基于DHCPv6的高校IPv6網(wǎng)絡(luò)雙棧部署實(shí)踐

顧懷廣 王高才

摘要：高校IPv6網(wǎng)絡(luò)部署過程中存在部分路由交換設(shè)備不支持IPv6協(xié)議、IPv6用戶地址配置管理困難和如何選擇適用的過渡技術(shù)等問題。針對(duì)部署過程中遇到的困難和問題，文章通過更換部分老舊網(wǎng)絡(luò)設(shè)備、合理規(guī)劃校園網(wǎng)絡(luò)IPv6用戶地址分配表、精簡IPv6路由條目，基于DHCPv6地址自動(dòng)下發(fā)機(jī)制，采用雙協(xié)議棧過渡技術(shù)，實(shí)現(xiàn)校園網(wǎng)絡(luò)IPv4/IPv6雙棧運(yùn)行，全面完成校園網(wǎng)絡(luò)IPv6網(wǎng)絡(luò)雙棧規(guī)模部署。

關(guān)鍵詞： DHCPv6;IPv6;雙棧技術(shù);地址規(guī)劃;實(shí)踐

中圖分類號(hào)：TP393 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）13-0031-03

1引言

由于Internet的快速普及和廣泛應(yīng)用，IPv4地址資源已經(jīng)枯竭，加上IPv4協(xié)議自身存在安全缺陷、路由表龐大難以管理、局域網(wǎng)私有地址通過NAT后才能訪問外網(wǎng)等問題，已經(jīng)不能滿足當(dāng)前急速擴(kuò)張的網(wǎng)絡(luò)發(fā)展需求。IPv6協(xié)議具有擁有長度達(dá)128位的巨大地址空間、遵循聚類原則擁有更小的路由表、報(bào)頭新增流標(biāo)簽字段和優(yōu)先級(jí)字段以支持實(shí)時(shí)業(yè)務(wù)和QoS等優(yōu)點(diǎn)，彌補(bǔ)了IPv4協(xié)議自身存在的缺點(diǎn)[1]。IPv6協(xié)議具有的諸多優(yōu)勢(shì)使其逐漸替代IPv4協(xié)議成為網(wǎng)絡(luò)技術(shù)未來發(fā)展的新趨勢(shì)，成為下一代互聯(lián)網(wǎng)技術(shù)標(biāo)準(zhǔn)。

2017年，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》并發(fā)出通知，要求各地區(qū)各部門結(jié)合實(shí)際認(rèn)真貫徹落實(shí)。2018年，教育部印發(fā)《關(guān)于貫徹落實(shí)推進(jìn)IPv6規(guī)模部署行動(dòng)計(jì)劃的通知》，要求教育系統(tǒng)加快推進(jìn)IPv6基礎(chǔ)網(wǎng)絡(luò)設(shè)施規(guī)模部署和應(yīng)用系統(tǒng)升級(jí)，促進(jìn)下一代互聯(lián)網(wǎng)與教育的融合創(chuàng)新。黔南民族師范學(xué)院作為地方高等院校，緊跟IPv6應(yīng)用技術(shù)前沿，結(jié)合實(shí)際科學(xué)分析、詳細(xì)制訂IPv6規(guī)模部署方案，主動(dòng)融入IPv6信息資源網(wǎng)絡(luò)，為智慧校園建設(shè)提供基礎(chǔ)支撐。

2部署方案規(guī)劃設(shè)計(jì)

學(xué)?，F(xiàn)運(yùn)行的IPv4校園網(wǎng)絡(luò)采用接入、匯聚和核心的三層網(wǎng)絡(luò)結(jié)構(gòu)，主要路由交換設(shè)備品牌包括華為、華三和銳捷等，為全校教職工、學(xué)生和后勤人員萬余人提供網(wǎng)絡(luò)服務(wù)，具有網(wǎng)絡(luò)覆蓋范圍大、設(shè)備類型復(fù)雜和用戶規(guī)模大等特點(diǎn)。已經(jīng)向中國教育網(wǎng)CERNET申請(qǐng)到2001：250：2c13：：/48段地址，在出口路由器上配置完成相應(yīng)的路由條目，連接到CERNET2，實(shí)現(xiàn)IPv6外網(wǎng)訪問;對(duì)校園門戶網(wǎng)站、校內(nèi)DNS服務(wù)器等應(yīng)用服務(wù)器配置靜態(tài)IPv6地址，在DNS服務(wù)器IIS上添加AAAA記錄綁定IPv6地址和對(duì)應(yīng)域名，已實(shí)現(xiàn)支持門戶網(wǎng)站IPv6外網(wǎng)訪問。為全面完成全校IPv6網(wǎng)絡(luò)規(guī)模部署，實(shí)現(xiàn)校內(nèi)用戶訪問IPv6信息資源，結(jié)合網(wǎng)絡(luò)運(yùn)行現(xiàn)狀，以保持網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不變、保障用戶網(wǎng)絡(luò)質(zhì)量和降低部署成本為前提，對(duì)IPv6用戶地址獲取方法、IPv4/IPv6過渡技術(shù)進(jìn)行科學(xué)分析比較，對(duì)IPv6路由表和IPv6用戶VLAN地址表進(jìn)行詳細(xì)規(guī)劃設(shè)計(jì)，制定切實(shí)可行的部署方案，實(shí)現(xiàn)網(wǎng)絡(luò)平穩(wěn)過渡。

2.1 IPv6用戶地址獲取方法

IPv6用戶地址配置有靜態(tài)地址配置和動(dòng)態(tài)地址配置兩種方式[2]。靜態(tài)地址配置要求用戶在PC端手動(dòng)設(shè)置包括IPv6地址、前綴長度、默認(rèn)網(wǎng)關(guān)和DNS地址等信息，缺點(diǎn)是需要設(shè)置信息條目多、靈活性差、糾錯(cuò)困難以及增加網(wǎng)絡(luò)運(yùn)維成本等，不適用于用戶量大、用戶變化快的應(yīng)用場(chǎng)景。IPv6的動(dòng)態(tài)地址配置方式分為SLAAC和DHCPv6兩種方式。SLAAC規(guī)定主機(jī)的IPv6地址由前綴和接口ID組成。IPv6前綴用來標(biāo)識(shí)主機(jī)與路由器之間的網(wǎng)絡(luò);接口ID固定長度64位，可通過MAC地址自動(dòng)生成運(yùn)算生成。SLAAC存在自動(dòng)配置的IPv6地址不可控且該地址與主機(jī)的MAC地址相關(guān)的問題。另外，SLAAC可自動(dòng)配置的信息有限，部分特殊信息無法通過SLAAC配置，只能完成簡單的IP地址配置DHCPv6[3]（Dynamic Host Configuration Protocol for IPv6）可自動(dòng)為主機(jī)分配IPv6前綴、IPv6地址和DNS服務(wù)器地址等網(wǎng)絡(luò)配置參數(shù)，便于用戶地址配置和后續(xù)網(wǎng)絡(luò)運(yùn)維管理，能夠更好地控制地址的分配，減輕網(wǎng)絡(luò)運(yùn)維壓力。

黔南民族師范學(xué)院現(xiàn)行網(wǎng)絡(luò)具有覆蓋范圍面積大、用戶地理位置分散、用戶數(shù)量龐大、用戶信息變更快等特點(diǎn)，并且由于IPv6自身具有地址較長難以記憶、配置信息復(fù)雜等特性，結(jié)合學(xué)校網(wǎng)絡(luò)現(xiàn)狀，綜合分析IPv6靜態(tài)地址配置、SLAAC配置和DHCPv6配置三種配置方法優(yōu)缺點(diǎn)，為提高校園網(wǎng)絡(luò)用戶的接入便利性、可用性和可維護(hù)性，決定采用DHCPv6用戶端地址信息自動(dòng)配置機(jī)制。

2.2 IPv4向IPv6的過渡技術(shù)選擇

IPv6協(xié)議作為下一代互聯(lián)網(wǎng)協(xié)議的標(biāo)準(zhǔn)，尚未廣泛應(yīng)用，且與IPv4協(xié)議不兼容。為保證IPv6網(wǎng)絡(luò)能夠與IPv4網(wǎng)絡(luò)互聯(lián)通信，IETF提出系列過渡技術(shù)和互聯(lián)方案，解決IPv6“信息孤島”問題。當(dāng)前常用的三種過渡技術(shù)分別是隧道技術(shù)、協(xié)議翻譯技術(shù)和雙協(xié)議棧技術(shù)[4]。隧道技術(shù)是將IPv6報(bào)文封裝在IPv4報(bào)文中，利用現(xiàn)有的IPv4網(wǎng)絡(luò)互相通信，隧道兩端節(jié)點(diǎn)必須同時(shí)支持IPv4協(xié)議棧和支持IPv6協(xié)議棧。由于在隧道的入口會(huì)出現(xiàn)負(fù)載協(xié)議數(shù)據(jù)包的拆分，在隧道出口會(huì)出現(xiàn)負(fù)載協(xié)議數(shù)據(jù)包的重組，將增加隧道出入口的實(shí)現(xiàn)復(fù)雜度，不利于大規(guī)模的推廣應(yīng)用。協(xié)議翻譯技術(shù)是指為使純IPv6主機(jī)與純IPv4主機(jī)之間能夠正常通信，借助中間協(xié)議轉(zhuǎn)換服務(wù)器將網(wǎng)絡(luò)層中的IPv4/IPv6協(xié)議頭相互轉(zhuǎn)換，適應(yīng)對(duì)端協(xié)議類型實(shí)現(xiàn)兩種協(xié)議之間的通信，缺點(diǎn)是不能支持所有的應(yīng)用，需購置專門的協(xié)議轉(zhuǎn)換設(shè)備，價(jià)格高昂。雙協(xié)議棧技術(shù)是指在主機(jī)、路由交換等設(shè)備上同時(shí)啟用IPv4和IPv6協(xié)議，DNS服務(wù)器同時(shí)提供IPv4和IPv6兩種地址，主機(jī)根據(jù)實(shí)際需要使用適當(dāng)協(xié)議建立連接，具有互通性好、易于理解的優(yōu)點(diǎn)，缺點(diǎn)是要求網(wǎng)絡(luò)中的設(shè)備都支持雙協(xié)議棧。

通過更換部分老舊設(shè)備，經(jīng)過全面梳理測(cè)試，現(xiàn)有網(wǎng)絡(luò)設(shè)備均支持IPv4和IPv6協(xié)議。用戶終端操作系統(tǒng)版本均為Windows 7以上，已安裝啟用IPv4和IPv6協(xié)議。本文為降低升級(jí)改造中的技術(shù)難度、IPv6規(guī)模部署的成本、網(wǎng)絡(luò)升級(jí)改造對(duì)用戶的影響，從技術(shù)可行性、經(jīng)濟(jì)可行性和網(wǎng)絡(luò)運(yùn)行穩(wěn)定性多角度綜合分析，采用雙協(xié)議棧技術(shù)達(dá)到改造成本低、網(wǎng)絡(luò)改動(dòng)小、技術(shù)實(shí)現(xiàn)簡單的目的，為后續(xù)純IPv6網(wǎng)絡(luò)的構(gòu)建奠定良好基礎(chǔ)。

2.3 VLAN及用戶地址表規(guī)劃

由于采用雙協(xié)議棧過渡技術(shù)，為便于網(wǎng)絡(luò)用戶地址的維護(hù)、識(shí)別、記憶和修改，簡化網(wǎng)絡(luò)規(guī)劃、管理，參照現(xiàn)運(yùn)行的IPv4網(wǎng)絡(luò)VLAN及用戶地址規(guī)劃表，注重IPv4地址與IPv6地址字段內(nèi)在含義的關(guān)聯(lián)，對(duì)IPv6網(wǎng)絡(luò)地址進(jìn)行規(guī)劃[5]。

如表1所示，IPv6地址2001：250：2C13：22：yy：zzz：：254/112，yy代表匯聚層樓宇編號(hào)，zzz代表IPv4的VLAN，實(shí)現(xiàn)IPv4和IPv6地址含義關(guān)聯(lián)，便于運(yùn)維過程中識(shí)別用戶地址、管理用戶群體，進(jìn)行流量監(jiān)控和路由聚合。文章設(shè)置IPv4用戶地址段和IPv6用戶地址段在相同的VLAN下，為后續(xù)雙棧部署中DHCPv6信息的配置提供便利。

2.4 路由規(guī)劃

現(xiàn)運(yùn)行的校園IPv4網(wǎng)絡(luò)采用靜態(tài)路由和默認(rèn)路由兩種路由策略。為保證路由策略簡單高效、易于維護(hù)，IPv6網(wǎng)絡(luò)采用相同的路由配置策略，在匯聚交換機(jī)和核心交換機(jī)的全局模式和接口模式下啟用IPv6功能，在IPv4網(wǎng)絡(luò)互聯(lián)Vlanif接口下配置相應(yīng)的IPv6互聯(lián)地址，在交換機(jī)全局模式下設(shè)置IPv6默認(rèn)路由和靜態(tài)路由，實(shí)現(xiàn)同一條物理鏈路傳遞IPv4和IPv6兩種協(xié)議數(shù)據(jù)。

3配置實(shí)現(xiàn)

黔南民族師范學(xué)院現(xiàn)在運(yùn)行的匯聚交換機(jī)是華為S5732，核心交換機(jī)是H3C S12508。配置前均需在設(shè)備系統(tǒng)視圖模式下全局開啟IPv6功能。具體配置如下。

3.1 華為S5732匯聚交換機(jī)DHCPv6配置

dhcpv6 pool 110 ? ?//創(chuàng)建名為110的IPv6地址池，同時(shí)進(jìn)入IPv6地址池視圖

address prefix 2001：250：2C13：22：1：110：：/112 ? //IPv6地址池視圖下配置網(wǎng)絡(luò)前綴 excluded-address 2001：250：2C13：22：1：110：0：254 //配置IPv6地址池中不參與自動(dòng)分配的IPv6地址

dns-server 2001：250：2C13：：33 ? ? //配置IPv6 DNS服務(wù)器地址

interface Vlanif110 ? ? ? ? ? ? ?//進(jìn)入用戶地址所在的Vlanif110接口視圖

ipv6 enable ? ? ? ? ? ? ? ? ? ? //在接口下開啟IPv6功能

ip address 172.22.1.254 255.255.255.0 ? ? ? ? ?//配置IPv4接口地址

ipv6 address 2001：250：2C13：22：1：110：0：254/112 ?//配置IPv6接口地址

undo ipv6 ndra halt ? ? ? ? ? ?//使能系統(tǒng)發(fā)布RA報(bào)文功能

ipv6 ndautoconfig managed-address-flag ? //設(shè)置RA報(bào)文中的有狀態(tài)自動(dòng)配置地址的標(biāo)志位

ipv6 ndautoconfig other-flag ?//設(shè)置RA報(bào)文中的有狀態(tài)自動(dòng)配置其他信息的標(biāo)志位

dhcp select interface ? ? ? ? //開啟接口采用接口地址池的IPv4 DHCP Server功能

dhcpv6 server 110 ? ? ? ? ? ? //選擇dhcpv6地址池

dhcp server dns-list 218.194.224.33 8.8.8.8 ? //配置IPv4 DNS服務(wù)器地址

interface Vlanif1001 ? ? ? ? ?//進(jìn)入互聯(lián)地址所在的Vlanif1001接口視圖

ipv6 enable ? ? ? ? ? ? ? ? ? //在接口下開啟IPv6功能

ip address 172.17.1.10 255.255.255.252//配置IPv4接口互聯(lián)地址

ipv6 address 4000：：12/124 ? ? //配置IPv6接口互聯(lián)地址

3.2 路由配置

以第一教室匯聚到核心交換路由配置為例進(jìn)行路由配置：

ipv6 route-static ：： 0 4000：：11 description TO-S12508 ? ?//匯聚交換機(jī)到核心交換機(jī)采用默認(rèn)路由策略

ipv6 route-static 2001：250：2C13：22：1：： 80 4000：：12 description TO-1Jiao-s5732//核心交換機(jī)到匯聚交換機(jī)采用靜態(tài)路由策略

3.3用戶終端配置

在用戶PC端本地連接屬性中勾選“Internet協(xié)議版本6”，雙擊進(jìn)入“協(xié)議屬性”，勾選自動(dòng)獲取IPv6地址和DNS服務(wù)器地址信息功能，即可開啟用戶IPv6訪問功能。

4雙棧部署效果

4.1查看VLAN 110 IPv6地址下發(fā)情況

在三層交換機(jī)全局視圖下，使用命令查看IPv6地址池110的地址分配情況。如圖2所示，當(dāng)前共有6個(gè)地址在使用，沒有地址沖突，生存時(shí)間是172 800秒，即租期為48小時(shí)。地址池不參與自動(dòng)分配的IPv6地址是2001：250：2C13：22：1：110：0：254。

如圖3所示，開啟用戶終端IPv6地址自動(dòng)獲取功能后，查閱用戶網(wǎng)卡的網(wǎng)絡(luò)連接詳細(xì)信息，PC端工作在雙棧模式下，已經(jīng)自動(dòng)獲取到三層交換機(jī)上同一個(gè)VLAN下配置的IPv4和IPv6地址等網(wǎng)絡(luò)配置信息。

4.2 用戶端接入IPv6測(cè)試

通過在IPv6測(cè)試網(wǎng)站在線測(cè)試，如圖4所示，用戶IPv4和IPv6均已經(jīng)接入互聯(lián)網(wǎng)，且圖3用戶IPv6地址為公網(wǎng)地址。如圖5所示，利用Ping命令測(cè)試，該用戶與IPv6應(yīng)用網(wǎng)站已經(jīng)連通。

4.3 IPv4/IPv6關(guān)聯(lián)認(rèn)證

為實(shí)現(xiàn)用戶上網(wǎng)行為可追溯，保障網(wǎng)絡(luò)安全，采用用戶上網(wǎng)實(shí)名認(rèn)證機(jī)制。通過升級(jí)現(xiàn)行用戶實(shí)名認(rèn)證系統(tǒng)，完成用戶IPv4/IPv6接入網(wǎng)絡(luò)關(guān)聯(lián)認(rèn)證。如圖6所示，當(dāng)用戶完成IPv4認(rèn)證時(shí)，IPv6協(xié)議也認(rèn)證成功。

4.4 用戶流量測(cè)試

完成校園網(wǎng)絡(luò)IPv6雙棧規(guī)模部署后，通過部署網(wǎng)絡(luò)流量監(jiān)控設(shè)備系統(tǒng)，如圖7所示，監(jiān)測(cè)用戶IPv6網(wǎng)絡(luò)數(shù)據(jù)流量狀況，為后續(xù)的研究分析提供數(shù)據(jù)支撐。

5結(jié)論

文章通過對(duì)校園網(wǎng)絡(luò)運(yùn)行現(xiàn)狀全面分析研究，結(jié)合當(dāng)前主流IPv6應(yīng)用技術(shù)，制訂科學(xué)合理、切合實(shí)際的IPv6雙棧部署方案。以保持當(dāng)前網(wǎng)絡(luò)拓?fù)洳蛔優(yōu)榍疤?，采用基于DHCPv6動(dòng)態(tài)地址分配機(jī)制，完成校園網(wǎng)絡(luò)用戶IPv6規(guī)模部署，實(shí)現(xiàn)黔南民族師范學(xué)院網(wǎng)絡(luò)IPv4和IPv6雙棧運(yùn)行。經(jīng)過測(cè)試，雙棧用戶能夠

高速訪問純IPv6應(yīng)用和網(wǎng)站，且部分支持雙棧應(yīng)用的流量分流到IPv6出口，能夠減輕IPv4出口流量負(fù)載，達(dá)到優(yōu)化網(wǎng)絡(luò)出口流量、提高網(wǎng)絡(luò)運(yùn)行效率和改善用戶上網(wǎng)體驗(yàn)的目的。但通過測(cè)試發(fā)現(xiàn)，還存在以下不足之處：首先是部分安卓系統(tǒng)終端用戶尚不支持DHCPv6，無法獲取到IPv6地址;其次是網(wǎng)絡(luò)運(yùn)行過程中尚未有效實(shí)現(xiàn)用戶IPv6地址流量控制，導(dǎo)致負(fù)載不均衡。后續(xù)應(yīng)用研究中應(yīng)注重用戶流量監(jiān)控和負(fù)載均衡控制，全面提高網(wǎng)絡(luò)運(yùn)行效率。

參考文獻(xiàn)：

[1] 杜平.IPv6的技術(shù)原理及其在現(xiàn)網(wǎng)中的應(yīng)用[J].中國新通信，2019，21（20）：108-109.

[2] 吳伊杰，李明洋，王家和，等.IPv6地址配置策略與部署規(guī)律的探究[J].深圳大學(xué)學(xué)報(bào)（理工版），2020，37（S1）：13-19.

[3] 王霞，高飛.基于DHCPv6的大規(guī)模無線傳感器網(wǎng)絡(luò)地址管理協(xié)議的設(shè)計(jì)[J].云南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，25（1）：64-68.

[4] 杜紅林.IPv6雙棧技術(shù)在校園網(wǎng)中過渡設(shè)計(jì)與實(shí)現(xiàn)——以貴州師范大學(xué)校園網(wǎng)為例[J].信息技術(shù)與信息化，2019（5）：97-100.

[5] 張穎豪，侯樂青.IPv6地址規(guī)劃和分配探討[J].電信網(wǎng)技術(shù)，2012（9）：46-50.

【通聯(lián)編輯：代影】