摘 要：隨著張家港學(xué)院網(wǎng)絡(luò)改造方案的完成，各項(xiàng)性能均能滿足教學(xué)教育管理的要求。利用該校園網(wǎng)，以信息化、網(wǎng)絡(luò)化的教育手段，真正實(shí)現(xiàn)網(wǎng)絡(luò)教學(xué)、遠(yuǎn)程教學(xué)和教育資源共享。只是該網(wǎng)絡(luò)的改造是在原有的網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上升級(jí)，核心的網(wǎng)絡(luò)協(xié)議還是以IPv4為基礎(chǔ)，而根據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)，未來的Internet基礎(chǔ)設(shè)施將由IPv6實(shí)現(xiàn)“大一統(tǒng)”，學(xué)院的網(wǎng)絡(luò)也必將進(jìn)一步升級(jí)，為此，現(xiàn)在就要著手進(jìn)行一些理論上的準(zhǔn)備和實(shí)驗(yàn)，而本文選取了VPN在IPv6學(xué)院網(wǎng)中部署的這一方面，通過實(shí)驗(yàn)來進(jìn)行闡述。

關(guān)鍵詞：IPv4；IPv6；VPN；Cisco Any Connect

中圖分類號(hào)：TP393

1 IPv4和IPv6的關(guān)系

與IPv4相比，IPv6的優(yōu)點(diǎn)很多：巨大的地址空間、簡(jiǎn)化的報(bào)頭和靈活的擴(kuò)展；層次化的地址結(jié)構(gòu)；即插即用的連網(wǎng)方式；網(wǎng)絡(luò)層的認(rèn)證與加密；服務(wù)質(zhì)量的滿足；對(duì)移動(dòng)通訊更好的支持等等，鑒于以上種種優(yōu)勢(shì)，在網(wǎng)絡(luò)技術(shù)的發(fā)展中，IPv6逐步取代IPv4必將成為必然。

在整個(gè)Internet基礎(chǔ)設(shè)施由IPv6一統(tǒng)天下之前，相關(guān)企業(yè)、院校和服務(wù)供應(yīng)商不但在IPv4身上投入了本錢，而且對(duì)IPv4本身的技術(shù)了如指掌，不可能短時(shí)間被迅速替代，可以預(yù)見在相當(dāng)長(zhǎng)的日子里，IPv4和IPv6將會(huì)并肩運(yùn)行，逐步完成現(xiàn)有設(shè)備的更新和系統(tǒng)的升級(jí)。

張家港學(xué)院網(wǎng)絡(luò)也將會(huì)出現(xiàn)一個(gè)這樣的過渡時(shí)期，在兩種協(xié)議共存的情況下，如何解決IPv4到IPv6的平穩(wěn)過渡和遷移，是IPv6發(fā)展中的關(guān)鍵問題，而對(duì)于學(xué)院負(fù)責(zé)網(wǎng)絡(luò)建設(shè)的技術(shù)人員在傳統(tǒng)的學(xué)院網(wǎng)邊界范圍之內(nèi)實(shí)現(xiàn)IPv6訪問都費(fèi)了老大勁，提供對(duì)遠(yuǎn)程用戶訪問的支持往往還要更費(fèi)勁一些。

2 選用Cisco Any Connect的IPv6遠(yuǎn)程訪問

作為原有網(wǎng)絡(luò)的升級(jí)，選用原有設(shè)備來完成測(cè)試是一個(gè)不二的選擇，在既有的北校區(qū)網(wǎng)絡(luò)中，核心交換機(jī)ASA5510能夠完全勝任IPv6的環(huán)境設(shè)置，并且原系統(tǒng)的遠(yuǎn)程訪問方式采用的是Cisco Any Connect 的方式，本測(cè)試項(xiàng)目就在原基礎(chǔ)上進(jìn)行遷移。

該方案是利用Cisco Any Connect SSL VPN 客戶端，通過IPv4建立一條通往ASA5510的SSL連接，隨后在這通道內(nèi)傳送IPv6流量至ASA5510上，再把IPv6流量路由至最終目的主機(jī)上。該通道采用的是數(shù)據(jù)報(bào)傳輸層安全DTLS 連接，DTLS通過UDP建立起的是低延遲路徑，可以規(guī)避使用純SSL連接時(shí)的所遇到的延遲和寬帶，針對(duì)Cisco Any Connect環(huán)境啟用DTLS時(shí)，會(huì)同時(shí)建立起兩條并行的隧道：一條TLS，另一條用于DTLS 。要是UDP隧道因故未能建立或建立后中斷，流量還可以“走”基于TLS的隧道。

3 Cisco Any Connect VPN的在張家港學(xué)院網(wǎng)中具體的實(shí)例設(shè)置

客戶機(jī)利用SVC，在IPv4 Internet上，建立一條通向Cisco ASA5510的DTLS會(huì)話，在Cisco ASA5510上，需要啟用雙協(xié)議棧功能。Cisco ASA5510收到主機(jī)通過DTLS連接發(fā)送的IPv6數(shù)據(jù)包之后，會(huì)將數(shù)據(jù)包路由至學(xué)院網(wǎng)內(nèi)的目的網(wǎng)絡(luò)。

如圖1所示描述VPN客戶端實(shí)施遠(yuǎn)程訪問的拓?fù)涫纠珹ny Connect客戶端通過IPv4連接到Internet，而校本部的Cisco路由器提供Internet接入、基本過濾以及IPv4地址轉(zhuǎn)換功能，在Cisco ASA5510的inside接口上配置IPv4地址192.168.120.1，開啟雙棧功能，同時(shí)配置了IPv6地址：2001：DB8：CAFE：1002：：1。在Cisco ASA5510上，針對(duì)由客戶端發(fā)起的Any Connect會(huì)話配置了2個(gè)地址池。一個(gè)是IPv4地址池，地址范圍為：192.168.120.10～192.168.120.254。另一個(gè)是IPv6地址池，可提供244個(gè)IPv6地址，從2001：DB8：CAFE：1002：：100/64開始分配?？蛻舳撕虲isco ASA5510之間的連接建妥之后，客戶端會(huì)從地址池中取得IPv4和IPv6的地址。此外，其他的網(wǎng)絡(luò)服務(wù)既可以通過IPv4也可以通過IPv6來提供。

CiscoASA5510 AnyConnect的配置：

客戶端建好了通往Cisco ASA5510 的有效SVC連接之后，可以執(zhí)行相應(yīng)的命令來查看連接會(huì)話的狀態(tài)。Show ipv6 local pool v6pool命令可以顯示IPv6地址池的名稱、地址范圍、大小以及可用地址的數(shù)量。Show vpn-sessiondb detail svc命令可以顯示DTLS隧道的狀態(tài)信息、分配出去的IPv4和IPv6地址、客戶端用來建立連接的公網(wǎng)地址。

4 結(jié)論

從IPv6的協(xié)議提出至今有近20個(gè)年頭，但它還不是一個(gè)非常完善的協(xié)議，尤其是他要取代IPv4成為網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，這就決定IPv6協(xié)議還有很多的工作要做，特別是運(yùn)行在IPv6協(xié)議上的有價(jià)值的應(yīng)用開發(fā)顯得尤為重要?，F(xiàn)在，在沒有增設(shè)任何硬件設(shè)備的前提下，試驗(yàn)了張家港學(xué)院VPN在IPv4/IPv6過度網(wǎng)絡(luò)中的遠(yuǎn)程訪問，該實(shí)驗(yàn)只是在南校區(qū)及遠(yuǎn)端客戶端與北校區(qū)之間的互通互聯(lián)，體現(xiàn)了Cisco提供的基于SSL VPN的Cisco AnyConnect上的IPv6解決方案，該方案支持遠(yuǎn)程用戶對(duì)學(xué)院網(wǎng)內(nèi)部的雙棧訪問，但對(duì)在實(shí)際運(yùn)行過程中可能暴露出來的問題還有待做深入研究。

參考文獻(xiàn)：

[1]張建立.IPv4向IPv6的過渡策略[J].信息安全與技術(shù)，2013.

[2]范宗成.IPv4向IPv6變遷探討[J].科技傳播，2013.

[3]朱彥軍，王斌君.具有IPv4和IPv6轉(zhuǎn)換功能的SSLVPN系統(tǒng)[J].信息網(wǎng)絡(luò)安全，2013.

[4]馮彩寧，蘇鵬.VPN技術(shù)在IPv6校園網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2012.

[5]潘永安.VPN技術(shù)在IPv6校園網(wǎng)環(huán)境下的應(yīng)用[J].中小企業(yè)管理與科技，2012.

[6]陳臻.基于IPv6和IPv4雙協(xié)議融合的多出口校園網(wǎng)研究與實(shí)現(xiàn)[J].中南大學(xué)，2011.

作者單位：江蘇廣播電視大學(xué)張家港學(xué)院工程系，江蘇張家港 215600