文/王宇杰 楊志軍

北京交通大學(xué)下一代校園網(wǎng)建設(shè)進(jìn)入新階段

文/王宇杰 楊志軍

編者按：隨著設(shè)備產(chǎn)業(yè)化專項教育科研基礎(chǔ)設(shè)施IPv6技術(shù)的升級以及應(yīng)用示范項目的開展，作為子項目的承擔(dān)者，北京交通大學(xué)的下一代互聯(lián)網(wǎng)建設(shè)進(jìn)入了一個嶄新的階段，本文為《下一代校園網(wǎng)建設(shè)進(jìn)入新階段》后部分，介紹北京交大對下一代校園網(wǎng)建設(shè)的研究，以供參考。

網(wǎng)絡(luò)升級方案

整個CNGI2的建設(shè)過程工作量非常大，基本涉及到全校所有網(wǎng)絡(luò)設(shè)備的更換，一共涉及2臺核心設(shè)備，40臺匯聚設(shè)備，近500臺接入設(shè)備。如何改造對用戶影響最小、時間最短是一個難題。學(xué)校制定了自頂向下，逐步更換，先4后6的原則。

首先，將2臺核心設(shè)備上線，接入現(xiàn)網(wǎng)環(huán)境中，運(yùn)行ospfv2，實(shí)現(xiàn)核心和整個校園網(wǎng)的互通。

第二步，將全校所有樓宇的匯聚設(shè)備逐一更換并連接至新核心。為使影響最小，每一個新匯聚規(guī)劃了完全不同的互聯(lián)地址和網(wǎng)管地址。匯聚設(shè)備配置完畢后，再現(xiàn)場上電，然后通過備份鏈路將新匯聚和新核心調(diào)通。因新匯聚采用單獨(dú)的地址和光纖鏈路，所以這個過程對用戶沒有影響。待新匯聚完全準(zhǔn)備好，挑選用戶最少的時間段，將舊的接入逐臺接到新匯聚上，每次只斷一臺接入，這個過程不到1分鐘。接到新匯聚上后，用戶就可以恢復(fù)上網(wǎng)。

待全部的匯聚更換完畢，所有的匯聚就都接在新核心上時，將校園網(wǎng)v4出口線路切換至新核心上，舊核心就可以順利下線。至此，雙棧改造的硬件部分基本完成。

第三步，也是工作量最大的一步，但也是影響最小的一步，逐臺更換接入設(shè)備。

第四步，待v4全部切換完畢，運(yùn)行穩(wěn)定后，全網(wǎng)部署OSPFv3，實(shí)現(xiàn)用戶的雙棧接入。

值得一提的是：在項目建設(shè)中，為了提高整個網(wǎng)絡(luò)的可靠性，學(xué)校進(jìn)行了大部分樓宇的光纜改造和部分樓宇的垂直布線改造。如前所述，學(xué)校的校園網(wǎng)建于90年代初期，當(dāng)時的光纖基本是小對數(shù)，最多8芯，遠(yuǎn)遠(yuǎn)不能滿足目前網(wǎng)絡(luò)的應(yīng)用要求。為了滿足雙上行的要求，對不滿足要求的樓宇的光纜重新鋪設(shè)大對數(shù)光纜。另外，原來學(xué)校有一大片學(xué)生宿舍接入交換機(jī)采用光纖堆疊技術(shù)，本次升級對這部分區(qū)域進(jìn)行了樓內(nèi)垂直布線改造，由光改為電，并取消堆疊。

截至目前為止，北京交通大學(xué)CNGI2建設(shè)的網(wǎng)絡(luò)部分的改造已全部完成，用了大概半年時間。項目實(shí)施后IPv6流量已經(jīng)達(dá)到1Gbps。

CNGI2項目實(shí)施后IPv6出口流量

純IPv6網(wǎng)絡(luò)建設(shè)

純粹的IPv6節(jié)點(diǎn)網(wǎng)絡(luò)的建設(shè)，可以為下一代互聯(lián)網(wǎng)的建設(shè)和研究提供極有參考價值的幫助。在現(xiàn)有的網(wǎng)絡(luò)上建設(shè)純粹的IPv6網(wǎng)絡(luò)，最理想的方案是利用支持IPv6 VPN的設(shè)備，在現(xiàn)有的物理網(wǎng)絡(luò)上建設(shè)一個IPv6的vpn網(wǎng)絡(luò)，也就是6VPE的解決方案。但在本次下一代互聯(lián)網(wǎng)項目中，由于經(jīng)費(fèi)的限制，很多學(xué)校所選擇的核心及匯聚層設(shè)備連IPv4的MPLS VPN特性都不支持，更不用說支持6VPE。北京交通大學(xué)也存在這種情況。

其次的方法就是建立跨越整個校園網(wǎng)的二層Vlan，在此基礎(chǔ)上連接各處的純IPv6節(jié)點(diǎn)。這個方法要解決廣播域帶來的廣播問題。學(xué)校目前在測試該方案。

另外，學(xué)校的“下一代互聯(lián)網(wǎng)中心”實(shí)驗(yàn)室通過OSPF v3將其大量的純IPv6節(jié)點(diǎn)接入到現(xiàn)網(wǎng)中，進(jìn)行現(xiàn)網(wǎng)中純IPv6網(wǎng)絡(luò)的科研和實(shí)驗(yàn)。

最后，學(xué)校利用建成的覆蓋全校的無線網(wǎng)絡(luò)，廣播專門的純IPv6 SSID，無線用戶通過該SSID接入后只能使用IPv6，無法使用IPv4。通過這種方式，用戶可以在全校任何一個地方接入純IPv6網(wǎng)絡(luò)進(jìn)行純粹的下一代互聯(lián)網(wǎng)的體驗(yàn)和科研。

支撐體系研究

一個網(wǎng)絡(luò)的正常運(yùn)行，離不開網(wǎng)管、計費(fèi)等支持系統(tǒng)。在北京交通大學(xué)下一代互聯(lián)網(wǎng)建設(shè)過程中，除了等待隨子項目一起部署的校園網(wǎng)的網(wǎng)絡(luò)支撐系統(tǒng)外，學(xué)校對相關(guān)的支撐體系也做了一些有益的嘗試。其中包括：

1）網(wǎng)管系統(tǒng)：除了CNGI一期建設(shè)中的基于開源的CACTI的網(wǎng)管系統(tǒng)外，學(xué)校還測試了北郵的綜合網(wǎng)管系統(tǒng)。學(xué)校將所有的IPv6網(wǎng)絡(luò)設(shè)備添加到系統(tǒng)中，該系統(tǒng)會定期（默認(rèn)5分鐘）輪詢交換機(jī)，讀出所有neighbor表項并歸檔。這個功能能準(zhǔn)確定位用戶，可以準(zhǔn)確地反查某一時間某一個IPv6地址使用的mac地址及使用的交換機(jī)端口。同時該系統(tǒng)反應(yīng)出學(xué)校的IPv6有效用戶已經(jīng)接近1萬人。

2）IPv6的安全產(chǎn)品。在小范圍嘗試一些免費(fèi)的開源安全軟件的同時，學(xué)校和設(shè)備廠商也進(jìn)行積極的交流。目前學(xué)校所使用的cisdo的FWSM防火墻模塊已經(jīng)在幾年前就支持IPv6特性，而且改防火墻模塊支持多達(dá)20個的虛擬防火墻。目前已經(jīng)將其架設(shè)在學(xué)校的CERNET2出口上做IPv6的安全訪問控制。

3）IPv6流控產(chǎn)品。針對目前主流的IPv6的應(yīng)用，支持IPv6的流控產(chǎn)品的部署也是要考慮的問題。目前的IPv6的應(yīng)用主要集中在BT和視頻流方面，但到底應(yīng)用的有效組成部分是什么，需要有專業(yè)的產(chǎn)品來定位。目前學(xué)校的IPv6出口流量1G帶寬已經(jīng)用滿，學(xué)校計劃在條件成熟的時候測試一些廠商的設(shè)備，如cisco的SCE 8000和Allot的10000。

4）計費(fèi)產(chǎn)品。目前學(xué)校的IPv6出口1G帶寬已經(jīng)完全占滿，主要原因是校內(nèi)的IPv6流量免費(fèi)。要想有效的控制帶寬使用，除了用專門的流控設(shè)備加以整形外，通過合理的計費(fèi)手段，讓用戶自我約束網(wǎng)絡(luò)使用習(xí)慣是一個很好的方法。目前學(xué)校IPv4的計費(fèi)采用Drcom的雙機(jī)計費(fèi)方案，該公司對IPv6的計費(fèi)已經(jīng)進(jìn)入測試階段，學(xué)校將會和該公司合作，開始進(jìn)行IPv6的商業(yè)計費(fèi)測試。

應(yīng)用系統(tǒng)建設(shè)及遷移

網(wǎng)絡(luò)升級的同時，學(xué)校也加大了應(yīng)用系統(tǒng)建設(shè)的力度。除傳統(tǒng)的應(yīng)用系統(tǒng)的遷移之外，利用NGIX建立了反向代理，使更多的應(yīng)用系統(tǒng)支持IPv6的訪問。此外，學(xué)校重點(diǎn)建設(shè)了2個資源網(wǎng)站：交大晨光BT和交大IPv6實(shí)驗(yàn)站。

交大晨光BT是國內(nèi)出現(xiàn)最早的高校校內(nèi)BT站點(diǎn)之一，支持IPv6的種子，而且在不久的將來會只支持IPv6的訪問。這個站點(diǎn)上有大量用戶感興趣的資源。

交大IPv6實(shí)驗(yàn)站是交大IPv6的門戶網(wǎng)站。除了一些IPv6的介紹外，主要提供基于雙棧的視頻服務(wù)。

通過以上兩個網(wǎng)站的改造，學(xué)校涌現(xiàn)出一大批IPv6的用戶。

開展的科研

在下一代互聯(lián)網(wǎng)建設(shè)的基礎(chǔ)之上，學(xué)校結(jié)合試商用的要求，進(jìn)行了一些科研嘗試。

隨著下一代互聯(lián)網(wǎng)的建設(shè)，用戶的雙棧接入已不成問題，關(guān)鍵問題是如何對用戶的IPv6接入做到可控，可管理。學(xué)校對入圍CNGI二期的3個接入交換機(jī)廠家的產(chǎn)品做了全面的評測，從IPv6網(wǎng)管，IPv6 ACL，DHCPv6 snooping，ND snooping，IPv6 MAC綁定，IPv6端口綁定等幾個涉及到用戶IPv6安全接入的方面做了全面研究和測試。研究測試結(jié)果表明：廠商在安全接入控制上做了很多工作，有些廠商在上述幾個方面考慮了相關(guān)的功能，但多數(shù)都做得不完善或有BUG，距離IPv4的安全接入的控制水平還有一定的差距。另外，對于IPV6用戶的安全可控接入方式也遠(yuǎn)沒有IPv4多，802.1x和portal目前都不支持IPv6的接入認(rèn)證，這些方面還要等待廠商的完善。

另外，如何利用用戶的IPv4信息來定位IPv6信息也是學(xué)校研究的一個重點(diǎn)。目前，純粹的IPv6用戶可能僅僅存在科研網(wǎng)絡(luò)中，現(xiàn)網(wǎng)中的絕大多數(shù)用戶使用的還是雙棧。如何利用豐富的IPv4信息來定位IPv6用戶，學(xué)校做了有益的嘗試。從雙棧匯聚上定時采集用戶的mac表，arp表和IPv6的鄰居關(guān)系表；將這些信息入庫，另外結(jié)合計費(fèi)上的用戶信息，關(guān)聯(lián)起來做一定的檢索，可以方便的定位IPv6用戶的IPv4信息和賬號信息，進(jìn)而可以準(zhǔn)確定位用戶。另外，結(jié)合portal認(rèn)證的測試，可以不依賴于計費(fèi)帳戶的信息來定位用戶。

用戶的培養(yǎng)

下一代互聯(lián)網(wǎng)的普及，不僅在于設(shè)備的支持，更在于用戶的培養(yǎng)，只有用戶量上去，才有可能進(jìn)行商用的測試和科研。而用戶的培養(yǎng)，關(guān)鍵是要有出色的IPv6應(yīng)用來吸引用戶使用下一代互聯(lián)網(wǎng)。學(xué)校在這方面做了有益的嘗試，目前最關(guān)鍵的下一代互聯(lián)網(wǎng)的應(yīng)用是BT。學(xué)校的BT在2008年就已經(jīng)支持IPv6，經(jīng)過2年的建設(shè)，加上下一代互聯(lián)網(wǎng)建設(shè)后雙棧網(wǎng)絡(luò)環(huán)境的建立以及IPv6流量免費(fèi)使用，目前BT上IPV6的種子數(shù)量已經(jīng)超過IPv4的種子。而且目前交大晨光BT的IPv6平臺允許校外用戶訪問，IPv4的平臺則禁止校外用戶訪問。這些因素都加速用戶要盡快安裝并使用IPv6。下一步學(xué)校計劃逐步取消BT平臺IPv4的支持，要想使用BT，必須安裝和使用IPV6協(xié)議。

后續(xù)工作

CNGI2北京交通大學(xué)升級子項目的網(wǎng)絡(luò)改造目前雖已結(jié)束，但還有很多后續(xù)工作需要做：

1）進(jìn)一步加強(qiáng)應(yīng)用系統(tǒng)的遷移工作，使更多的系統(tǒng)為IPv6網(wǎng)絡(luò)提供服務(wù)；已經(jīng)遷移的系統(tǒng)，改造的更好；

2）進(jìn)一步加強(qiáng)IPv6安全防御體系的研究，為IPv6網(wǎng)路的安全可靠運(yùn)行提供保證。主要集中在兩方面的研究：一方面是出口的安全，另一方面是接入安全。

3）配合項目總體規(guī)劃，部署IPv6應(yīng)用示范項目并試用。

4）進(jìn)一步加強(qiáng)基于下一代互聯(lián)網(wǎng)的校園無線網(wǎng)建設(shè)的研究。

隨著國家2008年下一代互聯(lián)網(wǎng)業(yè)務(wù)試商用及設(shè)備產(chǎn)業(yè)化專項教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級和應(yīng)用示范項目的開展，北京交通大學(xué)的下一代互聯(lián)網(wǎng)建設(shè)迎來了新的建設(shè)階段。目前學(xué)校CNGI2項目升級中的網(wǎng)絡(luò)部分改造已基本完成，但相關(guān)的支撐系統(tǒng)的建設(shè)和應(yīng)用系統(tǒng)的遷移才剛剛開始。同時，如何建設(shè)一個安全的下一代互聯(lián)網(wǎng)是一個全新的課題。要想將下一代互聯(lián)網(wǎng)建設(shè)到目前v4網(wǎng)絡(luò)的階段，還有比較長的一段路要走。

（作者單位為北京交通大學(xué)信息中心）