IPv6 雙棧技術在校園網中的應用研究
——以北華航天工業學院校園網為例

耿娟平 郭冬濱 李 倩

（1、北華航天工業學院信息技術中心,河北 廊坊065000 2、北華航天工業學院國資處,河北 廊坊065000）

隨著IPv4 地址的枯竭,固有缺陷的突出,運維的困難,與此同時IPv6 技術的日益成熟,服務質量和安全性能上都有了很大程度的提高。IPv6 自2003 年,8 個部委聯合啟動中國下一代互聯網示范工程CNGI[1]以來經歷了“白銀時代”、“青銅時代”到現在突飛猛進的“黃金時代”。集政府部門、中央企業、基礎電信企業、互聯網企業、通信設備制造企業、科研機構等迅速行動,出臺詳實的部署方案和工作計劃,推進IPv6 的升級改造工程的進展。2020年7 月份于廣州南沙舉行的“2020 全球IPv6 下一代互聯網峰會”上,劉東等國內外專家在中國發布了全球首份“推進IPv6 規模部署向純IPv6 發展聯合倡議”。高校校園網由IPv4 向IPv6 過渡勢必成為必然,刻不容緩。我校于2017、2018 年借助中央財政資金專項信道升級、萬兆升級及千兆到桌面工作,保障校園網基礎設施及骨干網絡的建設。雖然目前應用僅限于運行在IPv4 網絡,但為IPv6 網絡提供了支持和儲備。我校網絡通過200M鏈路接入中國教育和科研計算機網（CERNET）[2],通過1900M鏈路（100 M聯通鏈路+1800 M電信鏈路）接入國際互聯網,為快速地接入教育網和Internet 提供了保障。我校校園網采用環形+星型拓撲結構,西校區核心交換機（Cisco WS-C6509-E）分別通過20G 信道與東校區綜合實驗樓核心交換機（Cisco WS-C6509-T）、圖書館核心交換機（Cisco WS-C4500X）和教8 樓核心交換機（Cisco WS-C4500X）相連,綜合實驗樓、圖書館、教8 樓核心交換機分別由10G 信道連接。接入層交換機（Cisco WS-C3560X）與核心交換機由10G 信道連通,與終端用戶通過1000 M信道相連,形成了“萬兆主干、千兆桌面”的網絡格局。

1 校園網IPv6 雙棧技術部署方案設計

基于我校現有IPv4 網絡環境,在IPv6 雙棧技術改造方案中,必須遵循兼顧現網、保障業務、降低成本[2]的原則。我校IPv6雙棧技術具體實施從以下幾個方面開展,從而實現雙棧網絡環境的平穩過渡。部署方案主要圍繞以下幾點開展。

1.1 網絡核心增加IPv6 路由。為同時實現對IPv4 和IPv6 兩種業務流的支持和通信,學校對現在IPv4 網進行了升級改造和重新組網建設。校園網核心采用支持雙棧的三層交換機,所有與IPv6 相關的三層交換處理都由該交換機完成。匯聚層分布在教8樓、綜合實驗樓和圖書館,接入層則主要分布在不同樓宇的樓層中,用于各個單位的端口接入,從而連接用戶終端。

1.2 校園網出口增加IPv6 出口。在現在的核心出口路由器Cisco7604 上開啟IPv6路由協議,實現IPv4 和IPv6 兩種協議同時運行,同時,保障對外用戶提供IPv4 和IPv6 網絡訪問服務。在物理接口下需要啟用IPv6 服務,IPv6 enable。

圖1 雙棧網絡

1.3 辦公教學區、宿舍區域、無線網絡提供IPv6 接入。校園網用戶只需要接入設備開啟IPv6 協議, 便可實現無感知接入IPv6 網絡。

2 校園網IPv6 具體實現

2.1 IPv6 子網地址規劃

IP 地址規劃影響網絡的管理性,在部署IPv6 地址時應該考慮到目標。在地址分配規劃的每一層都使用共同的分配技術,但在地址規劃層次結構的不同水平階段可以應用不同的技術。我們定義了3 個層級,開始是源IPv6 地址段2001:250:805::/48,為核心分配/52 前綴,/56 前綴分配給匯聚,最后/64 分配給單個子網。對核心層使用稀疏技術,對區域使用最合適,對站點使用隨機,對子網使用單調的分配技術。校內子網,根據校區接入位置和分布聚類具體規劃為：學校IPv6 地址范圍2001:250:805::/48 學校按照三層設備分布及vlan 分配構造子網,如：2001:250:805:0XXX::1/64,2001:250:805:1XXX::1/64,2001:250:805:2XXX::1/64,2001:

250:805:3XXX::1/64 其中0XXX、1XXX、2XXX、3XXX 是中的0、1、2、3 分別代表教七樓、綜合實驗樓、教8 樓和圖書館的三層設備,XXX 代表vlan 號。

2.2 IPv6 路由協議選擇和配置。IPv6 采用無狀態地址配置和DHCPv6 地址配置,兩者之間的工作過程和特點都不盡相同。無狀態地址配置（Stateless Address Autoconfiguration）SLAAC 工作過程:第一步,由路由器廣播地址前綴信息；第二步,通過路由器廣播的地址前綴和PC 端的MAC 地址或PC 端操作系統隨機生成的數值創建IPv6 地址,挑選IP 地址；第三步,經過重復檢測后,最終確定PC 機的IPv6 地址并使用。它的主要特點：操作簡單,幾乎所有終端都支持,終端用什么地址完全自主,也可以提供DNS服務器信息。通過IPv6 unicast-routing 命令即可實現。DHCPv6地址配置的工作過程是,PC 終端向DHCPv6 服務器請求IPv6 地址；DHCPv6 服務器分配IPv6 地址；經過重復檢測后使用。這種地址配置的特點是,安卓手機不支持此協議；終端地址由DHCPv6服務器集中分配；可以提供更多信息。IPv6 路由協議選擇和配置上,內部路由協議采用OSPFv3,但如果網絡規模大時,可以采用BGP 協議。如果對外有多條鏈路且上游支持,采用BGP 動態路由協議否則采用靜態路由即可。對外路由配置：與上游路由器使用BGP 傳遞路由,向上游路由器發送自己的地址段,上游路由器發送默認路由。內部路由配置：校內使用OSPFv3 路由協議,出口路由器發送默認路由。

有線網絡vlan 接口配置如下：

圖2 有線Vlan 接口配置

在IPv4 的基礎上增加了IPv6 地址及地址驗證。

2.3 服務器雙棧支持。服務器增加IPv6 配置,簡單配置IPv6地址、前綴長度、網關信息即可。設置IPv6 地址的同時要設置防火墻。在DNS 服務器上,通過IIS 上添加AAAA 記錄綁定IPv6 地址及對應域名即可。

2.4 計費系統與網絡安全設備設置。我校IPv4 認證與計費主要采用接入認證和出口portal 協議,時長計費,因此在現IPv6 時只需接入認證協議即可。網絡安全設備的IPv6 支持：防火墻、操作系統防火墻、WEB 應用防火墻（WAF）支持IPv6 協議。WAF 地址及網關：2001:250:805:e000:210:31:XXX:fe/120。

2.5 網絡應用的IPv6 支持。目前運行在網絡上的應用對IPv6支持主要由直接支持、網絡層轉換、反向代理三種方式。直接支持常用于DNS、BBS 等服務,通過直接增加IPv6 地址,提供IPv6 服務。網絡層轉換主要通過使用IVI 轉換設備,提供IPv6 服務。反向代理則主要是通過設置Nginx 反向代理服務器,可實現對650多個網站集中提供IPv6/IPv4 的http/https/http2 服務。我校主要通過第一種方式實現網絡上的應用。

2.6 用戶IPv6 接入。用戶接入IPv6 可通過直接接入、子網橋接接入和子網路由接入三種方式。用戶直接接入指連接校園網的用戶,直接獲取IPv6 地址,訪問IPv6 服務。用戶機只需要勾選上“Internet 協議版本6（TCP/IPv6）”即可。子網橋接接入是指IPv6橋接接入校園網,直接獲取IPv6 地址,訪問IPv6 服務。子網路由接入是指網絡信息中心統一分配IPv6 地址前綴,校園網路由設備上增加靜態路由子網用戶分配子網的IPv6 地址,路由接入校園網,訪問IPv6 服務。目前,我校校園網用戶主要采用前兩種方式接入,使用戶無感知接入IPv6 網絡。

2.7 IPv6 運維。通過show ipv6 route;show ipv6 neighbor;show mac-add；可以查看到路由表、鄰居緩存及查看交換機的某個接口連接的設備的MAC 地址。這些信息記錄下來跟蹤用戶、統計校園網IPv6 接入設備的情況。

3 實際運行效果

圖3 終端用戶IPv6 接入

IPv6 項目部署后校園網對所有開通雙協議棧的校園網用戶提供IPv6 接入服務,IPv6 升級運行效果達到了預期效果,運行平穩,主要表現在:

3.1 滿足了校園網用戶增長的需求。IPv6 地址充裕,使得校園網用戶都能擁有獨立的IPv6 地址。現階段IPv6 資源絕大多集中在CERNET 網范圍內,為在校師生通過網絡進行學習和開展科研提供了一個很好的平臺。

3.2 網速快。由于IPv6 采用端到端服務,訪問速度得到很大的提升,提升了IPv6 用戶網絡服務體驗。

3.3 服務質量高[3]。IPv6 通過在網絡層對數據進行加密校驗,并且具有數據報頭結構方面的特性,從而保障高質量的網絡服務。

結束語

IPv4 地址塊耗盡極大地限制了互聯網絡的進一步發展,IPv6的出現則填補了這一短板[4]。但是,純IPv6 互聯網取代純IPv4 時代則是需要一個漫長的過渡階段。我校校園網IPv6 實施部署至今,實現有線網IPv4/IPv6 雙棧測試平臺上線運行,用戶可以訪問IPv4 和IPv6 兩類資源,目前平臺運行穩定。在終端接入、服務發布、網信安全方面做了大量工作,實現了IPv6 系統的實名接入、訪問資源的事后審計等技術措施；學校網站群的雙棧發布；以及關鍵站點的Https 發布測試,確保其可正常工作。

下一步的完善計劃:（1）擴大IPv6 覆蓋范圍。確保新購網絡設備和應用系統全部支持IPv6,學校網站群全部站點支持IPv6。（2）加強網絡安全防護[5]。落實國家網絡安全等級保護制度,增強IPv6 環境下的個人信息的安全性、降低風險、開展災難備份及恢復等工作。本文介紹了北華航天工業學院網絡基本狀態,在此基礎上介紹了規劃和實施IPv6 校園網的具體步驟。雖然此升級改造仍存在不足,但為今后過渡到純IPv6 時代和其他院校IPv6 校園網的實施提供了理論參考和實踐經驗。