使用DHCP中繼模式使各管理VLAN獲取服務器分配IPv4地址信息，采用策略路由在核心層選擇不同下一跳路由。電信500 Mbps出口同時為我校提供IPv4和IPv6業務，通過相同的物理鏈路，完成IPv6數據傳輸。學校網絡拓撲圖結構如圖1所示。

3 ?IPv6網絡地址規劃

學校在部署IPv6時，先明確學校基礎設備可用性，明確學校主干網絡上的設備是否支持IPv6（尤其是出口設備、核心設備、匯聚設備）;計費、審計和行為管理等設備是否支持IPv6。只有各網絡設備很好的支持IPv6地址，基于雙棧協議IPv4/IPv6共存的網絡建設方案才能在學校很好的落實。IPv6是由128位二進制數構成，即32位十六進制數。電信500 Mbps出口給學校提供的IPv6地址段240E：F3： C000：300：：/56，出口互聯地址240E：F3：C000：300：：1/126（電信側），240E：F3：C000：300：：2/126（學校側），電信側已將

“/56”地址段用靜態路由指向240E：F3：C000：300：：2，紹興職業技術學院側默認路由請指向240E：F3：C000：300：：1，IPv6 DNS地址：240E：1C：200：：1、240E：1C：200：：2。

基于電信給學校提供的IPv6地址段，學校在進行部署規劃前，我們應先規劃出特定IPv6地址段作為今后學校網絡規劃中管理地址段以及為互聯地址段做提前規劃，方便今后校園網日后的規劃性拓展做鋪墊。在現已申請的IPv6地址240E：F3：C000：300：：/56中，我們設想設備管理地址使用240E：F3：C000：300：250：：/80;設備互聯地址使用240E：F3：C000： 300：192：：/80，出口互聯地址使用240E：F3：C000： 300：：1/126（電信側）、240E：F3：C000：300：：2/126（學校側）。網絡設備管理可以利用原有的交換機管理VLAN創建IPv6地址進行管理，并分配校園網中每個設備的管理地址。在劃分IPv6子網時，80位前綴用作網絡地址，65～80位地址是IPv4 VLAN號。格式為：240E：F3：C000：300：1001：：1/80，最后48位地址為用戶的主機號，將相應的IPv6地址分配給相應的IPv4 VLAN，建立DHCP服務器，通過DHCPv6（有狀態）將IPv6地址和IPv6 DNS地址分配給主機，如表1中分配的地址所示。

4 ?IPv6網絡路由設計

網絡升級完成后，全網核心層、匯聚層交換機均同時支持IPv4和IPv6。對IPv4/IPv6雙棧網絡設備，核心層、匯聚層IPv6路由采用靜態或動態路由協議接入核心層。按照規劃好的IPv6地址分別配置在各端口上，配置相應的路由，需將默認路由指向外網出口端，然后出口端防護墻配置回指路由。由于IPv6出口鏈路目前只有一條，所以不需要考慮多出口路由負載均衡等問題，因此在配置好出口靜態路由及回程路由之后，開啟對應IPv6安全域的防護即可。用戶入網認證方式仍舊采用城市熱點Web Portal三層認證，用戶盡量對網絡升級無感知，降低影響面。核心交換機VLAN接口配置案例如圖2所示，核心交換機VLAN接口配置案例如圖3所示。

5 ?應用業務改造

目前，我校校園網有兩臺內網DNS服務器（一臺為主服務器，一臺為備用）。對于此IPv6升級，需要將IPv6地址和IPv6 DNS信息添加到DNS服務器。在學校內部運營網站的域名中添加新的AAAA記錄。在地址分配方面選擇中繼服務，需要DHCPv6同步更新內網中DNS服務器的地址信息[3]。在Web服務器升級方面，互聯網站點和應用對IPv6網絡的支持還沒有普及，“天窗”問題突出。當我們要利用雙棧協議技術對現有的作業場所進行技術改造升級時，無論是設備的優化升級還是程序代碼的修改，如果站點包含指向其他站點的鏈接（鏈外），但鏈外站點尚未升級IPv6轉換，用戶在訪問網站時，會出現各種問題，如響應速度慢、內容標識丟失、應用場景功能失效等，導致用戶體驗差，沒有以前那么友好。如果資金允許，可以使用IPv6協議翻譯設備來緩解這一問題。

6 ?結 ?論

在推進IPv6網絡改造升級時，必須首先考慮各級網絡支撐設備對IPv6的技術支撐，因當前大多數應用系統資源還是面向IPv4結構搭建的，所以呼吁網絡建設者在規劃升級改造方案時，也勢必要做好對現有IPv4應用的可訪。網絡建設者從規劃上就應明確認識到，升級不是一蹴而就的，需要多方考量，在保障現有應用的有效支撐下進行改造。

IPv6的全面普及是必然的發展趨勢，但要讓IPv6完成全面取代現有的IPv4還是需要很漫長的過渡期。從網絡建設者角度來看，勢必要結合當前現有環境，在推進IPv6的開展時，必須要考慮相對平穩的過渡方案，不可一味追求技術的革新，而忽視IPv4對現有場景的支撐依靠。

參考文獻：

[1] 陳波，王莉，肖璐，等.校園網IPv6部署與實踐初探 [J].電腦知識與技術，2018，14（21）：33-35.

[2] 姚娟，聞琛陽.門戶網站IPv6改造的技術路線選擇 [J].通信電源技術，2019，36（2）：197-198.

[3] 周強.高校IPv6網絡升級改造探討 [J].網絡安全技術與應用，2020（4）：107-109.

作者簡介：謝胡林（1979.08—），男，漢族，浙江紹興人，講師，碩士，研究方向：網絡和大數據。