基于IPv6的校園網(wǎng)建設(shè)研究與思考

覃仲宇

摘 ?要： IPv6協(xié)議以其龐大的地址空間等優(yōu)勢已成為下一代互聯(lián)網(wǎng)的核心協(xié)議，現(xiàn)有的IPv4網(wǎng)絡(luò)逐步向IPv6過渡已勢在必行。結(jié)合現(xiàn)有校園網(wǎng)的實際與需求，提出了IPv6校園網(wǎng)的整體設(shè)計和建設(shè)規(guī)劃，并進(jìn)行了相關(guān)的部署和典型通信場景的實驗，為同類院校建設(shè)IPv6校園網(wǎng)提供了理論依據(jù)和實踐經(jīng)驗。

關(guān)鍵詞： IPv6; IPv4; 校園網(wǎng); 過渡

中圖分類號：TP393.1 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? 文章編號：1006-8228（2015）07-23-03

Research on the construction of IPv6 campus network

Qin Zhongyu

（Guangzhou Institute of Railway Technology， Guangzhou， Guangdong 510430， China）

Abstract： IPv6 protocol with its huge address space superiority has become the core protocol of the next generation of the Internet， the transition of existing IPv4 network to IPv6 has be imperative. In this paper， combined with the reality of the existing campus network and the actual needs， the overall design and construction plan of IPv6 campus network is proposed， the related deployment and the typical communication scene experiment is carried on， so as to provide the similar institutions with the theoretical basis and practical experience of the IPv6 campus network construction.

Key words： IPv6; IPv4; campus network; transition

0 引言

當(dāng)前，中國教育科研網(wǎng)（CERNET）的建立極大地促進(jìn)了我國高校校園網(wǎng)的建設(shè)和發(fā)展，各高?；旧隙冀⒘嘶贗Pv4的校園網(wǎng)絡(luò)，普遍采用GE為主干、100M交換到桌面的組網(wǎng)方案[1]，為高校的信息化建設(shè)做出了很大的貢獻(xiàn)。然而，隨著我國教育體制改革的不斷深入，各高校普遍開始擴(kuò)招，且高校之間的合并也經(jīng)常發(fā)生，各高校校園網(wǎng)逐漸出現(xiàn)了帶寬瓶頸、安全管理和多業(yè)務(wù)需求等問題，原有的校園網(wǎng)組網(wǎng)方案已經(jīng)不能滿足當(dāng)前校園網(wǎng)用戶的需求，基于IPv6協(xié)議的下一代互聯(lián)網(wǎng)及IPv6校園網(wǎng)建設(shè)已迫在眉睫。因此，基于IPv6的校園網(wǎng)建設(shè)與研究具有重要的意義。

1 某高校校園網(wǎng)現(xiàn)狀及IPv6升級規(guī)劃

目前某高校校園網(wǎng)前期改造工作已基本完成，網(wǎng)絡(luò)硬件設(shè)備得到了很大的提升，多數(shù)網(wǎng)絡(luò)設(shè)備均具備開展IPv6校園網(wǎng)建設(shè)的硬件條件。其主要建筑物有：花都校區(qū)、教學(xué)樓、行政樓、后勤區(qū)、圖書館、學(xué)生宿舍區(qū)和教師宿舍區(qū)等。本次改造將在此基礎(chǔ)上增加部分IPv6節(jié)點，形成IPv4與IPv6并存的校園網(wǎng)絡(luò)，并在網(wǎng)絡(luò)中心和計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)實訓(xùn)室建設(shè)純IPv6子網(wǎng)。當(dāng)前IPv4網(wǎng)絡(luò)技術(shù)經(jīng)過多年的發(fā)展已經(jīng)比較成熟，高校校園網(wǎng)仍以Ipv4協(xié)議為主，此次IPv6升級若大規(guī)模更換網(wǎng)絡(luò)設(shè)備將耗費大量資金，新建的IPv6實驗子網(wǎng)規(guī)模較小，因此我們采用部分新建校園網(wǎng)模式。增加部分IPv6結(jié)點后形成新的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)，如圖1所示。

圖1 ?增加IPv6節(jié)點后的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖

2 IPv6校園網(wǎng)升級改造具體規(guī)劃及部署

依據(jù)該高校校園網(wǎng)實際情況，此次升級改造，將部署成清晰的三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，采用IPv4/v6雙協(xié)議棧網(wǎng)絡(luò)的技術(shù)路線，為校園網(wǎng)用戶提供IPv4/v6雙棧服務(wù)，另外還將建設(shè)純IPv6實驗子網(wǎng)，分別部署在網(wǎng)絡(luò)中心和計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)實訓(xùn)室，實現(xiàn)IPv4和IPv6兩種網(wǎng)絡(luò)共存且互訪互通，為日后逐步過渡至全網(wǎng)IPv6奠定了基礎(chǔ)，并為師生提供了IPv6技術(shù)試驗環(huán)境和科研平臺。以下為具體部署過程和主要建設(shè)內(nèi)容。

2.1 升級規(guī)劃及設(shè)備新增計劃

2.1.1 網(wǎng)絡(luò)架構(gòu)升級

為了節(jié)省投資，原有校園網(wǎng)大多采用二層網(wǎng)絡(luò)架構(gòu)模式，校內(nèi)多個區(qū)域的接入交換機(jī)直連到核心交換機(jī)上，核心交換機(jī)因受到攻擊導(dǎo)致宕機(jī)的情況時有發(fā)生，校園網(wǎng)的可靠性和安全性等得不到有效保障。為了解決該問題，此次升級改造購置一批雙棧匯聚交換機(jī)，組建具有清晰的核心層、匯聚層和接入層三層架構(gòu)的校園網(wǎng)。

2.1.2 設(shè)備升級改造計劃

接入層設(shè)備將購置性價比較高的國產(chǎn)交換機(jī)，對新購買的接入設(shè)備要求能夠支持IPv6網(wǎng)管、IPv6 ACL和IPv6 QoS等安全特性。主要用于替換2006年前購置的接入設(shè)備。

匯聚層設(shè)備將購置支持萬兆上連，千兆線速轉(zhuǎn)發(fā)并支持IPv6及雙棧技術(shù)的設(shè)備，并部署于每個功能區(qū)。

核心層設(shè)備將購置兩臺高性能雙棧三層交換機(jī)，實現(xiàn)“獨立路由，共享交換”[2]，將校園網(wǎng)打造成雙棧雙核心熱備校園網(wǎng)，用于替換原有核心交換機(jī)。

出口邊界設(shè)備將購置一臺高性能雙棧路由器，用于與CERNET2及互聯(lián)網(wǎng)互聯(lián)。

2.2 全網(wǎng)路由規(guī)劃

該高校現(xiàn)有IPv4校園網(wǎng)的路由規(guī)劃采用的是靜態(tài)路由+0SPFv2動態(tài)路由配置。在校園網(wǎng)內(nèi)部主干網(wǎng)中采用OSPFv2協(xié)議交換主干路由信息。所有核心節(jié)點（包括核心交換機(jī)、防火墻和邊界路由器等出口設(shè)備）構(gòu)成Area 0，其他區(qū)域按功能不同又構(gòu)成7個路由自治域，編號分別為：花都校區(qū)為Area 1、教學(xué)樓為Area 2、行政樓為Area 3、后勤區(qū)為Area 4、圖書館為Area 5、學(xué)生宿舍區(qū)為Area 6和教師宿舍區(qū)為Area 7。為避免功能區(qū)域內(nèi)路由變化給主干網(wǎng)造成影響，要求各個自治域?qū)⒈居騼?nèi)的路由匯總后再廣播到Area 0中。在出口邊界設(shè)備上，通過配置靜態(tài)路由分別指向本市中國移動運營商節(jié)點和CERNET華南理工大學(xué)節(jié)點。

為保證網(wǎng)絡(luò)管理的統(tǒng)一性，此次校園網(wǎng)升級改造，IPv6單播的路由設(shè)計將采用靜態(tài)路由+OSPFv3動態(tài)路由相結(jié)合的模式，OSPFv3的設(shè)計也沿用OSPFv2的設(shè)計思路，路由規(guī)劃等設(shè)計細(xì)節(jié)也沿用現(xiàn)有的設(shè)計;出口路由仍采用靜態(tài)路由指向CERNET2華南理工大學(xué)主干節(jié)點。另外為平滑對接現(xiàn)有校園網(wǎng)業(yè)務(wù)，在雙棧核心設(shè)備上將同時運行0SPFv2和0SPFv3兩套協(xié)議，這兩套協(xié)議相互獨立、互不影響。

2.3 過渡技術(shù)的選用

在實際IPv6網(wǎng)絡(luò)建設(shè)中，應(yīng)根據(jù)現(xiàn)有實際網(wǎng)絡(luò)環(huán)境選擇某一種基本過渡技術(shù)或某幾種基本過渡技術(shù)結(jié)合起來靈活使用。在IPv4向IPv6過渡時期，遵循如下的組網(wǎng)原則：

⑴ 在能直接建立IPv6鏈路的情況下使用純IPv6路由;

⑵ 在不能使用IPv6鏈路的情況下，IPv6節(jié)點之間使用隧道技術(shù);

⑶ 雙協(xié)議棧的IPv6/IPv4節(jié)點和純IPv6節(jié)點或者純IPv4的節(jié)點通信不需要采用協(xié)議轉(zhuǎn)換，而直接“自動”選擇相應(yīng)的協(xié)議進(jìn)行通信;

⑷ 對于純IPv6節(jié)點和純IPv4節(jié)點之間的互通，可使用協(xié)議轉(zhuǎn)換（NAT-PT）或者應(yīng)用層網(wǎng)關(guān)（ALG）技術(shù)，設(shè)計的協(xié)議轉(zhuǎn)換器或者ALG應(yīng)該盡量保證在不修改原有應(yīng)用的情況下就可以使用[3]。

2.4 IP地址分配

該高?，F(xiàn)有1個C空間的中國移動運營商公網(wǎng)IPv4地址和20個C空間的教育科研網(wǎng)IPv4地址，基本能滿足當(dāng)前校園網(wǎng)的IP地址需求。Vlan劃分將根據(jù)功能區(qū)的結(jié)構(gòu)劃分成多個虛擬子網(wǎng)，各子網(wǎng)需通過路由轉(zhuǎn)發(fā)才能互訪，并作了各子網(wǎng)的訪問控制策略。Vlan的劃分有效降低了廣播風(fēng)暴的產(chǎn)生，增加了校園網(wǎng)的可靠性和安全性。

此次IPv6校園網(wǎng)建設(shè)，IPv4/v6地址分配方案和Vlan劃分原則均沿用原先設(shè)計;另依據(jù)學(xué)校實際情況及將來發(fā)展需要，準(zhǔn)備向CERNET國家網(wǎng)絡(luò)中心（CERNIC）申請一段：：/48的IPv6地址，考慮到當(dāng)前實際情況和鼓勵校園網(wǎng)用戶積極使用IPv6地址，將采用無狀態(tài)地址自動分配方式為用戶分配IPv6地址，等將來IPv6大規(guī)模使用且客戶端能夠完全支持DHCPv6時，再逐步切換到有狀態(tài)地址分配方式，以實現(xiàn)地址配置的統(tǒng)一性和方便管理與維護(hù)。

2.5 純IPv6子網(wǎng)建設(shè)

為提供IPv6技術(shù)的實驗及科研平臺，本次校園網(wǎng)升級改造除了解決IPv4與IPv6共存問題外，還分別將網(wǎng)絡(luò)中心和計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)實訓(xùn)室部署成純IPv6子網(wǎng)。純IPv6子網(wǎng)將與雙棧核心交換機(jī)直連，采用靜態(tài)路由方式實現(xiàn)路由選擇，終端主機(jī)將通過無狀態(tài)地址分配方式獲取IPv6地址。在純IPv6網(wǎng)絡(luò)中可以展開IPv6各種新技術(shù)及新應(yīng)用試驗，為相關(guān)教師及學(xué)生提供試驗環(huán)境和科研平臺。

3 實驗與結(jié)果分析

為驗證本文所述規(guī)劃方案的技術(shù)可行性和合理性，選取校園網(wǎng)中隧道典型通信場景進(jìn)行實驗分析，并對實驗結(jié)果進(jìn)行分析論證。

IPv6校園網(wǎng)建設(shè)完成后，校園網(wǎng)內(nèi)部IPv6節(jié)點與校園網(wǎng)外部IPv6孤島之間通信業(yè)務(wù)，將通過對校園網(wǎng)邊界路由器以及校園網(wǎng)外部的邊界路由器設(shè)置隧道，穿越IPv4網(wǎng)絡(luò)實現(xiàn)互通。實驗通信模型如圖2所示。

⑴ 路由器的配置

連接用戶的SVI接口使能IPv6，配置IP6v地址，并開啟路由通告功能，使用無狀態(tài)自動配置為PC分配IPv6地址。

關(guān)鍵配置命令如下：

#ipv6 enable

#ipv6 address 2001：10：：1/64

#no ipv6 suppress-ra

圖2 ?手工配置隧道拓?fù)鋱D

⑵ 配置IPv6手工隧道

關(guān)鍵配置命令如下：

#interface Tunnel 1

#ipv6 enable

#tunnel source 10.1.1.1

#tunnel destination 10.1.1.2

#tunnel mode ipv6ip

⑶ 配置IPv6路由

R1（config） # ipv6 route 2001：20：：/64 Tunnel 1

⑷ 功能驗證

通過ping測試PC間的連通性。

R1#ping 2001：20：：1 source 2001：10：：1

Type escape sequence to abort.

Sending 5， 100-byte ICMP Echos to 2001：20：：1，

timeout is 2 seconds：

Packet sent with a source address of 2001：10：：1

！?。。?！

Success rate is 100 percent （5/5）， round-trip min/avg/max=

48/106/176 ms

實驗小結(jié)：通過功能驗證可知，純IPv6的PC1和PC2兩者可通過隧道穿越IPv4網(wǎng)絡(luò)實現(xiàn)互訪互通。

4 后期推廣

IPv6校園網(wǎng)的普及和推廣不僅僅體現(xiàn)在網(wǎng)絡(luò)架構(gòu)的完善或硬件系統(tǒng)的支持上，還要看用戶的培養(yǎng)情況，只有用戶量達(dá)到了一定規(guī)模，才有可能實現(xiàn)相應(yīng)的商用測試和科學(xué)研究[4]。而用戶的培養(yǎng)，關(guān)鍵是要有出色的IPv6網(wǎng)絡(luò)應(yīng)用來吸引用戶使用下一代互聯(lián)網(wǎng)[5]。

要想推廣IPv6校園網(wǎng)及培養(yǎng)更多的IPv6用戶，首先需要給用戶提供一個更加可靠、更安全和人性化的校園網(wǎng)環(huán)境，這要求我們對IPv6校園網(wǎng)要加強(qiáng)安全防御的研究;其次，需要提供更多、更豐富、更吸引用戶的IPv6資源，今后將嘗試讓用戶免費使用IPv6資源的方式，免費訪問IPv6流媒體、BT資源、高清電視及視頻等IPv6資源，以吸引更多校園網(wǎng)用戶使用IPv6。

另外，對于IPv6校園網(wǎng)的推廣使用，還需網(wǎng)絡(luò)基礎(chǔ)服務(wù)及校內(nèi)各應(yīng)用系統(tǒng)的支持，今后需要加快各網(wǎng)絡(luò)基礎(chǔ)服務(wù)及應(yīng)用系統(tǒng)的IPv6升級，并形成自身的一些特殊應(yīng)用服務(wù)。與校園網(wǎng)類似，各基礎(chǔ)服務(wù)及應(yīng)用系統(tǒng)將同時支持IPv4和IPv6協(xié)議，并跟隨校園網(wǎng)逐步全面升級至IPv6。

5 結(jié)束語

本文針對某高校IPv6校園網(wǎng)建設(shè)進(jìn)行了具體的研究與設(shè)計，結(jié)合自身現(xiàn)有校園網(wǎng)條件和需求，提出了IPv6校園網(wǎng)的整體設(shè)計方案和建設(shè)規(guī)劃，并提出了IPv6校園網(wǎng)的后期推廣計劃。本研究具有一定的理論和實踐價值。要加速過渡至全網(wǎng)IPv6，還需加快IPv6校園網(wǎng)的系統(tǒng)基礎(chǔ)應(yīng)用研究，加快校園網(wǎng)資源支持IPv6接入訪問進(jìn)程和加強(qiáng)IPv6網(wǎng)絡(luò)安全技術(shù)與應(yīng)用研究等。

參考文獻(xiàn)：

[1] 鄧小盾.基于IPv6的校園網(wǎng)絡(luò)建設(shè)模式的研究與設(shè)計[D].西安科技

大學(xué)碩士學(xué)位論文，2013.

[2] 王竹威.北京大學(xué)快速部署IPv6校園網(wǎng)[J].中國教育網(wǎng)絡(luò)，2006.11：

23-24

[3] 程軍.高校校園網(wǎng)IPv6過渡策略及設(shè)計部署[D].安微大學(xué)碩士學(xué)位

論文，2012.

[4] 王宇杰，楊志軍.北京交通大學(xué)下一代校園網(wǎng)建設(shè)進(jìn)入新階段[J].中

國教育網(wǎng)絡(luò)，2010（6）：45-46

[5] 高建國.IPv6下基于協(xié)議分析的入侵檢測系統(tǒng)研究與設(shè)計[D].南開

大學(xué)碩士學(xué)位論文，2007.