□張俊鵬

一、高校校園網(wǎng)絡(luò)現(xiàn)狀

目前我國(guó)高校校園網(wǎng)絡(luò)建設(shè)大部分都是基于IPv4 技術(shù)，而校園網(wǎng)絡(luò)的發(fā)展方向和趨勢(shì)及實(shí)際應(yīng)用對(duì)網(wǎng)絡(luò)地址數(shù)量、網(wǎng)絡(luò)安全性、服務(wù)質(zhì)量、移動(dòng)性等都有較高要求，尤其是IPv4地址的匱乏問(wèn)題只能采用NAT 等技術(shù)應(yīng)付，但這樣就打破了IPv4 全網(wǎng)絡(luò)唯一性的原則，降低了網(wǎng)絡(luò)的安全性和穩(wěn)定性，增加了校園網(wǎng)絡(luò)的建設(shè)難度和成本以及復(fù)雜性，以上種種情況說(shuō)明IPv4 難以滿足校園網(wǎng)絡(luò)進(jìn)一步發(fā)展的需求。而IPv6可以解決上述存在的一系列問(wèn)題，它有巨大的地址空間(IPv4的地址空間是232，IPv6 的地址空間則達(dá)到了2128，可用地址數(shù)量幾乎可以說(shuō)是無(wú)窮的)、可靠的安全性、易管理、可移動(dòng)性、QoS 多樣化等等許多新特性，較好地解決了上述問(wèn)題。

對(duì)于大部分高校而言，已分配的IP 地址是有限的，許多學(xué)校甚至已經(jīng)基本用盡，而各種應(yīng)用系統(tǒng)、各種服務(wù)器的數(shù)量只會(huì)越來(lái)越多，若繼續(xù)申請(qǐng)IPv4 地址要面對(duì)的問(wèn)題除耗費(fèi)一定資金以外還有一個(gè)較長(zhǎng)的審批時(shí)間和可用地址絕對(duì)數(shù)量仍然很少的情況，根本無(wú)法滿足今后的需要。IP 地址緊缺成為高校校園網(wǎng)絡(luò)進(jìn)一步發(fā)展的最大桎梏之一，因此建設(shè)基于IPv6 的校園網(wǎng)絡(luò)，保證校園網(wǎng)絡(luò)從IPv4 逐步平穩(wěn)過(guò)渡并直至被IPv6 完全取代已成為非常迫切的需求，對(duì)高校信息化建設(shè)工作具有重大的現(xiàn)實(shí)意義。

雖然IPv6 取代IPv4 是目前網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，但在當(dāng)前的一段時(shí)間內(nèi)，IPv6 完全取代IPv4 仍然存在著一些問(wèn)題:現(xiàn)在所使用的絕大部分網(wǎng)絡(luò)設(shè)備都不支持IPv6 協(xié)議，若要全部更換或升級(jí)一方面需要巨額的資金，另一方面也不是短時(shí)間內(nèi)就能完全解決的;此外目前大部分的網(wǎng)絡(luò)應(yīng)用都是基于IPv4 協(xié)議的，而網(wǎng)絡(luò)應(yīng)用是需要通過(guò)需求來(lái)推動(dòng)發(fā)展的，若沒(méi)有IPv6 大環(huán)境的變化則不會(huì)有大量IPv6 應(yīng)用的驅(qū)動(dòng)。基于此可以看出IPv6 取代IPv4 是一個(gè)長(zhǎng)期的過(guò)程，當(dāng)前一段時(shí)間不是要立刻完成IPv4 到IPv6 的轉(zhuǎn)變，而是保持穩(wěn)定的IPv4 和IPv6 的融合和過(guò)渡。

二、基于IPV4 校園網(wǎng)絡(luò)向IPV6 校園網(wǎng)絡(luò)的過(guò)渡技術(shù)

目前在校園網(wǎng)絡(luò)建設(shè)中常用的IPv6 過(guò)渡技術(shù)主要有三種:雙協(xié)議棧技術(shù)、隧道技術(shù)和NAT-PT 技術(shù)。

(一)雙協(xié)議棧技術(shù)(RFC4213)。雙協(xié)議棧(Dual Stack)指的是IPV4 協(xié)議棧和IPv6 協(xié)議棧，而雙協(xié)議棧技術(shù)是指同時(shí)在網(wǎng)絡(luò)節(jié)點(diǎn)上運(yùn)行IPv4 和IPv6 兩套協(xié)議棧，這樣協(xié)議棧中的體系結(jié)構(gòu)從應(yīng)用層到數(shù)據(jù)鏈路層都是重復(fù)的。從網(wǎng)絡(luò)協(xié)議的原理來(lái)看，IPv4 和IPv6 不兼容，但在數(shù)據(jù)報(bào)的結(jié)構(gòu)上可以看到二者近似且在網(wǎng)絡(luò)層的上下層(傳輸層和數(shù)據(jù)鏈路層)平臺(tái)均相同，則使用雙協(xié)議棧技術(shù)的網(wǎng)絡(luò)節(jié)點(diǎn)既能與使用IPv4 協(xié)議的終端通信又能與使用IPv6 協(xié)議的終端通信。

配置為雙棧的設(shè)備接口可以擁有一個(gè)IPv4 地址或一個(gè)IPv6 地址或兩者都擁有。同時(shí)，路由器包含兩個(gè)單獨(dú)的路由表:一個(gè)用于IPv4 尋址，另一個(gè)用于IPv6 尋址。兩個(gè)表都駐留于同一路由器中。

雙棧節(jié)點(diǎn)鏈路層接收到數(shù)據(jù)幀后解封裝并檢查幀頭，如果IPv4/IPv6 幀頭中的第一個(gè)字段，即IP 包的版本號(hào)是4，該包就由IPv4 棧來(lái)處理;如果版本號(hào)是6，則由IPv6 棧處理。

為了支持IPv6 路由的地址學(xué)習(xí)，雙棧路由器設(shè)備還要同時(shí)運(yùn)行支持IPv6 的路由協(xié)議。如果現(xiàn)網(wǎng)絡(luò)部署了OSPF，則新增支持IPv6 的OSPFv3;如果現(xiàn)網(wǎng)絡(luò)部署的是ISIS，則在網(wǎng)絡(luò)中部署ISIS 多拓?fù)?，以支持IPv6 路由的學(xué)習(xí)。支持IPv6的BGP4 +，通過(guò)配置使IPv6 地址族來(lái)支持IPv6 路由的通告，必要時(shí)升級(jí)RR 以支持IPv6 路由反射功能。

雙棧協(xié)議體系結(jié)構(gòu)允許網(wǎng)絡(luò)設(shè)備接收、處理和轉(zhuǎn)發(fā)IPv4/IPv6 信息流，支持IPv4 / IPv6 雙棧的網(wǎng)絡(luò)設(shè)備(主要是路由器等)，使網(wǎng)絡(luò)從邏輯上看到的是并行的兩個(gè)網(wǎng)絡(luò)，并支持向IPv6 的平滑過(guò)渡。

雙協(xié)議棧技術(shù)簡(jiǎn)單直觀，易于操作，但相關(guān)網(wǎng)絡(luò)設(shè)備要同時(shí)獨(dú)自占用一個(gè)IPv4 和IPv6 的地址，這樣就不能從本質(zhì)上解決IP 地址非常缺少的問(wèn)題，且會(huì)增加CPU 及內(nèi)存的開銷，影響系統(tǒng)的性能。

(二)隧道技術(shù)(RFC 2893)。在IPv6 技術(shù)的迅猛發(fā)展和實(shí)際應(yīng)用中出現(xiàn)了許多各自獨(dú)立的純IPv6 的實(shí)驗(yàn)或應(yīng)用網(wǎng)絡(luò)，由于骨干網(wǎng)絡(luò)仍然基于IPv4，所以它們被分割開來(lái)，這形成了事實(shí)上的IPv6 孤島，它們無(wú)法通過(guò)現(xiàn)有IPv4 網(wǎng)絡(luò)互相訪問(wèn)。為了實(shí)現(xiàn)這些IPv6 孤島之間的通信，可以采用隧道技術(shù)。通過(guò)隧道技術(shù)依附于現(xiàn)有的全覆蓋的IPv4 網(wǎng)絡(luò)海洋逐步連接所有的IPv6 孤島，隨著IPv6 網(wǎng)絡(luò)數(shù)量的穩(wěn)步增多和所占網(wǎng)絡(luò)比重的不斷加大，全網(wǎng)絡(luò)會(huì)逐漸實(shí)現(xiàn)IPv4 向IPv6的過(guò)渡。

隧道技術(shù)可以通過(guò)對(duì)數(shù)據(jù)報(bào)的封裝達(dá)到把相對(duì)獨(dú)立的IPv6 和IPv4 網(wǎng)絡(luò)相連接的目的，即將IPv6 數(shù)據(jù)報(bào)作為數(shù)據(jù)的一部分封裝在IPv4 數(shù)據(jù)報(bào)里，通過(guò)傳輸IPv4 數(shù)據(jù)報(bào)來(lái)攜帶封裝其中的IPv6 數(shù)據(jù)報(bào)的傳輸，從而達(dá)到IPv6 數(shù)據(jù)報(bào)在現(xiàn)有的IPv4 網(wǎng)絡(luò)中傳輸?shù)哪康摹?/p>

利用隧道技術(shù)傳輸IPv6 報(bào)文的具體過(guò)程如下:一是IPv6網(wǎng)絡(luò)節(jié)點(diǎn)將封裝好的IPv6 報(bào)文發(fā)送到達(dá)隧道的發(fā)送端設(shè)備。二是隧道的發(fā)送端設(shè)備(一般是路由器)接收IPv6 報(bào)文，然后通過(guò)查詢路由表來(lái)確定報(bào)文要通過(guò)隧道進(jìn)行轉(zhuǎn)發(fā)，于是將IPv6 整體報(bào)文作為數(shù)據(jù)封裝到IPv4 報(bào)文中，通過(guò)隧道的對(duì)應(yīng)物理接口將報(bào)文發(fā)送出去。三是封裝了IPv6 報(bào)文的IPv4 數(shù)據(jù)報(bào)文通過(guò)隧道到達(dá)隧道另一端的接收端設(shè)備(一般是路由器)，接收端設(shè)備根據(jù)報(bào)文中的目的地址判斷出該IPv4 報(bào)文的目的地是自己后，對(duì)報(bào)文進(jìn)行拆封，取出內(nèi)部封裝的IPv6報(bào)文，然后根據(jù)IPv6 報(bào)文目的地址將報(bào)文通過(guò)查詢路由表;若報(bào)文的目的地址是接收端本身則直接將IPv6 數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給高一層協(xié)議進(jìn)行處理;否則進(jìn)行下一步轉(zhuǎn)發(fā)。

從上述過(guò)程可以看出:隧道技術(shù)的本質(zhì)是二次封裝IPv6報(bào)文并利用IPv4 報(bào)文作為載體進(jìn)行轉(zhuǎn)發(fā)，它不能從根本上完成純IPv6 網(wǎng)絡(luò)與純IPv4 網(wǎng)絡(luò)的直接訪問(wèn)。而隧道兩端的路由器也需要使用IPv4/IPv6 的雙IP 地址，這也不能解決IP 地址稀缺的問(wèn)題。

(三)NAT - PT 技術(shù)(RFC 2766)。NAT - PT(Network Address Translation-Protocol Translation，附帶協(xié)議轉(zhuǎn)換的網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)是基于IPv6 協(xié)議與IPv4 協(xié)議轉(zhuǎn)換的地址轉(zhuǎn)換，是為了解決兩者的互通問(wèn)題。在IPv4 網(wǎng)絡(luò)完全過(guò)渡到IPv6 網(wǎng)絡(luò)之前，兩種類型網(wǎng)絡(luò)之間直接的通信可以通過(guò)NAT-PT 來(lái)實(shí)現(xiàn)。

在NAT-PT 技術(shù)的工作機(jī)制中，當(dāng)IPv6 主機(jī)向處于外部公網(wǎng)的IPv4 主機(jī)發(fā)起連接請(qǐng)求時(shí)，一組IPv4 的地址應(yīng)該被提前設(shè)置好以用來(lái)作地址轉(zhuǎn)換使用。數(shù)據(jù)報(bào)文發(fā)送時(shí)IPv6 網(wǎng)絡(luò)將相關(guān)的IPv6 數(shù)據(jù)報(bào)中的源地址和網(wǎng)絡(luò)層以及傳輸層的相關(guān)協(xié)議字段的頭部校驗(yàn)和部分進(jìn)行轉(zhuǎn)換;反之對(duì)IPv4 主機(jī)向IPv6 網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)報(bào)也進(jìn)行類似部分的轉(zhuǎn)換，這種轉(zhuǎn)換可以是基于手工配置一一對(duì)應(yīng)關(guān)系的靜態(tài)轉(zhuǎn)換也可以是基于NAT 地址池的多對(duì)一的動(dòng)態(tài)轉(zhuǎn)換(通過(guò)不同的端口號(hào)構(gòu)建不同的socket 來(lái)區(qū)分不同的IPv6 主機(jī))。

在轉(zhuǎn)換的過(guò)程中，IPv6 節(jié)點(diǎn)的TCP/UDP 端口號(hào)被轉(zhuǎn)換成已經(jīng)登記的IPv4 的TCP/UDP 端口號(hào)。最初傳統(tǒng)NAT-PT只局限于TCP、UDP 及使用了端口復(fù)用的其他應(yīng)用程序(屬于靜態(tài)地址捆綁)，而現(xiàn)在的NAPT -PT 則解決了傳統(tǒng)NAT-PT 中存在的問(wèn)題，一個(gè)IPv4 的轉(zhuǎn)換地址就可以建立63K的TCP 和63k 的UDP 連接。

在NAT-PT 中，所有與某一進(jìn)程有關(guān)的請(qǐng)求與應(yīng)答都必須要經(jīng)過(guò)同一NAT -PT 路由器，這就需要把NAT -PT 置于邊界路由器上，該路由器對(duì)于一個(gè)局域網(wǎng)絡(luò)來(lái)說(shuō)是唯一的，這是NAT-PT 的一個(gè)局限性，此外一些IPv4 的數(shù)據(jù)報(bào)字段在IPv6 中會(huì)發(fā)生改變，因此NAT-PT 的轉(zhuǎn)換不是很準(zhǔn)確，在端對(duì)端網(wǎng)絡(luò)層上也缺少安全性。

三、校園網(wǎng)IPV6 過(guò)渡策略

對(duì)于大部分高校而言，原有的校園網(wǎng)絡(luò)因多年建設(shè)已經(jīng)成型，當(dāng)前所有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都是在IPv4 網(wǎng)絡(luò)上開展的，在IPv6 網(wǎng)絡(luò)的建設(shè)中由于受人力、物力、財(cái)力和時(shí)間等方面的限制無(wú)法完全推倒重建，只能在原有的校園網(wǎng)絡(luò)上進(jìn)行升級(jí)改造。這意味著現(xiàn)有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)和客戶端都必須從IPv4 上遷移到IPv6 上，在遷移的過(guò)程中對(duì)于普通網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)要保持平滑遷移，而對(duì)于實(shí)時(shí)性要求特別強(qiáng)的核心網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)要做到無(wú)間斷遷移，保持?jǐn)?shù)據(jù)的穩(wěn)定性和準(zhǔn)確性。在這種情況下，各高?？梢愿鶕?jù)自身校園網(wǎng)絡(luò)的情況結(jié)合上述三種過(guò)渡技術(shù)的優(yōu)劣綜合考慮各方面的情況選擇最合適的過(guò)渡技術(shù)，目前來(lái)看在進(jìn)行IPv6 網(wǎng)絡(luò)建設(shè)的985 大學(xué)中有50%以上選擇使用技術(shù)最成熟且應(yīng)用最廣泛的雙協(xié)議棧技術(shù)完成基于IPv4 的校園網(wǎng)絡(luò)向基于IPv6 的校園網(wǎng)絡(luò)的過(guò)渡，具體體現(xiàn)在:一是在滿足網(wǎng)絡(luò)應(yīng)用系統(tǒng)平滑和無(wú)間斷遷移方面，雙協(xié)議棧技術(shù)可以在網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)使用IPv4 和IPv6 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸，并且在整個(gè)遷移過(guò)程中對(duì)用戶保持透明。二是在校園網(wǎng)絡(luò)和CERNET2 主干網(wǎng)絡(luò)連接時(shí)，雙協(xié)議棧術(shù)不影響原有內(nèi)外網(wǎng)的IPv4 網(wǎng)絡(luò)業(yè)務(wù)。三是在向IPv6網(wǎng)絡(luò)過(guò)渡的過(guò)程中，從各方面綜合考慮通常不能通過(guò)一次性更換現(xiàn)有網(wǎng)絡(luò)設(shè)備將網(wǎng)絡(luò)升級(jí)，而是先小范圍更新核心設(shè)備，然后再逐步擴(kuò)展到整個(gè)網(wǎng)絡(luò)，分步驟進(jìn)行。四是為保護(hù)現(xiàn)有網(wǎng)絡(luò)建設(shè)投資，要最大限度地考慮使用現(xiàn)有的設(shè)備，目前校園網(wǎng)絡(luò)中近三年以來(lái)使用的大部分核心網(wǎng)絡(luò)設(shè)備都支持雙協(xié)議棧技術(shù)，因此對(duì)于一些非核心設(shè)備若可以通過(guò)官網(wǎng)進(jìn)行系統(tǒng)軟件升級(jí)來(lái)實(shí)現(xiàn)對(duì)雙協(xié)議棧技術(shù)的支持則進(jìn)行系統(tǒng)升級(jí);對(duì)于不支持雙協(xié)議棧技術(shù)的部分老舊核心層設(shè)備和匯聚層設(shè)備則需要購(gòu)置更新，而大部分的接入層設(shè)備無(wú)需更換;對(duì)于部分網(wǎng)絡(luò)拓?fù)鋸?fù)雜，應(yīng)用系統(tǒng)繁多的校園網(wǎng)，可在更換核心設(shè)備后，采用以雙協(xié)議棧為主、隧道方式并存的方案。

四、結(jié)語(yǔ)

從網(wǎng)絡(luò)發(fā)展的角度來(lái)看IPv4 網(wǎng)絡(luò)向IPv6 網(wǎng)絡(luò)的過(guò)渡是未來(lái)IPv6 網(wǎng)絡(luò)全球應(yīng)用化的必由之路，這一定是一個(gè)漫長(zhǎng)的過(guò)程，校園網(wǎng)絡(luò)作為最先接觸并應(yīng)用IPv6 的行業(yè)網(wǎng)絡(luò)應(yīng)緊緊抓住發(fā)展契機(jī)，各高校需要積極制定過(guò)渡性戰(zhàn)略計(jì)劃，選擇符合自身特點(diǎn)的過(guò)渡技術(shù)和過(guò)渡策略，循序漸進(jìn)分步驟分階段將IPv4 網(wǎng)絡(luò)上原有的各種資源平滑地遷移到IPv6 網(wǎng)絡(luò)上并大力開發(fā)相關(guān)應(yīng)用，最終建設(shè)成為高性能、高安全的IPv6校園網(wǎng)絡(luò)，促進(jìn)網(wǎng)絡(luò)環(huán)境下教學(xué)活動(dòng)的開展，繼而推動(dòng)我國(guó)信息產(chǎn)業(yè)的進(jìn)一步發(fā)展。

［1］程軍.基于IPv6 的校園網(wǎng)過(guò)渡方案研究［J］.巢湖學(xué)院學(xué)報(bào)，2012

［2］杜焱喆.基于雙協(xié)議棧的校園網(wǎng)IPv6 過(guò)渡策略分析與實(shí)現(xiàn)［J］.華東交通大學(xué)學(xué)報(bào)，2012