◆周 強

（中山大學新華學院 廣東 510520）

2019 年11 月26 日，歐洲網(wǎng)絡協(xié)調(diào)中心宣布全球所有的43億個IPv4 地址已經(jīng)全部分配完畢，意味著ISP 無法再申請到新的可路由的全球公網(wǎng)IPv4 地址，如今必須面對可重用和未使用的IPv4 地址越來越少的情況。目前采用NAT 技術可以將多個私有地址轉(zhuǎn)化為少數(shù)幾個公有地址，能在一定程度上緩解IPv4 地址枯竭的問題。但通過NAT 技術后破壞了設備通信端到端的連接模型，NAT 后計算機連接數(shù)量也是有限制的。鑒于IPv4 過渡到IPv6 具有可行性，選擇IPV6 技術來才是從根本上解決IPv4地址空間不足問題的方式。

IPv4 地址是由32 位二進制數(shù)構成，理論上總地址數(shù)為2^32。IPv6 地址是由128 位二進制數(shù)構成，理論上總地址數(shù)為2^128。后者是前者的2^96 倍，因此采用后者能徹底解決當前地址空間不足的問題，并能滿足今后相當長的一段時間地址空間分配的需求。采用IPv6 技術，另一個顯著優(yōu)點：不用改變原有物理的網(wǎng)絡拓撲結構，核心層、匯聚層設備升級支持IPv6 即可。整體上看IPv6 的網(wǎng)絡配置原理與IPv4 網(wǎng)絡配置原理相似，通過配置設備接口地址，管理地址，新建IPv6 路由策略以及策略路由來實現(xiàn)數(shù)據(jù)傳輸。好比，IPv4 原來是公路，現(xiàn)在公路下新建一條IPv6的地鐵，都是為了跑數(shù)據(jù)建立的業(yè)務體系，并且二者的業(yè)務不會相互影響。

1 網(wǎng)絡拓撲

我校采用混合式三層網(wǎng)絡拓撲架構，防火墻作為出口路由實現(xiàn)教育網(wǎng)1、教育網(wǎng)2、移動ISP 網(wǎng)的“三網(wǎng)接入”并為不同網(wǎng)絡業(yè)務做不同策略路由，同時起到第一層安全防護。下聯(lián)上網(wǎng)行為管理設備，完成對通過的流量進行控制和日志審計功能。之后連入核心層交換機S7706。核心交換機完成數(shù)據(jù)高速轉(zhuǎn)發(fā)，并定義部分VLAN 接口。再做鏈路聚合下聯(lián)多個匯聚層交換機：服務器區(qū)交換機，宿舍區(qū)匯聚交換機，行政辦公區(qū)交換機，教學實驗區(qū)交換機。各匯聚層交換機主要實現(xiàn)VLAN 定義，VLAN 接口ip 配置，配置靜態(tài)路由完成到核心交換機的路由可達。宿舍區(qū)匯聚交換機再分別上聯(lián)電信ISP、移動ISP。各匯聚交換機下聯(lián)接入層交換機，接入層交換機直連設備終端。

在服務器區(qū)域，由我校自行搭建DHCP、DNS 等服務器，核心層和匯聚層設備使用DHCP 中繼模式使各管理vlan 獲取服務器分配ipv4 地址信息，采用策略路由在核心層選擇不同next-hop。升級后，教育網(wǎng)1 同時為我校提供IPv4 和IPv6 業(yè)務，通過相同的物理鏈路，完成IPv6 數(shù)據(jù)傳輸。

2 地址規(guī)劃

IPv6 是由128 位二進制數(shù)構成，即32 位十六進制數(shù)，通常用8 組（4 位/組）16 進制數(shù)表示。例如2001:0DA8:202A:0:0:0:0，也可簡寫成2001:da8:202a::。

我校由教育網(wǎng)1 提供IPv6 業(yè)務，分配給我校的業(yè)務地址為2001:da8:202a::/48。可自行管理，即前綴是2001:da8:202a::的2^80個IP 皆為全球可路由公網(wǎng)IP 地址，地址范圍是2001:da8:202a::至2001:da8:202a:ffff:ffff:ffff:ffff:ffff。通常來講，最后4 組地址是與設備mac 地址值有關聯(lián)，第3 組作為可規(guī)劃的管理IP 地址。規(guī)劃的核心思想是對第3 組的4 位十六進制數(shù)做劃分，可以根據(jù)功能或者物理區(qū)域劃分，并保證在策略配置時，這些路由可以做匯聚，簡化路由條目。

對于普通的PC 機，我校采用無狀態(tài)自動配置（見圖1）。后4 組接口ID 通常是根據(jù)EUI64 算法轉(zhuǎn)化后得到，EUI64 主要將48 位MAC 地址轉(zhuǎn)換成64 位地址。在此基礎上，RFC3041 引進隨機地址機制，由隨機數(shù)字代替MAC 地址轉(zhuǎn)化為接口ID，該地址存在生存周期，周期結束，地址更換，能夠有效解決網(wǎng)絡訪問被跟蹤的問題。由IPv6 的NS 報文和NA 報文實現(xiàn)DAD 機制，避免IP 地址沖突。我校辦公網(wǎng)絡vlan1633，在不影響原來IPv4業(yè)務基礎下，新增IPv6 后配置信息如下

圖1 普通PC 機IP 規(guī)劃

關于服務器，我校采用有狀態(tài)手動配置，核心思想是關聯(lián)原來的 IPv4 網(wǎng)絡，有規(guī)律可循。舉例原設備 IP 地址192.168.255.33/24 所屬vlan 20。

可以為vlan20 新增IPv6 接口管理IP 2001:da8:202a:20::1，服務器IP 地址規(guī)劃為2001:da8:202a:20:192:168:255:33/64。（見圖2）。因為兩者為同一設備的不同IP，方便記憶與管理。

圖2 服務器IP 分配

3 路由可達

IPv6 可以采用基于OSPFv2 開發(fā)的OSPFv3 的動態(tài)路由，OSPFv3 最大的改變就是新增了對IPv6 地址的支持，并且兼容IPv6 的體系架構，同時保留OSPFv2 的機制：如區(qū)域劃分、DR選舉、flooding、根據(jù)鏈路狀態(tài)的最短路徑算法等，并且OSPFv3相比OSPFv2 對部分功能也做了一定增強。鑒于我校網(wǎng)絡拓撲結構不是太復雜，我們采用是靜態(tài)路由技術：在防火墻對應接口配置好教育網(wǎng)1 的IPV6 接口IP，完成區(qū)域劃分以及出口路由和回執(zhí)路由的配置信息。配置好下聯(lián)核心交換機接口，防火墻與核心交換機中間設備均采用透明轉(zhuǎn)發(fā)模式。核心交換機配置默認路由指向防火墻，根據(jù)目的地址配置策略路由指向目標匯聚層交換機。各匯聚層交換機配置默認路由指向核心層交換機，接入層交換機不做更改，達成的目標為ipv6 的全網(wǎng)可路由。后期可以根據(jù)需求，在交換機做策略路由，同IPv4 網(wǎng)絡：定義流分類，制定流行為，匹配流規(guī)則。最后將流規(guī)則應用到流量入接口或者出接口。

4 應用業(yè)務升級

我校目前使用BIND 搭建的DNS 服務器，此次升級需為DNS服務器新增IPv6 地址，forward 字段添加上級的IPv6 的DNS 信息，為內(nèi)部網(wǎng)站域名添加AAAA 記錄。地址分配方面，如果是使用中繼服務，DHCPv6 需同步更新DNS 服務器地址信息。在Web 服務器升級方面，由于各大門戶網(wǎng)站并未全面支持IPv6 地址信息，目前IPv6 建設中存在比較顯著的天窗問題：由于網(wǎng)站中存在相互引用的現(xiàn)象，當被引用的鏈接不支持IPv6 訪問，IPv6用戶即便使用雙棧技術訪問這個外鏈，也會出現(xiàn)內(nèi)容無法顯示的故障。如果資金方面允許，可以采用翻譯設備，能夠緩解這個問題。

5 IPv4 與IPv6 互訪以及過渡

校園網(wǎng)IPv6 的升級改造，要綜合考慮根本需求，設備利用和經(jīng)濟費用的因素。在長時間內(nèi)，IPv4 和IPv6 網(wǎng)絡是共存的狀態(tài)，在這個過渡期，IPv4 和IPv6 的互訪是關鍵，目前的主流技術分雙協(xié)議棧技術、翻譯技術、隧道技術。三種技術如何選擇，具體情況需具體分析。我校目前的建設方案：初期選用翻譯技術適應WEB 應用，成熟階段使用雙棧技術讓用戶訪問互聯(lián)網(wǎng)絡，最終可以使用純IPv6 環(huán)境，讓客戶端和服務端通過IPv6 網(wǎng)絡透明通信。

6 IPv6 安全問題

當前，我國關于IPv6 網(wǎng)絡在國際出口方面的流量限制較小，例如在IPv4 網(wǎng)絡中受限的“雅虎”等網(wǎng)站資源能夠通過IPv6 網(wǎng)絡正常訪問。某些不適宜的資源流入也是對我們的挑戰(zhàn)，我們必須牢牢掌握意識形態(tài)工作領導權和主動權，學校必須重視在這方面的引導。

另一方面，安全防護的軟硬件也應該適用IPv6 網(wǎng)絡，按需進行升級。我校IPv6 的網(wǎng)絡安全目前是通過兩項：（1）天融信防火墻作為出口路由，制定嚴格安全訪問控制策略，并在允許公網(wǎng)訪問的IPv6 上均執(zhí)行了病毒檢測；（2）深信服AF 設備部署在出口鏈路上，對通過的流量進行檢測和控制。二者結合使用保證內(nèi)部網(wǎng)絡的安全。

7 結語

IPv6 的升級是基于設備升級，關鍵點還是要保證對現(xiàn)有IPv4應用程序的可訪問性，因此。在實際升級前，要做好方案規(guī)劃，考慮全面方能更好實施下一階段的工作。IPv6 是當前網(wǎng)絡發(fā)展的趨勢，但是徹底取代IPv4 還是要有相當長的一段時間，相關建設者也應盡心考量，共同推進IPv6 網(wǎng)絡體系建設。