在一段時(shí)間內(nèi)，終端網(wǎng)絡(luò)將會(huì)處于純IPv4網(wǎng)絡(luò)、雙棧網(wǎng)絡(luò)和純IPv6網(wǎng)絡(luò)并存的時(shí)期。

IPv6是互聯(lián)網(wǎng)演進(jìn)升級(jí)的必然趨勢(shì)。自2017年11月中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，我國(guó)互聯(lián)網(wǎng)正式迎來(lái)了全面部署IPv6的新時(shí)代。一年多來(lái)，我國(guó)出臺(tái)了多項(xiàng)政策措施推動(dòng)IPv6規(guī)模部署和快速發(fā)展，IPv6部署也取得了重要的階段性成果。

2018年中，教育部辦公廳發(fā)布了《關(guān)于貫徹落實(shí)〈推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃〉的通知》，對(duì)教育系統(tǒng)的IPv6規(guī)模部署從系統(tǒng)升級(jí)和人才培養(yǎng)方面提出了兩大目標(biāo)，從基礎(chǔ)網(wǎng)絡(luò)設(shè)施升級(jí)改造、應(yīng)用系統(tǒng)和服務(wù)升級(jí)、網(wǎng)絡(luò)安全管理和防護(hù)以及IPv6技術(shù)的支撐保障四個(gè)方面明確了重點(diǎn)任務(wù)。

本文將重點(diǎn)介紹中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET（以下簡(jiǎn)稱(chēng)“CERNET”）IPv6的最新部署情況、河南省教育系統(tǒng)IPv6部署的最新進(jìn)展，以及在IPv6部署過(guò)程中可能遇到的問(wèn)題和解決辦法，希望能為廣大教育用戶在IPv6升級(jí)部署的實(shí)際工作中提供幫助。

我國(guó)IPv6最新部署和應(yīng)用情況

“中國(guó)IPv6產(chǎn)業(yè)發(fā)展研討會(huì)”上公布的信息顯示，我國(guó)推進(jìn)IPv6規(guī)模部署，一年來(lái)工作取得了積極進(jìn)展，成效顯著。

在網(wǎng)絡(luò)設(shè)施IPv6改造方面，三大基礎(chǔ)電信企業(yè)全國(guó)30省移動(dòng)寬帶接入（LTE）網(wǎng)絡(luò)均完成端到端IPv6改造，開(kāi)啟IPv6業(yè)務(wù)承載功能；骨干網(wǎng)設(shè)備全部支持IPv6，全國(guó)13個(gè)骨干直聯(lián)點(diǎn)中有5個(gè)直聯(lián)點(diǎn)開(kāi)通IPv6互聯(lián)互通；截至2018年11月，基礎(chǔ)電信企業(yè)分配IPv6地址的LTE和固定寬帶接入網(wǎng)絡(luò)用戶總數(shù)超8.65億。

圖1 高校網(wǎng)站IPv6支持情況（來(lái)源：http://ipv6c.cn/mainPage.do）

在重點(diǎn)互聯(lián)網(wǎng)應(yīng)用的IPv6升級(jí)方面，截至2018年11月，中國(guó)大陸93家省部級(jí)政府網(wǎng)站中可通過(guò)IPv6訪問(wèn)的網(wǎng)站共有63家，97家中央企業(yè)網(wǎng)站中已有92家；同時(shí)，互聯(lián)網(wǎng)企業(yè)對(duì)于IPv6升級(jí)改造的積極性和主動(dòng)性也進(jìn)一步增強(qiáng)。

教育網(wǎng)IPv6最新部署和應(yīng)用情況

CERNET在推動(dòng)下一代互聯(lián)網(wǎng)技術(shù)的發(fā)展、促進(jìn)我國(guó)下一代互聯(lián)網(wǎng)的普及和應(yīng)用等方面，一直發(fā)揮著積極的作用。

1.從網(wǎng)絡(luò)建設(shè)情況來(lái)看，2018年8月，CNGICERNET2二期升級(jí)建設(shè)圓滿完成。升級(jí)之后的CNGI-CERNET2覆蓋我國(guó)36個(gè)城市，主干網(wǎng)總帶寬達(dá)2950G，核心節(jié)點(diǎn)數(shù)量41個(gè)，主干線路帶寬實(shí)現(xiàn)10G～100G。

2.從網(wǎng)絡(luò)整體情況來(lái)看，CNGI-CERNET2網(wǎng)絡(luò)運(yùn)行穩(wěn)定，流量相對(duì)平穩(wěn)，核心節(jié)點(diǎn)可用率達(dá)99%以上，主干線路故障率均值0.33%。

3.從IPv6用戶規(guī)模來(lái)看，截至2019年1月，CERNET已接入IPv6的高校用戶達(dá)1789個(gè)，用戶超千萬(wàn)人（如圖1所示）。

4.在國(guó)內(nèi)互聯(lián)互通方面，截至2018年底，CERNET與三大運(yùn)營(yíng)商及科技網(wǎng)開(kāi)通IPv6網(wǎng)間帶寬共計(jì)153.5G。

河南省教育廳于2018年11月發(fā)布了《關(guān)于加快推進(jìn)全省教育系統(tǒng)IPv6 規(guī)模部署和應(yīng)用工作的通知》，各級(jí)高校教育系統(tǒng)積極推進(jìn)IPv6的規(guī)模部署。截至2019年1月24日，河南省內(nèi)開(kāi)通IPv6的高校已達(dá)105所。17個(gè)省轄市基礎(chǔ)教育城域網(wǎng)也依托IVI技術(shù)實(shí)現(xiàn)了IPv4/IPv6互通；省電化教育館作為省基礎(chǔ)教育資源服務(wù)中心節(jié)點(diǎn)，也接入了省網(wǎng)IPv6網(wǎng)絡(luò)；26所河南省高校門(mén)戶網(wǎng)站實(shí)現(xiàn)對(duì)IPv6的支持；各個(gè)高校也正在積極建設(shè)支持IPv6的各類(lèi)信息資源和業(yè)務(wù)系統(tǒng)。

IPv6部署和應(yīng)用中存在的問(wèn)題

部署IPv6不能以舍棄原有的IPv4網(wǎng)絡(luò)為代價(jià)，IPv6部署升級(jí)應(yīng)該是循序漸進(jìn)的過(guò)程。在從IPv4向IPv6演進(jìn)的過(guò)程中，將經(jīng)歷以下三個(gè)階段（如圖2所示）：

第一階段：純IPv4階段，即純IPv4網(wǎng)絡(luò)，IPv4終端和IPv4資源互訪。

第二階段：IPv4向IPv6過(guò)渡階段。終端和資源端需要從IPv4階段過(guò)渡到IPv6階段，可通過(guò)雙棧技術(shù)或者外掛翻譯設(shè)備來(lái)實(shí)現(xiàn)。如果使用翻譯設(shè)備，可分為兩個(gè)子階段：前期是IPv4網(wǎng)絡(luò)，主要技術(shù)策略是IPv4加掛“IPv4轉(zhuǎn)IPv6”翻譯設(shè)備，支持IPv6的訪問(wèn)；后期建立的是IPv6網(wǎng)絡(luò)，對(duì)于少量IPv4的訪問(wèn)，可外掛一臺(tái)“IPv6轉(zhuǎn)IPv4”翻譯設(shè)備，支持IPv4的訪問(wèn)。

第三階段：純IPv6階段。IPv6終端和IPv6資源互訪。

在一段時(shí)間內(nèi)，終端網(wǎng)絡(luò)將會(huì)處于純IPv4網(wǎng)絡(luò)、雙棧網(wǎng)絡(luò)和純IPv6網(wǎng)絡(luò)并存的時(shí)期。其中，雙棧網(wǎng)是基于現(xiàn)有網(wǎng)絡(luò)的升級(jí)，能直接為用戶提供便捷的IPv4/IPv6雙棧網(wǎng)接入、認(rèn)證和管理功能；新建的純IPv6網(wǎng)是基于現(xiàn)有網(wǎng)絡(luò)的擴(kuò)展升級(jí)，通過(guò)IPv6過(guò)渡技術(shù)能夠與IPv4網(wǎng)互通互聯(lián)。

在實(shí)際的IPv6部署過(guò)程中，可能會(huì)遇到一些典型問(wèn)題，例如：

圖2 IPv4向IPv6演進(jìn)的三個(gè)階段

1.設(shè)備的支持性

雖然IPv6在CNGI-CERNET2中已經(jīng)測(cè)試運(yùn)行多年，但很多學(xué)校的現(xiàn)網(wǎng)設(shè)備仍然不支持IPv6。對(duì)此，CERNET運(yùn)營(yíng)單位賽爾網(wǎng)絡(luò)有限公司（以下簡(jiǎn)稱(chēng)“賽爾網(wǎng)絡(luò)”）結(jié)合各地分公司在開(kāi)展工作中遇到的實(shí)際情況，總結(jié)出IPv6支持度不高的設(shè)備列表。在部署的前期，首先明確學(xué)?；A(chǔ)設(shè)備可用性，協(xié)助對(duì)不支持IPv6的設(shè)備進(jìn)行最新固件升級(jí)，對(duì)于過(guò)于老舊的硬件設(shè)備則提出更換設(shè)備的建議。

2.認(rèn)證、計(jì)費(fèi)、審計(jì)問(wèn)題

目前，大部分高校對(duì)于校園網(wǎng)的使用都有認(rèn)證和計(jì)費(fèi)機(jī)制，且大多支持IPv6。很多高校校園網(wǎng)使用BRAS進(jìn)行認(rèn)證的大二層架構(gòu)，偶爾會(huì)出現(xiàn)IPv4和IPv6認(rèn)證沖突和重復(fù)認(rèn)證的情況，在與廠商進(jìn)行溝通后，將BRAS升級(jí)到最新版本即可解決此類(lèi)問(wèn)題。

3.IPv6地址規(guī)劃及分配的合理性，以及地址溯源問(wèn)題

由于IPv6地址空間極大，很多高校在部署IPv6的時(shí)候，地址空間劃分的太碎片化，導(dǎo)致極難管理。因此，建議在部署IPv6之前，首先要對(duì)IPv6的地址有一個(gè)良好的頂層設(shè)計(jì)，充分考慮各種情況，制定好分配標(biāo)準(zhǔn)及原則。

地址空間過(guò)大同時(shí)帶來(lái)了地址溯源的問(wèn)題。IPv6的地址分配分為兩種：無(wú)狀態(tài)的地址分配（stateless）和有狀態(tài)的地址分配（stateful）。

無(wú)狀態(tài)的地址分配使用ND（RFC2461）協(xié)議，通過(guò)路由宣告的方式自動(dòng)配置IPv6地址，這種地址分配方式支持所有終端，配置簡(jiǎn)單，因此在部署前期，很多高校采用的是無(wú)狀態(tài)的方式來(lái)進(jìn)行地址分配。但是，該方式對(duì)于校園網(wǎng)管理來(lái)說(shuō)比較困難，因?yàn)闊o(wú)狀態(tài)隨機(jī)分配的地址變化頻繁，很難進(jìn)行管理和溯源。

而有狀態(tài)的地址分配方式使用DHCPv6協(xié)議，雖然可以解決溯源和管理的問(wèn)題，但對(duì)于某些終端以及設(shè)備的支持度不夠。

因此，在地址分配方面，如果使用無(wú)狀態(tài)的分配方式，就需要有其他的采集交換機(jī)信息及radius記賬信息等方式來(lái)保證溯源。

關(guān)于IPv6安全措施

IPv6因地址空間巨大，在應(yīng)對(duì)部分安全攻擊方面具有天然優(yōu)勢(shì)，在可溯源性、反黑客嗅探能力、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議以及端到端的IPSec安全傳輸能力等方面可提升網(wǎng)絡(luò)安全性。

然而，IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議，其安全性設(shè)計(jì)的再好，也只能保證本功能層的安全，其他功能層如應(yīng)用層的網(wǎng)頁(yè)服務(wù)、郵件服務(wù)及文件傳輸?shù)确?wù)的安全，仍難以保證。所以，在安全方面，IPv6相對(duì)IPv4來(lái)說(shuō)，對(duì)當(dāng)前網(wǎng)絡(luò)的各種安全風(fēng)險(xiǎn)的防范并沒(méi)有太大的提高。

此外，當(dāng)高校網(wǎng)絡(luò)升級(jí)IPv6之后，便會(huì)面臨來(lái)自IPv4和 IPv6網(wǎng)絡(luò)的雙重嗅探和攻擊，既可能有網(wǎng)絡(luò)層、應(yīng)用層的攻擊，也可能出現(xiàn)其它不可預(yù)期的攻擊形式。因此，IPv6升級(jí)工作也必須預(yù)先考慮安全防護(hù)問(wèn)題。

一方面，要改進(jìn)完善技術(shù)手段。

一是改進(jìn)防火墻的策略，應(yīng)對(duì)拒絕服務(wù)攻擊。IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的改變，要求防火墻必須解析整個(gè)數(shù)據(jù)包才能進(jìn)行過(guò)濾操作，這對(duì)防火墻的處理性能會(huì)有很大的影響。因此，必須采取各種技術(shù)手段，提高防火墻的性能，適應(yīng)IPv6的需要。

二是完善入侵檢測(cè)系統(tǒng)的配置，嚴(yán)格限制用戶。IPv6引入了網(wǎng)絡(luò)層的加密技術(shù)，未來(lái)網(wǎng)絡(luò)數(shù)據(jù)通信的保密性將會(huì)越來(lái)越強(qiáng)，要求入侵檢測(cè)系統(tǒng)在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)，以嚴(yán)格控制訪問(wèn)用戶的身份認(rèn)證和權(quán)限驗(yàn)證等內(nèi)容。

三是采用安全遷移設(shè)計(jì)，保障快速平穩(wěn)過(guò)渡。目前，IPv4正在向IPv6過(guò)渡，與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，其安全措施必須經(jīng)過(guò)慎重的考慮和測(cè)試，避免產(chǎn)生新的技術(shù)漏洞。

另一方面，要建立健全防護(hù)機(jī)制。

盡管IPv6還不是當(dāng)前網(wǎng)絡(luò)通信的主流協(xié)議，但從長(zhǎng)遠(yuǎn)看，有必要開(kāi)展超前研究，從健全安全防范制度和建立防范體系兩個(gè)方面，制定下一代互聯(lián)網(wǎng)的系統(tǒng)安全機(jī)制和信息安全機(jī)制。

一是要健全安全防范制度，保障網(wǎng)絡(luò)系統(tǒng)安全。為加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全，在管理上要建章立制來(lái)強(qiáng)化相關(guān)人員的安全意識(shí)及規(guī)范其處置行為。例如，建立安全檢查制度，定期和不定期相結(jié)合來(lái)進(jìn)行安全保密檢查，排查安全隱患，杜絕網(wǎng)絡(luò)違規(guī)操作，減少人為紕漏；建立網(wǎng)絡(luò)值勤制度，不斷強(qiáng)化網(wǎng)絡(luò)值勤人員的保密意識(shí)、責(zé)任意識(shí)及服務(wù)意識(shí)，明確人員的職責(zé)劃分和操作規(guī)程，建立完善的值勤登記統(tǒng)計(jì)，使網(wǎng)絡(luò)值勤管理精細(xì)化、正規(guī)化。

二是要建立具有主動(dòng)性的網(wǎng)絡(luò)安全防范體系，確保網(wǎng)絡(luò)信息安全。采取加密、認(rèn)證、數(shù)字簽名、訪問(wèn)控制、安全代理、安全審計(jì)和監(jiān)督控制等多種安全防護(hù)機(jī)制，實(shí)現(xiàn)信息儲(chǔ)存保密、傳輸保密和瀏覽保密，進(jìn)行實(shí)體認(rèn)證、操作員認(rèn)證和信息認(rèn)證，從運(yùn)行機(jī)制上保證網(wǎng)絡(luò)信息的安全。

CERNET IPv6服務(wù)

為進(jìn)一步推動(dòng)教育用戶的IPv6部署及應(yīng)用，CERNET及賽爾網(wǎng)絡(luò)出臺(tái)了一系列優(yōu)惠政策和有效舉措，以實(shí)現(xiàn)教育領(lǐng)域IPv6全覆蓋為目標(biāo)，優(yōu)先發(fā)展IPv6用戶，以全面領(lǐng)先的IPv6服務(wù)，促進(jìn)IPv6在國(guó)內(nèi)教育科研領(lǐng)域的規(guī)模部署以及以IPv6為基礎(chǔ)的教學(xué)和科研發(fā)展，推動(dòng)IPv6應(yīng)用創(chuàng)新。具體如下：

1.IPv6升級(jí)服務(wù)

基于清華大學(xué)的技術(shù)優(yōu)勢(shì)，以及豐富的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施、運(yùn)營(yíng)管理等經(jīng)驗(yàn)，賽爾網(wǎng)絡(luò)形成了較為完備的網(wǎng)絡(luò)建設(shè)整體解決方案，針對(duì)不同網(wǎng)絡(luò)的實(shí)際情況，配合接入用戶部署和應(yīng)用校園網(wǎng)內(nèi)的IPv6，量身打造校園網(wǎng)IPv6升級(jí)和網(wǎng)站IPv6升級(jí)方案。特別是基于清華大學(xué)IVI技術(shù)自主研發(fā)的IVI翻譯系統(tǒng)，已在100多個(gè)校園網(wǎng)進(jìn)行驗(yàn)證部署，并在河南、天津、南京、云南、吉林等地實(shí)現(xiàn)商業(yè)部署，實(shí)現(xiàn)了IPv4與IPv6的無(wú)縫鏈接。

在部署和應(yīng)用IPv6的過(guò)程中，主要遵循以下的部署原則：

（1）盡量不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)洌?/p>

（2）不影響用戶的上網(wǎng)體驗(yàn)；

（3）可平穩(wěn)演進(jìn)到純IPv6互聯(lián)網(wǎng)；

（4）盡量對(duì)用戶無(wú)感知；

（5）充分考慮可持續(xù)發(fā)展性和可管理性。

2.網(wǎng)絡(luò)安全運(yùn)維服務(wù)

賽爾網(wǎng)絡(luò)擁有遍布全國(guó)的營(yíng)銷(xiāo)服務(wù)體系，設(shè)立31個(gè)分公司，打造了一支穩(wěn)定的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍，形成了“以總部為中心、以分公司為支撐”的網(wǎng)絡(luò)安全應(yīng)急服務(wù)體系，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全問(wèn)題的及時(shí)響應(yīng)和處置。依托專(zhuān)業(yè)的安全技術(shù)服務(wù)團(tuán)隊(duì)，賽爾網(wǎng)絡(luò)可為高校提供全面的網(wǎng)絡(luò)安全運(yùn)維服務(wù)，為學(xué)校的重大活動(dòng)提供網(wǎng)絡(luò)安保，為高校所屬資產(chǎn)進(jìn)行7×24小時(shí)的監(jiān)測(cè)及預(yù)警，對(duì)發(fā)現(xiàn)的安全問(wèn)題進(jìn)行跟進(jìn)處理和及時(shí)修復(fù)等。

3.下一代互聯(lián)網(wǎng)產(chǎn)業(yè)服務(wù)

發(fā)揮CERNET創(chuàng)新平臺(tái)的作用，搭建下一代互聯(lián)網(wǎng)重大應(yīng)用技術(shù)工程研究中心、網(wǎng)絡(luò)空間安全創(chuàng)新中心、創(chuàng)新孵化基地、專(zhuān)利服務(wù)平臺(tái)、成果轉(zhuǎn)化基金以及產(chǎn)業(yè)資源中心六大業(yè)務(wù)平臺(tái)。積極爭(zhēng)取國(guó)家政策支持，全力支持高校創(chuàng)新創(chuàng)業(yè)，鼓勵(lì)并推動(dòng)高校在網(wǎng)絡(luò)基礎(chǔ)設(shè)施、IPv6關(guān)鍵技術(shù)研發(fā)、網(wǎng)絡(luò)安全等科研項(xiàng)目的參與，為高校的創(chuàng)新創(chuàng)業(yè)提供實(shí)驗(yàn)平臺(tái)和支撐保障基礎(chǔ)。

此外，賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項(xiàng)目和下一代互聯(lián)網(wǎng)創(chuàng)新大賽面向CERNET會(huì)員高校開(kāi)展，旨在鼓勵(lì)并扶持高校師生開(kāi)展下一代互聯(lián)網(wǎng)軟硬件技術(shù)及應(yīng)用研究，培養(yǎng)適應(yīng)現(xiàn)代社會(huì)發(fā)展需求的高層次專(zhuān)業(yè)技術(shù)人才。

4.其他服務(wù)

面向會(huì)員高校，CERNET與賽爾網(wǎng)絡(luò)還將根據(jù)實(shí)際需求，不定期組織各類(lèi)技術(shù)培訓(xùn)、論壇等活動(dòng)，促進(jìn)校際學(xué)術(shù)交流與溝通，提供專(zhuān)業(yè)技術(shù)指導(dǎo)、咨詢和網(wǎng)絡(luò)測(cè)試等全方位服務(wù)，幫助高校全面部署IPv6網(wǎng)絡(luò)，提升高校IPv6技術(shù)水平，真正實(shí)現(xiàn)校園網(wǎng)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)IPv6的全覆蓋。

自互聯(lián)網(wǎng)傳入中國(guó)以來(lái)，CERNET始終發(fā)揮著示范先行和創(chuàng)新領(lǐng)先的作用，為我國(guó)互聯(lián)網(wǎng)及下一代互聯(lián)網(wǎng)的發(fā)展，以及與國(guó)際接軌作出了重要貢獻(xiàn)。教育領(lǐng)域在IPv6技術(shù)的研發(fā)以及規(guī)模部署和創(chuàng)新應(yīng)用等方面，也一直是我國(guó)IPv6發(fā)展的先鋒。

以政策為基礎(chǔ)，以科技為先導(dǎo)，以創(chuàng)新為動(dòng)力。今后，CERNET將繼續(xù)服務(wù)廣大教育用戶，不忘初心，為我國(guó)教育領(lǐng)域的IPv6規(guī)模部署和應(yīng)用、教育信息化的健康發(fā)展竭盡全力，為我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)偉大戰(zhàn)略的早日實(shí)現(xiàn)保駕護(hù)航！