禹 龍，吳向前

（新疆大學(xué) 現(xiàn)代教育技術(shù)中心，新疆 烏魯木齊 830046）

新疆大學(xué)IPv6校園網(wǎng)升級建設(shè)*

禹 龍，吳向前

（新疆大學(xué) 現(xiàn)代教育技術(shù)中心，新疆 烏魯木齊 830046）

2008年10月，新疆大學(xué)“CNGI新疆大學(xué)駐地網(wǎng)的建設(shè)”項(xiàng)目的完成實(shí)現(xiàn)了與CERNET2骨干IPv6網(wǎng)絡(luò)相連，2010年新疆大學(xué)依托“教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級和應(yīng)用示范”項(xiàng)目，將校園網(wǎng)升級到下一代互聯(lián)網(wǎng)，使其成為學(xué)校新一代教學(xué)和提供科研信息的基礎(chǔ)設(shè)施。

IPv6；校園網(wǎng)升級；CNGI

新疆大學(xué)依托“教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級和應(yīng)用示范”項(xiàng)目，到2010年底前，在接入CERNET和CNGI-CERNET2的基礎(chǔ)上，將校園網(wǎng)升級到下一代互聯(lián)網(wǎng)，建立安全、可控、可管和可運(yùn)營的下一代校園網(wǎng)試商用環(huán)境，實(shí)現(xiàn)校園網(wǎng)用戶的IPv6普遍訪問和校園網(wǎng)信息資源的IPv6普遍服務(wù)，使其成為學(xué)校新一代教學(xué)和提供科研信息的基礎(chǔ)設(shè)施。

一、新疆大學(xué)I P v6網(wǎng)絡(luò)升級設(shè)計(jì)原則

新疆大學(xué)在進(jìn)行本次校園網(wǎng)升級設(shè)計(jì)時，主要遵循了以下原則：

（1）高性能：網(wǎng)絡(luò)要求具有數(shù)據(jù)、圖像、語音等多媒體實(shí)時通訊能力。主干網(wǎng)應(yīng)提供可保證的服務(wù)質(zhì)量和充足的帶寬。

（2）高可靠性：網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，應(yīng)保證工作日和重點(diǎn)時期不間斷運(yùn)行。

（3）標(biāo)準(zhǔn)化：所有網(wǎng)絡(luò)設(shè)備都應(yīng)符合有關(guān)國際標(biāo)準(zhǔn)以保證不同廠家網(wǎng)絡(luò)設(shè)備之間的互操作性和網(wǎng)絡(luò)系統(tǒng)的開放性。

（4）可擴(kuò)充性和可擴(kuò)展性：所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后，滿足可預(yù)見將來的需求。

（5）易管理性：網(wǎng)絡(luò)設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡單，易學(xué)，易用，便于進(jìn)行網(wǎng)絡(luò)配置，發(fā)現(xiàn)故障。

（6）安全性：在技術(shù)上提供先進(jìn)的、可靠的、全面的安全方案和應(yīng)急措施，確保系統(tǒng)萬無一失。同時符合國家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。

（7）靈活性及可擴(kuò)展性：根據(jù)未來校園網(wǎng)環(huán)境的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)充和升級，最大程度地減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。

二、新疆大學(xué)校園網(wǎng)I P v6網(wǎng)絡(luò)升級建設(shè)內(nèi)容

結(jié)合新疆大學(xué)校園建設(shè)，整個校園網(wǎng)絡(luò)主要分為校本部、南校區(qū)、北校區(qū)。在本次校園網(wǎng)升級建設(shè)中，主要包括了以下建設(shè)內(nèi)容：

（1）設(shè)備升級。新疆大學(xué)原有的在網(wǎng)設(shè)備是多年前的北電設(shè)備，不支持IPv4／IPv6雙棧。本次改造后采用的核心設(shè)備是H3C的S9508E，匯聚設(shè)備是H3C的7503E，支持雙棧，可以滿足師生對CERNET和CERNET2資源的同時訪問。

（2）校園網(wǎng)架構(gòu)的改造。新疆大學(xué)原有網(wǎng)絡(luò)架構(gòu)基本采用二層網(wǎng)絡(luò)架構(gòu)模式，網(wǎng)絡(luò)擴(kuò)展性不強(qiáng)，辦公區(qū)的廣播風(fēng)暴，病毒攻擊等會直接影響到核心交換機(jī)的性能，對整網(wǎng)的網(wǎng)絡(luò)性能影響較大。通過此次升級全網(wǎng)網(wǎng)絡(luò)架構(gòu)改造為三層架構(gòu)。

（3）校園網(wǎng)骨干網(wǎng)帶寬升級。伴隨著信息化建設(shè)的深入，學(xué)?；镜慕虒W(xué)教務(wù)管理、科研管理、后勤管理、數(shù)字圖書館、視頻服務(wù)系統(tǒng)、辦公自動化系統(tǒng)和校園社區(qū)服務(wù)等業(yè)務(wù)系統(tǒng)在內(nèi)的校園信息系統(tǒng)建設(shè)要求核心交換能夠提供無瓶頸的數(shù)據(jù)交換，主干萬兆已成為校園網(wǎng)發(fā)展的趨勢。新疆大學(xué)校園網(wǎng)原有網(wǎng)絡(luò)骨干是千兆，本次改造將提升到萬兆。

（4）校園網(wǎng)可靠性的提升。校園網(wǎng)現(xiàn)網(wǎng)存在部分HUB設(shè)備，不支持生成樹協(xié)議，一旦發(fā)生環(huán)路，將導(dǎo)致該區(qū)域處于癱瘓狀態(tài)，本次改造要求把環(huán)路對網(wǎng)絡(luò)的破壞性降到最低。

（5）校園網(wǎng)安全防護(hù)的提升。目前的接入層設(shè)備由于采購時間較早，不支持ARP攻擊防御，不支持ACL以及環(huán)路檢測等安全特性。對ARP攻擊、DHCP仿冒等不能有效防御。本次改造需要對校園網(wǎng)的安全進(jìn)行合理規(guī)劃，有效防止各類安全事件。

（6）無線用戶接入。本次升級，在校園網(wǎng)新增無線網(wǎng)絡(luò)設(shè)備，以擴(kuò)大IPv6的接入范圍和接入手段。

（7）應(yīng)用系統(tǒng)IPv6升級。校園信息資源和應(yīng)用系統(tǒng)IPv6升級，包括基本網(wǎng)絡(luò)服務(wù)系統(tǒng)和校園信息系統(tǒng)，在校園網(wǎng)范圍內(nèi)逐步實(shí)現(xiàn)IPv6訪問優(yōu)先。

三、新疆大學(xué)校園網(wǎng)整體拓?fù)湓O(shè)計(jì)

升級后的新疆大學(xué)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示，分為核心層、匯聚層、接入層。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點(diǎn)提供最佳傳輸通道。在部署IPv6核心層設(shè)備時，要特別注意在雙棧環(huán)境中的設(shè)備轉(zhuǎn)發(fā)性能是否能夠達(dá)到線速轉(zhuǎn)發(fā)。新疆大學(xué)校本部核心層部署兩臺S9508E，實(shí)現(xiàn)萬兆雙鏈路捆綁，保證核心設(shè)備間的高性能轉(zhuǎn)發(fā)及冗余，實(shí)現(xiàn)匯聚設(shè)備的雙鏈路上行，提高骨干鏈路可靠性。南校區(qū)核心層部署一臺S9508E，上行萬兆連接到校本部核心交換機(jī)。北校區(qū)核心層部署一臺S7510E，上行萬兆連接到校本部核心交換機(jī)。

匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴(kuò)展性，必須使用模塊化、分布式轉(zhuǎn)發(fā)的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備，并能提供良好的性能保障。在IPv6部署時，特別需要支持IPv6路由，轉(zhuǎn)發(fā)等基本功能，同時要考慮將來IPv6 VRRP（虛擬路由器冗余協(xié)議）用來提供對用戶的網(wǎng)關(guān)冗余。新疆大學(xué)三個校區(qū)分別都有學(xué)生區(qū)、家屬區(qū)、辦公區(qū)，對于辦公區(qū)和學(xué)生區(qū)，按照樓宇內(nèi)用戶規(guī)模分為了重要樓宇和非重要樓宇，對于重要樓宇，每個樓宇內(nèi)部署S5528C-EI作為其匯聚交換機(jī)。對于非重要樓宇，按照區(qū)域部署S7503E/S7510E作為非重要樓宇的匯聚接入。

接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等攻擊方式，對安全性的要求很高；另一方面必須提供靈活的用戶管理手段。在部署IPv6網(wǎng)絡(luò)時，首先要考慮接入層交換機(jī)支持對雙棧用戶進(jìn)行認(rèn)證，IPv6 HOST，IPv6 ACL等功能，同時在IPv6中，用戶可能遭受ND（鄰居發(fā)現(xiàn)協(xié)議）攻擊，接入層交換機(jī)也需要支持ND防攻擊的相關(guān)功能。在此次升級中，接入層設(shè)備采用的是支持IPv6管理并具有安全特性的產(chǎn)品E126A。

四、關(guān)鍵技術(shù)應(yīng)用

1.雙棧技術(shù)

目前由IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)發(fā)展的技術(shù)演進(jìn)有多種選擇，例如隧道技術(shù)、雙棧技術(shù)、NATPT（Network Address Translation+Protocol Translation）技術(shù)。經(jīng)過比較，新疆大學(xué)校園網(wǎng)升級采用了雙棧技術(shù)進(jìn)行建設(shè)，采用同時支持IPv6/IPv4的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)建設(shè)，使得校園網(wǎng)平臺同時支持兩種業(yè)務(wù)流的承載和互通。

2.NATPT技術(shù)

NATPT技術(shù)主要實(shí)現(xiàn)IPv4到IPv6協(xié)議的轉(zhuǎn)換，用于IPv4終端訪問IPv6資源或是IPv6終端訪問IPv4資源。在新疆大學(xué)的部分區(qū)域目前無法覆蓋IPv6，對于這些區(qū)域的用戶可以通過NATPT技術(shù)，使其能訪問IPv6下的資源。

3.IRF2技術(shù)

IRF2是智能彈性架構(gòu)，當(dāng)兩臺核心交換機(jī)利用IRF2技術(shù)被成功虛擬成一臺設(shè)備后，在端口容量擴(kuò)大一倍的同時，實(shí)現(xiàn)了通過一個管理界面進(jìn)行統(tǒng)一管理，同時，對整個網(wǎng)絡(luò)的架構(gòu)產(chǎn)生了極大的簡化，原本需要通過MSTP（Multi-Service Transfer Platform）或者路由等技術(shù)隔離的環(huán)網(wǎng)變成點(diǎn)到點(diǎn)的鏈接，相應(yīng)的網(wǎng)絡(luò)故障收斂時間也由原來的秒級降低為毫秒級。通過對校本部兩臺核心交換機(jī)S9500E配置了IRF2，使校園骨干網(wǎng)的可靠性得到提升，保障了業(yè)務(wù)的連續(xù)性。

4.OSPFv2/OSPFv3技術(shù)

路由設(shè)計(jì)采用的方案是IPv4部分使用OSPFv2路由協(xié)議，IPv6部分使用OSPFv3路由協(xié)議，三層設(shè)備上同時運(yùn)行OSPFv2和OSPFv3兩套協(xié)議。這樣做的優(yōu)點(diǎn)是簡化管理，OSPFv3的路由規(guī)劃思路參考IPv4中OSPFv2路由規(guī)劃，包括域的劃分、VLAN的劃分，域中設(shè)備的數(shù)量及拓?fù)涞嚷酚蓞f(xié)議要素可以與原有的OSPFv2的規(guī)劃保持一致。

5.環(huán)路檢測技術(shù)

校園網(wǎng)用戶在自行連接線路時，很可能產(chǎn)生網(wǎng)絡(luò)環(huán)路，這些都會引發(fā)廣播風(fēng)暴，使網(wǎng)絡(luò)不能正常應(yīng)用。因此，就必須要求有效監(jiān)測手段能夠快速地發(fā)現(xiàn)環(huán)路,通知網(wǎng)管對其采取措施。端口環(huán)回檢測則可以用于發(fā)現(xiàn)交換機(jī)任一個端口下的環(huán)路，有效并及時解決用戶環(huán)路故障。需要注意的是，和stp不同，loopback-detection主要用于發(fā)現(xiàn)交換機(jī)一個端口下的環(huán)路,比如下接HUB或者自環(huán)的情況。而stp主要用于避免不同端口之間相連形成的環(huán)路。

6.ARP攻擊防御

在校園網(wǎng)中，ARP攻擊是目前最為常見的一種攻擊手段。攻擊者可以發(fā)送偽造ARP報文進(jìn)行欺騙，導(dǎo)致網(wǎng)絡(luò)中的其他主機(jī)（包括網(wǎng)關(guān)）維護(hù)的IP-MAC地址轉(zhuǎn)換映射表被惡意篡改，由于所有的網(wǎng)絡(luò)通信最終都需要使用IP-MAC地址轉(zhuǎn)換映射表，因此ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂,讓被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng),讓網(wǎng)關(guān)無法和客戶端正常通信。

新疆大學(xué)在此次網(wǎng)絡(luò)升級中采用的ARP攻擊防御手段是：在接入交換機(jī)上實(shí)現(xiàn)ARP入侵檢測，即對ARP報文進(jìn)行內(nèi)容有效性檢查，對于沒有通過檢查的報文進(jìn)行丟棄處理。在網(wǎng)絡(luò)核心交換機(jī)上部署ARP欺騙防御策略，避免網(wǎng)關(guān)設(shè)備的ARP表被污染。這種方法依靠接入交換機(jī)的ARP入侵檢測功能和核心交換機(jī)的ARP欺騙防御策略來全面防御ARP欺騙攻擊，防御效果較好。

五、應(yīng)用系統(tǒng)的升級

目前已經(jīng)實(shí)現(xiàn)了Web、DNS、FTP，流媒體等基礎(chǔ)應(yīng)用的IPv6服務(wù)，下一步要做的是將新疆大學(xué)的統(tǒng)一門戶、辦公自動化（OA）、數(shù)據(jù)交換中心、網(wǎng)絡(luò)教學(xué)平臺、電子郵件、數(shù)字圖書館等重大應(yīng)用進(jìn)行IPv6升級，同時實(shí)現(xiàn)基于802.1x的認(rèn)證/計(jì)費(fèi)系統(tǒng)的IPv6升級。

六、總結(jié)

新疆大學(xué)將充分利用CERNET2已取得的重大成果，建立安全、可控、可管和可運(yùn)營的下一代校園網(wǎng)試商用環(huán)境，將IPv6技術(shù)的應(yīng)用在校園網(wǎng)中進(jìn)一步推廣，擴(kuò)大IPv6用戶群和應(yīng)用的范圍，推動IPv6試商用的快速發(fā)展。同時新疆大學(xué)將充分發(fā)揮CERNET新疆主節(jié)點(diǎn)的作用，為新疆院校提供IPv6接入的硬件設(shè)施以及技術(shù)指導(dǎo)，帶動新疆院校IPv6技術(shù)的應(yīng)用，為我國下一代互聯(lián)網(wǎng)向深度和廣度發(fā)展做出貢獻(xiàn)。

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）.中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告[S].2009.

[2]中國教育與科研計(jì)算機(jī)網(wǎng).中國下一代互聯(lián)網(wǎng)示范工程核心網(wǎng)CERNET2,2009.

[3]周遜.IPv6下一代互聯(lián)網(wǎng)的核心[M].北京：電子工業(yè)出版社，2007.

（編輯：楊馥紅）

TP398.18

B

1673-8454（2010）21-0028-03

新疆自治區(qū)高?？蒲杏?jì)劃項(xiàng)目（XJEDU2009S08）。