耿娟平 郭冬濱 李 倩

（1、北華航天工業(yè)學(xué)院信息技術(shù)中心,河北 廊坊065000 2、北華航天工業(yè)學(xué)院國資處,河北 廊坊065000）

隨著IPv4 地址的枯竭,固有缺陷的突出,運維的困難,與此同時IPv6 技術(shù)的日益成熟,服務(wù)質(zhì)量和安全性能上都有了很大程度的提高。IPv6 自2003 年,8 個部委聯(lián)合啟動中國下一代互聯(lián)網(wǎng)示范工程CNGI[1]以來經(jīng)歷了“白銀時代”、“青銅時代”到現(xiàn)在突飛猛進(jìn)的“黃金時代”。集政府部門、中央企業(yè)、基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、通信設(shè)備制造企業(yè)、科研機構(gòu)等迅速行動,出臺詳實的部署方案和工作計劃,推進(jìn)IPv6 的升級改造工程的進(jìn)展。2020年7 月份于廣州南沙舉行的“2020 全球IPv6 下一代互聯(lián)網(wǎng)峰會”上,劉東等國內(nèi)外專家在中國發(fā)布了全球首份“推進(jìn)IPv6 規(guī)模部署向純IPv6 發(fā)展聯(lián)合倡議”。高校校園網(wǎng)由IPv4 向IPv6 過渡勢必成為必然,刻不容緩。我校于2017、2018 年借助中央財政資金專項信道升級、萬兆升級及千兆到桌面工作,保障校園網(wǎng)基礎(chǔ)設(shè)施及骨干網(wǎng)絡(luò)的建設(shè)。雖然目前應(yīng)用僅限于運行在IPv4 網(wǎng)絡(luò),但為IPv6 網(wǎng)絡(luò)提供了支持和儲備。我校網(wǎng)絡(luò)通過200M鏈路接入中國教育和科研計算機網(wǎng)（CERNET）[2],通過1900M鏈路（100 M聯(lián)通鏈路+1800 M電信鏈路）接入國際互聯(lián)網(wǎng),為快速地接入教育網(wǎng)和Internet 提供了保障。我校校園網(wǎng)采用環(huán)形+星型拓?fù)浣Y(jié)構(gòu),西校區(qū)核心交換機（Cisco WS-C6509-E）分別通過20G 信道與東校區(qū)綜合實驗樓核心交換機（Cisco WS-C6509-T）、圖書館核心交換機（Cisco WS-C4500X）和教8 樓核心交換機（Cisco WS-C4500X）相連,綜合實驗樓、圖書館、教8 樓核心交換機分別由10G 信道連接。接入層交換機（Cisco WS-C3560X）與核心交換機由10G 信道連通,與終端用戶通過1000 M信道相連,形成了“萬兆主干、千兆桌面”的網(wǎng)絡(luò)格局。

1 校園網(wǎng)IPv6 雙棧技術(shù)部署方案設(shè)計

基于我?，F(xiàn)有IPv4 網(wǎng)絡(luò)環(huán)境,在IPv6 雙棧技術(shù)改造方案中,必須遵循兼顧現(xiàn)網(wǎng)、保障業(yè)務(wù)、降低成本[2]的原則。我校IPv6雙棧技術(shù)具體實施從以下幾個方面開展,從而實現(xiàn)雙棧網(wǎng)絡(luò)環(huán)境的平穩(wěn)過渡。部署方案主要圍繞以下幾點開展。

1.1 網(wǎng)絡(luò)核心增加IPv6 路由。為同時實現(xiàn)對IPv4 和IPv6 兩種業(yè)務(wù)流的支持和通信,學(xué)校對現(xiàn)在IPv4 網(wǎng)進(jìn)行了升級改造和重新組網(wǎng)建設(shè)。校園網(wǎng)核心采用支持雙棧的三層交換機,所有與IPv6 相關(guān)的三層交換處理都由該交換機完成。匯聚層分布在教8樓、綜合實驗樓和圖書館,接入層則主要分布在不同樓宇的樓層中,用于各個單位的端口接入,從而連接用戶終端。

1.2 校園網(wǎng)出口增加IPv6 出口。在現(xiàn)在的核心出口路由器Cisco7604 上開啟IPv6路由協(xié)議,實現(xiàn)IPv4 和IPv6 兩種協(xié)議同時運行,同時,保障對外用戶提供IPv4 和IPv6 網(wǎng)絡(luò)訪問服務(wù)。在物理接口下需要啟用IPv6 服務(wù),IPv6 enable。

圖1 雙棧網(wǎng)絡(luò)

1.3 辦公教學(xué)區(qū)、宿舍區(qū)域、無線網(wǎng)絡(luò)提供IPv6 接入。校園網(wǎng)用戶只需要接入設(shè)備開啟IPv6 協(xié)議, 便可實現(xiàn)無感知接入IPv6 網(wǎng)絡(luò)。

2 校園網(wǎng)IPv6 具體實現(xiàn)

2.1 IPv6 子網(wǎng)地址規(guī)劃

IP 地址規(guī)劃影響網(wǎng)絡(luò)的管理性,在部署IPv6 地址時應(yīng)該考慮到目標(biāo)。在地址分配規(guī)劃的每一層都使用共同的分配技術(shù),但在地址規(guī)劃層次結(jié)構(gòu)的不同水平階段可以應(yīng)用不同的技術(shù)。我們定義了3 個層級,開始是源IPv6 地址段2001:250:805::/48,為核心分配/52 前綴,/56 前綴分配給匯聚,最后/64 分配給單個子網(wǎng)。對核心層使用稀疏技術(shù),對區(qū)域使用最合適,對站點使用隨機,對子網(wǎng)使用單調(diào)的分配技術(shù)。校內(nèi)子網(wǎng),根據(jù)校區(qū)接入位置和分布聚類具體規(guī)劃為：學(xué)校IPv6 地址范圍2001:250:805::/48 學(xué)校按照三層設(shè)備分布及vlan 分配構(gòu)造子網(wǎng),如：2001:250:805:0XXX::1/64,2001:250:805:1XXX::1/64,2001:250:805:2XXX::1/64,2001:

250:805:3XXX::1/64 其中0XXX、1XXX、2XXX、3XXX 是中的0、1、2、3 分別代表教七樓、綜合實驗樓、教8 樓和圖書館的三層設(shè)備,XXX 代表vlan 號。

2.2 IPv6 路由協(xié)議選擇和配置。IPv6 采用無狀態(tài)地址配置和DHCPv6 地址配置,兩者之間的工作過程和特點都不盡相同。無狀態(tài)地址配置（Stateless Address Autoconfiguration）SLAAC 工作過程:第一步,由路由器廣播地址前綴信息；第二步,通過路由器廣播的地址前綴和PC 端的MAC 地址或PC 端操作系統(tǒng)隨機生成的數(shù)值創(chuàng)建IPv6 地址,挑選IP 地址；第三步,經(jīng)過重復(fù)檢測后,最終確定PC 機的IPv6 地址并使用。它的主要特點：操作簡單,幾乎所有終端都支持,終端用什么地址完全自主,也可以提供DNS服務(wù)器信息。通過IPv6 unicast-routing 命令即可實現(xiàn)。DHCPv6地址配置的工作過程是,PC 終端向DHCPv6 服務(wù)器請求IPv6 地址；DHCPv6 服務(wù)器分配IPv6 地址；經(jīng)過重復(fù)檢測后使用。這種地址配置的特點是,安卓手機不支持此協(xié)議；終端地址由DHCPv6服務(wù)器集中分配；可以提供更多信息。IPv6 路由協(xié)議選擇和配置上,內(nèi)部路由協(xié)議采用OSPFv3,但如果網(wǎng)絡(luò)規(guī)模大時,可以采用BGP 協(xié)議。如果對外有多條鏈路且上游支持,采用BGP 動態(tài)路由協(xié)議否則采用靜態(tài)路由即可。對外路由配置：與上游路由器使用BGP 傳遞路由,向上游路由器發(fā)送自己的地址段,上游路由器發(fā)送默認(rèn)路由。內(nèi)部路由配置：校內(nèi)使用OSPFv3 路由協(xié)議,出口路由器發(fā)送默認(rèn)路由。

有線網(wǎng)絡(luò)vlan 接口配置如下：

圖2 有線Vlan 接口配置

在IPv4 的基礎(chǔ)上增加了IPv6 地址及地址驗證。

2.3 服務(wù)器雙棧支持。服務(wù)器增加IPv6 配置,簡單配置IPv6地址、前綴長度、網(wǎng)關(guān)信息即可。設(shè)置IPv6 地址的同時要設(shè)置防火墻。在DNS 服務(wù)器上,通過IIS 上添加AAAA 記錄綁定IPv6 地址及對應(yīng)域名即可。

2.4 計費系統(tǒng)與網(wǎng)絡(luò)安全設(shè)備設(shè)置。我校IPv4 認(rèn)證與計費主要采用接入認(rèn)證和出口portal 協(xié)議,時長計費,因此在現(xiàn)IPv6 時只需接入認(rèn)證協(xié)議即可。網(wǎng)絡(luò)安全設(shè)備的IPv6 支持：防火墻、操作系統(tǒng)防火墻、WEB 應(yīng)用防火墻（WAF）支持IPv6 協(xié)議。WAF 地址及網(wǎng)關(guān)：2001:250:805:e000:210:31:XXX:fe/120。

2.5 網(wǎng)絡(luò)應(yīng)用的IPv6 支持。目前運行在網(wǎng)絡(luò)上的應(yīng)用對IPv6支持主要由直接支持、網(wǎng)絡(luò)層轉(zhuǎn)換、反向代理三種方式。直接支持常用于DNS、BBS 等服務(wù),通過直接增加IPv6 地址,提供IPv6 服務(wù)。網(wǎng)絡(luò)層轉(zhuǎn)換主要通過使用IVI 轉(zhuǎn)換設(shè)備,提供IPv6 服務(wù)。反向代理則主要是通過設(shè)置Nginx 反向代理服務(wù)器,可實現(xiàn)對650多個網(wǎng)站集中提供IPv6/IPv4 的http/https/http2 服務(wù)。我校主要通過第一種方式實現(xiàn)網(wǎng)絡(luò)上的應(yīng)用。

2.6 用戶IPv6 接入。用戶接入IPv6 可通過直接接入、子網(wǎng)橋接接入和子網(wǎng)路由接入三種方式。用戶直接接入指連接校園網(wǎng)的用戶,直接獲取IPv6 地址,訪問IPv6 服務(wù)。用戶機只需要勾選上“Internet 協(xié)議版本6（TCP/IPv6）”即可。子網(wǎng)橋接接入是指IPv6橋接接入校園網(wǎng),直接獲取IPv6 地址,訪問IPv6 服務(wù)。子網(wǎng)路由接入是指網(wǎng)絡(luò)信息中心統(tǒng)一分配IPv6 地址前綴,校園網(wǎng)路由設(shè)備上增加靜態(tài)路由子網(wǎng)用戶分配子網(wǎng)的IPv6 地址,路由接入校園網(wǎng),訪問IPv6 服務(wù)。目前,我校校園網(wǎng)用戶主要采用前兩種方式接入,使用戶無感知接入IPv6 網(wǎng)絡(luò)。

2.7 IPv6 運維。通過show ipv6 route;show ipv6 neighbor;show mac-add；可以查看到路由表、鄰居緩存及查看交換機的某個接口連接的設(shè)備的MAC 地址。這些信息記錄下來跟蹤用戶、統(tǒng)計校園網(wǎng)IPv6 接入設(shè)備的情況。

3 實際運行效果

圖3 終端用戶IPv6 接入

IPv6 項目部署后校園網(wǎng)對所有開通雙協(xié)議棧的校園網(wǎng)用戶提供IPv6 接入服務(wù),IPv6 升級運行效果達(dá)到了預(yù)期效果,運行平穩(wěn),主要表現(xiàn)在:

3.1 滿足了校園網(wǎng)用戶增長的需求。IPv6 地址充裕,使得校園網(wǎng)用戶都能擁有獨立的IPv6 地址?，F(xiàn)階段IPv6 資源絕大多集中在CERNET 網(wǎng)范圍內(nèi),為在校師生通過網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)和開展科研提供了一個很好的平臺。

3.2 網(wǎng)速快。由于IPv6 采用端到端服務(wù),訪問速度得到很大的提升,提升了IPv6 用戶網(wǎng)絡(luò)服務(wù)體驗。

3.3 服務(wù)質(zhì)量高[3]。IPv6 通過在網(wǎng)絡(luò)層對數(shù)據(jù)進(jìn)行加密校驗,并且具有數(shù)據(jù)報頭結(jié)構(gòu)方面的特性,從而保障高質(zhì)量的網(wǎng)絡(luò)服務(wù)。

結(jié)束語

IPv4 地址塊耗盡極大地限制了互聯(lián)網(wǎng)絡(luò)的進(jìn)一步發(fā)展,IPv6的出現(xiàn)則填補了這一短板[4]。但是,純IPv6 互聯(lián)網(wǎng)取代純IPv4 時代則是需要一個漫長的過渡階段。我校校園網(wǎng)IPv6 實施部署至今,實現(xiàn)有線網(wǎng)IPv4/IPv6 雙棧測試平臺上線運行,用戶可以訪問IPv4 和IPv6 兩類資源,目前平臺運行穩(wěn)定。在終端接入、服務(wù)發(fā)布、網(wǎng)信安全方面做了大量工作,實現(xiàn)了IPv6 系統(tǒng)的實名接入、訪問資源的事后審計等技術(shù)措施；學(xué)校網(wǎng)站群的雙棧發(fā)布；以及關(guān)鍵站點的Https 發(fā)布測試,確保其可正常工作。

下一步的完善計劃:（1）擴大IPv6 覆蓋范圍。確保新購網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)全部支持IPv6,學(xué)校網(wǎng)站群全部站點支持IPv6。（2）加強網(wǎng)絡(luò)安全防護(hù)[5]。落實國家網(wǎng)絡(luò)安全等級保護(hù)制度,增強IPv6 環(huán)境下的個人信息的安全性、降低風(fēng)險、開展災(zāi)難備份及恢復(fù)等工作。本文介紹了北華航天工業(yè)學(xué)院網(wǎng)絡(luò)基本狀態(tài),在此基礎(chǔ)上介紹了規(guī)劃和實施IPv6 校園網(wǎng)的具體步驟。雖然此升級改造仍存在不足,但為今后過渡到純IPv6 時代和其他院校IPv6 校園網(wǎng)的實施提供了理論參考和實踐經(jīng)驗。