高永利

關于高校校園網(wǎng)IPv6升級部署的研究

高永利

（唐山師范學院 財務處，河北 唐山 063000）

考慮到目前高校網(wǎng)絡建設存在諸多問題，從IPv4網(wǎng)絡向IPv6網(wǎng)絡的過渡需要制定一個系統(tǒng)的、科學的、可行的IPv6建設方案，進行有步驟、分層次的建設。本文通過分析IPv6與IPv4特性上的優(yōu)勢差異，通過實例給出可行的規(guī)劃設計方案。

校園網(wǎng)；IPv6；升級改造

根據(jù)教育部發(fā)布的《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，高校校園網(wǎng)IPv6升級部署勢在必行。考慮到現(xiàn)今高校網(wǎng)絡建設存在資金投入不足、運營模式多樣、校區(qū)擴建、新舊設備共存等諸多問題，從IPv4網(wǎng)絡向IPv6網(wǎng)絡的過渡需要制定一個系統(tǒng)的、科學的、可行的IPv6建設方案，進行有步驟、分層次的建設[1]。

1 IPv6與IPv4協(xié)議對比

1.1 地址范圍

與IPv4的32位地址長度相比，IPv6使用128位的地址長度，可以提供海量的IP地址，能夠徹底解決IPv4網(wǎng)絡地址數(shù)量不足的問題，滿足未來移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能等新技術對IP地址的需求[2]。

1.2 數(shù)據(jù)報頭格式

IPv4報頭長度（不包括選項字段）為20字節(jié)，IPv6報頭固定長度（基本）為40字節(jié)。IPv6報頭格式的設計把一些不重要的字段和擴展字段移到了IPv6頭部之后的擴展頭部，簡化了IPv6的頭部信息，提高路由處理信息的效率[3]。

1.3 安全性和可靠性

IPSec是由IETF開發(fā)的，可以進行端到端的加密，以保證安全性。在IPv4協(xié)議中IPSec是協(xié)議的可選（非必須）部分，而在IPv6協(xié)議中是必須具備的。同時IPv6在數(shù)據(jù)報頭中增加了流標識，改進了對QoS的支持，提高了傳輸?shù)目煽啃浴?/p>

1.4 可擴展性

IPv4頭部可選字段為40字節(jié)，而IPv6可以在頭部后面添加單個或多個擴展頭部進行擴展，可擴展規(guī)模只受限于IPv6數(shù)據(jù)包的字節(jié)多少。

2 由IPv4到IPv6的過渡技術

當前網(wǎng)絡環(huán)境以IPv4為主導地位，要實現(xiàn)向IPv6的轉(zhuǎn)變，必須先經(jīng)過過渡階段，使用過渡技術。目前主流的過渡技術主要有三種：雙協(xié)議棧（雙棧）技術、隧道技術和地址轉(zhuǎn)換技術。

2.1 雙棧技術

“雙棧技術”是指在網(wǎng)絡環(huán)境中的節(jié)點上同時支持IPv4協(xié)議和IPv6協(xié)議，當使用IPv4網(wǎng)絡地址相互通信時，啟用IPv4協(xié)議，在IPv4網(wǎng)絡中傳輸；當使用IPv6網(wǎng)絡地址相互通信時，啟用IPv6協(xié)議，在IPv6網(wǎng)絡中傳輸。雙棧技術無法實現(xiàn)IPv4與IPv6網(wǎng)絡之間的互通，只能在各自的網(wǎng)絡中通信。所以，采用雙棧技術要求網(wǎng)絡中的所有節(jié)點都同時支持IPv4和IPv6協(xié)議。

2.2 隧道技術[4]

“隧道技術”本質(zhì)上是一種封裝技術，也就是將一種協(xié)議封裝在另一種協(xié)議中。IPv6 over IPv4的隧道技術，是為了解決IPv4為主干網(wǎng)絡的IPv6網(wǎng)絡間的互聯(lián)互通問題，將IPv6數(shù)據(jù)分組作為IPv4協(xié)議的“數(shù)據(jù)部分”字段在隧道入口處封裝到IPv4分組中，并通過IPv4網(wǎng)絡進行傳輸，在隧道終點進行解封裝，將IPv6分組轉(zhuǎn)發(fā)給目的節(jié)點，從而實現(xiàn)IPv6節(jié)點間的通信。隨著IPv6技術的不斷發(fā)展，當IPv6網(wǎng)絡成為主干網(wǎng)絡時，將出現(xiàn)IPv4 over IPv6的隧道技術，實現(xiàn)IPv4孤島之間的通信。

2.3 地址轉(zhuǎn)換技術

地址轉(zhuǎn)換技術是在IPv4和IPv6網(wǎng)絡之間增加轉(zhuǎn)換器，用于修改IP數(shù)據(jù)報文頭部信息，完成IPv4到IPv6（或者IPv6到IPv4）的協(xié)議轉(zhuǎn)化，從而實現(xiàn)IPv4和IPv6網(wǎng)絡之間的互通。地址轉(zhuǎn)換技術一般用在邊界網(wǎng)關，能夠在不改變原有IPv4和IPv6節(jié)點的情況下，實現(xiàn)IPv4和IPv6網(wǎng)絡節(jié)點之間的直接通信。

3 某高校的校園網(wǎng)IPv6升級改造

3.1 校園網(wǎng)絡現(xiàn)狀

某高校園網(wǎng)采用傳統(tǒng)的三層網(wǎng)絡拓撲架構(gòu)。出口使用鏈路負載均衡設備實現(xiàn)多條鏈路的接入，通過不同的權重實現(xiàn)負載分擔。下連防火墻、認證計費設備和上網(wǎng)行為管理設備，實現(xiàn)對出口的多層安全防護以及日志審計。之后連接核心層交換機，完成數(shù)據(jù)的高速轉(zhuǎn)發(fā)。下一層是多個匯聚交換機，分別作為各個樓宇的匯聚節(jié)點，主要實現(xiàn)vlan的劃分，配置各個vlan接口ip地址做終端接入的網(wǎng)關，使用ospf路由協(xié)議來發(fā)布路由信息，來實現(xiàn)路由可達。各匯聚交換機下聯(lián)接入層交換機，接入層交換機直連設備終端[5]。

已有數(shù)據(jù)表明，所有的核心交換機、匯聚交換機、接入交換機和所有的終端用戶PC都能同時支持IPv4和IPv6協(xié)議，出口的負載均衡設備僅支持IPv4協(xié)議，防火墻、認證審計設備和上網(wǎng)行為管理設備能同時支持IPv4和IPv6協(xié)議，DHCP和DNS服務器能同時支持IPv4和IPv6協(xié)議，有部分業(yè)務應用僅支持IPv4協(xié)議。

3.2 IPv6升級改造規(guī)劃

結(jié)合網(wǎng)絡現(xiàn)狀，整個校園網(wǎng)的IPv6升級改造可分為三步來完成：第一步，采用雙棧技術對校園網(wǎng)內(nèi)部進行升級改造，實現(xiàn)部分業(yè)務應用的IPv6訪問；第二步，逐步更換不能同時支持IPv4和IPv6協(xié)議的設備，尤其是出口干路上的設備，通過地址轉(zhuǎn)換技術實現(xiàn)校園網(wǎng)內(nèi)部與外部的IPv4/ IPv6之間的資源訪問；第三步，徹底取消IPv4配置，實現(xiàn)全網(wǎng)IPv6單棧使用。

3.3 雙棧技術升級改造方案

3.3.1 IPv6的編址設計

該校在中國教育和科研計算機網(wǎng)絡的分配的IPv6地址資源為：####:250:829::/48，網(wǎng)絡前綴48位，可容納的主機數(shù)最多達280個。根據(jù)目前網(wǎng)絡結(jié)構(gòu)，可以對分配到的IPv6地址進行子網(wǎng)規(guī)劃，IPv6子網(wǎng)規(guī)劃表如表1所示。

二進制位第49位到第52位表示區(qū)域，0000表示數(shù)據(jù)中心，0001表示A校區(qū)，0010表示B校區(qū)，0011表示C校區(qū)。二進制位第53位到第56位表示樓宇編號，0001表示1號行政樓，0010表示2號教學樓，0011表示3號教學樓，0100表示4號實驗樓，……。二進制位第57位到第64位表示樓層，00000001表示1層，00000010表示2層，……。二進制位第65位到第68位表示業(yè)務應用，0001表示辦公，0010表示教學多媒體，0011表示教學機房，0100表示監(jiān)控，……。二進制位第69位到第80位表示業(yè)務VLAN，最后剩下48位分配給接入網(wǎng)絡的主機位[6]。

表1 IPv6子網(wǎng)規(guī)劃表

5.2 交換機上的配置

在核心交換機、匯聚交換機、接入交換機上原有IPv4的配置基礎上開啟IPv6功能，在相應的vlan接口上配置IPv6地址，使用DHCP服務器為接入用戶自動分配IPv6地址以及DNS信息。同時，在核心交換機和匯聚交換機上啟動ospfv3路由協(xié)議，保證IPv6路由可達。以H3C交換機為例，在全局模式下開啟IPv6功能，然后在相應的vlan接口進行雙棧配置，配置命令如下：

5.3 用戶開啟IPv6的動態(tài)獲取協(xié)議

內(nèi)網(wǎng)的大部分終端設備都具有公用的IPv4地址，因此在過渡階段采用雙棧技術能夠?qū)崿F(xiàn)用戶對IPv6資源的瀏覽訪問。終端只需要開啟IPv6協(xié)議即可。

5.4 業(yè)務應用的升級

針對業(yè)務應用服務器，單獨規(guī)劃配置靜態(tài)IPv6地址。

DHCPv6（IPv6中的動態(tài)主機配置協(xié)議）屬于有狀態(tài)IPv6地址自動配置協(xié)議，可以更好地實現(xiàn)地址管理。在原有IPv4配置的基礎上，DHCP服務器按照IPv6的編址規(guī)劃進行地址段配置，以保證終端用戶能夠自動獲取IPv6地址及相關信息。

在IPv4中，DNS用來實現(xiàn)域名到地址以及地址到域名的映射。在IPv6中，由于IPv6地址長度的增加，要記憶一個IPv6地址更加困難，所以DNS在IPv6中顯得更加重要。在IPv4/IPv6并存的環(huán)境中，DNS服務器上需要為雙棧主機至少保留兩條DNS記錄，分別記錄域名到IPv4地址的映射和域名到IPv6地址的映射[7]。目前該校使用的DNS服務器支持IPv4和IPv6的域名解析，在原有IPv4的A記錄基礎上，需要在DNS服務器上添加IPv6的AAAA記錄，以保證雙棧主機的正常解析。

在Web服務器的IPv6建設方面，許多門戶網(wǎng)站還沒有全面支持使用IPv6地址來提供資源，所以，當用戶訪問資源時，如果被引用的鏈接不支持IPv6訪問，即使使用雙棧技術訪問這個外鏈，也會出現(xiàn)內(nèi)容無法顯示的故障。為了解決此問題，可在網(wǎng)絡出口處部署翻譯設備或者購買翻譯云服務，利用翻譯設備將IPv6地址翻譯成IPv4地址，從而找到相應的資源。

6 結(jié)語

IPv6的升級建設需要網(wǎng)絡節(jié)點設備的支持，還要保證現(xiàn)有IPv4業(yè)務應用能夠正常訪問。因此，要充分調(diào)研所有網(wǎng)絡設備對IPv6的支持情況，做好規(guī)劃方案。我們建議采用雙棧技術實現(xiàn)校園網(wǎng)內(nèi)部IPv4向IPv6的過渡方式，跨出校園網(wǎng)IPv6升級改造的第一步，實現(xiàn)校內(nèi)IPv6地址之間的相互訪問以及對DHCP、DNS、WEB等業(yè)務應用的雙棧訪問。

[1] 周凱,褚寧琳.基于IPv4/IPv6雙棧機制的高校網(wǎng)絡改造研究[J].無線互聯(lián)科技,2019,16(17):26-28.

[2] 周軍宏.關于校園網(wǎng)IPv6升級的思考[J].電腦編程技巧與維護,2019,26(12):67-69.

[3] 李國彬.新一代網(wǎng)絡協(xié)議IPv6與IPv4的比較研究[J].電腦知識與技術(學術交流),2007,14(11):1243-1244.

[4] 孫曉林,張新剛.基于校園網(wǎng)的IPv6過渡技術研究[J].電腦知識與技術,2017,13(23):10-11.

[5] 周強.高校IPv6網(wǎng)絡升級改造探討[J].網(wǎng)絡安全技術與應用,2020,20(4):107-109.

[6] 杜紅林.IPv6雙棧技術在校園網(wǎng)中過渡設計與實現(xiàn)——以貴州師范大學校園網(wǎng)為例[J].信息技術與信息化,2019, 43(5):97-100.

[7] 杭州華三通信科技有限公司.IPv6技術[M].北京:清華大學出版社,2010:71-72.

Research on the IPv6 Upgrade of Campus Network in Universities

GAO Yong-li

(Financial Department, Tangshan Normal University, Tangshan 063000, China)

Considering the problems existing in the construction of university network at present, the transition from IPv4 network to IPv6 network is a long process and a systematic, scientific and feasible construction scheme of IPv6 is needed. By analyzing the advantage between IPv6 and IPv4, a feasible plan and design scheme was proposed taking the actual situation of the campus network of Tangshan Normal University as an example.

campus network; IPv6; upgrade and transform

TP393

A

1009-9115(2021)06-0050-03

10.3969/j.issn.1009-9115.2021.06.013

唐山師范學院科學研究基金項目（2021B25）

2021-05-06

2021-09-11

高永利（1989-），男，河北唐山人，碩士，講師，研究方向為計算機技術。

（責任編輯、校對：田敬軍）