楊 陽

（天津電子信息職業(yè)技術學院 天津300150）

隨著2010 年2 月3 日國際互聯網名稱和編號分配公司（ICANN）將最后5 組IP 地址 （基于互聯網通信協議IPv4）分配給全球5 大區(qū)域互聯網注冊管理機構，第一代互聯網地址總庫已經枯竭，互聯網未來的發(fā)展將系于在全球范圍內普及下一代互聯網通信協議IPv6。

IPv6 的特點

海量的地址空間 IPv6 最根本的改變是能滿足未來全球范圍內可確定的地址空間需求。IPv6 將地址位數從IPv4 的32 位，擴展到128 位。 這意味著可以為地球上任何需要加入互聯網的設備提供唯一的確定的地址。 正因為有了全球范圍內可確定的唯一地址，IPv6 提供了全球范圍內的地址可達性、端到端的安全通信以及所有對地址有要求的應用和服務的支持。

無需NAT 海量的地址空間使得作為暫時解決地址空間不足的NAT （Network Address Translation，網絡地址轉換）技術慢慢退出歷史舞臺， 從而提高了網絡的效率。

沒有廣播地址 IPv6 包括單播地址（一到一），多播地址（一到多） 和新的任意播地址 （一到最近），而沒有了廣播地址。

更簡單的報頭提高了路由器的效率 更簡單的報頭提供了更多優(yōu)于IPv4 的地方， 包括路由選擇效率更高，有助于提高性能和轉發(fā)速率；不需要處理校驗和；報頭擴展機制更簡單，效率更高。

IPv4 到IPv6 的過渡

雖然IPv6 的使用是必然的，但現階段Internet 無論是網絡設備還是用戶設備主要基于IPv4，要將這些設備都替換成IPv6 設備，需要大量的經費。 另外，網絡的升級換代需要時間，不能以暫?，F有業(yè)務為代價。 為了實現IPv4 到IPv6的 平 穩(wěn) 過 渡 ，IETF （Internet Engineering Task Force， 互聯網工程任務組）設計了多種方法，主要分為雙協議棧、隧道化、網絡地址轉換。

雙協議棧 雙協議棧是指在設備上同時啟用IPv4 和IPv6 協議棧。 雙棧節(jié)點根據目標地址決定使用哪個協議棧， 這樣就需要每臺設備都要支持兩種協議， 而且每臺設備都要配置兩種協議，需要雙尋址方案，IPv4 和IPv6 選路協議的雙重管理，IPv4 和IPv6 兩個路由表占用更多資源， 更使得管理成本更高， 故障排除和監(jiān)管工作更加復雜。

隧道技術 隧道 （Tunnel）是指一種協議封裝到另外一種協議中來實現傳輸互聯的目的。 現階段有多種隧道機制可用來部署IPv6。人工配置隧道：隧道的兩個端點需要使用適當的IPv4 和IPv6 地址進行配置，坐落于端點的邊緣路由器通常是雙棧路由器。 通用路由封裝（Generic Routing Encapsulation，GRE）隧道：按照IPv4 網絡傳輸數據的定義，GRE 通過將需要傳輸的數據包封裝在GRE 包內， 從而傳輸IPv6 數據。 GRE 是通過隧道傳輸IPv6 業(yè)務負載的一個理想的機制。 6to4 隧道：是使用嵌在IPv6 地址中的一個IPv4 地址來確認隧道的端點，并自動建立隧道。

網絡地址轉換 NAT-PT（Network Address Trans-lation Protocol）附帶協議轉換器的網絡地址轉換器，是一種轉換機制，需要部署在只支持IPv6 的網絡和只支持IPv4的網絡之間， 但是需要連接兩個IPv6 網絡的時候， 使用它并不合適，因為這將需要在兩個地方進行轉換，使得效率降低。

現階段我國IPv6 的發(fā)展情況

1998 年，教育部建設了CERNET-IPv6 試驗網。 2003 年8 月經國務院批準，我國下一代互聯網示范項目（CNGI）正式啟動。 此項目由國家發(fā)改委等八個部委共同組織，六大全國性網絡運營商和清華大學、北京大學、中國科學院等一百多所高校和研究單位以及華為公司、 中興通訊、CISCO 等幾十個網絡設備制造商通力合作參與，成為我國下一代互聯網進程的一個里程碑。 2004 年12 月25 日，由國家發(fā)改委等八大部委聯合宣布我國第一個下一代互聯網示范網（CNGI）—CERNET2 主干網正式開通， 標志著我國以IPv6 為核心的下一代互聯網正式進入實質發(fā)展階段。 2011 年12 月，國務院總理溫家寶主持召開國務院常務會議，研究部署加快發(fā)展我國下一代互聯網產業(yè)。 2012 年5 月，工信部發(fā)布了《互聯網行業(yè)“十二五”發(fā)展規(guī)劃》，要求“十二五”期間骨干網全面支持IPv6， 使得IPv6 網絡在中國開始更加引人關注。

校園網的IPv6 的技術部署

隨著IPv6 業(yè)務的不斷開展以及網絡設備的不斷更新，校園網成為推動IPv6 發(fā)展的主要動力。 初期的校園網使用隧道技術在以IPv4 為主的原有網絡上部署IPv6，逐漸過渡到部分網絡采用雙棧技術組網，直到目前的以雙棧網絡為主校園網，經歷了長時間的規(guī)劃和更新過程。 目前，筆者所在學院的雙棧模式校園網部署方案如1 所示。

圖1 雙棧模式校園網部署方案示意圖

如圖1 所示，在校園網骨干網絡部署中采用三層拓撲結構：（1）核心層： 需要提供高速廣域網接口， 最長的網絡正常運行時間，全面的網絡安全性和可擴展性，并且能適應未來發(fā)展并保護投資體系結構， 有多種業(yè)務的支持能力，包括IPv6 隧道以及IPv6/IPv4 雙棧協議等等。 （2）匯聚層：高密度接口，高性能，高容量，多種業(yè)務支持能力， 包括IPv6 隧道以及IPv6/IPv4 雙棧協議。 （3）接入層：高性能，多業(yè)務支持，支持IPv6/IPv4 雙棧協議，校園內的用戶可以經過接入設備方便地訪問IPv6 和IPv4 的資源。

對于雙棧的終端設備，IPv6 網關和IPv4 網關都部署在匯聚層的三層交換機上。 為提高網絡可靠性，匯聚層和核心層之間、接入層和匯聚層之間均采用雙鏈路上聯，以實現鏈路的冗余，匯聚層設備作為用戶接入點網關設備，通過運行VRRP 實現網關冗余，核心節(jié)點采用雙核心部署保證節(jié)點冗余。

雙棧校園網的安全問題

網絡安全問題是網絡建設中必不可少的考慮因素。 針對雙棧校園網， 不僅要考慮針對IPv4 接入層和匯聚層的安全防御，同樣要考慮針對IPv6 協議族的攻擊帶來的安全問題。

首先，考慮添加雙棧防火墻設備來提高網絡的安全性。 目前，我國對過渡時期防火墻設備的規(guī)范還處于起步階段，雙棧防火墻設備技術要求的國家標準和行業(yè)標準也尚未制定。 因此，中國移動牽頭、華為參與起草的《雙棧防火墻設備技術要求》行業(yè)標準，成為我國首個對IPv4 向IPv6 過渡中的防火墻設備的技術規(guī)范標準。

其次， 采用802.1X 的傳統認證方式。 雙棧用戶通過認證后，本地地址信息上傳到認證服務器，為用戶提供審計，保證了用戶接入的合法性和安全性。

最后， 采用接入層防攻擊策略，其中包括防欺騙攻擊，防DOS攻擊，防DAD 攻擊等等。

[1]楊立身.陳艷格.IPv6 校園網架構探討[J].光通信研究，2008（5）.

[2]劉震.基于IPv6 的下一代校園網設計研究[D].上海：東華大學，2005.

[3]陸孺牛.IPv6 校園網的設計與部署[D].西安：西安電子科技大學，2008.

[4]Diane Teare.CCNP ROUTE學習指南[M].北京：人民郵電出版社，2011.

[5]杭州華三通信技術有限公司.新一代網絡建設理論與實踐[M].北京：電子工業(yè)出版社，2011.

[6]張五紅，王宇.高校IPv6 校園網的部署與配置[J].計算機工程與設計，2007（13）.

[7]張?zhí)煸?IPv6 技術及其在校園網的部署[J].甘肅科技縱橫，2006（1）.