文/黃戈文 黃何列

嘉應(yīng)學(xué)院

隨著物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等新興互聯(lián)網(wǎng)業(yè)務(wù)爆炸式的發(fā)展，IPv4地址短缺、路由表極具膨脹、網(wǎng)絡(luò)安全等問題日益突出，IPv4已經(jīng)不能滿足網(wǎng)絡(luò)發(fā)展的需要[1]。下一代IPv6協(xié)議具有地址資源充足、無路由問題、即插即用、安全可靠等優(yōu)勢，因此，采用IPv6逐漸替代IPv4已成為計(jì)算機(jī)網(wǎng)絡(luò)未來發(fā)展的趨勢[2]。為加快教育系統(tǒng)推進(jìn)IPv6基礎(chǔ)網(wǎng)絡(luò)設(shè)施規(guī)模部署和應(yīng)用系統(tǒng)升級(jí)，教育部、省教育廳均以國務(wù)院辦公廳《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》精神為指導(dǎo)，提出IPv6規(guī)模部署和應(yīng)用具體要求，旨在促進(jìn)下一代互聯(lián)網(wǎng)與教育的融合創(chuàng)新。目前大多數(shù)地方高校校園網(wǎng)仍是純IPv4網(wǎng)絡(luò)，為完成在地方高校中的IPv6規(guī)模部署和應(yīng)用的任務(wù)，對(duì)地方高校校園網(wǎng)進(jìn)行IPv6升級(jí)改造勢在必行。

校園網(wǎng)發(fā)展現(xiàn)狀

校園網(wǎng)網(wǎng)絡(luò)現(xiàn)狀

本文以嘉應(yīng)學(xué)院江北校區(qū)校園網(wǎng)為例，整個(gè)校園網(wǎng)網(wǎng)絡(luò)主要分為服務(wù)器區(qū)、運(yùn)維區(qū)、生活區(qū)和教學(xué)行政區(qū)，通過華為核心交換機(jī)實(shí)現(xiàn)互聯(lián)互通，出口采用核心路由器和防火墻分別接入ISP和教科網(wǎng)。該校區(qū)用戶數(shù)達(dá)到2萬多人，主要采用portal認(rèn)證方式接入網(wǎng)絡(luò)。目前，因IPv4地址短缺，學(xué)院校園網(wǎng)主要使用IPv4私有地址結(jié)合地址翻譯的方式訪問互聯(lián)網(wǎng)和教科網(wǎng)，為用戶提供基于IPv4的網(wǎng)絡(luò)服務(wù)。學(xué)院已向教科網(wǎng)申請(qǐng)了IPv6地址段，下一步將在全校推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署。校園網(wǎng)網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀如圖1所示。

校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用存在問題

為完成校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用工作目標(biāo)，需要考慮以下問題：

圖1 校園網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

1.為了實(shí)現(xiàn)IPv4和IPv6的互聯(lián)互通，需要制定符合學(xué)院實(shí)際的IPv4、IPv6共存的詳細(xì)建設(shè)方案，需要進(jìn)行IPv4/IPv6雙協(xié)議共存環(huán)境下的網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)、網(wǎng)絡(luò)和安全設(shè)備的更新、網(wǎng)絡(luò)配置和調(diào)試、域名和應(yīng)用系統(tǒng)的更新，需要學(xué)校的統(tǒng)一領(lǐng)導(dǎo)和人財(cái)物方面的保障。

2.校園網(wǎng)用戶量大，類別多，包含辦公人員、教師、實(shí)驗(yàn)室用戶、家庭用戶等，需要針對(duì)每種用戶設(shè)計(jì)訪問校內(nèi)外IPv6資源的方案，對(duì)不支持IPv6的存量終端有條件的引導(dǎo)其逐步退網(wǎng)，但仍然要為不支持IPv6的用戶在短期內(nèi)提供IPv6過渡方案。

3.校內(nèi)信息系統(tǒng)較多，建設(shè)時(shí)間不一，建設(shè)技術(shù)路線多種多樣，統(tǒng)一轉(zhuǎn)換為IPv6方式訪問的技術(shù)障礙多，需要一個(gè)統(tǒng)一的解決方案。

4.學(xué)院網(wǎng)絡(luò)安全硬件大部分支持IPv6協(xié)議或升級(jí)后支持IPv6，但有一些設(shè)備過于老舊，無法支持IPv6，需要更新設(shè)備。

建設(shè)思路

IPv4到IPv6過渡技術(shù)

在校園網(wǎng)IPv6改造中要考慮客戶需求、設(shè)備利用和經(jīng)濟(jì)費(fèi)用等問題，IPv4和IPv6網(wǎng)絡(luò)將在一定時(shí)間內(nèi)共存，過渡技術(shù)將重點(diǎn)解決IPv4和IPv6網(wǎng)絡(luò)的互聯(lián)互通問題以及平滑過渡的問題。目前，成熟的過渡技術(shù)包括雙協(xié)議棧技術(shù)、網(wǎng)絡(luò)地址/協(xié)議轉(zhuǎn)換技術(shù)和隧道技術(shù)[3,4]。

1.雙協(xié)議棧技術(shù)

雙協(xié)議棧技術(shù)就是同一設(shè)備上同時(shí)維護(hù)IPv4與Ipv6協(xié)議，使之同時(shí)具有IPv4和IPv6地址，在收發(fā)數(shù)據(jù)時(shí)，自動(dòng)決定使用哪種協(xié)議通信。雙協(xié)議棧技術(shù)能夠保持原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具有通用性好、配置原理簡單的優(yōu)點(diǎn)；但每臺(tái)設(shè)備需要同時(shí)運(yùn)行IPv4和IPv6兩套協(xié)議，對(duì)設(shè)備的性能要求較高。圖2是雙棧結(jié)構(gòu)下的通信網(wǎng)絡(luò)圖。

圖2 雙協(xié)議棧結(jié)構(gòu)下的通信網(wǎng)絡(luò)

2.網(wǎng)絡(luò)地址/協(xié)議轉(zhuǎn)換技術(shù)

網(wǎng)絡(luò)地址/協(xié)議（NAT-PT）轉(zhuǎn)換技術(shù)主要思想是在NAT設(shè)備中建立IPv4地址與IPv6地址的映射表，在IPv4節(jié)點(diǎn)與IPv6通信時(shí)，通過NAT設(shè)備進(jìn)行地址和協(xié)議的轉(zhuǎn)換。該技術(shù)的優(yōu)點(diǎn)是原理簡單、實(shí)施成本低，不需要IPv6升級(jí)改造；不足之處是網(wǎng)絡(luò)地址、協(xié)議轉(zhuǎn)換的開銷較大。NAT-PT技術(shù)通信網(wǎng)絡(luò)如圖3所示。

圖3 NAT-PT實(shí)現(xiàn)IPv4和IPv6節(jié)點(diǎn)之間的通信網(wǎng)絡(luò)

3.隧道技術(shù)

隧道技術(shù)主要思想是使用IPv4協(xié)議做為承載協(xié)議，將IPv6報(bào)文封裝到IPv4報(bào)文中，通過IPv4網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)，從而實(shí)現(xiàn)不同協(xié)議之間的通信。隧道技術(shù)通信網(wǎng)絡(luò)如圖4所示。

圖4 隧道技術(shù)通信網(wǎng)絡(luò)

校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用技術(shù)方案

圖5 校園網(wǎng)升級(jí)后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

綜合考慮現(xiàn)有設(shè)備的利用率和網(wǎng)絡(luò)改造成本，以及CNGICERNET2、移動(dòng)、聯(lián)通和電信都能提供IPv6出口鏈路情況下，雙棧+NAT-PT方案是非常符合地方高校實(shí)際情況的過渡方案。該方案能夠充分利用原有的網(wǎng)絡(luò)設(shè)備，通過升級(jí)方式或新購設(shè)備來支持IPv6業(yè)務(wù)，使得校園網(wǎng)平臺(tái)同時(shí)支持兩種業(yè)務(wù)流的承載和互通。校園網(wǎng)升級(jí)后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5所示。利用支持雙棧的三層華為交換機(jī)和萬兆路由器作為校園網(wǎng)核心設(shè)備；校園網(wǎng)與互聯(lián)網(wǎng)邊界采用支持雙棧技術(shù)的防火墻實(shí)現(xiàn)校園網(wǎng)用戶同時(shí)可以訪問IPv6網(wǎng)和IPv4網(wǎng)的外部資源：由于教工宿舍的路由器不支持IPv6，所以需要將教工宿舍單獨(dú)劃分成一個(gè)IPv4局域網(wǎng)，教工生活區(qū)IPv4與IPv6業(yè)務(wù)互通問題，在教工生活區(qū)更換三層匯聚交換機(jī)以支持NAT-PT協(xié)議，實(shí)現(xiàn)教工宿舍IPv4電腦無障礙訪問IPv6資源。

行動(dòng)要點(diǎn)

校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用行動(dòng)要點(diǎn)如下：

1.對(duì)學(xué)校核心網(wǎng)絡(luò)、接入網(wǎng)絡(luò)、數(shù)據(jù)中心設(shè)備、基礎(chǔ)軟件平臺(tái)、業(yè)務(wù)系統(tǒng)、實(shí)驗(yàn)室局域網(wǎng)進(jìn)行IPv6兼容性摸查，統(tǒng)計(jì)設(shè)備升級(jí)更新需求；

2.調(diào)查統(tǒng)計(jì)全校各棟樓的電腦數(shù)量和IPv6地址需求，進(jìn)行全校IPv6地址規(guī)劃、路由規(guī)劃、安全規(guī)劃和運(yùn)維管理規(guī)劃。

3.對(duì)基礎(chǔ)設(shè)施進(jìn)行改造，主要包括：對(duì)華為核心交換機(jī)、路由器、出口防火墻等設(shè)備進(jìn)行升級(jí)或替換，使之支持雙棧技術(shù)；教工生活區(qū)新增支持NAT-PT技術(shù)的三層華為交換機(jī)，實(shí)現(xiàn)地址和協(xié)議轉(zhuǎn)換；

4.服務(wù)器區(qū)升級(jí)負(fù)載均衡設(shè)備，對(duì)開發(fā)時(shí)間較早，不能支持IPv6的業(yè)務(wù)系統(tǒng)采用基于IPv6協(xié)議的L4/L7負(fù)載均衡服務(wù)器進(jìn)行服務(wù)發(fā)布；

5.升級(jí)校園網(wǎng)安全體系，包括：升級(jí)Web應(yīng)用防護(hù)系統(tǒng)、VPN系統(tǒng)、入侵防御系統(tǒng)等系統(tǒng)，加強(qiáng)對(duì)IPv6用戶的接入認(rèn)證、策略控制、邊界攻擊防范及IPv6終端用戶的溯源；

6.升級(jí)域名解析系統(tǒng)，采用IPv6、國際化域名IDNs等新技術(shù)，實(shí)現(xiàn)域名系統(tǒng)IPv4和IPv6雙棧運(yùn)行；7.升級(jí)認(rèn)證計(jì)費(fèi)系統(tǒng)，增強(qiáng)IPv6終端的認(rèn)證和計(jì)費(fèi)能力；8.做好全校PC和移動(dòng)終端IPv6協(xié)議配置指導(dǎo)和IPv6地址發(fā)布。

隨著互聯(lián)網(wǎng)技術(shù)的不斷創(chuàng)新，現(xiàn)有的IPv4網(wǎng)絡(luò)已經(jīng)嚴(yán)重制約了物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的發(fā)展，IPv6的應(yīng)用勢在必行。為積極參與下一代互聯(lián)網(wǎng)的技術(shù)創(chuàng)新，讓IPv6成為高校發(fā)展和創(chuàng)新的基礎(chǔ)環(huán)境，對(duì)校園網(wǎng)進(jìn)行IPv6規(guī)?；渴鸷蛻?yīng)用十分必要。為全面部署IPv6，本文從學(xué)校網(wǎng)絡(luò)的實(shí)際情況出發(fā)，綜合考慮客戶需求、設(shè)備利用和經(jīng)濟(jì)費(fèi)用等問題，提出了校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用的建設(shè)思路和相應(yīng)的行動(dòng)要點(diǎn)，為地方高校實(shí)施校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用提供參考，推進(jìn)我國IPv6規(guī)模化應(yīng)用。