文/本刊記者 付涵

北京郵電大學(xué)是全國第一批部署IPv6的高校之一。從2005年起，北郵開始在校園網(wǎng)大規(guī)模部署IPv6，2008年已經(jīng)實(shí)現(xiàn)全網(wǎng)雙棧，所有校園網(wǎng)終端都可以使用IPv6網(wǎng)絡(luò)。目前校園網(wǎng)并發(fā)在線終端數(shù)量峰值為6.13萬，其中獲得IPv6地址的終端數(shù)量為4.59萬。校園網(wǎng)IPv6出口帶寬為10G，接入CNGI-CERNET2，峰值雙向流量達(dá)到12G左右。

北郵的IPv6建設(shè)中重點(diǎn)關(guān)注了對應(yīng)用訪問的遷移，包括校主頁在內(nèi)的絕大部分B/S架構(gòu)的信息系統(tǒng)都支持通過IPv6訪問，同時(shí)校內(nèi)一些大流量應(yīng)用如IPTV視頻、P2P下載等應(yīng)用都會引導(dǎo)用戶優(yōu)先使用IPv6進(jìn)行流量分流。日前，本刊記者采訪了北京郵電大學(xué)信息化技術(shù)中心主任安杰，他對校園網(wǎng)向IPv6升級提出了建議。

全局規(guī)劃，逐步實(shí)施

《中國教育網(wǎng)絡(luò)》：北京郵電大學(xué)在校園網(wǎng)IPv6升級改造中，主要是以什么思路進(jìn)行的？

安杰：北郵的校園網(wǎng)IPv6升級改造分兩個(gè)方面。網(wǎng)絡(luò)上主要采用雙棧方式進(jìn)行改造，實(shí)現(xiàn)IPv6網(wǎng)絡(luò)的快速全面覆蓋；對應(yīng)用系統(tǒng)升級改造則采用逐步過渡的方式，首先操作系統(tǒng)全部開啟IPv6支持，優(yōu)先保證應(yīng)用前端支持IPv6訪問，鼓勵(lì)發(fā)展原生IPv6應(yīng)用，推進(jìn)應(yīng)用向IPv6平穩(wěn)過渡。

《中國教育網(wǎng)絡(luò)》：在應(yīng)用系統(tǒng)方面，您能否介紹一下校園網(wǎng)是如何進(jìn)行逐步遷移的？

安杰：首先升級學(xué)校的DNS域名系統(tǒng)，保證域名系統(tǒng)能夠支持對IPv6域名的解析，同時(shí)提供對北郵IPv6終端的域名解析服務(wù)，通過在上級edu.cn注冊北郵的IPv6 DNS記錄，還可使其它IPv6終端用戶通過IPv6網(wǎng)絡(luò)解析到bupt.edu.cn的域名。

其次在大量應(yīng)用系統(tǒng)對IPv6支持還不好的情況下，對于主要的B/S架構(gòu)的應(yīng)用，采用反向代理的方式讓應(yīng)用系統(tǒng)的前端訪問支持IPv6，通過使用反向代理發(fā)布應(yīng)用，除了保障原有安全設(shè)備可以繼續(xù)使用外，還保障了IPv6訪問的安全審計(jì)。

《中國教育網(wǎng)絡(luò)》：您認(rèn)為，在校園網(wǎng)進(jìn)行IPv6升級過程中，需要注意哪些方面的工作？

安杰：在校園網(wǎng)進(jìn)行IPv6升級過程中，要做好網(wǎng)絡(luò)升級的全局規(guī)劃，并逐步實(shí)施。首先要多與網(wǎng)絡(luò)設(shè)備商和有經(jīng)驗(yàn)的學(xué)校溝通，了解全面開通IPv6對現(xiàn)網(wǎng)的設(shè)備改造要求、網(wǎng)絡(luò)設(shè)備對IPv6的支持能力和IPv6鄰居表容量等重要指標(biāo)；其次要規(guī)劃好提供IPv6地址的方式，充分了解SLAAC和DHCPv6對終端支持和管理的優(yōu)缺點(diǎn)，以及未來隨著IPv6普及，如何做好IPv6網(wǎng)絡(luò)的認(rèn)證、溯源和安全等方面的工作。

反向代理保障業(yè)務(wù)持續(xù)運(yùn)行

《中國教育網(wǎng)絡(luò)》：北京郵電大學(xué)在校園網(wǎng)IPv6升級改造過程中遇到了哪些困難或問題？你們是如何解決的？

安杰：早期普及IPv6時(shí)，主要面臨的困難是用戶終端對IPv6的支持，很多終端需要單獨(dú)設(shè)置，主要的辦法是針對各種操作系統(tǒng)提供詳細(xì)的設(shè)置文檔，幫助用戶配置終端支持IPv6，同時(shí)將校園網(wǎng)上部分用戶感興趣的應(yīng)用向IPv6網(wǎng)絡(luò)傾斜，推動用戶主動關(guān)注和使用IPv6。

目前面臨的主要困難是IPv6的上網(wǎng)認(rèn)證以及安全和審計(jì)設(shè)備還很缺乏，IPv6處于用戶使用量大但是難于管理的狀態(tài)，目前我們采用的方法是在網(wǎng)絡(luò)架構(gòu)上將用戶上網(wǎng)區(qū)和數(shù)據(jù)中心區(qū)進(jìn)行分離，用戶上網(wǎng)區(qū)對安全要求相對較低，要保障用戶可以方便使用IPv6而不做太多安全限制，目前主要解決的是IPv6準(zhǔn)入認(rèn)證的問題，實(shí)現(xiàn)用戶IPv4和IPv6一次認(rèn)證，保障安全的同時(shí)提升用戶體驗(yàn)。而對數(shù)據(jù)中心區(qū)域除了部署最新支持IPv6的下一代防火墻外，還采用HTTP/HTTPS反向代理等手段將部分IPv6流量轉(zhuǎn)為IPv4流量進(jìn)行安全過濾和審計(jì)，保證原有的安全設(shè)備可以繼續(xù)提供服務(wù)。

以熱門應(yīng)用為驅(qū)動力

《中國教育網(wǎng)絡(luò)》：從學(xué)校遷移到IPv6的角度看，你們希望獲得什么幫助？

安杰：我們最關(guān)心的是用戶使用的主要應(yīng)用是否有IPv6支持，尤其是國內(nèi)主要互聯(lián)網(wǎng)內(nèi)容商對IPv6的支持進(jìn)展情況，這是校園網(wǎng)用戶使用IPv6的最大動力，我們希望能在IPv6資源建設(shè)上得到更多的支持。

《中國教育網(wǎng)絡(luò)》：北京郵電大學(xué)在IPv6的升級改造中，您有什么經(jīng)驗(yàn)分享？

安杰：認(rèn)準(zhǔn)趨勢、優(yōu)先發(fā)展、在基礎(chǔ)網(wǎng)絡(luò)全面部署和穩(wěn)定保障的基礎(chǔ)上，以熱門應(yīng)用為驅(qū)動力，提高用戶對使用IPv6的興趣。

《中國教育網(wǎng)絡(luò)》：北京郵電大學(xué)在校園網(wǎng)IPv6建設(shè)中的下一步規(guī)劃是什么？

安杰：我們將繼續(xù)推廣IPv6的使用，鼓勵(lì)發(fā)展IPv6的原生應(yīng)用，同時(shí)提高IPv6的安全管理，通過準(zhǔn)入認(rèn)證實(shí)現(xiàn)對IPv6網(wǎng)絡(luò)認(rèn)證的管理，提升對校園網(wǎng)IPv6管理的精度和力度。