高永利

關(guān)于高校校園網(wǎng)IPv6升級(jí)部署的研究

高永利

（唐山師范學(xué)院 財(cái)務(wù)處，河北 唐山 063000）

考慮到目前高校網(wǎng)絡(luò)建設(shè)存在諸多問(wèn)題，從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過(guò)渡需要制定一個(gè)系統(tǒng)的、科學(xué)的、可行的IPv6建設(shè)方案，進(jìn)行有步驟、分層次的建設(shè)。本文通過(guò)分析IPv6與IPv4特性上的優(yōu)勢(shì)差異，通過(guò)實(shí)例給出可行的規(guī)劃設(shè)計(jì)方案。

校園網(wǎng)；IPv6；升級(jí)改造

根據(jù)教育部發(fā)布的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，高校校園網(wǎng)IPv6升級(jí)部署勢(shì)在必行?？紤]到現(xiàn)今高校網(wǎng)絡(luò)建設(shè)存在資金投入不足、運(yùn)營(yíng)模式多樣、校區(qū)擴(kuò)建、新舊設(shè)備共存等諸多問(wèn)題，從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過(guò)渡需要制定一個(gè)系統(tǒng)的、科學(xué)的、可行的IPv6建設(shè)方案，進(jìn)行有步驟、分層次的建設(shè)[1]。

1 IPv6與IPv4協(xié)議對(duì)比

1.1 地址范圍

與IPv4的32位地址長(zhǎng)度相比，IPv6使用128位的地址長(zhǎng)度，可以提供海量的IP地址，能夠徹底解決IPv4網(wǎng)絡(luò)地址數(shù)量不足的問(wèn)題，滿(mǎn)足未來(lái)移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能等新技術(shù)對(duì)IP地址的需求[2]。

1.2 數(shù)據(jù)報(bào)頭格式

IPv4報(bào)頭長(zhǎng)度（不包括選項(xiàng)字段）為20字節(jié)，IPv6報(bào)頭固定長(zhǎng)度（基本）為40字節(jié)。IPv6報(bào)頭格式的設(shè)計(jì)把一些不重要的字段和擴(kuò)展字段移到了IPv6頭部之后的擴(kuò)展頭部，簡(jiǎn)化了IPv6的頭部信息，提高路由處理信息的效率[3]。

1.3 安全性和可靠性

IPSec是由IETF開(kāi)發(fā)的，可以進(jìn)行端到端的加密，以保證安全性。在IPv4協(xié)議中IPSec是協(xié)議的可選（非必須）部分，而在IPv6協(xié)議中是必須具備的。同時(shí)IPv6在數(shù)據(jù)報(bào)頭中增加了流標(biāo)識(shí)，改進(jìn)了對(duì)QoS的支持，提高了傳輸?shù)目煽啃浴?/p>

1.4 可擴(kuò)展性

IPv4頭部可選字段為40字節(jié)，而IPv6可以在頭部后面添加單個(gè)或多個(gè)擴(kuò)展頭部進(jìn)行擴(kuò)展，可擴(kuò)展規(guī)模只受限于IPv6數(shù)據(jù)包的字節(jié)多少。

2 由IPv4到IPv6的過(guò)渡技術(shù)

當(dāng)前網(wǎng)絡(luò)環(huán)境以IPv4為主導(dǎo)地位，要實(shí)現(xiàn)向IPv6的轉(zhuǎn)變，必須先經(jīng)過(guò)過(guò)渡階段，使用過(guò)渡技術(shù)。目前主流的過(guò)渡技術(shù)主要有三種：雙協(xié)議棧（雙棧）技術(shù)、隧道技術(shù)和地址轉(zhuǎn)換技術(shù)。

2.1 雙棧技術(shù)

“雙棧技術(shù)”是指在網(wǎng)絡(luò)環(huán)境中的節(jié)點(diǎn)上同時(shí)支持IPv4協(xié)議和IPv6協(xié)議，當(dāng)使用IPv4網(wǎng)絡(luò)地址相互通信時(shí)，啟用IPv4協(xié)議，在IPv4網(wǎng)絡(luò)中傳輸；當(dāng)使用IPv6網(wǎng)絡(luò)地址相互通信時(shí)，啟用IPv6協(xié)議，在IPv6網(wǎng)絡(luò)中傳輸。雙棧技術(shù)無(wú)法實(shí)現(xiàn)IPv4與IPv6網(wǎng)絡(luò)之間的互通，只能在各自的網(wǎng)絡(luò)中通信。所以，采用雙棧技術(shù)要求網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都同時(shí)支持IPv4和IPv6協(xié)議。

2.2 隧道技術(shù)[4]

“隧道技術(shù)”本質(zhì)上是一種封裝技術(shù)，也就是將一種協(xié)議封裝在另一種協(xié)議中。IPv6 over IPv4的隧道技術(shù)，是為了解決IPv4為主干網(wǎng)絡(luò)的IPv6網(wǎng)絡(luò)間的互聯(lián)互通問(wèn)題，將IPv6數(shù)據(jù)分組作為IPv4協(xié)議的“數(shù)據(jù)部分”字段在隧道入口處封裝到IPv4分組中，并通過(guò)IPv4網(wǎng)絡(luò)進(jìn)行傳輸，在隧道終點(diǎn)進(jìn)行解封裝，將IPv6分組轉(zhuǎn)發(fā)給目的節(jié)點(diǎn)，從而實(shí)現(xiàn)IPv6節(jié)點(diǎn)間的通信。隨著IPv6技術(shù)的不斷發(fā)展，當(dāng)IPv6網(wǎng)絡(luò)成為主干網(wǎng)絡(luò)時(shí)，將出現(xiàn)IPv4 over IPv6的隧道技術(shù)，實(shí)現(xiàn)IPv4孤島之間的通信。

2.3 地址轉(zhuǎn)換技術(shù)

地址轉(zhuǎn)換技術(shù)是在IPv4和IPv6網(wǎng)絡(luò)之間增加轉(zhuǎn)換器，用于修改IP數(shù)據(jù)報(bào)文頭部信息，完成IPv4到IPv6（或者IPv6到IPv4）的協(xié)議轉(zhuǎn)化，從而實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)之間的互通。地址轉(zhuǎn)換技術(shù)一般用在邊界網(wǎng)關(guān)，能夠在不改變?cè)蠭Pv4和IPv6節(jié)點(diǎn)的情況下，實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)節(jié)點(diǎn)之間的直接通信。

3 某高校的校園網(wǎng)IPv6升級(jí)改造

3.1 校園網(wǎng)絡(luò)現(xiàn)狀

某高校園網(wǎng)采用傳統(tǒng)的三層網(wǎng)絡(luò)拓?fù)浼軜?gòu)。出口使用鏈路負(fù)載均衡設(shè)備實(shí)現(xiàn)多條鏈路的接入，通過(guò)不同的權(quán)重實(shí)現(xiàn)負(fù)載分擔(dān)。下連防火墻、認(rèn)證計(jì)費(fèi)設(shè)備和上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)對(duì)出口的多層安全防護(hù)以及日志審計(jì)。之后連接核心層交換機(jī)，完成數(shù)據(jù)的高速轉(zhuǎn)發(fā)。下一層是多個(gè)匯聚交換機(jī)，分別作為各個(gè)樓宇的匯聚節(jié)點(diǎn)，主要實(shí)現(xiàn)vlan的劃分，配置各個(gè)vlan接口ip地址做終端接入的網(wǎng)關(guān)，使用ospf路由協(xié)議來(lái)發(fā)布路由信息，來(lái)實(shí)現(xiàn)路由可達(dá)。各匯聚交換機(jī)下聯(lián)接入層交換機(jī)，接入層交換機(jī)直連設(shè)備終端[5]。

已有數(shù)據(jù)表明，所有的核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)和所有的終端用戶(hù)PC都能同時(shí)支持IPv4和IPv6協(xié)議，出口的負(fù)載均衡設(shè)備僅支持IPv4協(xié)議，防火墻、認(rèn)證審計(jì)設(shè)備和上網(wǎng)行為管理設(shè)備能同時(shí)支持IPv4和IPv6協(xié)議，DHCP和DNS服務(wù)器能同時(shí)支持IPv4和IPv6協(xié)議，有部分業(yè)務(wù)應(yīng)用僅支持IPv4協(xié)議。

3.2 IPv6升級(jí)改造規(guī)劃

結(jié)合網(wǎng)絡(luò)現(xiàn)狀，整個(gè)校園網(wǎng)的IPv6升級(jí)改造可分為三步來(lái)完成：第一步，采用雙棧技術(shù)對(duì)校園網(wǎng)內(nèi)部進(jìn)行升級(jí)改造，實(shí)現(xiàn)部分業(yè)務(wù)應(yīng)用的IPv6訪問(wèn)；第二步，逐步更換不能同時(shí)支持IPv4和IPv6協(xié)議的設(shè)備，尤其是出口干路上的設(shè)備，通過(guò)地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)校園網(wǎng)內(nèi)部與外部的IPv4/ IPv6之間的資源訪問(wèn)；第三步，徹底取消IPv4配置，實(shí)現(xiàn)全網(wǎng)IPv6單棧使用。

3.3 雙棧技術(shù)升級(jí)改造方案

3.3.1 IPv6的編址設(shè)計(jì)

該校在中國(guó)教育和科研計(jì)算機(jī)網(wǎng)絡(luò)的分配的IPv6地址資源為：####:250:829::/48，網(wǎng)絡(luò)前綴48位，可容納的主機(jī)數(shù)最多達(dá)280個(gè)。根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)，可以對(duì)分配到的IPv6地址進(jìn)行子網(wǎng)規(guī)劃，IPv6子網(wǎng)規(guī)劃表如表1所示。

二進(jìn)制位第49位到第52位表示區(qū)域，0000表示數(shù)據(jù)中心，0001表示A校區(qū)，0010表示B校區(qū)，0011表示C校區(qū)。二進(jìn)制位第53位到第56位表示樓宇編號(hào)，0001表示1號(hào)行政樓，0010表示2號(hào)教學(xué)樓，0011表示3號(hào)教學(xué)樓，0100表示4號(hào)實(shí)驗(yàn)樓，……。二進(jìn)制位第57位到第64位表示樓層，00000001表示1層，00000010表示2層，……。二進(jìn)制位第65位到第68位表示業(yè)務(wù)應(yīng)用，0001表示辦公，0010表示教學(xué)多媒體，0011表示教學(xué)機(jī)房，0100表示監(jiān)控，……。二進(jìn)制位第69位到第80位表示業(yè)務(wù)VLAN，最后剩下48位分配給接入網(wǎng)絡(luò)的主機(jī)位[6]。

表1 IPv6子網(wǎng)規(guī)劃表

5.2 交換機(jī)上的配置

在核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)上原有IPv4的配置基礎(chǔ)上開(kāi)啟IPv6功能，在相應(yīng)的vlan接口上配置IPv6地址，使用DHCP服務(wù)器為接入用戶(hù)自動(dòng)分配IPv6地址以及DNS信息。同時(shí)，在核心交換機(jī)和匯聚交換機(jī)上啟動(dòng)ospfv3路由協(xié)議，保證IPv6路由可達(dá)。以H3C交換機(jī)為例，在全局模式下開(kāi)啟IPv6功能，然后在相應(yīng)的vlan接口進(jìn)行雙棧配置，配置命令如下：

5.3 用戶(hù)開(kāi)啟IPv6的動(dòng)態(tài)獲取協(xié)議

內(nèi)網(wǎng)的大部分終端設(shè)備都具有公用的IPv4地址，因此在過(guò)渡階段采用雙棧技術(shù)能夠?qū)崿F(xiàn)用戶(hù)對(duì)IPv6資源的瀏覽訪問(wèn)。終端只需要開(kāi)啟IPv6協(xié)議即可。

5.4 業(yè)務(wù)應(yīng)用的升級(jí)

針對(duì)業(yè)務(wù)應(yīng)用服務(wù)器，單獨(dú)規(guī)劃配置靜態(tài)IPv6地址。

DHCPv6（IPv6中的動(dòng)態(tài)主機(jī)配置協(xié)議）屬于有狀態(tài)IPv6地址自動(dòng)配置協(xié)議，可以更好地實(shí)現(xiàn)地址管理。在原有IPv4配置的基礎(chǔ)上，DHCP服務(wù)器按照IPv6的編址規(guī)劃進(jìn)行地址段配置，以保證終端用戶(hù)能夠自動(dòng)獲取IPv6地址及相關(guān)信息。

在IPv4中，DNS用來(lái)實(shí)現(xiàn)域名到地址以及地址到域名的映射。在IPv6中，由于IPv6地址長(zhǎng)度的增加，要記憶一個(gè)IPv6地址更加困難，所以DNS在IPv6中顯得更加重要。在IPv4/IPv6并存的環(huán)境中，DNS服務(wù)器上需要為雙棧主機(jī)至少保留兩條DNS記錄，分別記錄域名到IPv4地址的映射和域名到IPv6地址的映射[7]。目前該校使用的DNS服務(wù)器支持IPv4和IPv6的域名解析，在原有IPv4的A記錄基礎(chǔ)上，需要在DNS服務(wù)器上添加IPv6的AAAA記錄，以保證雙棧主機(jī)的正常解析。

在Web服務(wù)器的IPv6建設(shè)方面，許多門(mén)戶(hù)網(wǎng)站還沒(méi)有全面支持使用IPv6地址來(lái)提供資源，所以，當(dāng)用戶(hù)訪問(wèn)資源時(shí)，如果被引用的鏈接不支持IPv6訪問(wèn)，即使使用雙棧技術(shù)訪問(wèn)這個(gè)外鏈，也會(huì)出現(xiàn)內(nèi)容無(wú)法顯示的故障。為了解決此問(wèn)題，可在網(wǎng)絡(luò)出口處部署翻譯設(shè)備或者購(gòu)買(mǎi)翻譯云服務(wù)，利用翻譯設(shè)備將IPv6地址翻譯成IPv4地址，從而找到相應(yīng)的資源。

6 結(jié)語(yǔ)

IPv6的升級(jí)建設(shè)需要網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的支持，還要保證現(xiàn)有IPv4業(yè)務(wù)應(yīng)用能夠正常訪問(wèn)。因此，要充分調(diào)研所有網(wǎng)絡(luò)設(shè)備對(duì)IPv6的支持情況，做好規(guī)劃方案。我們建議采用雙棧技術(shù)實(shí)現(xiàn)校園網(wǎng)內(nèi)部IPv4向IPv6的過(guò)渡方式，跨出校園網(wǎng)IPv6升級(jí)改造的第一步，實(shí)現(xiàn)校內(nèi)IPv6地址之間的相互訪問(wèn)以及對(duì)DHCP、DNS、WEB等業(yè)務(wù)應(yīng)用的雙棧訪問(wèn)。

[1] 周凱,褚寧琳.基于IPv4/IPv6雙棧機(jī)制的高校網(wǎng)絡(luò)改造研究[J].無(wú)線(xiàn)互聯(lián)科技,2019,16(17):26-28.

[2] 周軍宏.關(guān)于校園網(wǎng)IPv6升級(jí)的思考[J].電腦編程技巧與維護(hù),2019,26(12):67-69.

[3] 李國(guó)彬.新一代網(wǎng)絡(luò)協(xié)議IPv6與IPv4的比較研究[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007,14(11):1243-1244.

[4] 孫曉林,張新剛.基于校園網(wǎng)的IPv6過(guò)渡技術(shù)研究[J].電腦知識(shí)與技術(shù),2017,13(23):10-11.

[5] 周強(qiáng).高校IPv6網(wǎng)絡(luò)升級(jí)改造探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,20(4):107-109.

[6] 杜紅林.IPv6雙棧技術(shù)在校園網(wǎng)中過(guò)渡設(shè)計(jì)與實(shí)現(xiàn)——以貴州師范大學(xué)校園網(wǎng)為例[J].信息技術(shù)與信息化,2019, 43(5):97-100.

[7] 杭州華三通信科技有限公司.IPv6技術(shù)[M].北京:清華大學(xué)出版社,2010:71-72.

Research on the IPv6 Upgrade of Campus Network in Universities

GAO Yong-li

(Financial Department, Tangshan Normal University, Tangshan 063000, China)

Considering the problems existing in the construction of university network at present, the transition from IPv4 network to IPv6 network is a long process and a systematic, scientific and feasible construction scheme of IPv6 is needed. By analyzing the advantage between IPv6 and IPv4, a feasible plan and design scheme was proposed taking the actual situation of the campus network of Tangshan Normal University as an example.

campus network; IPv6; upgrade and transform

TP393

A

1009-9115(2021)06-0050-03

10.3969/j.issn.1009-9115.2021.06.013

唐山師范學(xué)院科學(xué)研究基金項(xiàng)目（2021B25）

2021-05-06

2021-09-11

高永利（1989-），男，河北唐山人，碩士，講師，研究方向?yàn)橛?jì)算機(jī)技術(shù)。

（責(zé)任編輯、校對(duì)：田敬軍）