譚愛(ài)平 成亞玲（湖南工業(yè)職業(yè)技術(shù)學(xué)院 湖南 長(zhǎng)沙 410208）

基于IPv6的下一代校園網(wǎng)建設(shè)*

譚愛(ài)平 成亞玲
（湖南工業(yè)職業(yè)技術(shù)學(xué)院 湖南 長(zhǎng)沙 410208）

以湖南工業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)二期改造工程為背景，從高職院校網(wǎng)絡(luò)建設(shè)現(xiàn)狀出發(fā)，分析IPv4協(xié)議在地址資源、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)結(jié)構(gòu)、管理及服務(wù)質(zhì)量方面局限性的基礎(chǔ)上，闡述基于IPv6的下一代校園網(wǎng)的主要特征、IPv6校園網(wǎng)建設(shè)原則。結(jié)合原有IPv4信息資源和應(yīng)用系統(tǒng)應(yīng)用，將原有校園網(wǎng)網(wǎng)絡(luò)升級(jí)為IPv4/IPv6雙棧網(wǎng)絡(luò)平臺(tái)，為推動(dòng)高職院校建設(shè)IPv6校園網(wǎng)及各種新興IPv6應(yīng)用起到了積極示范效果。

IPv6；下一代校園網(wǎng)；IPv4

IP地址作為IP網(wǎng)絡(luò)的最基礎(chǔ)地址資源，是三網(wǎng)融合的先決條件。伴隨著信息化進(jìn)程的加速，IPv4地址資源呈現(xiàn)快速消耗的趨勢(shì)。以中國(guó)電信為例，預(yù)計(jì)在 2011年前后出現(xiàn)明顯地址缺口:用戶量將達(dá)到8600萬(wàn)，移動(dòng)互聯(lián)網(wǎng)用戶2000萬(wàn)，IPTV用戶630萬(wàn)，屆時(shí)，IP地址需求缺口約有1700萬(wàn)。三網(wǎng)融合將產(chǎn)生巨大的IP地址需求：近期，以IPTV為代表的視頻業(yè)務(wù)需要更大的IP尋址空間；遠(yuǎn)期，物聯(lián)網(wǎng)等相關(guān)業(yè)務(wù)的大規(guī)模開(kāi)展將使IP延展到更廣泛的網(wǎng)絡(luò)空間。

為改變IPv4地址資源受限造成的被動(dòng)局面，由IPv4向IPv6平穩(wěn)過(guò)渡成為了各界關(guān)注的焦點(diǎn)。國(guó)內(nèi)各大運(yùn)營(yíng)商正在積極推動(dòng)IPv6的部署和應(yīng)用，而作為科研、學(xué)術(shù)重要陣地的高等院校由于在業(yè)務(wù)驅(qū)動(dòng)方面（需要數(shù)據(jù)網(wǎng)、一卡通、視頻監(jiān)控等多網(wǎng)融合，以降低投資成本，提高管理效率；師生用戶的工作、學(xué)習(xí)和生活完全依賴網(wǎng)路，對(duì)信息服務(wù)的期望值越來(lái)越高；校園網(wǎng)和信息化工作的價(jià)值創(chuàng)造力和價(jià)值量化手段缺乏，信息化應(yīng)該為高校總體發(fā)展戰(zhàn)略提供更有效的支撐）和技術(shù)驅(qū)動(dòng)方面（40G/100G以太網(wǎng)標(biāo)準(zhǔn)已于2010年6月被正式批準(zhǔn)通過(guò)；MPLS技術(shù)被證明可以有效解決IP網(wǎng)絡(luò)的服務(wù)質(zhì)量問(wèn)題；IPv6已經(jīng)啟動(dòng)大規(guī)模的試商用，三網(wǎng)融合、物聯(lián)網(wǎng)、云計(jì)算等重大應(yīng)用和重大產(chǎn)業(yè)快速推進(jìn)）都需要建設(shè)基于IPv6的下一代校園網(wǎng)。

下一代校園網(wǎng)特征

泛載——多業(yè)務(wù)廣泛承載 校園網(wǎng)隨著寬帶網(wǎng)絡(luò)的不斷建設(shè)和接入用戶的規(guī)模發(fā)展，在業(yè)務(wù)應(yīng)用方面出現(xiàn)了如下需求：隨時(shí)隨地的信息服務(wù)，構(gòu)筑按需服務(wù)的教學(xué)網(wǎng)絡(luò)環(huán)境；更高帶寬滿足日益多媒體化的應(yīng)用對(duì)傳輸性能的需求；提供數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)區(qū)分服務(wù)質(zhì)量，保障核心業(yè)務(wù)有效開(kāi)展等等。要滿足多業(yè)務(wù)廣泛承載，可以從以下技術(shù)層面進(jìn)行實(shí)現(xiàn)：普適接入-802.11n無(wú)線對(duì)移動(dòng)業(yè)務(wù)承載，覆蓋每個(gè)角落，無(wú)處不在的網(wǎng)絡(luò)；40G/100G以太網(wǎng)技術(shù)標(biāo)準(zhǔn)提供傳輸帶寬提升承載容量；利用MPLS DS-TE區(qū)分提供服務(wù)優(yōu)先級(jí)，確保服務(wù)質(zhì)量；三網(wǎng)融合、云計(jì)算、物聯(lián)網(wǎng)等新興應(yīng)用。

可信——網(wǎng)絡(luò)和業(yè)務(wù)可信賴 業(yè)務(wù)欺騙在網(wǎng)絡(luò)中無(wú)處不在，下一代校園網(wǎng)在業(yè)務(wù)應(yīng)用方面應(yīng)該達(dá)到網(wǎng)絡(luò)可控、可管和可追溯；業(yè)務(wù)風(fēng)險(xiǎn)大幅度降低；信息服務(wù)更值得信賴等要求。如采用SAVI源地址驗(yàn)證保障地址可信，實(shí)名準(zhǔn)入認(rèn)證確保身份可信，使網(wǎng)絡(luò)中的身份合法、源地址真實(shí)、終端安全、行為可控、服務(wù)可靠。

綠色低碳 國(guó)家狠抓節(jié)能減排工作，節(jié)能減排是全世界的共同目標(biāo)和責(zé)任。信息產(chǎn)業(yè)的二氧化碳排放量已經(jīng)占到全球的2.5%，已成為全球第五大耗能產(chǎn)業(yè)。下一代校園網(wǎng)應(yīng)該節(jié)約能源、降低二氧化碳排放、做到綠色低碳。

基于IPv6 一方面，除臺(tái)式機(jī)、筆記本外，每個(gè)師生用戶的手機(jī)和其他智能終端都有可用的IP地址獲取信息服務(wù)；校園的攝像頭、一卡通卡具、照明燈具都可實(shí)現(xiàn)端到端的IP連接，實(shí)時(shí)在線、永久在線等，這些都需要大量的IP地址。另一方面，由于端到端的連接、服務(wù)質(zhì)量和安全性要求更加苛刻，IPv4/IPv6資源訪問(wèn)互通、業(yè)務(wù)應(yīng)用等都需要IPv6來(lái)解決。

湖南工業(yè)職業(yè)技術(shù)學(xué)院IPv6校園網(wǎng)建設(shè)與應(yīng)用

（一）湖南工業(yè)職業(yè)技術(shù)學(xué)院的IPv6校園網(wǎng)升級(jí)遵循的原則

高可靠性 確保校園網(wǎng)提供的服務(wù)穩(wěn)定。網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，必須保證工作日和重點(diǎn)時(shí)期不間斷運(yùn)行。

高性能 要確保數(shù)字圖書(shū)館、校園FTP、流媒體點(diǎn)播和直播、網(wǎng)絡(luò)安全系統(tǒng)可靠服務(wù)，主干網(wǎng)應(yīng)提供可保證的服務(wù)質(zhì)量和充足的帶寬，確保數(shù)據(jù)、圖像、語(yǔ)音等多媒體的實(shí)時(shí)通訊高性能。

可擴(kuò)充和可擴(kuò)展 所有網(wǎng)絡(luò)設(shè)備不但應(yīng)滿足當(dāng)前需要，還應(yīng)能適應(yīng)未來(lái)校園網(wǎng)環(huán)境的變化，網(wǎng)絡(luò)應(yīng)可以平滑地?cái)U(kuò)充和升級(jí)，最大限度地減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。

易管理 升級(jí)選購(gòu)的網(wǎng)絡(luò)設(shè)備應(yīng)易于管理和維護(hù)、操作簡(jiǎn)單、易學(xué)易用，便于進(jìn)行網(wǎng)絡(luò)配置與管理。

（二）本次校園網(wǎng)升級(jí)建設(shè)的主要內(nèi)容

校園網(wǎng)架構(gòu)的改造 我院原有網(wǎng)絡(luò)架構(gòu)基本采用二層網(wǎng)絡(luò)架構(gòu)模式，網(wǎng)絡(luò)擴(kuò)展性不強(qiáng)，辦公區(qū)的廣播風(fēng)暴，病毒、Dos攻擊等會(huì)直接影響到核心交換機(jī)的性能，對(duì)整網(wǎng)的網(wǎng)絡(luò)性能影響較大。通過(guò)此次升級(jí)，全網(wǎng)網(wǎng)絡(luò)架構(gòu)被改造為核心層、匯聚層、接入層三層架構(gòu)。

IPv6路由設(shè)計(jì) 考慮到我院原有的校園網(wǎng)采用OSPFv2作為主要路由策略，校園網(wǎng)升級(jí)方案中在IPv6校園網(wǎng)上部署的OSPFv3，其域的設(shè)計(jì)沿用了OSPFv2的思路，網(wǎng)絡(luò)管理和路由規(guī)劃等設(shè)計(jì)細(xì)節(jié)也可以參考原有的OSPFv2的原則。根據(jù)部署的模式不同，可以采用不同IPv6的路由協(xié)議部署方式。新建校園網(wǎng)將全網(wǎng)部署雙協(xié)議棧，使IPv4/IPv6校園網(wǎng)資源可平滑對(duì)接。

組播路由設(shè)計(jì) 在校園網(wǎng)中，隨著IPTV、視頻點(diǎn)播等應(yīng)用的大規(guī)模開(kāi)展，IPv6對(duì)組播有很好的支持，并分配了大量的組播地址空間，考慮到原有IPv4網(wǎng)絡(luò)，本次升級(jí)方案中采用了雙棧組播技術(shù)而不是純IPv6的組播技術(shù)。雙棧組播是IPv4和IPv6組播網(wǎng)的疊加，組播源配置成雙棧，可以同時(shí)向IPv4組和IPv6組發(fā)送數(shù)據(jù)流，使運(yùn)行不同協(xié)議棧的所有主機(jī)都能接收組播報(bào)文。這樣，IPv4和IPv6組播能同時(shí)運(yùn)行在路由器和主機(jī)上，并且能同時(shí)存在于同一網(wǎng)絡(luò)鏈路；路由器也能同時(shí)成為IPv4組和IPv6組的匯聚點(diǎn)(RP)，能有效地提升網(wǎng)絡(luò)的性能。

校園網(wǎng)骨干網(wǎng)帶寬升級(jí) 伴隨著信息化建設(shè)的深入，包括學(xué)?；镜慕虒W(xué)教務(wù)管理、科研管理、后勤管理、數(shù)字圖書(shū)館、視頻服務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)和校園社區(qū)服務(wù)等業(yè)務(wù)系統(tǒng)在內(nèi)的校園信息系統(tǒng)建設(shè)要求核心交換機(jī)能夠提供無(wú)瓶頸的數(shù)據(jù)交換，萬(wàn)兆的骨干網(wǎng)絡(luò)速率已成為校園網(wǎng)發(fā)展的趨勢(shì)。我院校園網(wǎng)原有網(wǎng)絡(luò)骨干網(wǎng)是千兆，本次改造后骨干網(wǎng)提升到萬(wàn)兆。

設(shè)備升級(jí) 我院原有的聯(lián)想品牌網(wǎng)設(shè)備，不支持IPv4/ IPv6雙棧。本次改造后采用的核心設(shè)備是Cisco的6500系列和銳捷的RG-8610系列，匯聚設(shè)備是銳捷的RG-S5750，支持雙棧，可以滿足廣大師生對(duì)CERNET和CNGI-CERNET2資源的同時(shí)訪問(wèn)。

校園網(wǎng)安全防護(hù)提升 由于接入層設(shè)備采購(gòu)時(shí)間較早，不支持ARP攻擊防御，不支持ACL以及環(huán)路檢測(cè)等安全特性，對(duì)ARP攻擊、DHCP仿冒等難以有效防御。本次網(wǎng)絡(luò)升級(jí)對(duì)校園網(wǎng)的安全防護(hù)進(jìn)行了合理規(guī)劃，能有效地防止各類安全事件。升級(jí)后的校園網(wǎng)有四個(gè)出口：（1）教育網(wǎng)出口：以獨(dú)立光纖線路接入CERNET華中區(qū)網(wǎng)絡(luò)節(jié)點(diǎn)中南大學(xué)，網(wǎng)絡(luò)帶寬為100Mbps；（2）電信網(wǎng)出口：電信網(wǎng)出口帶寬為1Gbps；（3）聯(lián)通網(wǎng)出口：2010年增加150M連通網(wǎng)出口帶寬；（4）Ipv6出口：以獨(dú)立光纖線路接入CERNET華中區(qū)網(wǎng)絡(luò)節(jié)點(diǎn)中南大學(xué)，網(wǎng)絡(luò)帶寬為1Gbps，升級(jí)改造后的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 湖南工業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)示意圖

無(wú)線用戶接入 湖南工業(yè)職業(yè)技術(shù)學(xué)院原有校園網(wǎng)全部為有線網(wǎng)絡(luò)，升級(jí)后的校園網(wǎng)新增了無(wú)線網(wǎng)絡(luò)設(shè)備，以擴(kuò)大IPv6的接入范圍和接入手段。無(wú)線網(wǎng)絡(luò)于2010年3月完成了一期工程，總共安裝了42個(gè)無(wú)線接入點(diǎn)，實(shí)現(xiàn)了無(wú)線網(wǎng)絡(luò)對(duì)湖南工業(yè)職業(yè)技術(shù)學(xué)院教學(xué)區(qū)域、辦公區(qū)、學(xué)生宿舍、圖書(shū)館和公共活動(dòng)區(qū)域的100%覆蓋。無(wú)線接入采用實(shí)名準(zhǔn)入認(rèn)證確保身份可信，如圖2所示。升級(jí)后的網(wǎng)絡(luò)分為核心層、匯聚層、接入層。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時(shí)要為各匯聚節(jié)點(diǎn)提供最佳傳輸通道。在部署IPv6核心層設(shè)備時(shí)，特別注意了在雙棧環(huán)境中設(shè)備轉(zhuǎn)發(fā)性能達(dá)到線速轉(zhuǎn)發(fā)。核心層的Cisco 6500系列、銳捷RG-8610系列交換機(jī)，實(shí)現(xiàn)萬(wàn)兆雙鏈路捆綁，保證核心設(shè)備間的高性能轉(zhuǎn)發(fā)及冗余，實(shí)現(xiàn)匯聚設(shè)備的雙鏈路上行，提高骨干鏈路可靠性。匯聚層的主要任務(wù)是把大量來(lái)自接入層的訪問(wèn)路徑進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問(wèn)控制的任務(wù)。由于匯聚層設(shè)備壓力比較大，選用了模塊化、分布式轉(zhuǎn)發(fā)的體系結(jié)構(gòu)的銳捷RG-S5750系列設(shè)備，具備良好的可擴(kuò)展性等性能。接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等方式的攻擊，對(duì)安全性的要求很高，還必須提供靈活的用戶管理手段。在部署IPv6網(wǎng)絡(luò)時(shí)，首先要考慮接入層交換機(jī)支持對(duì)雙棧用戶進(jìn)行認(rèn)證，IPv6 HOST、IPv6 ACL、WEB瀏覽器認(rèn)證等功能，同時(shí)，在IPv6中，用戶可能遭受ND攻擊，接入層交換機(jī)也需要支持ND防攻擊的相關(guān)功能。在此次升級(jí)中，接入層設(shè)備采用的是支持IPv6管理并具有安全特性的RG-S26、RG-S26系列產(chǎn)品。

圖2 無(wú)線實(shí)名準(zhǔn)入認(rèn)證圖

（三）IPv6信息資源與應(yīng)用系統(tǒng)

在原有基礎(chǔ)上，基于IPv4/IPv6雙棧網(wǎng)絡(luò)平臺(tái)重點(diǎn)升級(jí)開(kāi)發(fā)了信息資源系統(tǒng)和應(yīng)用系統(tǒng)，部署了數(shù)字圖書(shū)館、流媒體點(diǎn)播和直播服務(wù)器，開(kāi)發(fā)了新的IPv6校園網(wǎng)門(mén)戶系統(tǒng)、IPv6網(wǎng)絡(luò)虛擬教學(xué)平臺(tái)，配備了FTP文件服務(wù)器、EMAIL郵件服務(wù)器等。

通過(guò)IPv6校園網(wǎng)建設(shè)項(xiàng)目，湖南工業(yè)職業(yè)技術(shù)學(xué)院已在全院范圍內(nèi)建成IPv4/IPv6雙棧網(wǎng)絡(luò)，使IPv6網(wǎng)絡(luò)普及率達(dá)到100%。在校園內(nèi)實(shí)現(xiàn)了隨時(shí)隨地訪問(wèn)IPv6網(wǎng)絡(luò)資源，網(wǎng)絡(luò)可靠率達(dá)到98%，IPv4/IPv6雙棧用戶數(shù)超過(guò)5000人，提供DNS、Web、郵件、音視頻等多種IPv6應(yīng)用，為推動(dòng)湖南省高校IPv6校園網(wǎng)建設(shè)及各種新興的IPv6應(yīng)用的發(fā)展提供了較好的條件，同時(shí)也為湖南省其他高校建設(shè)IPv6校園網(wǎng)提供了重要參考。

[1]趙海，孫華麗，王翠榮.IPv6網(wǎng)絡(luò)拓?fù)涮卣餮莼治鯷J].東北大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，32(3)：28-32.

[2]王相林.IPv6技術(shù)新一代網(wǎng)絡(luò)技術(shù)[M].北京:機(jī)械工業(yè)出版社，2008:12-56.

[3]Li Qing.IPV6 Advanced Protocols Implementation[M].北京:人民郵電出版社，2009:23-49.

[4]Childress B，Cathey B，Dixon S.The adoption of IPv6 [J].Journal of Computing Sciences in Colleges，2003，18（4）：39-51.

[5]張五紅，王宇.高校IPv6校園網(wǎng)的部署與配置[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28（13）：3106-3110.

[6]張?zhí)煸?IPv6技術(shù)及其在校園網(wǎng)的部署 [J].信息技術(shù)，2007，35（1）：25-26.

[7]羅輝瓊，聶瑞華，鄭凱.基于IPv6的校園網(wǎng)升級(jí)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（3）：133-135.

[8]韓強(qiáng).基于IPv4向IPv6過(guò)渡期的校園網(wǎng)架構(gòu)研究[J].吉林工程技術(shù)師范學(xué)院學(xué)報(bào)，2010，26（2）：68-70.

[9]張宏科，蘇偉.IPv6路由協(xié)議棧原理與技術(shù)[M].北京:北京郵電大學(xué)出版社，2006:50-125.

[10]肖嵬.基于IPv6的下一代網(wǎng)絡(luò)在校園網(wǎng)中的實(shí)現(xiàn)[J].重慶師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2009，26（4）：82-85.

G717

A

1672-5727（2011）08-0167-02

譚愛(ài)平（1979—），男，碩士，湖南工業(yè)職業(yè)技術(shù)學(xué)院講師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全技術(shù)。

成亞玲（1981—），女，碩士，湖南工業(yè)職業(yè)技術(shù)學(xué)院講師，研究方向?yàn)橛?jì)算機(jī)應(yīng)用。

*本文系教育部高職高專計(jì)算機(jī)類專業(yè)教指委2011規(guī)劃課題《機(jī)械行業(yè)高職網(wǎng)絡(luò)工程專業(yè)關(guān)鍵問(wèn)題的研究》（課題編號(hào)：jzw590111033）；湖南省教育廳2010年科學(xué)研究項(xiàng)目《數(shù)字校園統(tǒng)一身份管理模型及關(guān)鍵技術(shù)研究》(項(xiàng)目編號(hào):10C0120)的部分研究成果