基于DHCPv6的高校IPv6網(wǎng)絡(luò)雙棧部署實踐

顧懷廣 王高才

摘要：高校IPv6網(wǎng)絡(luò)部署過程中存在部分路由交換設(shè)備不支持IPv6協(xié)議、IPv6用戶地址配置管理困難和如何選擇適用的過渡技術(shù)等問題。針對部署過程中遇到的困難和問題，文章通過更換部分老舊網(wǎng)絡(luò)設(shè)備、合理規(guī)劃校園網(wǎng)絡(luò)IPv6用戶地址分配表、精簡IPv6路由條目，基于DHCPv6地址自動下發(fā)機制，采用雙協(xié)議棧過渡技術(shù)，實現(xiàn)校園網(wǎng)絡(luò)IPv4/IPv6雙棧運行，全面完成校園網(wǎng)絡(luò)IPv6網(wǎng)絡(luò)雙棧規(guī)模部署。

關(guān)鍵詞： DHCPv6;IPv6;雙棧技術(shù);地址規(guī)劃;實踐

中圖分類號：TP393 ? ? ? ?文獻標(biāo)識碼：A

文章編號：1009-3044（2022）13-0031-03

1引言

由于Internet的快速普及和廣泛應(yīng)用，IPv4地址資源已經(jīng)枯竭，加上IPv4協(xié)議自身存在安全缺陷、路由表龐大難以管理、局域網(wǎng)私有地址通過NAT后才能訪問外網(wǎng)等問題，已經(jīng)不能滿足當(dāng)前急速擴張的網(wǎng)絡(luò)發(fā)展需求。IPv6協(xié)議具有擁有長度達128位的巨大地址空間、遵循聚類原則擁有更小的路由表、報頭新增流標(biāo)簽字段和優(yōu)先級字段以支持實時業(yè)務(wù)和QoS等優(yōu)點，彌補了IPv4協(xié)議自身存在的缺點[1]。IPv6協(xié)議具有的諸多優(yōu)勢使其逐漸替代IPv4協(xié)議成為網(wǎng)絡(luò)技術(shù)未來發(fā)展的新趨勢，成為下一代互聯(lián)網(wǎng)技術(shù)標(biāo)準(zhǔn)。

2017年，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》并發(fā)出通知，要求各地區(qū)各部門結(jié)合實際認真貫徹落實。2018年，教育部印發(fā)《關(guān)于貫徹落實推進IPv6規(guī)模部署行動計劃的通知》，要求教育系統(tǒng)加快推進IPv6基礎(chǔ)網(wǎng)絡(luò)設(shè)施規(guī)模部署和應(yīng)用系統(tǒng)升級，促進下一代互聯(lián)網(wǎng)與教育的融合創(chuàng)新。黔南民族師范學(xué)院作為地方高等院校，緊跟IPv6應(yīng)用技術(shù)前沿，結(jié)合實際科學(xué)分析、詳細制訂IPv6規(guī)模部署方案，主動融入IPv6信息資源網(wǎng)絡(luò)，為智慧校園建設(shè)提供基礎(chǔ)支撐。

2部署方案規(guī)劃設(shè)計

學(xué)校現(xiàn)運行的IPv4校園網(wǎng)絡(luò)采用接入、匯聚和核心的三層網(wǎng)絡(luò)結(jié)構(gòu)，主要路由交換設(shè)備品牌包括華為、華三和銳捷等，為全校教職工、學(xué)生和后勤人員萬余人提供網(wǎng)絡(luò)服務(wù)，具有網(wǎng)絡(luò)覆蓋范圍大、設(shè)備類型復(fù)雜和用戶規(guī)模大等特點。已經(jīng)向中國教育網(wǎng)CERNET申請到2001：250：2c13：：/48段地址，在出口路由器上配置完成相應(yīng)的路由條目，連接到CERNET2，實現(xiàn)IPv6外網(wǎng)訪問;對校園門戶網(wǎng)站、校內(nèi)DNS服務(wù)器等應(yīng)用服務(wù)器配置靜態(tài)IPv6地址，在DNS服務(wù)器IIS上添加AAAA記錄綁定IPv6地址和對應(yīng)域名，已實現(xiàn)支持門戶網(wǎng)站IPv6外網(wǎng)訪問。為全面完成全校IPv6網(wǎng)絡(luò)規(guī)模部署，實現(xiàn)校內(nèi)用戶訪問IPv6信息資源，結(jié)合網(wǎng)絡(luò)運行現(xiàn)狀，以保持網(wǎng)絡(luò)拓撲結(jié)構(gòu)不變、保障用戶網(wǎng)絡(luò)質(zhì)量和降低部署成本為前提，對IPv6用戶地址獲取方法、IPv4/IPv6過渡技術(shù)進行科學(xué)分析比較，對IPv6路由表和IPv6用戶VLAN地址表進行詳細規(guī)劃設(shè)計，制定切實可行的部署方案，實現(xiàn)網(wǎng)絡(luò)平穩(wěn)過渡。

2.1 IPv6用戶地址獲取方法

IPv6用戶地址配置有靜態(tài)地址配置和動態(tài)地址配置兩種方式[2]。靜態(tài)地址配置要求用戶在PC端手動設(shè)置包括IPv6地址、前綴長度、默認網(wǎng)關(guān)和DNS地址等信息，缺點是需要設(shè)置信息條目多、靈活性差、糾錯困難以及增加網(wǎng)絡(luò)運維成本等，不適用于用戶量大、用戶變化快的應(yīng)用場景。IPv6的動態(tài)地址配置方式分為SLAAC和DHCPv6兩種方式。SLAAC規(guī)定主機的IPv6地址由前綴和接口ID組成。IPv6前綴用來標(biāo)識主機與路由器之間的網(wǎng)絡(luò);接口ID固定長度64位，可通過MAC地址自動生成運算生成。SLAAC存在自動配置的IPv6地址不可控且該地址與主機的MAC地址相關(guān)的問題。另外，SLAAC可自動配置的信息有限，部分特殊信息無法通過SLAAC配置，只能完成簡單的IP地址配置DHCPv6[3]（Dynamic Host Configuration Protocol for IPv6）可自動為主機分配IPv6前綴、IPv6地址和DNS服務(wù)器地址等網(wǎng)絡(luò)配置參數(shù)，便于用戶地址配置和后續(xù)網(wǎng)絡(luò)運維管理，能夠更好地控制地址的分配，減輕網(wǎng)絡(luò)運維壓力。

黔南民族師范學(xué)院現(xiàn)行網(wǎng)絡(luò)具有覆蓋范圍面積大、用戶地理位置分散、用戶數(shù)量龐大、用戶信息變更快等特點，并且由于IPv6自身具有地址較長難以記憶、配置信息復(fù)雜等特性，結(jié)合學(xué)校網(wǎng)絡(luò)現(xiàn)狀，綜合分析IPv6靜態(tài)地址配置、SLAAC配置和DHCPv6配置三種配置方法優(yōu)缺點，為提高校園網(wǎng)絡(luò)用戶的接入便利性、可用性和可維護性，決定采用DHCPv6用戶端地址信息自動配置機制。

2.2 IPv4向IPv6的過渡技術(shù)選擇

IPv6協(xié)議作為下一代互聯(lián)網(wǎng)協(xié)議的標(biāo)準(zhǔn)，尚未廣泛應(yīng)用，且與IPv4協(xié)議不兼容。為保證IPv6網(wǎng)絡(luò)能夠與IPv4網(wǎng)絡(luò)互聯(lián)通信，IETF提出系列過渡技術(shù)和互聯(lián)方案，解決IPv6“信息孤島”問題。當(dāng)前常用的三種過渡技術(shù)分別是隧道技術(shù)、協(xié)議翻譯技術(shù)和雙協(xié)議棧技術(shù)[4]。隧道技術(shù)是將IPv6報文封裝在IPv4報文中，利用現(xiàn)有的IPv4網(wǎng)絡(luò)互相通信，隧道兩端節(jié)點必須同時支持IPv4協(xié)議棧和支持IPv6協(xié)議棧。由于在隧道的入口會出現(xiàn)負載協(xié)議數(shù)據(jù)包的拆分，在隧道出口會出現(xiàn)負載協(xié)議數(shù)據(jù)包的重組，將增加隧道出入口的實現(xiàn)復(fù)雜度，不利于大規(guī)模的推廣應(yīng)用。協(xié)議翻譯技術(shù)是指為使純IPv6主機與純IPv4主機之間能夠正常通信，借助中間協(xié)議轉(zhuǎn)換服務(wù)器將網(wǎng)絡(luò)層中的IPv4/IPv6協(xié)議頭相互轉(zhuǎn)換，適應(yīng)對端協(xié)議類型實現(xiàn)兩種協(xié)議之間的通信，缺點是不能支持所有的應(yīng)用，需購置專門的協(xié)議轉(zhuǎn)換設(shè)備，價格高昂。雙協(xié)議棧技術(shù)是指在主機、路由交換等設(shè)備上同時啟用IPv4和IPv6協(xié)議，DNS服務(wù)器同時提供IPv4和IPv6兩種地址，主機根據(jù)實際需要使用適當(dāng)協(xié)議建立連接，具有互通性好、易于理解的優(yōu)點，缺點是要求網(wǎng)絡(luò)中的設(shè)備都支持雙協(xié)議棧。

通過更換部分老舊設(shè)備，經(jīng)過全面梳理測試，現(xiàn)有網(wǎng)絡(luò)設(shè)備均支持IPv4和IPv6協(xié)議。用戶終端操作系統(tǒng)版本均為Windows 7以上，已安裝啟用IPv4和IPv6協(xié)議。本文為降低升級改造中的技術(shù)難度、IPv6規(guī)模部署的成本、網(wǎng)絡(luò)升級改造對用戶的影響，從技術(shù)可行性、經(jīng)濟可行性和網(wǎng)絡(luò)運行穩(wěn)定性多角度綜合分析，采用雙協(xié)議棧技術(shù)達到改造成本低、網(wǎng)絡(luò)改動小、技術(shù)實現(xiàn)簡單的目的，為后續(xù)純IPv6網(wǎng)絡(luò)的構(gòu)建奠定良好基礎(chǔ)。

2.3 VLAN及用戶地址表規(guī)劃

由于采用雙協(xié)議棧過渡技術(shù)，為便于網(wǎng)絡(luò)用戶地址的維護、識別、記憶和修改，簡化網(wǎng)絡(luò)規(guī)劃、管理，參照現(xiàn)運行的IPv4網(wǎng)絡(luò)VLAN及用戶地址規(guī)劃表，注重IPv4地址與IPv6地址字段內(nèi)在含義的關(guān)聯(lián)，對IPv6網(wǎng)絡(luò)地址進行規(guī)劃[5]。

如表1所示，IPv6地址2001：250：2C13：22：yy：zzz：：254/112，yy代表匯聚層樓宇編號，zzz代表IPv4的VLAN，實現(xiàn)IPv4和IPv6地址含義關(guān)聯(lián)，便于運維過程中識別用戶地址、管理用戶群體，進行流量監(jiān)控和路由聚合。文章設(shè)置IPv4用戶地址段和IPv6用戶地址段在相同的VLAN下，為后續(xù)雙棧部署中DHCPv6信息的配置提供便利。

2.4 路由規(guī)劃

現(xiàn)運行的校園IPv4網(wǎng)絡(luò)采用靜態(tài)路由和默認路由兩種路由策略。為保證路由策略簡單高效、易于維護，IPv6網(wǎng)絡(luò)采用相同的路由配置策略，在匯聚交換機和核心交換機的全局模式和接口模式下啟用IPv6功能，在IPv4網(wǎng)絡(luò)互聯(lián)Vlanif接口下配置相應(yīng)的IPv6互聯(lián)地址，在交換機全局模式下設(shè)置IPv6默認路由和靜態(tài)路由，實現(xiàn)同一條物理鏈路傳遞IPv4和IPv6兩種協(xié)議數(shù)據(jù)。

3配置實現(xiàn)

黔南民族師范學(xué)院現(xiàn)在運行的匯聚交換機是華為S5732，核心交換機是H3C S12508。配置前均需在設(shè)備系統(tǒng)視圖模式下全局開啟IPv6功能。具體配置如下。

3.1 華為S5732匯聚交換機DHCPv6配置

dhcpv6 pool 110 ? ?//創(chuàng)建名為110的IPv6地址池，同時進入IPv6地址池視圖

address prefix 2001：250：2C13：22：1：110：：/112 ? //IPv6地址池視圖下配置網(wǎng)絡(luò)前綴 excluded-address 2001：250：2C13：22：1：110：0：254 //配置IPv6地址池中不參與自動分配的IPv6地址

dns-server 2001：250：2C13：：33 ? ? //配置IPv6 DNS服務(wù)器地址

interface Vlanif110 ? ? ? ? ? ? ?//進入用戶地址所在的Vlanif110接口視圖

ipv6 enable ? ? ? ? ? ? ? ? ? ? //在接口下開啟IPv6功能

ip address 172.22.1.254 255.255.255.0 ? ? ? ? ?//配置IPv4接口地址

ipv6 address 2001：250：2C13：22：1：110：0：254/112 ?//配置IPv6接口地址

undo ipv6 ndra halt ? ? ? ? ? ?//使能系統(tǒng)發(fā)布RA報文功能

ipv6 ndautoconfig managed-address-flag ? //設(shè)置RA報文中的有狀態(tài)自動配置地址的標(biāo)志位

ipv6 ndautoconfig other-flag ?//設(shè)置RA報文中的有狀態(tài)自動配置其他信息的標(biāo)志位

dhcp select interface ? ? ? ? //開啟接口采用接口地址池的IPv4 DHCP Server功能

dhcpv6 server 110 ? ? ? ? ? ? //選擇dhcpv6地址池

dhcp server dns-list 218.194.224.33 8.8.8.8 ? //配置IPv4 DNS服務(wù)器地址

interface Vlanif1001 ? ? ? ? ?//進入互聯(lián)地址所在的Vlanif1001接口視圖

ipv6 enable ? ? ? ? ? ? ? ? ? //在接口下開啟IPv6功能

ip address 172.17.1.10 255.255.255.252//配置IPv4接口互聯(lián)地址

ipv6 address 4000：：12/124 ? ? //配置IPv6接口互聯(lián)地址

3.2 路由配置

以第一教室匯聚到核心交換路由配置為例進行路由配置：

ipv6 route-static ：： 0 4000：：11 description TO-S12508 ? ?//匯聚交換機到核心交換機采用默認路由策略

ipv6 route-static 2001：250：2C13：22：1：： 80 4000：：12 description TO-1Jiao-s5732//核心交換機到匯聚交換機采用靜態(tài)路由策略

3.3用戶終端配置

在用戶PC端本地連接屬性中勾選“Internet協(xié)議版本6”，雙擊進入“協(xié)議屬性”，勾選自動獲取IPv6地址和DNS服務(wù)器地址信息功能，即可開啟用戶IPv6訪問功能。

4雙棧部署效果

4.1查看VLAN 110 IPv6地址下發(fā)情況

在三層交換機全局視圖下，使用命令查看IPv6地址池110的地址分配情況。如圖2所示，當(dāng)前共有6個地址在使用，沒有地址沖突，生存時間是172 800秒，即租期為48小時。地址池不參與自動分配的IPv6地址是2001：250：2C13：22：1：110：0：254。

如圖3所示，開啟用戶終端IPv6地址自動獲取功能后，查閱用戶網(wǎng)卡的網(wǎng)絡(luò)連接詳細信息，PC端工作在雙棧模式下，已經(jīng)自動獲取到三層交換機上同一個VLAN下配置的IPv4和IPv6地址等網(wǎng)絡(luò)配置信息。

4.2 用戶端接入IPv6測試

通過在IPv6測試網(wǎng)站在線測試，如圖4所示，用戶IPv4和IPv6均已經(jīng)接入互聯(lián)網(wǎng)，且圖3用戶IPv6地址為公網(wǎng)地址。如圖5所示，利用Ping命令測試，該用戶與IPv6應(yīng)用網(wǎng)站已經(jīng)連通。

4.3 IPv4/IPv6關(guān)聯(lián)認證

為實現(xiàn)用戶上網(wǎng)行為可追溯，保障網(wǎng)絡(luò)安全，采用用戶上網(wǎng)實名認證機制。通過升級現(xiàn)行用戶實名認證系統(tǒng)，完成用戶IPv4/IPv6接入網(wǎng)絡(luò)關(guān)聯(lián)認證。如圖6所示，當(dāng)用戶完成IPv4認證時，IPv6協(xié)議也認證成功。

4.4 用戶流量測試

完成校園網(wǎng)絡(luò)IPv6雙棧規(guī)模部署后，通過部署網(wǎng)絡(luò)流量監(jiān)控設(shè)備系統(tǒng)，如圖7所示，監(jiān)測用戶IPv6網(wǎng)絡(luò)數(shù)據(jù)流量狀況，為后續(xù)的研究分析提供數(shù)據(jù)支撐。

5結(jié)論

文章通過對校園網(wǎng)絡(luò)運行現(xiàn)狀全面分析研究，結(jié)合當(dāng)前主流IPv6應(yīng)用技術(shù)，制訂科學(xué)合理、切合實際的IPv6雙棧部署方案。以保持當(dāng)前網(wǎng)絡(luò)拓撲不變?yōu)榍疤幔捎没贒HCPv6動態(tài)地址分配機制，完成校園網(wǎng)絡(luò)用戶IPv6規(guī)模部署，實現(xiàn)黔南民族師范學(xué)院網(wǎng)絡(luò)IPv4和IPv6雙棧運行。經(jīng)過測試，雙棧用戶能夠

高速訪問純IPv6應(yīng)用和網(wǎng)站，且部分支持雙棧應(yīng)用的流量分流到IPv6出口，能夠減輕IPv4出口流量負載，達到優(yōu)化網(wǎng)絡(luò)出口流量、提高網(wǎng)絡(luò)運行效率和改善用戶上網(wǎng)體驗的目的。但通過測試發(fā)現(xiàn)，還存在以下不足之處：首先是部分安卓系統(tǒng)終端用戶尚不支持DHCPv6，無法獲取到IPv6地址;其次是網(wǎng)絡(luò)運行過程中尚未有效實現(xiàn)用戶IPv6地址流量控制，導(dǎo)致負載不均衡。后續(xù)應(yīng)用研究中應(yīng)注重用戶流量監(jiān)控和負載均衡控制，全面提高網(wǎng)絡(luò)運行效率。

參考文獻：

[1] 杜平.IPv6的技術(shù)原理及其在現(xiàn)網(wǎng)中的應(yīng)用[J].中國新通信，2019，21（20）：108-109.

[2] 吳伊杰，李明洋，王家和，等.IPv6地址配置策略與部署規(guī)律的探究[J].深圳大學(xué)學(xué)報（理工版），2020，37（S1）：13-19.

[3] 王霞，高飛.基于DHCPv6的大規(guī)模無線傳感器網(wǎng)絡(luò)地址管理協(xié)議的設(shè)計[J].云南民族大學(xué)學(xué)報（自然科學(xué)版），2016，25（1）：64-68.

[4] 杜紅林.IPv6雙棧技術(shù)在校園網(wǎng)中過渡設(shè)計與實現(xiàn)——以貴州師范大學(xué)校園網(wǎng)為例[J].信息技術(shù)與信息化，2019（5）：97-100.

[5] 張穎豪，侯樂青.IPv6地址規(guī)劃和分配探討[J].電信網(wǎng)技術(shù)，2012（9）：46-50.

【通聯(lián)編輯：代影】