（青海交通職業(yè)技術學院，810003）

IPv6校園網(wǎng)絡建設探究

李 敏

（青海交通職業(yè)技術學院，810003）

伴隨著IPV4協(xié)議地址庫的枯竭和諸多問題，基于IPv4協(xié)議的計算機網(wǎng)絡已經(jīng)難以滿足持續(xù)發(fā)展的校園網(wǎng)絡。同時，基于IPv6協(xié)議的計算機網(wǎng)絡因為在地址空間資源、穩(wěn)定性、網(wǎng)絡安全等方面的優(yōu)勢而被推廣應用，建設IPv6校園網(wǎng)絡大勢所趨。

IPv6；校園網(wǎng)絡；建設

1 IPv6校園網(wǎng)絡建設的現(xiàn)狀分析

1.1 建設IPv6校園網(wǎng)絡的必要性

1.1.1 校園網(wǎng)絡發(fā)展的需求

截止2013年底，中國網(wǎng)民總數(shù)突破6億人，其中網(wǎng)絡教育用戶已達4500萬，學生用戶成為教育用戶中的主要網(wǎng)民主體。校園網(wǎng)的發(fā)展空間在持續(xù)增大，發(fā)展需求更高。傳統(tǒng)的IPv4環(huán)境下的校園網(wǎng)絡已經(jīng)難以負荷師生教、學網(wǎng)絡需求和實現(xiàn)校園網(wǎng)、教育網(wǎng)、互聯(lián)網(wǎng)所追求的教育網(wǎng)絡一體化需求，因此，建設更高層次的下一代協(xié)議IPv6校園網(wǎng)蓄勢待發(fā)。

1.1.2 IPv4網(wǎng)絡問題叢生

IPv4作為被全球廣泛使用構成現(xiàn)今互聯(lián)網(wǎng)整體的奠基協(xié)議，它的出現(xiàn)和發(fā)展都具有劃時代的意義，但是任何事物都有發(fā)展和消亡的過程，這個互聯(lián)網(wǎng)時代的佼佼者也不例外。目前看來，IPv4協(xié)議存在著幾點重要問題：

1）基于IPv4協(xié)議的計算機網(wǎng)絡IP地址空間已近枯竭，而網(wǎng)絡規(guī)模膨脹對IP地址的需求卻供不應求，這在根本上限制了包括校園網(wǎng)絡在內的計算機網(wǎng)絡的發(fā)展空間。

2）大量基于IPv4協(xié)議的計算機網(wǎng)絡信息設備因難以滿足龐大的信息處理量和高要求的處理速度而被放棄。今后，校園網(wǎng)絡需要處理的信息量將越來越大，IPv4下的信息設備將無法正常處理教育網(wǎng)絡的信息量。

3）安全性不足、管理效率不高等問題在IPv4協(xié)議計算機網(wǎng)絡中明顯暴露，難以滿足人們在信息時代的安全需求。以校園網(wǎng)絡建設為例，未來高校網(wǎng)絡實名制支付學費將成為可能，建立更安全的IPv6校園網(wǎng)絡成為必然。

1.1.3 政府對校園網(wǎng)絡建設的實踐

IPv4所引起的多種并發(fā)癥，引起了全球關注，對此，我國政府已經(jīng)采取了重要舉措，以逐步完成高校校園網(wǎng)絡由IPv4協(xié)議向IPv6協(xié)議的平穩(wěn)過渡。由教育部組織的教育科研基礎設施IPv6技術升級和應用示范，已在全國100多所高校實施，這一舉措可將校園網(wǎng)升級到下一代互聯(lián)網(wǎng)建立安全可控可管理和可運營的下一代校園網(wǎng)試商用環(huán)境，為一百萬以上用戶提供已有重要教育科研信息資源和應用的IPv6試商用服務。不可否認的是，這次實踐對教育信息化工程產(chǎn)生了及其重大的作用，為今后校園網(wǎng)絡建設提供了豐富的轉型經(jīng)驗。

1.2 國外IPv6校園網(wǎng)絡建設現(xiàn)狀

1.2.1 北美洲地區(qū)

以美國為例，由于美國占有較為豐富的IPv4地址空間資源，美國首先把對IPv6網(wǎng)絡的理論研究和實驗作為著手點。從上世紀90年代末開始，美國就對下一代互聯(lián)網(wǎng)絡展開了深入的研究，通過成立美國大學先進網(wǎng)絡聯(lián)盟（UCAID），利用高校在資源技術上的獨特優(yōu)勢實施了Internet2的下一代大學網(wǎng)計劃，這也是在全球范圍對校園網(wǎng)絡升級的首先嘗試。總之，美國經(jīng)過長期對IPv6計算機網(wǎng)絡的理論研究和實驗，攻克了大量關鍵問題，必然使美國在IPv6網(wǎng)絡建設上具有更多優(yōu)越性和可操控性。

1.2.2 歐洲地區(qū)

歐洲對IPv6的研究較美國晚一些，在2001年才開始歐盟國家之間的下一代互聯(lián)網(wǎng)絡的 Géant網(wǎng)絡的研究，同樣也是結合高校和研究機構的資源技術優(yōu)勢。不同的是，歐洲在研究IPv6網(wǎng)絡時更注重結合移動通信方面的優(yōu)勢，并把研究重點放在基于IPv6協(xié)議的移動互聯(lián)網(wǎng)工作上，率先在3G網(wǎng)中引進了IPv6。歐洲在基于IPv6協(xié)議的信息設備的研發(fā)及網(wǎng)絡應用的開發(fā)也成果顯著。

1.2.3 亞洲地區(qū)

在亞洲IPv6研究中，由于日本和韓國經(jīng)濟技術水平較為領先、IP地址短缺問題嚴重，他們在IPv6研究中的成果更顯著，這些成果主要集中在IPv6的商用化上。日本在1997年提出在全國范圍內進行IPv6網(wǎng)絡研究和商用化運作，隨后將21世紀前10年作為現(xiàn)有網(wǎng)絡向IPv6的過渡期。這期間，日本建成了世界上最大的IPv6網(wǎng)絡之一。韓國通過IPv6試驗網(wǎng)絡的研究和建設以及IPv6和原有的IPv4網(wǎng)絡之間的平穩(wěn)過渡兩個方面完成對IPv6網(wǎng)絡的研究。

1.3 國內IPv6校園網(wǎng)絡建設現(xiàn)狀

國內對IPv6校園網(wǎng)絡的研究和建設也取得了顯著的成績。國內高校IPv6校園網(wǎng)絡建設主要是針對基于IPv4校園網(wǎng)絡的問題，利用CERNET2成果設計本校的IPv6的校園網(wǎng)絡?？偟膩碚f，建立IPv6校園網(wǎng)絡目前多在教學實力雄厚和著名院校進行試驗。清華大學主導實施的CNGI－6IX建設，實現(xiàn)了國內CNGI主干網(wǎng)之間的互聯(lián)以及與國外IPv6網(wǎng)絡的互聯(lián)。我國基于下一代互聯(lián)網(wǎng)CNGI的主干網(wǎng)絡 CERNET2發(fā)展迅速，已經(jīng)通過全國范圍內的25節(jié)點成功的實現(xiàn)了全國20城市之間高速連接。2006年全年，國內IPv6網(wǎng)絡研究在全球互聯(lián)工作中實現(xiàn)了高層次突破。分別實現(xiàn)了與美國Internet2的155M高速互聯(lián)和歐洲Géant2的622M高速互聯(lián)。隨著我國在IPv6研究上不斷取得成果，IPv6校園網(wǎng)絡將在全國范圍內建設和升級。

2 IPv6校園網(wǎng)絡建設如何實踐

2.1 做好建設規(guī)劃

IPv6網(wǎng)絡建設與實地建設類似，首先考慮的必須是整體規(guī)劃，只有規(guī)劃好，才能實現(xiàn)建設的有效性和實用性。

2.1.1 確切定位

IPv6的校園網(wǎng)建設是高要求的網(wǎng)絡建設工程，它立足于下一代互聯(lián)網(wǎng)建設研究工作上。在滿足校園網(wǎng)絡基本需要時，更應該為我國下一代互聯(lián)網(wǎng)建設提供試驗，進而進行前沿性的體系和技術研究。

2.1.2 確保實操性

IPv6校園網(wǎng)絡建設的最終目的，是通過新的網(wǎng)絡協(xié)議滿足不斷發(fā)展的網(wǎng)絡需求，因此，在建設過程中，要保證信息網(wǎng)絡設備的處理能力和可擴展能力，同時要充分考慮復雜的網(wǎng)絡環(huán)境下的各種要求，確保突發(fā)情況下的網(wǎng)絡能夠正常運行。

2.1.3 安全管理性

IPv4網(wǎng)絡之所以被淘汰，很大程度上也是基于安全管理的考慮，對于IPv6校園網(wǎng)絡的建設，就更加要從安全性和管理性下功夫。在安全性上，必須保證網(wǎng)絡信息設備支持防火墻和數(shù)據(jù)加密，還要確保網(wǎng)絡傳輸和各種網(wǎng)絡應用的安全；在管理性上，要有相應的網(wǎng)絡管理監(jiān)控軟件實施監(jiān)控和管理，從而維護整個校園網(wǎng)絡的正常運作。

2.2 實現(xiàn)IPV4到IPv6的平穩(wěn)過渡

目前，大多數(shù)高校已經(jīng)完成了校園網(wǎng)基礎設施建設，從IPv6校園網(wǎng)絡建設的經(jīng)濟性出發(fā)，充分的利用已有的軟硬件資源，完成IPV4到IPv6的過渡成了當前工作的重要研究重心。在研究過程中，必須結合高校自身特點和校園網(wǎng)建設的實際情況進行，主要有三種可行性方案：

2.2.1 隧道模式改造

多數(shù)高校原有校園網(wǎng)絡基本成熟穩(wěn)定，在三層交換設備的采用上均為IPv4設備。對此，可以采用隧道模式，增加1臺支持IPv6的出口路由器，該路由器通過GE鏈路連接原有基于IPv4的核心交換機，改造成IPv6駐地網(wǎng)，實現(xiàn)原有基礎改造IPv6網(wǎng)絡的目的。

2.2.2 雙棧模式改造

通過在原有網(wǎng)絡基礎上進行擴建，擴建部分采用雙棧模式的方式更能體現(xiàn)網(wǎng)絡設備的功能性，在所有三層設備的采用上均為IPv4/IPv6雙棧設備。增加1臺IPv6出口路由器，該路由器通過GE鏈路連接原有支持IPv4和IPv6的雙棧核心交換機，從而建成IPv6駐地網(wǎng)。這種方案需要接入網(wǎng)絡的IPv6終端較多，因此對接入設備的要求比較高，要同時滿足IPv6業(yè)務的需要和滿足靈活、易擴充的接入方案。

2.2.3 轉換模式

實現(xiàn)IPv4到IPv6的平穩(wěn)過渡還有一種只需在不同協(xié)議的設備上啟用的更為便捷有效的方式，即實現(xiàn)網(wǎng)絡地址和協(xié)議轉換。這種過渡方式是利用傳輸數(shù)據(jù)所攜帶的網(wǎng)絡協(xié)議轉換信息來完成其網(wǎng)絡地址的轉化，整個過程主要是通過對數(shù)據(jù)包的報頭結構操作完成。這種網(wǎng)絡地址和協(xié)議轉換方式還可以與 ALG 的結合實現(xiàn)不同協(xié)議主機之間的互聯(lián)，雖然這種互聯(lián)有一定的限制。

結合國內高校目前的實際網(wǎng)絡情況，建議各學校進行IPv6校園網(wǎng)絡建設時有步驟有計劃的分布實施三種方案，達到減少投資、縮短周期、整合業(yè)務的目的。

3 IPv6校園網(wǎng)絡建設的安全考慮

IPv6協(xié)議取代IPv4協(xié)議是互聯(lián)網(wǎng)發(fā)展的趨勢，對校園網(wǎng)絡建設發(fā)展起到了至關重要的作用。但并非一定的先進就能帶來一定的安全，IPv6雖然在設計之初就借助IPSec對安全性方面有所改善但IPSec并不能保證IPv6絕對安全。隨著IPv6網(wǎng)絡環(huán)境的復雜性增加，由此伴生的安全問題也無法預料。

3.1 IPv6協(xié)議自身的安全性問題

針對IPv6的網(wǎng)絡特性，IPv6的基本報頭字段被攻擊的可能性最大。其中包括版本字段、下一包頭字段、IP地址字段、跳數(shù)限制字段。攻擊者主要通過令字段非法或不相符等手段，騙取安全防護設備禁止服務，從而實現(xiàn)攻擊目的。雖然實現(xiàn)了IPv4到IPv6協(xié)議的過渡，但是IPv4網(wǎng)絡中上層協(xié)議的安全威脅依然存在，這是因為IPSec機制無法消除網(wǎng)絡層以上的安全威脅。堆棧溢出的木馬、蠕蟲病毒和惡意代碼等常見的安全威脅還是會影響網(wǎng)絡安全。

3.2 過渡模式的殘留問題

IPv4到IPv6的三種過渡模式雖然完成了網(wǎng)絡協(xié)議的平穩(wěn)過渡，但其殘留的問題依然存在。隧道模式便捷的使用同時也隱藏了巨大的風險。隧道體系對于認證要求嚴格，同時它易產(chǎn)生自動切斷的問題。常見的還有DoS攻擊、欺騙IP地址等問題。而在雙棧模式下，兩種協(xié)議中的任一安全漏洞都會影響相互的正常運行，從而威脅到主機。同時雙棧模式容易使攻擊者通過非法數(shù)據(jù)包注入內網(wǎng)隧道的加密技術，使防火墻等安全防護設備失去保護能力。在轉換模式下，IPv6協(xié)議要求強制執(zhí)行IPSec機制，這就導致了NAT-PT節(jié)點在NAT-PT在轉換IPSec數(shù)據(jù)包過程中的易被攻擊性，最終中斷雙協(xié)議網(wǎng)絡的互通。

4 結語

當前，教育信息化工程備受重視，基于下一代IPv6協(xié)議的高校校園網(wǎng)絡建設就顯得尤為重要。本文希望引起各高校對IPv6校園網(wǎng)絡建設的重視，切實結合自身實際情況，獲取國內外重大成果，選擇更優(yōu)的IPv4向IPv6過渡的網(wǎng)絡改造方案，在建設過程中，要多考慮IPv6校園網(wǎng)絡隱藏的安全問題，以實現(xiàn)建設安全綠色穩(wěn)定的校園網(wǎng)絡的目標。

[1] 陳亮,季克亮.高職院校IPv6網(wǎng)絡建設——以南通紡織職業(yè)技術學院為例[J].南通紡織職業(yè)技術學院學報綜合版,2013,13（1）

[2] 鄧小盾.基于IPv6的校園網(wǎng)絡建設模式的研究與設計[D].西安.西安科技大學,2013

[3] 吳月紅.高職院校IPv6網(wǎng)絡建設研究[J].網(wǎng)絡技術，2011（6）

[4] 劉曄,彭澤武.IPv6網(wǎng)絡安全問題分析[J].現(xiàn)代計算機,2013,10（下）

IPv6campus network construction research

Li Min
(Qinghai Communications Technical College，810003)

Library withIPv4address depletion and problems,based on computer network ofIPv4are very difficult to satisfy the sustainable development of the campus network.At the same time,the computer network based onIPv6protocol because in the address space resources,stability,network security and other advantages and has been applied,buildingIPv6campus network is the trend of The Times.

The construction of campus network;IPv6