楊文清

（煙臺大學文經(jīng)學院現(xiàn)代教育技術部,264005）

0 引言

隨著互聯(lián)網(wǎng)規(guī)?？焖僭鲩L，數(shù)字化校園建設在現(xiàn)代化職業(yè)教育中的重要性日益彰顯。校園網(wǎng)已經(jīng)成為各個學校提高教學質(zhì)量、提升管理水平的重要途徑和手段。但是隨著物聯(lián)網(wǎng)的發(fā)展，接入互聯(lián)網(wǎng)的不僅僅是計算機，還有許多智能設備，IPv4的43億個地址空間在不久的將來顯然是不夠用的。因此，如何應對IPv4地址枯竭問題，滿足用戶日益增長的IP地址需求，是迫使互聯(lián)網(wǎng)向下一代互聯(lián)網(wǎng)（IPv6）演進的原動力。

1 IPv6技術

IPv6是人們針對IPv4目前暴露出來的地址不足而重新設計的一套網(wǎng)絡層協(xié)議。IPv6的地址空間為128位，是IPv4地址空間的79×1024倍，因此，IPv6可以從根本上解決IPv4地址不足的問題，同時IPv6在擴展性、Qos以及安全性方面也相對IPv4進行了改進，具體包括：較大的地址空間、高效的協(xié)議首部、無狀態(tài)自動配置、多播、超大型數(shù)據(jù)包、網(wǎng)絡層安全、服務質(zhì)量能力、支持移動性等。

2 數(shù)字化校園建設現(xiàn)狀

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，高校的數(shù)字化、信息化建設為學校的發(fā)展創(chuàng)造了新的契機，注入了新的活力。目前，絕大部分高校都已經(jīng)初步具備了相對完善的校園網(wǎng)絡，并且校園網(wǎng)用戶也隨之與日俱增，部分學?；緦崿F(xiàn)了在線辦公、在線教學等辦公自動化服務。校園網(wǎng)的建設及應用改變了傳統(tǒng)的辦公、教學模式，同時也為學生在校園內(nèi)外進行網(wǎng)絡學習提供了可靠的保障。然而，隨著廣大師生對網(wǎng)絡資源的使用，網(wǎng)絡流量隨之增大，所需要的IP地址空間也相應增多。由于目前全球使用的主要是IPv4地址空間，一般分配給高校的網(wǎng)絡地址都是C類IP地址，學校內(nèi)部IP地址非常有限。雖然可采用NAT與PAT(動態(tài)的端口轉換)相結合的NAPT技術以及動態(tài)分配IP地址的策略來緩解合法IP地址緊缺的問題，但是無法從根本上解決IP地址短缺的難題。因此，校園數(shù)字化建設從IPv4向IPv6過渡迫在眉睫。

3 數(shù)字化校園網(wǎng)絡架構設計

根據(jù)目前常見的IPv4校園網(wǎng)的情況，高校校園網(wǎng)建設應該根據(jù)具體情況，綜合的運用各種過渡技術，實現(xiàn)IPv4網(wǎng)絡和IPv6網(wǎng)絡的共存。為了考慮IPv6和IPv4的互通性，本文采用雙協(xié)議棧技術，雙協(xié)議棧的協(xié)議結構如圖1所示：

圖1 雙協(xié)議棧的協(xié)議結構

雙協(xié)議棧技術是 IPv4向 IPv6 過渡的一種有效的技術。網(wǎng)絡中的節(jié)點同時支持 IPv4 和 IPv6 協(xié)議棧，源節(jié)點根據(jù)目的節(jié)點的不同選用不同的協(xié)議棧，而網(wǎng)絡設備根據(jù)報文的協(xié)議類型選擇不同的協(xié)議棧進行處理和轉發(fā)。雙棧用戶可以同時訪問IPv6 和 IPv4 網(wǎng)絡。對于雙棧終端，IPv4 網(wǎng)關和 IPv6 網(wǎng)關均部署在匯聚 3 層交換機上。三層設備均選雙棧設備，這樣，既能運行 IPv4 路由協(xié)議也可運行 IPv6 路由協(xié)議。本文設計的校園網(wǎng)按照層次化方法分別對網(wǎng)絡進行分層設計，拓撲結構由核心層、匯聚層、接入層三層構成，如圖2所示。

圖2 網(wǎng)絡拓撲圖

接入層進行二層數(shù)據(jù)轉發(fā)，匯聚層、核心層設備提供IPv6/IPv4層的雙協(xié)議數(shù)據(jù)轉發(fā)，基于IPv6/IPv4雙協(xié)議的校園網(wǎng)設計方案采用IPv6的三層拓樸結構，各個層次的需求定義如下：

1）核心層：能夠提供如二層的線速的數(shù)據(jù)轉發(fā)能力、高背板帶寬、高可靠性、高擴展能力、能夠提供多種業(yè)務的支持,支持基于IPv6的多種路由協(xié)議，包括QoS保證、DDOS防攻擊能力、流量管理、支持SNMP標準管理協(xié)議，支持雙機熱備,提供IPv6險道接口、IPv6/IPv4雙找及多種隧道協(xié)議的支持等。

2）匯聚層：高密度mini端口、高性能、高容量，支持多種接入技術，接口豐富，支持基于COM、Telnet、web的管理等，能實現(xiàn)安全控制，如DOTlx、802.Ix等，完善ACL功能，能實現(xiàn)基于k級的端口和IP級的流量管理功能，對于學生宿舍應支持基于流量、包月等多種形式的計費管理等功能。

3）接入層:高性能、高帶寬、提供多種速率的接入，支持多業(yè)務，對組播業(yè)務的提供支持，能夠實現(xiàn)IGMP Snooping功能，支持SNMPvl/v2/v3、RM0N1,支持基于HTTP協(xié)議WEB網(wǎng)管功能，通過幵放的網(wǎng)絡管理系統(tǒng)對設備進行可視化的、遠程的管理監(jiān)控,接入層設備本身也應該具有一定的安全管理功能，如支持防arp攻擊，支持MAC地址到端口綁定等功能。根據(jù)我們對校園網(wǎng)網(wǎng)絡結構的設計規(guī)劃和需求分析，結合考慮到未來的發(fā)展需要,我們建議需要選用的核心、匯聚、接入的三層交換機支持IPv6/IPv4雙協(xié)議棧、IPv6 over IPv4隧道、ISATAP隧道等過渡技術。

核心層和匯聚層一起構成了網(wǎng)絡系統(tǒng)的骨干層，骨干層設備主要為校園網(wǎng)跨網(wǎng)段的接入層設備提供高速的路由轉發(fā)，并提供交換級的線速轉發(fā)速率。校園的每個樓棟設置一個匯聚中心,匯聚中心采用RG3700系列和5700系列的全光口三層交換設備，每層的接入設備釆用RG2600系列的二層交換設備，每個二層交換設備具有24TX口+2FTX口，同時可以實現(xiàn)2路光纜上聯(lián)至樓棟匯聚層設備，再經(jīng)過區(qū)域匯聚設備上聯(lián)至網(wǎng)絡中心。

4 IPv6網(wǎng)絡部署

高校目前絕大部分都是只支持IPv4的設備，假如一次性將其更新為IPv6設備，將花費巨大的成本，在目前的條件下是很難在短時間內(nèi)能實現(xiàn)的。另外，網(wǎng)絡的更新升級也要注意不能影響現(xiàn)有網(wǎng)絡的正常運行。因此，從IPv4過渡到IPv6需要一個循序漸進的過程，不能操之過急。

4.1 ISP骨干網(wǎng)部署

ISP骨干網(wǎng)過渡的目標是啟動IPv6過渡，逐步過渡到IPv6單棧。根據(jù)網(wǎng)絡現(xiàn)狀，ISP骨干網(wǎng)可分為IP骨干網(wǎng)、MPLS骨干網(wǎng)和新建骨干網(wǎng)等幾種類型，本文采用MPLS骨干網(wǎng)的部署，MPLS骨干網(wǎng)承載IPv4和IPv6業(yè)務流量，繼續(xù)保持部署IPv4服務策略，同時按需部署IPv6策略。在部署6PE和 6VPE的MPLS骨干網(wǎng)中，P設備不要求支持IPv6，與IPv6無關，PE設備開啟雙棧。因此，IPv6的QoS策略僅需部署在PE設備上。這里僅考慮QoS策略部署的一種場景，假定MPLS骨干網(wǎng)已經(jīng)部署了IPv4的QoS策略。在部署6PE和 6VPE后，MPLS骨干網(wǎng)的QoS策略不僅要保證IPv4的業(yè)務質(zhì)量，也要保證IPv6的業(yè)務質(zhì)量。圖3描述了QoS策略部署在PE設備下行端口的情況。

在圖3所示的部署中，IPv6的QoS策略部署模板部分代碼如下：

class-map match-any class-name1

bandwidth percent 60

police rate percent 60 burst 1000 ms peak-burst 1000 ms

conform-action transmit

exceed-action drop

random-detect precedence flash,internet 100 packets 280 packets

class class-name2

bandwidth percent 30

police rate percent 90 burst 1000 ms peak-burst 1000ms

conform-action transmit

exceed-action drop

random-detect precedence immediate 80 packets 225 packets

class class-defaultandwidth percent 10

random-detect precedence routine,priority 35 packets 150 packets

end-policy-map

4.2 ISP寬帶接入部署

由于IPv4地址快速耗盡，不可避免地要加快向IPv6地址過渡的步伐，在實際寬帶接入中，用戶終端（包括PC和CPE）必須首先完成接入認證，獲得IP地址、DNS服務器地址等配置信息，才能訪問應用服務器。用戶的任何訪問都是在用戶主機和ICP應用服務器之間完成，訪問報文跨越CPE、接入網(wǎng)、ISP承載網(wǎng)，最后到達ICP服務器。PC與ICP應用服務器之間的部分只負責提供訪問通道，相關的配套系統(tǒng)除保證用戶的正常接入，還保證通道的正常運行。

互聯(lián)網(wǎng)應用類型復雜多樣。雖然個別應用軟件已經(jīng)支持IPv6，但是大量應用軟件在IPv6過渡初期只支持IPv4，只能提供IPv4服務。與此同時，寬帶接入用戶的訪問需求多種多樣，ISP無法排除部分用戶終端訪問只支持IPv4的應用程序。因此，為了滿足訪問IPv4應用軟件的需要，終端用戶必須運行IPv4協(xié)議棧，同時為了向IPv6更好的過渡，終端用戶還需運行IPv6協(xié)議棧。對于ISP來說，在IPv4地址耗盡之前，用戶可以采用公網(wǎng)雙棧，當IPv4地址耗盡后，用戶可以采用私網(wǎng)雙棧過渡。

校園網(wǎng)內(nèi)部不同網(wǎng)絡協(xié)議的用戶之間能夠實現(xiàn)數(shù)據(jù)傳輸和相互訪問，從而實現(xiàn)了IPv4和IPv6兩個不同網(wǎng)絡協(xié)議之間的連接和核心層的雙棧交換機與雙棧路由器的連接。由于雙棧路由器具有IPv4和IPv6兩個協(xié)議棧，能收發(fā)和解讀雙棧交換機傳輸?shù)膬煞NIP數(shù)據(jù)報，因此通過雙棧路由器，校園網(wǎng)內(nèi)部不同網(wǎng)絡協(xié)議的用戶可以實現(xiàn)與外部IPv4網(wǎng)和IPv6網(wǎng)的連接。

5 總結

IPv4 地址空間枯竭問題已成為數(shù)字化校園建設與發(fā)展的瓶頸。IPv6作為下一代網(wǎng)絡協(xié)議，為下一代互聯(lián)網(wǎng)的應用和發(fā)展提供了廣闊的前景和完善的支持，它能提供高效、安全、可靠和優(yōu)質(zhì)的服務。校園網(wǎng)中大規(guī)模的網(wǎng)絡應用都需要IPv6的支持，為了更好地建設數(shù)字化校園，我們在以后的工作中，還需加強“IPv6”方面的研究，努力為師生提供一個更加安全、可靠、快速的網(wǎng)絡交流平臺。

圖3 QoS策略部署

[1]王玲芳，張武，趙志強.部署IPv6網(wǎng)絡.北京:人民郵電出版社,2013,2

[2]夏俊杰.IPv6技術精要.北京:人民郵電出版社,2013,5

[3]Deering S,Hinden R.Internet Protocol Version 6(IPv6) Specification,RFC2460,2010,3-6

[4]Dobrucki M.The Effects of the Transition to IPv6 on Internet Security.NixuIII.2009,12

[5]Conta A,Deering S.Internet Control Message Protocol(ICMPv6) for the Internet Protocol Version 6(IPv6).RFC 1885,2009