摘要上世紀(jì)90年代,我國(guó)863工程就開展了相關(guān)的IPv6項(xiàng)目的研究,2003年,國(guó)家醞釀啟動(dòng)下一代互聯(lián)網(wǎng)示范工程(CNGI)。本文結(jié)合在大學(xué)部署IPv6校園網(wǎng)的情況,分析了IPv6地址的手工配置,無(wú)狀態(tài)配置和有狀態(tài)配置三種方法的工作機(jī)理與特點(diǎn),論述了網(wǎng)絡(luò)結(jié)構(gòu)升級(jí)方案,IP地址配置方案,網(wǎng)絡(luò)路由設(shè)計(jì)以及IPv6校園網(wǎng)安全設(shè)計(jì)的全過(guò)程。

關(guān)鍵詞IPv6;結(jié)構(gòu)遷移;地址配置;路由設(shè)計(jì)

中圖分類號(hào)TP393文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào)1673-9671-(2009)112-0054-01

0 引言

我國(guó)IPv6進(jìn)入實(shí)質(zhì)性發(fā)展階段的標(biāo)志,是2003年中國(guó)下一代互聯(lián)網(wǎng)示范工程(CNGI)的啟動(dòng)。該項(xiàng)目由國(guó)家發(fā)展和改革委員會(huì)委托中國(guó)工程院組織,由中國(guó)教育科研網(wǎng),中國(guó)電信,中國(guó)網(wǎng)通,中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)中心等單位共同承擔(dān)。本文論述了IPv6校園網(wǎng)的建設(shè)策略,使建成的 IPv6校園網(wǎng)能夠滿足現(xiàn)有IPv4應(yīng)用的正常進(jìn)行,同時(shí)發(fā)揮出IPv6的技術(shù)優(yōu)勢(shì),使網(wǎng)絡(luò)具有可擴(kuò)展性,支持IPv4業(yè)務(wù)與IPv6業(yè)務(wù)的互通以及良好的網(wǎng)絡(luò)安全。

1網(wǎng)絡(luò)結(jié)構(gòu)升遷

IPV6校園網(wǎng)CNGI駐地網(wǎng)在設(shè)計(jì)建設(shè)方案時(shí),大都需要能保證原有IPv4業(yè)務(wù)正常運(yùn)行,因此除了使用IPV6地址以外,還需同時(shí)使用IPv4地址。要完成網(wǎng)絡(luò)結(jié)構(gòu)從IPv4網(wǎng)遷移到IPv6網(wǎng),IPv6必須能夠支持并處理IPv4體系的遺留問(wèn)題。有兩種主要的遷移技術(shù):一是雙棧機(jī)制,二是隧道技術(shù)。

隧道模式的優(yōu)點(diǎn)是:只需增加一臺(tái)支持IPv6業(yè)務(wù)的核心設(shè)備,其余設(shè)備保持不變,保護(hù)原有投資。新增的IPv6用戶可以正常訪問(wèn)IPv6網(wǎng)絡(luò)及IPv6業(yè)務(wù)。原有IPv4業(yè)務(wù)不產(chǎn)生任何變化,正常運(yùn)行。這種方案適用于校園網(wǎng)中存在大量IPv4設(shè)備沒有IPv6功能,或者不能升級(jí)到IPv6,快速將網(wǎng)絡(luò)均升級(jí)為IPv6需要較長(zhǎng)的時(shí)間,可以采用此方案。

雙棧機(jī)制的優(yōu)點(diǎn)是:從技術(shù)角度這是最理想的方案,不必為不同類型的用戶單獨(dú)部署網(wǎng)絡(luò)配置,開銷小,管理簡(jiǎn)單、IPv4和IPv6的邏輯界面清晰;缺點(diǎn)是學(xué)校的原有網(wǎng)絡(luò)都是IPv4網(wǎng)絡(luò),必須將原有主干部分的網(wǎng)絡(luò)設(shè)備淘汰棄用,投資過(guò)大,并有不同程度的設(shè)備資源浪費(fèi)。

從現(xiàn)實(shí)環(huán)境中來(lái)考慮,一般高校的資金都比較充足,并且國(guó)家教委對(duì)建設(shè)IPv6校園網(wǎng)大都有專項(xiàng)資金的支持,因此,本文建議采用雙棧機(jī)制將原有IPv4校園網(wǎng)升遷到IPv6校園網(wǎng),將原校園網(wǎng)絡(luò)主干的路由、交換等網(wǎng)絡(luò)設(shè)備全部更新為支持IPv4/IPv6協(xié)議的設(shè)備,具體實(shí)施過(guò)程:將由原來(lái)只支持IPv4的核心層交換機(jī)改為支持IPv4/IPv6的高性能雙棧交換機(jī),如Cisco Catalyst 8540,同時(shí)也將所有匯聚層的原有三層交換機(jī)更換為雙棧交換機(jī),如Cisco Catalyst 6509-E,直接連接到雙棧核心。

2 IPv6地址配置

為了簡(jiǎn)化網(wǎng)絡(luò)設(shè)備地址配置,IPV6協(xié)議需同時(shí)支持手工地址配置和自動(dòng)配置,IPv6地址自動(dòng)配置方法主要有無(wú)狀態(tài)地址自動(dòng)配置和有狀態(tài)地址自動(dòng)配置兩種。IPv6地址手工配置:手工地址配置是指在己知IPv6地址的情況下,通過(guò)命令行或配置界面等方式手動(dòng)為設(shè)備配置主機(jī)位地址和所屬網(wǎng)絡(luò)的前綴信息,這種分配方式適用于流動(dòng)性相對(duì)較小的用戶,增加了管理工作量,適用于對(duì)安全性要求較高,且管理員需要進(jìn)行管理和監(jiān)督的用戶;IPV6地址自動(dòng)配置:無(wú)狀態(tài)地址自動(dòng)配置協(xié)議基于IPv6地址結(jié)構(gòu),由IPv6地址前綴和接口ID組成;有狀態(tài)地址自動(dòng)配置,采用DHCPv6協(xié)議,它是IPv6下的動(dòng)態(tài)主機(jī)配置協(xié)議,與IPv4中的DHCP類似,DHCPv6是一種提供網(wǎng)絡(luò)配置信息的客戶/服務(wù)器類型的協(xié)議,這種分配方式適用于終端數(shù)量大的用戶,對(duì)用戶可靠性,安全性要求不高,適用于管理員對(duì)部分終端可以不用及時(shí)監(jiān)控的情況。

通過(guò)上面對(duì)兩種IPv6地址分配方式的分析,在分配IPv6地址時(shí),可針對(duì)不同的用戶采用不同的地址分配方式:對(duì)校園網(wǎng)的核心層和匯聚層和接入層的網(wǎng)絡(luò)設(shè)備,提供校園網(wǎng)服務(wù)的各院系的應(yīng)用服務(wù)器、以及網(wǎng)管節(jié)點(diǎn)等,由于其上面承載的業(yè)務(wù)系統(tǒng)安全級(jí)別高,業(yè)務(wù)種類,終端數(shù)量相對(duì)固定,出現(xiàn)故障需要準(zhǔn)確,快速定位故障點(diǎn),這些都需要明確的地址進(jìn)行網(wǎng)絡(luò)管理,因此應(yīng)該通過(guò)手工配置的方式獲取地址。在國(guó)內(nèi)高校的IPv6地址段為2001:DA8:XXXX::/48,可以從這段地址中取出2001:da8:XXXX:1000::/64用于手工指;而對(duì)于使用校園網(wǎng)服務(wù)的終端用戶,如在校學(xué)生上網(wǎng),機(jī)房上網(wǎng),教師上網(wǎng)等,其數(shù)量大,流動(dòng)性強(qiáng),安全性要求和單個(gè)故障對(duì)業(yè)務(wù)影響相對(duì)小,可選擇使用無(wú)狀態(tài)地址自動(dòng)地址配置或DHCPv6配置方式。為向不同類型的終端用戶自動(dòng)配置IP地址,需要在保留原IPv4 DHCP服務(wù)器的同時(shí),再按照系部或二級(jí)學(xué)院作為單位,分別部署一個(gè)DHCPv6服務(wù)器以提供對(duì)IPv6地址的自動(dòng)分配。

3IPv6網(wǎng)絡(luò)路由設(shè)計(jì)

首先是選擇路由協(xié)議,OSPF協(xié)議是現(xiàn)在應(yīng)用最為廣泛的路由協(xié)議,無(wú)論是在企業(yè)網(wǎng)內(nèi)部,還是在互聯(lián)網(wǎng)上,OSPFv3都得到了大量的應(yīng)用,由于OSPFv3協(xié)議支持IPv6路由,因此,可以將與外部IPV6骨干網(wǎng)相連的路由器以及所有雙棧設(shè)備都配上支持IPv6的OSPFv3路由協(xié)議。在內(nèi)網(wǎng),雖然新升遷的核心層和匯聚層設(shè)備都支持IPv6的路由功能,但考慮到增加IPv6的路由可能會(huì)增加網(wǎng)絡(luò)設(shè)備資源的消耗,有可能會(huì)降低目前校園網(wǎng)的性能,進(jìn)而影響到校園網(wǎng)用戶的正常使用,而校園內(nèi)物理鏈路資源比較豐富,帶寬資源比較容易增加,因此,為了加快路由的轉(zhuǎn)發(fā),可以采用“獨(dú)立路由,共享交換”的建設(shè)思路。具體做法是,并采用獨(dú)立的路由器完成IPv6的路由,然后通過(guò)數(shù)據(jù)鏈路層連接至各匯聚層交換機(jī),實(shí)現(xiàn)所有接入點(diǎn)的雙棧連接。

4IPv6校園網(wǎng)安全設(shè)計(jì)

為了應(yīng)對(duì)IPv6網(wǎng)絡(luò)應(yīng)用帶來(lái)的安全性問(wèn)題,可以采用了Cisco公司的網(wǎng)絡(luò)準(zhǔn)入控制NAC(Network Access Control)策略,通過(guò)身份驗(yàn)證、主機(jī)健康性保障、網(wǎng)絡(luò)安全性保障等多重角度,對(duì)內(nèi)網(wǎng)用戶進(jìn)行有效的管理,實(shí)現(xiàn)內(nèi)網(wǎng)用戶身份的合法化,上網(wǎng)主機(jī)安全狀況的健康化,網(wǎng)絡(luò)通信的安全化以及用戶網(wǎng)絡(luò)訪問(wèn)行為的規(guī)范化。

5結(jié)束語(yǔ)

目前,各高校的校園網(wǎng)主要以IPv4網(wǎng)絡(luò)為主,但高校作為學(xué)術(shù)研究的基地,建立起IPv6校園網(wǎng)以推動(dòng)高校師生對(duì)IPv6技術(shù)的研究和實(shí)踐有著重大的意義?，F(xiàn)在各高校實(shí)施IPv6的技術(shù)條件日漸成熟,將校園網(wǎng)升級(jí)到IPv6,可以解決目前各高校IPv4校園網(wǎng)存在的IP地址資源短缺、QoS、安全等問(wèn)題。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第5版)[M].北京:電子工業(yè)出版社,2008.

[2]ipv4向ipv6的過(guò)渡技術(shù)綜述[J].北京郵電大學(xué)學(xué)報(bào), 2002,4.

[3]如何從ipv4過(guò)渡到ipv6[J].計(jì)算機(jī)時(shí)代,2004,8.

作者簡(jiǎn)介:

危光輝,重慶電子工程職業(yè)學(xué)院教師,出生于1973年7月,男,碩士,網(wǎng)絡(luò)工程師,主要從事計(jì)算機(jī)網(wǎng)絡(luò)方向的教學(xué)和研究。