因特網(wǎng)協(xié)議版本6技術(shù)在校園網(wǎng)中的應(yīng)用

中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司南京分公司 周宇燕

IPv6（因特網(wǎng)協(xié)議版本6）地址可以提供足夠的地址空間，其所擁有的地址容量是IPv4的約8×1028倍[1]，并能提供更多的地址層次，還將層次化要求設(shè)計(jì)到了全局可路由地址的格式中。在目前IPv4網(wǎng)絡(luò)技術(shù)如此成熟的情況下，只能通過(guò)分步實(shí)施的方法來(lái)逐步過(guò)渡到IPV6網(wǎng)絡(luò)。因此，在今后相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，IPv6網(wǎng)絡(luò)將和IPv4網(wǎng)絡(luò)共存。如何以合理的代價(jià)逐步過(guò)渡到IPv6，解決好IPv4與IPv6共存，將是我們需要迫切考慮的。

本文研究的主要內(nèi)容包括IPv6主流過(guò)渡技術(shù)的探討，并以南京某大學(xué)校園網(wǎng)為例，綜合各種技術(shù)，討論增加IPV6網(wǎng)絡(luò)的可能性，并設(shè)計(jì)IPv6網(wǎng)絡(luò)的架構(gòu)方案。

1 IPv6與IPv4的共存與整合策略

目前的IPv6與IPv4共存與整合策略主要依靠過(guò)渡技術(shù)實(shí)現(xiàn)，過(guò)渡技術(shù)重點(diǎn)解決如何在IPv4網(wǎng)絡(luò)環(huán)境里實(shí)現(xiàn)與IPv6網(wǎng)絡(luò)的互操作及平滑過(guò)渡問(wèn)題。

1.1 雙協(xié)議棧技術(shù)

雙協(xié)議棧（dualstack）是指在單個(gè)節(jié)點(diǎn)同時(shí)支持IPv4和IPv6兩種協(xié)議棧。由于IPv6和IPv4是功能相近的網(wǎng)絡(luò)層協(xié)議，兩者都基于相同的物理平臺(tái)，而且加載于其上的傳輸層協(xié)議TCP（傳輸控制協(xié)議）和UDP（用戶(hù)數(shù)據(jù)報(bào)文協(xié)議）也沒(méi)有區(qū)別，所以可以在一臺(tái)主機(jī)上同時(shí)支持IPv4和IPv6。雙協(xié)議棧技術(shù)的工作原理是：一臺(tái)主機(jī)同時(shí)支持IPv6和IPv4兩種協(xié)議，該主機(jī)既能與支持IPv4協(xié)議的主機(jī)通信，又能與支持IPv6的主機(jī)通信。雙協(xié)議棧是其他IPv4/IPv6互通技術(shù)的基礎(chǔ)，它有3種工作模式[2]：只運(yùn)行IPv6，此時(shí)表現(xiàn)為IPv6節(jié)點(diǎn)；只運(yùn)行IPv4，此時(shí)表現(xiàn)為IPv4節(jié)點(diǎn)；同時(shí)打開(kāi)IPv6和IPv4。

圖1為雙棧協(xié)議結(jié)構(gòu)。

1.2 隧道技術(shù)

隧道機(jī)制就是用IPv4封裝IPv6數(shù)據(jù)包并且把這些封裝了的數(shù)據(jù)包通過(guò)IPv4網(wǎng)絡(luò)送往一個(gè)IPv4目的節(jié)點(diǎn)，目的節(jié)點(diǎn)拆封數(shù)據(jù)包并剝離出IPv6數(shù)據(jù)包。

1.2.1 ISATAP隧道

ISATAP（站點(diǎn)間自動(dòng)隧道尋址協(xié)議）由RFC 4212定義[3]，它是一種地址分配技術(shù)，是一種主機(jī)到主機(jī)、主機(jī)到路由器以及路由器到路由器的自動(dòng)隧道技術(shù)，它可以在IPv4網(wǎng)絡(luò)上創(chuàng)建一個(gè)虛擬IPv6網(wǎng)絡(luò)。IPv6數(shù)據(jù)包在IPv4中的隧道封裝在ISATAP主機(jī)之間或者ISATAP主機(jī)和ISATAP路由器之間執(zhí)行。隧道封裝是自動(dòng)的，意味著當(dāng)啟用了ISATAP時(shí)沒(méi)必要在主機(jī)上應(yīng)用手動(dòng)配置。對(duì)于ISATAP主機(jī)到ISATAP路由器的隧道，ISATAP主機(jī)必須首先從可用的路由器列表中找出一個(gè)ISATAP路由器的IPv4地址。分配給ISATAP主機(jī)和路由器的地址由專(zhuān)用的可聚合全球單播IPv6地址和特殊格式的接口標(biāo)識(shí)組合而成。一個(gè)ISATAP主機(jī)上啟用的ISATAP地址使用本地鏈路前綴（FE80::/10）。必須給站點(diǎn)內(nèi)的ISATAP操作分配一個(gè)可聚合或者本地站點(diǎn)的/64前綴。ISATAP主機(jī)通過(guò)在IPv4上建立起來(lái)的ISATA隧道從ISATAP路由器發(fā)送的廣播消息中接收/64前綴。ISATAP在ISATAP?IPv6地址中嵌入IPv4地址[2]。接口標(biāo)識(shí)在IANA（因特網(wǎng)號(hào)碼分配部門(mén)）保留給ISATAP的高階32位0000:5EFE后追加32位IPv4地址IPv4兼容隧道。

1.2.2 6to4（IPv6 to IPv4）隧道

在兩個(gè)IPv6域間建立、操作、管理和支持配置隧道至少需要兩個(gè)實(shí)體的同步，對(duì)于某些組織來(lái)說(shuō)有些麻煩。IETF（因特網(wǎng)工程任務(wù)組）定義了另一種稱(chēng)為6to4的機(jī)制來(lái)簡(jiǎn)化通過(guò)隧道在IPv4網(wǎng)絡(luò)上配置IPv6。這種機(jī)制在由IPv6節(jié)點(diǎn)組成的站點(diǎn)之間采用動(dòng)態(tài)隧道方法，不需要手動(dòng)地事先調(diào)整隧道的源和目的IPv4地址。IP數(shù)據(jù)包的隧道封裝是根據(jù)6to4站點(diǎn)上產(chǎn)生的數(shù)據(jù)包的目的地址自動(dòng)完成的。這種機(jī)制在站點(diǎn)邊緣的邊界路由器上啟用，6to4路由器必須通過(guò)IPv4路由器基礎(chǔ)設(shè)施到達(dá)其他的6to4站點(diǎn)和6to4路由器。6to4前綴都基于IANA分配的2002::/16地址空間[4]。每個(gè)6to4站點(diǎn)至少使用一個(gè)分配給6to4路由器的全球單播IPv4地址，IPv4的32位地址被轉(zhuǎn)換為16進(jìn)制格式后附加在2002::/16前綴后面。最終表現(xiàn)形式是2002:IPv4-address::/48。6to4前綴基于全球唯一的IPv4地址，所以沒(méi)必要在6to4站點(diǎn)之間傳播/48前綴的IPv6路由。

2 IPV6技術(shù)在校園網(wǎng)中的應(yīng)用

2.1 校園網(wǎng)總體組網(wǎng)

校園園區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)可以分成三層：接入層、匯聚層和核心層。

1）接入層：提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成簡(jiǎn)單的二、三層交換。安全、QoS（服務(wù)質(zhì)量）和POE（以太網(wǎng)供電）功能都位于這一層。

2）匯聚層：匯聚來(lái)自配線(xiàn)間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。

3）核心層：網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。

2.2 IPv6規(guī)劃

組建IPv4/IPv6校園網(wǎng)其實(shí)是在學(xué)校已經(jīng)比較成熟的IPv4網(wǎng)絡(luò)基礎(chǔ)之上組建新的IPv6網(wǎng)絡(luò)，根據(jù)不同時(shí)期的應(yīng)用需求逐步對(duì)IPv6網(wǎng)絡(luò)進(jìn)行針對(duì)性改造，讓其適應(yīng)日益增長(zhǎng)的IPv6應(yīng)用要求。目前，從IPv6在校園網(wǎng)內(nèi)的發(fā)展規(guī)律來(lái)看，IPv6數(shù)據(jù)量增長(zhǎng)是一個(gè)漸進(jìn)的過(guò)程，而現(xiàn)在的網(wǎng)絡(luò)設(shè)備大部分都是基于IPv4的，不可能將它在短時(shí)間內(nèi)都過(guò)渡到基于IPv6的設(shè)備。因此校園網(wǎng)中應(yīng)用IPv6也是一個(gè)漸進(jìn)的過(guò)程，IPv4/IPv6將長(zhǎng)期共存[5]。

2006年CERNET 2（第二代中國(guó)教育和科研計(jì)算機(jī)網(wǎng)）開(kāi)通，CERNET2是中國(guó)教育科研網(wǎng)專(zhuān)門(mén)針對(duì)IPv6技術(shù)的發(fā)展建設(shè)的實(shí)驗(yàn)型網(wǎng)絡(luò)，現(xiàn)在已經(jīng)在全國(guó)許多高校開(kāi)通。南京林業(yè)大學(xué)如要進(jìn)行IPv6的過(guò)渡，則也應(yīng)該連接到CERNET 2[6]。

部署IPv6之前要考慮的方針策略：

1）網(wǎng)絡(luò)中部署IPv6業(yè)務(wù)的模式。

在校園網(wǎng)中部署IPv6可以有全雙棧模式和隧道模式。全雙棧模式組網(wǎng)是最理想的方案，不必為不同類(lèi)型的用戶(hù)單獨(dú)部署網(wǎng)絡(luò)配置，開(kāi)銷(xiāo)小，管理簡(jiǎn)單，IPv4和IPv6的邏輯界面清晰。隧道模式屬于過(guò)渡技術(shù)，不是最終的理想方案；隧道兩端點(diǎn)設(shè)備需要花費(fèi)額外的系統(tǒng)開(kāi)銷(xiāo)。

2）針對(duì)不同的網(wǎng)絡(luò)環(huán)境進(jìn)行建設(shè)[7]。

可以考慮直接擴(kuò)容為全雙棧模式，適當(dāng)兼顧只支持IPv4棧的終端；可根據(jù)學(xué)校的實(shí)際情況，可以先建設(shè)部分雙棧網(wǎng)絡(luò)，其他部分采用隧道模式允許用戶(hù)訪(fǎng)問(wèn)CERNET 2，逐步將不支持IPv6的設(shè)備進(jìn)行換代升級(jí)。

綜上所述，本次部署IPv6網(wǎng)絡(luò)的時(shí)候，建議有條件的網(wǎng)絡(luò)中采用全雙棧部署，完成本次駐地網(wǎng)的大部分建設(shè)；其次根據(jù)現(xiàn)有校園網(wǎng)內(nèi)的實(shí)際情況，采用部分過(guò)渡技術(shù)，在不影響現(xiàn)有IPv4校園網(wǎng)主體拓?fù)浣Y(jié)構(gòu)的條件下，使得校園網(wǎng)中需要部署IPv6網(wǎng)絡(luò)的地方能夠通過(guò)隧道技術(shù)，接入CERNET 2。從技術(shù)角度，這是最理想的方案，不必為不同類(lèi)型的用戶(hù)單獨(dú)部署網(wǎng)絡(luò)配置，開(kāi)銷(xiāo)小，管理簡(jiǎn)單，IPv4和IPv6的邏輯界面清晰。

2.3 校園網(wǎng)方案

在校園網(wǎng)內(nèi)部架設(shè)IPv6網(wǎng)絡(luò)，既能從實(shí)際上解決學(xué)校IP地址短缺的問(wèn)題，又能為使用IPv6技術(shù)積累經(jīng)驗(yàn)。經(jīng)過(guò)調(diào)查研究，發(fā)現(xiàn)南京某大學(xué)校園網(wǎng)設(shè)備對(duì)IPv6支持情況見(jiàn)表1。

從表1可以看出，除接入層交換機(jī)外，其他都可以直接支持IPv6。這樣就可以在不改變校園網(wǎng)網(wǎng)絡(luò)拓?fù)?，不增加設(shè)備的情況下，實(shí)現(xiàn)IPv4和IPv6的共存，并實(shí)現(xiàn)層次化的IPv6網(wǎng)絡(luò)。

?

經(jīng)研究，對(duì)校園網(wǎng)改造可采取如下方案：

1）將試驗(yàn)樓改造為IPv6網(wǎng)絡(luò)；

2）為連接實(shí)驗(yàn)樓的核心交換機(jī)增加一個(gè)NP模塊，設(shè)置為雙棧交換機(jī)；

3）將實(shí)驗(yàn)樓的匯聚交換機(jī)設(shè)置位雙棧交換機(jī)；

4）將路由器設(shè)備為雙棧路由器，并連接到CERNET 2。

校園網(wǎng)其他設(shè)備不做改動(dòng)。

改造后的校園網(wǎng)拓?fù)湟?jiàn)圖2。

改造后的校園網(wǎng)通信情況可分為以下幾種情況：

1）校園網(wǎng)內(nèi)部IPv4主機(jī)之間通信。

對(duì)于校園網(wǎng)內(nèi)部IPv4主機(jī)之間通信，通過(guò)IPv4協(xié)議棧，與改造前無(wú)任何區(qū)別。

2）校園網(wǎng)內(nèi)部IPv6主機(jī)之間通信。

對(duì)于校園網(wǎng)內(nèi)部IPv6主機(jī)之間通信，通過(guò)IPv6協(xié)議棧，只需要在匯聚層和核心層交換機(jī)上開(kāi)啟雙棧。

3）校園網(wǎng)內(nèi)部IPv4與IPv6主機(jī)之間通信。

對(duì)于校園網(wǎng)內(nèi)部IPv4與IPv6主機(jī)之間通信，可在匯聚層交換機(jī)上運(yùn)用NAT-PT（網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換）技術(shù)實(shí)現(xiàn)雙向轉(zhuǎn)化。

4）校園網(wǎng)內(nèi)部IPv6主機(jī)與外部IPv6之間通信。

對(duì)于直接相連的IPv6網(wǎng)絡(luò)直接通過(guò)IPv6協(xié)議棧通信，非直接相連的IPv6孤島，可在邊界路由器上開(kāi)啟隧道，通過(guò)隧道進(jìn)行通信。

5）校園網(wǎng)內(nèi)部IPv6主機(jī)與外部IPv4之間通信。

對(duì)于校園網(wǎng)內(nèi)部IPv6主機(jī)與外部IPv4之間通信，可在邊界路由器上運(yùn)行NAT-PT進(jìn)行轉(zhuǎn)換，實(shí)現(xiàn)與外界IPv4網(wǎng)絡(luò)通信。

通過(guò)以上一系列工作，可基本實(shí)現(xiàn)將新增IPv6網(wǎng)絡(luò)平滑地融入到IPv4網(wǎng)絡(luò)中。然后，隨著時(shí)間的推移，IPv6技術(shù)的成熟，IPv6應(yīng)用增多，可逐步將IPv4節(jié)點(diǎn)升級(jí)到IPv6節(jié)點(diǎn)，加大IPv6節(jié)點(diǎn)的覆蓋面。最后，將校園網(wǎng)全面過(guò)渡到純IPv6網(wǎng)絡(luò)。

3 結(jié)束語(yǔ)

本文基于IPv6技術(shù)組網(wǎng)設(shè)計(jì)，在網(wǎng)絡(luò)地址的短缺條件下，對(duì)IPv6技術(shù)進(jìn)行理論探討，并根據(jù)在校園網(wǎng)內(nèi)增加IPv6網(wǎng)絡(luò)的具體情況，得出結(jié)論：利用現(xiàn)有的設(shè)備，采用合適的方法，根據(jù)具體情況，是可以實(shí)現(xiàn)在一個(gè)普通的校園網(wǎng)內(nèi)增設(shè)IPv6網(wǎng)絡(luò)的。通過(guò)雙協(xié)議棧、隧道技術(shù)，可以在校園網(wǎng)內(nèi)實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互聯(lián)互通，從而在今后一段時(shí)間內(nèi)，實(shí)現(xiàn)從IPv4向IPv6的平滑過(guò)渡。

因?yàn)镮Pv6是新的協(xié)議，在其發(fā)展過(guò)程中必定會(huì)產(chǎn)生一些新的安全問(wèn)題。與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)，在可控性和抗否認(rèn)性方面有了新的保證，但I(xiàn)Pv6不僅不可能徹底解決所有安全問(wèn)題，同時(shí)還會(huì)伴隨其產(chǎn)生新的安全問(wèn)題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來(lái)自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn)，還需配合多種手段，構(gòu)建一個(gè)整體的防御體系，這樣才能使我們的網(wǎng)絡(luò)應(yīng)用更加安全。

[1]GONCALRVESMarcrus.IPv6網(wǎng)絡(luò) [M].北京:人民郵電出版社,2000.48-54.

[2]波波維亞.部署IPv6網(wǎng)絡(luò) [M].北京:人民郵電出版社,2007.218-225.

[3]姚羽.IPv6技術(shù)項(xiàng)目實(shí)驗(yàn)指導(dǎo)書(shū)[M].北京:電子工業(yè)出版社,2007.111-156.

[4]VOLZB.Dynamic hostconfiguration protocol for IPv6(DHCPv6)relay agent subscriber–ID option[BE/OL].[2014-03-05].http://datatracker.ietf.org/doc/rfc4580/.

[5]POPOVICIUCprian．部署IPv6網(wǎng)絡(luò) [M].北京:人民郵電出版社,2006.

[6]李云琪，楊家海.一個(gè)面向IPv6的網(wǎng)絡(luò)拓?fù)涔芾硐到y(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2004(29):73-75.

[7]張金祥,楊家海.3TNet綜合網(wǎng)絡(luò)管理系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) [J].中國(guó)教育網(wǎng)絡(luò),2007(2):15-16. ◆