摘要：近年來隨著網(wǎng)絡(luò)技術(shù)迅速發(fā)展，各類園區(qū)網(wǎng)對公網(wǎng)IP地址需求量急劇增大，大量地址翻譯（NAT）技術(shù)的應(yīng)用增加了設(shè)備的消耗。在充分考慮部分園區(qū)網(wǎng)原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，本文主要從IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)部署、網(wǎng)絡(luò)安全防護三個方面開展基于IPv6與IPv4雙協(xié)議棧的園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計，兼具一定的實用性、安全性。

關(guān)鍵詞：園區(qū)網(wǎng);IPv4;IPv6;雙協(xié)議棧

中圖分類號：TP393.04?? 文獻標(biāo)識碼：A?? 文章編號：1672-9129（2020）16-0055-01

近年來隨著互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，各大園區(qū)網(wǎng)對公網(wǎng)IPv4地址需求量急劇增大，公網(wǎng)IPv4地址已于2019年11月26日宣告正式耗盡，這使得園區(qū)網(wǎng)中不得不大量使用NAT等技術(shù)以延緩IPv4地址匱乏的問題，這也無形中增加了園區(qū)網(wǎng)絡(luò)的復(fù)雜性和管理難度，因此建設(shè)IPv6園區(qū)網(wǎng)并逐步取代IPv4已成為必然趨勢。通過前期調(diào)研了本地部分園區(qū)網(wǎng)部署情況發(fā)現(xiàn)，園區(qū)內(nèi)部匯聚層、接入層網(wǎng)絡(luò)設(shè)備并不支持IPv6;而對于少數(shù)已部署IPv6環(huán)境的園區(qū)網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)多以孤島形式存在。本文主要從IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)設(shè)計、IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)部署、IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)安全防護等三個方面內(nèi)容開展園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計。

1 IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)設(shè)計

結(jié)合目前實際，如果直接從IPv4網(wǎng)絡(luò)直接向純IPv6的網(wǎng)絡(luò)轉(zhuǎn)變，將受到諸多方面因素限制，且成本較高?？紤]以上因素，園區(qū)網(wǎng)核心設(shè)備采用雙協(xié)議棧技術(shù)來部署。這使得在園區(qū)網(wǎng)全網(wǎng)在完全過渡到IPV6之前，使新興終端能夠接入IPV6網(wǎng)絡(luò);而對于暫時無法換新的舊終端設(shè)備，仍然能使用IPv4網(wǎng)絡(luò)，從而實現(xiàn)了IPv4和IPv6網(wǎng)絡(luò)同時存在于園區(qū)網(wǎng)絡(luò)，IPv4設(shè)備和IPv6設(shè)備均不會以孤島形勢存在。

在園區(qū)網(wǎng)中一些具有新興終端需求的部門，如智能家電、智能終端、機器人的需求，增加部署支持IPv6的匯聚層交換機，使新終端能夠使用IPv6網(wǎng)絡(luò)進行通信;當(dāng)此類終端需要與IPv4網(wǎng)絡(luò)進行通信時，采用IPv6 to IPv4協(xié)議翻譯技術(shù)[1]，使兩者之間能夠進行實時通信。在一些傳統(tǒng)業(yè)務(wù)部門，限于網(wǎng)絡(luò)終端比較老舊，僅支持IPv4網(wǎng)絡(luò)，匯聚層網(wǎng)絡(luò)設(shè)備仍然采用IPv4接入核心，同樣配置協(xié)議翻譯技術(shù)，使新老部門之間能夠正常通信。原有新興部門替換下的匯聚層網(wǎng)絡(luò)設(shè)備，直接放入傳統(tǒng)部門的網(wǎng)絡(luò)匯聚層使用，一方面解決原先傳統(tǒng)業(yè)務(wù)部門無冗余設(shè)備、冗余鏈路的問題，另一方面可節(jié)約一部分成本，符合國家節(jié)能減排的方針政策。

核心層設(shè)備通過虛擬化技術(shù)（典型的有華為CSS、華三IRF、思科VSS）將兩臺甚至更多臺核心層設(shè)備組合在一起，邏輯成一臺設(shè)備，可以實現(xiàn)網(wǎng)絡(luò)高可靠性和高速數(shù)據(jù)量轉(zhuǎn)發(fā)，同時簡化網(wǎng)絡(luò)管理，減少網(wǎng)絡(luò)中次優(yōu)路由的產(chǎn)生，擴展了端口數(shù)、帶寬和容錯能力。

2 IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)部署

隨著運營商IPv6網(wǎng)絡(luò)的普及，使得園區(qū)核心層設(shè)備實現(xiàn)IPv6出口成為了必然趨勢，可以將與運營商互聯(lián)的出口設(shè)備升級為支持IPv6的BGP4+協(xié)議。

對于內(nèi)部路由協(xié)議，支持IPv6的內(nèi)部網(wǎng)關(guān)協(xié)議有：RIPng、OSPFv3、IS-ISv6協(xié)議[2]。在綜合考慮大部分園區(qū)網(wǎng)原有路由協(xié)議為OSPFv2的基礎(chǔ)上，確立使用OSPFv3作為域內(nèi)路由協(xié)議。OSPFv3的設(shè)計思路可以沿用OSPFv2的思路。由于核心層設(shè)備使用了雙協(xié)議棧技術(shù)，為使得IPv6網(wǎng)絡(luò)與平滑對接，OSPFv2和OSPFv3兩套協(xié)議同時部署在核心層和匯聚層，此時兩套協(xié)議是互相獨立的。OSPFv3的邏輯拓?fù)鋱D（包括區(qū)域規(guī)劃）和OSPFv2基本保持一致，簡化網(wǎng)絡(luò)的運維管理。

在IPv6網(wǎng)絡(luò)中，涉及WEB和視頻等服務(wù)器的部署。其中WEB服務(wù)器的過渡選擇雙棧共存模式，可使得對外提供的WEB服務(wù)得到平滑過渡。而鑒于園區(qū)網(wǎng)的組播業(yè)務(wù)與日俱增，若原來采用PIM-DM組播模式的園區(qū)網(wǎng)則改為采用PIM-SM方式，不同分部、不同業(yè)務(wù)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、用戶分布的情況選擇RP節(jié)點，相比原先部署的PIM-DM效率明顯提高。

3 IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)安全防護

2016年國家發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，足以見的國家對網(wǎng)絡(luò)安全的重視。對于新組建的IPv6園區(qū)網(wǎng)，網(wǎng)絡(luò)安全工作仍然不可忽視。IPv6本身不再具有廣播功能，取而代之的是組播數(shù)據(jù)。雖然在核心層設(shè)備上部署了雙協(xié)議棧，但是考慮到IPv4的攻擊技術(shù)層出不窮，在核心層設(shè)備將對外提供服務(wù)以外的數(shù)據(jù)，均封裝為IPv6的數(shù)據(jù)包。網(wǎng)絡(luò)邊界升級為兩臺支持雙協(xié)議共存的防火墻，將對外服務(wù)器部署在DMZ（非軍事化）區(qū)，防止因服務(wù)器被攻破導(dǎo)致的內(nèi)部數(shù)據(jù)丟失、內(nèi)部網(wǎng)絡(luò)癱瘓。在內(nèi)部部署一臺流量清洗設(shè)備，用來應(yīng)對突發(fā)的DDos（分布式拒絕服務(wù)）攻擊。與此同時，在內(nèi)部需部署一臺支持雙協(xié)議棧的流量審計設(shè)備，一方面對攻擊行為進行及時記錄、取證，另一方面對于網(wǎng)絡(luò)攻擊行為能起到一定的震懾作用。

4 結(jié)語

本文主要從IPv6與IPv4雙協(xié)議棧網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)部署、網(wǎng)絡(luò)安全防護三個方面開展了基于IPv6與IPv4雙協(xié)議棧的園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計，隨著IPv6網(wǎng)絡(luò)和應(yīng)用的普及，后續(xù)將逐步考慮使用純IPv6網(wǎng)絡(luò)取代雙協(xié)議棧網(wǎng)絡(luò)，形成更安全、更高效的園區(qū)網(wǎng)絡(luò)。

參考文獻：

[1]陳波.基于ThreadX操作系統(tǒng)的Ipv6隧道研究[D]. 上海：東華大學(xué)，2012.

[2]王宇杰.OSPFv3及其在高校下一代校園網(wǎng)建設(shè)中的應(yīng)用[J]. 網(wǎng)絡(luò)與信息， 2010，（06）：27-27.

作者簡介：王魁（1990.6-），男，漢族，湖南懷化人，碩士，助理工程師。研究方向：網(wǎng)絡(luò)規(guī)劃設(shè)計與安全防護。