文/李子木 傅怡琦 潘麗 孟斌

無線局域網(wǎng)部署純IPv6的兩種模式

文/李子木 傅怡琦 潘麗 孟斌

在校園無線網(wǎng)絡(luò)中部署純IPv6有兩種模式：只能訪問IPv6網(wǎng)絡(luò)的native-stack模式和能夠同時訪問IPv4/IPv6網(wǎng)絡(luò)的IVI模式。通過實踐證明，這兩種部署模式運行效果良好，為IPv6推廣和校園網(wǎng)用戶接入下一代互聯(lián)網(wǎng)積累了經(jīng)驗。

隨著筆記本電腦和智能移動終端的普及，無線局域網(wǎng)（WLAN，Wireless Local Area Network）已經(jīng)逐漸成為重要的互聯(lián)網(wǎng)接入手段。與此同時，隨著IPv4地址枯竭，IPv6正在逐漸進入實用階段。

由于IPv6和WLAN都是近幾年快速發(fā)展的新技術(shù)，因此，目前很多WLAN設(shè)備都不能夠直接全面地支持IPv6，那么如何在WLAN現(xiàn)有條件下部署IPv6，滿足廣大IPv6用戶方便接入下一代互聯(lián)網(wǎng)的迫切需求，已經(jīng)成為網(wǎng)絡(luò)管理者必須面對的工程研究課題。

本文以清華大學(xué)無線校園網(wǎng)為基礎(chǔ)，描述了在其上部署純IPv6技術(shù)的兩種模式：只能夠訪問IPv6網(wǎng)絡(luò)的native-stack技術(shù)和能夠同時訪問IPv4/IPv6網(wǎng)絡(luò)的IVI技術(shù)，通過描述這兩種模式的工程實現(xiàn)原理和參數(shù)細節(jié)，為探索IPv6在各種場景下的部署應(yīng)用積累了經(jīng)驗。

在WLAN中部署純IPv6

在工程實踐中，我們采用了兩種純IPv6部署模式：

native-stack模式

該模式基于純IPv6協(xié)議棧，客戶端采用類似于IPv4網(wǎng)絡(luò)中的DHCP方式，通過DHCPv6服務(wù)器自動獲取IPv6地址和基于IPv6的DNS服務(wù)器地址，在不需要用戶手工配置的情況下即可實現(xiàn)真正意義上的純IPv6接入。該模式的特點是：即插即用，且與IPv4網(wǎng)絡(luò)完全獨立。這意味著該模式既可以獨立工作，為用戶提供純IPv6接入服務(wù)，也可以與IPv4網(wǎng)絡(luò)共同組成雙棧網(wǎng)絡(luò)，為用戶同時提供IPv4和IPv6接入服務(wù)。由于該模式可以對客戶端IPv6地址和DNS地址進行集中管理和統(tǒng)一下發(fā)，因此是一種很有前景的部署方式。

IVI模式

該模式基于IETF最新批準通過的RFC6219，使用無狀態(tài)翻譯技術(shù)，使得純IPv6客戶端不僅能夠訪問IPv6網(wǎng)絡(luò)，同時還能夠訪問IPv4網(wǎng)絡(luò)。目前已知有很多過渡技術(shù)，如ISATAP、TEREDO、6to4等。但是在IPv4地址已經(jīng)枯竭的今天，新入網(wǎng)終端已經(jīng)沒有IPv4地址可用，只能使用IPv6地址，IVI技術(shù)很好地解決了純IPv6客戶端無法訪問IPv4資源這一難題。本文將對該技術(shù)在清華大學(xué)WLAN中的部署方式進行詳細描述。

無線控制器

出于管理上的考慮，目前WLAN已經(jīng)由原來的FAT-AP架構(gòu)向FIT-AP架構(gòu)轉(zhuǎn)變，通過無線控制器（Wireless LAN Controller，WLC）對所有AP進行集中管理和數(shù)據(jù)轉(zhuǎn)發(fā)，WLC已經(jīng)成為WLAN的核心設(shè)備。在這種架構(gòu)下，為了對IPv6流量進行轉(zhuǎn)發(fā)，首先需要了解WLC的相關(guān)實現(xiàn)原理。

WLC是一個具有IP層管理功能的二層設(shè)備，一般通過與三層交換機直接互聯(lián)的方式接入網(wǎng)絡(luò)，如圖1所示。WLC一般通過端口捆綁（port-channel）技術(shù)與三層交換機互聯(lián)，每個WLC中劃分出多個VLAN，每個VLAN接口（interface）地址為該VLAN的DHCP Proxy地址，VLAN網(wǎng)關(guān)（gateway）則位于三層交換機。

在WLC中，與IP地址相關(guān)的參數(shù)一般有以下三個：

管理地址：用于對WLC的遠程管理，以及漫游組通信；

接口地址：用于VLAN標識，并作為DHCP Proxy與DHCP Server進行交互；

網(wǎng)關(guān)地址：VLAN網(wǎng)關(guān)位于三層交換機，但是需要在WLC中對網(wǎng)關(guān)地址進行設(shè)置，以便用戶流量能夠被WLC正確地轉(zhuǎn)發(fā)到對應(yīng)的VLAN網(wǎng)關(guān)。

圖1 WLAN控制器典型連接

由于很多廠商的WLC未實現(xiàn)獨立完整的IPv6功能，因此為了使WLAN支持純IPv6接入，WLC需要通過“IPv6透傳”技術(shù)實現(xiàn)無線客戶端和三層交換機的互通。而IPv6是工作于組播機制的，這要求WLC既要能夠阻止IPv4組播報文向交換機側(cè)轉(zhuǎn)發(fā)，又要能夠讓IPv6組播報文正常通過。因此，位于數(shù)據(jù)鏈路層的WLC需要能夠識別出哪些MAC層組播對應(yīng)的是IPv4報文，哪些對應(yīng)的是IPv6報文，以便有針對性地實現(xiàn)報文阻斷或轉(zhuǎn)發(fā)。圖2和圖3分別是IPv4和IPv6組播報文在MAC層的地址映射關(guān)系圖。

從圖2和圖3可以看到，若要判斷組播報文性質(zhì)，需要針對MAC層報文前綴進行識別，而傳統(tǒng)二層設(shè)備是不能識別MAC層IPv6組播報文的。在這種情況下，二層設(shè)備要么丟棄這些不能識別的報文，要么通過“泛洪（Flooding）”方式向其他所有端口轉(zhuǎn)發(fā)。這兩種處理方式要么會造成IPv6組播機制無法正常工作，要么會導(dǎo)致WLC處理能力過載。因此，作為“IPv6透傳”設(shè)備的WLC，必須能夠識別IPv6二層組播報文并對其進行專門處理，以便IPv6組播報文既不被WLC丟棄，也不會在WLC的所有接口上“泛洪”。

目前大部分WLC雖然尚未完整支持IPv6特性，但是對于IPv6組播報文卻是可以識別和處理的。在此基礎(chǔ)上，通過在WLC和三層交換機上同時配置相關(guān)參數(shù),可以實現(xiàn)WLAN對純IPv6用戶的接入。

Native-stack部署方式

IPv4地址已經(jīng)枯竭，純IPv6是下一代互聯(lián)網(wǎng)的主要應(yīng)用模式。為了在WLAN中實現(xiàn)純IPv6接入，需要同時在WLC中和三層交換機上配置相應(yīng)參數(shù)，配合DHCPv6服務(wù)器（以ISC DHCP4.1.1-P1為例）進行地址分配，三方共同實現(xiàn)nativestack方式下的客戶端零配置純IPv6接入，如表1所示。

圖2 IPv4組播報文的MAC層地址映射關(guān)系

圖3 IPv6組播報文的MAC層地址映射關(guān)系

表1 native-stack模式參數(shù)

從表1中可以看出，控制器不需要配置DHCP參數(shù)，這是因為所有DCHPv6報文都被“透傳”到了三層交換機，由交換機作為DHCP Relay交給DHCPv6服務(wù)器進行處理。

在FIT-AP架構(gòu)中，AP和WLC之間是通過CAPWAP隧道進行通信的。由于AP和WLC目前還不支持直接通過IPv6隧道通信。因此，WLC中仍然需要配置IPv4地址和網(wǎng)關(guān)地址。

在表1所示的三層交換機參數(shù)中，除了需要配置支持CAPWAP通信的IPv4接口地址和網(wǎng)關(guān)地址，以及DHCPv6服務(wù)器地址外，還特別使用了3條特殊命令（下劃線標識）強制無線客戶端按照DHCPv6有狀態(tài)（Stateful Address Autoconfiguration）方式獲取IPv6地址、DNS等參數(shù)。這是因為，在RA報文中有三個特殊標志位用于控制客戶端獲取地址的行為，這三個標志位分別是 “無狀態(tài)/有狀態(tài)配置位（A位）、地址管理信息配置位（M位）、其他信息配置位（O位）”。這三個標志位的組合決定了客戶端獲取地址的工作方式。

默認情況下，A位和M位都為1，表示客戶端需要工作在SLAAC模式，此時，客戶端會根據(jù)三層交換機廣播的地址前綴和自身網(wǎng)卡MAC地址，按照RFC4291標準自行計算出客戶端的IPv6地址。

若A位被“no-autoconfig”命令置為0，則表示客戶端需要使用有狀態(tài)方式獲取地址，此時需要根據(jù)M位和O位確定客戶端的具體操作。表2給出了A位=0的情況下，M位和O位對客戶端操作的影響。在本節(jié)所述的純IPv6接入模式中，客戶端即是工作在A位=0，M位=1和O位=1的組合模式下。

表2 RA標志位對有地址配置的影響（A位=0）

圖4 native-stack模式下客戶端地址獲取情況

圖4顯示了Windows7客戶端通過有狀態(tài)方式獲取IPv6地址參數(shù)的情況，其中，DHCPv6服務(wù)器給客戶端分配了2402開頭的IPv6地址，DNS服務(wù)器地址為2001:da8:200:100::28，網(wǎng)關(guān)地址為FE80開頭的本地鏈路地址。以169.254開頭的IPv4地址表示這是一個純IPv6客戶端。

IVI部署方式

IVI是一套可路由的、無狀態(tài)的、可實現(xiàn)IPv4/IPv6互訪的地址映射機制，該互訪機制通過IVI翻譯器（由于該翻譯器具有路由功能，因此也稱為“IVI路由器”）進行實現(xiàn)。IVI路由器主要實現(xiàn)兩個功能：一個是地址映射，即通過統(tǒng)一的規(guī)則實現(xiàn)IPv4地址與IPv6地址的一一映射，以進行地址的翻譯；另一個是協(xié)議翻譯，即根據(jù)標準規(guī)定，實現(xiàn)IPv4/ICMPv4協(xié)議和IPv6/ICMPv6協(xié)議各字段的對譯，同時更新TCP/UDP協(xié)議的相關(guān)字段，完成完整的數(shù)據(jù)包翻譯操作。通過IVI路由器的地址映射和協(xié)議翻譯過程，IPv4節(jié)點和IPv6節(jié)點即可不需要任何自身的改動而實現(xiàn)端到端互訪。

圖5 IVI基本工作原理

圖6 IVI地址映射機制示意

圖7 IVI在WLAN中的部署拓撲示意

圖8 IVI DNS工作原理

圖5展示了IVI工作的基本原理。IVI翻譯器位于IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間，利用IVI地址映射規(guī)則（圖6所示），將一部分IPv4地址（命名為IVI4）分配給IPv6主機使用（命名為IVI6）?；ヂ?lián)網(wǎng)上的IPv4主機可以通過IVI4地址和這些擁有IVI6地址的IPv6主機通信。這種方式支持IVI6主機向IPv4/IPv6發(fā)起的通信，也支持IPv4/IPv6向IVI6主機發(fā)起的通信。

IVI地址是一套由IPv4地址映射而來的純IPv6地址，這套地址既可以訪問IPv6網(wǎng)絡(luò)，也可以通過IVI翻譯器訪問IPv4網(wǎng)絡(luò)。圖6給出了IVI的地址映射機制，其中0-31位為ISP的/32地址前綴（例如APNIC分配給CERNET的地址前綴為2001:da8::/32），32-39位為FF，表示這是一個IVI地址（因此，CERNET的IVI地址塊為2001:da8:ff00::/40）。40-71位為嵌入的全球可路由IPv4地址（稱為IVI4地址），72-127全部用0填充，這樣得到的地址為一個IVI6地址。該地址與嵌入其中的IPv4地址（IVI4地址）可以在IVI翻譯器上進行快速的無狀態(tài)地址轉(zhuǎn)換。

為了在WLAN中實現(xiàn)IVI過渡系統(tǒng)，需要使用一段未分配的IPv4地址作為IVI4地址。在圖7中，分配給WLAN的IVI4地址塊為58.200.129.0/24，與其對應(yīng)的IVI6地址塊為2001:da8:ff3a:c881::/64。同時，需要在IVI路由器上進行路由配置，以實現(xiàn)IPv4/IPv6互訪時數(shù)據(jù)包能夠通過IVI路由器進行地址翻譯和協(xié)議翻譯：

IVI路由器為一臺雙棧路由器，它向IPv4校園網(wǎng)廣播一條靜態(tài)路由：目標地址為58.200.129.0/24的IPv4數(shù)據(jù)包的下一跳為IPv6校園網(wǎng)邊界設(shè)備R6；

同時，IVI路由器向IPv6校園網(wǎng)廣播一條靜態(tài)路由：目標地址前綴為2001:da8:ff00::/40的IPv6數(shù)據(jù)包的下一跳為IPv4校園網(wǎng)邊界設(shè)備R4。

表3 IVI模式參數(shù)

為了最大限度地方便IPv4/IPv6主機互訪，需要在IPv4校園網(wǎng)和IPv6校園網(wǎng)之間部署IVI DNS服務(wù)器，進行IPv4 DNS記錄（A記錄）和IPv6 DNS記錄（AAAA記錄）的翻譯工作。圖8顯示了IVI DNS服務(wù)器的工作原理。當(dāng)IVI客戶端（具有IVI6地址的純IPv6客戶端）發(fā)起IPv4訪問時，IVI DNS服務(wù)器會將用戶的AAAA請求轉(zhuǎn)換為A請求發(fā)給上級DNS服務(wù)器，在得到上級服務(wù)器返回的A記錄響應(yīng)后，再將其轉(zhuǎn)換為AAAA響應(yīng)發(fā)給IVI客戶端（為了提高相應(yīng)效率，IVI DNS服務(wù)器同樣會進行本地緩存的優(yōu)化工作）。

圖9 IVI模式下客戶端地址獲取情況

圖10 IVI DNS翻譯情況

由于只有IVI6地址可以在IPv4和IPv6間實現(xiàn)互訪，因此需要使用有狀態(tài)自動配置方式從DHCPv6 服務(wù)器為無線客戶端分配IVI6地址和IVI DNS服務(wù)器地址。表3給出了實現(xiàn)IVI地址分配所需的控制器、三層交換機和DHCPv6 服務(wù)器配置參數(shù)。

圖9顯示了無線客戶端獲取IVI6地址的情況，可以看到，DHCPv6服務(wù)器給客戶端分配了一個IVI6地址(2001:da8:ff3a:c881:600::)和IVI DNS地址（2001:250:aaa0:100:1::2）。這樣，客戶端可直接通過IVI6地址訪問IPv6網(wǎng)絡(luò)；如果客戶端訪問IPv4網(wǎng)絡(luò)，則數(shù)據(jù)包會通過路由方式到達IVI路由器，此時IVI路由器將該數(shù)據(jù)包源地址翻譯為對應(yīng)的IPv4地址（58.200.129.6），并將其繼續(xù)轉(zhuǎn)發(fā)到IPv4網(wǎng)絡(luò)。當(dāng)數(shù)據(jù)包從IPv4網(wǎng)絡(luò)返回時，同樣會通過路由方式到達IVI路由器，此時IVI路由器會再將其中的IPv4地址翻譯為對應(yīng)的IVI6地址，從而實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互通。

圖10顯示了IVI6客戶端訪問IPv4網(wǎng)站時IVI DNS的翻譯情況?？梢钥吹絀VI DNS按照地址轉(zhuǎn)換規(guī)則將news.sina.com.cn的IPv4地址（121.194.0.206）解析為一個對應(yīng)的IVI6地址（2001:da8:ff79:c200:ce00::），從而實現(xiàn)IPv6客戶端對IPv4網(wǎng)站的訪問。

隨著IPv4地址的枯竭，IPv6正在逐漸進入初級商用階段。在WLAN領(lǐng)域，主流廠商目前的主要精力仍集中在如何提高無線接入速率，提高設(shè)備安全性和可管理性等方面，對IPv6的支持尚不是很完善。以上兩種純IPv6接入模式在清華大學(xué)校園無線網(wǎng)已經(jīng)部署完成，實際運行效果穩(wěn)定良好，達到了預(yù)期設(shè)計目標，為校園無線網(wǎng)絡(luò)全面順利過渡到IPv6積累了工程經(jīng)驗。

（作者單位為清華大學(xué)信息網(wǎng)絡(luò)工程研究中心）

Intel助力個性化課堂教學(xué)發(fā)展

本刊訊 近日，“數(shù)字化環(huán)境下的課堂教學(xué)變革創(chuàng)新實驗項目”啟動會在滬順利召開。上海市基礎(chǔ)教育領(lǐng)域?qū)＜液皖I(lǐng)導(dǎo)，以及英特爾中國相關(guān)項目負責(zé)人出席了此次會議，大會同時邀請了來自上海市多個區(qū)縣的學(xué)校代表參會。該項目旨在探索如何通過創(chuàng)新技術(shù)，對優(yōu)質(zhì)教學(xué)資源進行匯集、開發(fā)、整合和應(yīng)用，實現(xiàn)在移動終端上進行個性化教學(xué)的新途徑，使數(shù)字化教學(xué)從展示性應(yīng)用向常規(guī)教學(xué)轉(zhuǎn)軌。作為此次活動的積極倡導(dǎo)者和支持方，英特爾（中國）有限公司將通過提供基于HTML5技術(shù)的交互式數(shù)字教材制作工具集等一系列創(chuàng)新技術(shù)和服務(wù)，為上海市數(shù)字化教學(xué)環(huán)境的構(gòu)建提供支持。

為突破瓶頸應(yīng)對挑戰(zhàn)，“數(shù)字化環(huán)境下的課堂教學(xué)變革創(chuàng)新實驗項目”從優(yōu)質(zhì)教學(xué)資源的匯集、開發(fā)、整合和創(chuàng)造性應(yīng)用著手，一方面，開發(fā)和部署基于HTML5技術(shù)的交互式數(shù)字教材制作工具集，在項目學(xué)校開展個性化與交互式數(shù)字教材開發(fā)和應(yīng)用實驗，豐富教學(xué)資源；另一方面，開發(fā)與上海中小學(xué)科教學(xué)進程同步的數(shù)字化學(xué)習(xí)導(dǎo)航社區(qū)，引進并實驗代表國際先進水平的英語、科學(xué)和數(shù)學(xué)學(xué)科網(wǎng)絡(luò)學(xué)習(xí)系統(tǒng)，實現(xiàn)數(shù)字化學(xué)習(xí)由示范性教學(xué)向常規(guī)教學(xué)拓展。