高校校園網(wǎng)IPv6方案設(shè)計(jì)

季昌武 山東信息職業(yè)技術(shù)學(xué)院，山東 濰坊 261041

高校校園網(wǎng)IPv6方案設(shè)計(jì)

季昌武 山東信息職業(yè)技術(shù)學(xué)院，山東 濰坊 261041

IPv4地址的耗盡問(wèn)題已迫在眉睫，由于IPv4的先天不足導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越多。IPv6技術(shù)取代IPv4技術(shù)是必然趨勢(shì)。本文根據(jù)IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)過(guò)渡方案，重點(diǎn)分析了校園網(wǎng)應(yīng)用IPv6技術(shù)的途徑。并且對(duì)于老校園網(wǎng)和新建校園網(wǎng)分別進(jìn)行了分析。

IPv4；IPv6；IPSec；校園網(wǎng)

1.IPv4地址耗盡與安全問(wèn)題

IP地址枯竭的問(wèn)題已經(jīng)不是個(gè)新問(wèn)題，特別在中國(guó)，問(wèn)題已經(jīng)迫在眉睫。專家預(yù)測(cè)IPv4地址將在2010年耗盡，首當(dāng)其沖的就是新興發(fā)展中國(guó)家。

由于我國(guó)IPv4地址資源嚴(yán)重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問(wèn)題，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來(lái)解決這個(gè)問(wèn)題。比如PSTN、ADSL、GPRS撥號(hào)上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址，通過(guò)NAT技術(shù)接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障。從根本上看，互聯(lián)網(wǎng)可信度問(wèn)題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒(méi)有強(qiáng)制采用IPSec而帶來(lái)的安全性問(wèn)題，使IPv4網(wǎng)絡(luò)面臨各種威脅。

2.IPv6技術(shù)

（1）IPv6技術(shù)簡(jiǎn)介

IPv6的地址是128位編碼，能產(chǎn)生2的128次方個(gè)IP地址。地址資源極為豐富。而且能夠?yàn)榛ヂ?lián)網(wǎng)提供更安全、更為廣闊的應(yīng)用與服務(wù)。IPv6技術(shù)徹底解決了地址空間耗盡和路由表爆炸等問(wèn)題，而且為IP協(xié)議注入了新的內(nèi)容，使支持安全、主機(jī)移動(dòng)以及多媒體成為IP協(xié)議的有機(jī)組成部分。IPv6技術(shù)是一個(gè)可靠的、可管理的、安全和高效的IP網(wǎng)絡(luò)的長(zhǎng)期解決方案。

（2）IPv6的安全

安全問(wèn)題始終是與Internet相關(guān)的一個(gè)重要話題。由于在IPv4協(xié)議設(shè)計(jì)之初沒(méi)有考慮安全性，因而在早期的Internet上時(shí)常發(fā)生諸如企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)遭到攻擊、機(jī)密數(shù)據(jù)被竊取等不幸的事情。為了加強(qiáng)Internet的安全性，從1995年開(kāi)始IETF著手研究制定了一套用于保護(hù)IP通信的IP安全(IP Security，IPSec)協(xié)議。IPSec是IPv6的一個(gè)組成部分，提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭到改動(dòng)。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼來(lái)保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過(guò)程中被他人截獲而失密。IPSec的認(rèn)證包頭(Authentication Header，AH)協(xié)議定義了認(rèn)證的應(yīng)用方法，封裝安全負(fù)載（Encapsulating Security Payload，ESP）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。在實(shí)際進(jìn)行IP通信時(shí)，可以根據(jù)安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。

3.IPv4至IPv6的過(guò)渡技術(shù)

IPv6網(wǎng)絡(luò)一般分為純IPv6網(wǎng)和過(guò)渡IPv6兩種網(wǎng)絡(luò)。構(gòu)建純IPv6的網(wǎng)絡(luò)需要各個(gè)節(jié)點(diǎn)主機(jī)、路由器支持IPv6協(xié)議棧即可。過(guò)渡IPv6網(wǎng)絡(luò)對(duì)節(jié)點(diǎn)主機(jī)和路由器并無(wú)特殊的要求，只需通過(guò)采用一定的技術(shù)來(lái)實(shí)現(xiàn)IPv6網(wǎng)絡(luò)。當(dāng)前主要采用的技術(shù)有隧道技術(shù)、雙協(xié)議棧技術(shù)、轉(zhuǎn)換技術(shù)。

（1）雙協(xié)議棧技術(shù)

IPv6和IPv4是功能相近的網(wǎng)絡(luò)層協(xié)議，兩者都基于相同的物理平臺(tái)，且傳輸層協(xié)議對(duì)于IPv6和IPv4是相同的功能。由協(xié)議棧結(jié)構(gòu)可以看出，一臺(tái)主機(jī)同時(shí)支持IPv6和IPv4兩種協(xié)議，該主機(jī)既能與支持IPv4協(xié)議的主機(jī)通信，又能與支持IPv6協(xié)議的主機(jī)通信。

（2）隧道技術(shù)

隨著IPv6網(wǎng)絡(luò)的發(fā)展，出現(xiàn)了許多局部的IPv6網(wǎng)絡(luò)，但是這些IPv6網(wǎng)絡(luò)需要通過(guò)IPv4骨干網(wǎng)絡(luò)相連。利用隧道技術(shù)可以通過(guò)現(xiàn)有的運(yùn)行IPv4協(xié)議的Internet骨干網(wǎng)絡(luò)將局部的IPv6網(wǎng)絡(luò)連接起來(lái)，因而是IPv4向IPv6過(guò)渡的初期最易于采用的技術(shù)。該技術(shù)容易實(shí)現(xiàn)，但缺點(diǎn)是不能實(shí)現(xiàn)IPv4主機(jī)與IPv6主機(jī)的直接通信。

（3）網(wǎng)絡(luò)地址轉(zhuǎn)換/協(xié)議轉(zhuǎn)換技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換/協(xié)議轉(zhuǎn)換技術(shù)NATPT(Network Address Translation -Protocol Translation)通過(guò)與SIIT協(xié)議轉(zhuǎn)換和傳統(tǒng)的IPv4下的動(dòng)態(tài)地址翻譯(NAT)以及適當(dāng)?shù)膽?yīng)用層網(wǎng)關(guān)(ALG)相結(jié)合，實(shí)現(xiàn)了只安裝了IPv6的主機(jī)和只安裝了IPv4機(jī)器的大部分應(yīng)用的相互通信。這種技術(shù)依賴于從支持IPv4的互聯(lián)網(wǎng)到支持IPv6的互聯(lián)網(wǎng)的轉(zhuǎn)換，IPv4和IPv6可在這一轉(zhuǎn)換過(guò)程中互相兼容。

4.校園網(wǎng)的發(fā)展趨勢(shì)

目前，校園網(wǎng)不得不面對(duì)大量的問(wèn)題與挑戰(zhàn)。

首先需要面對(duì)承載更多業(yè)務(wù)的迫切需求，如一卡通、視頻會(huì)議、IP電話等對(duì)網(wǎng)絡(luò)有著特定要求的應(yīng)用難于部署；不同的業(yè)務(wù)往往需要部署不同的網(wǎng)絡(luò)，BT等更改網(wǎng)絡(luò)流量模型、更改會(huì)話鏈接模型等應(yīng)用的出現(xiàn)也給網(wǎng)絡(luò)帶來(lái)不穩(wěn)定的因素。

其次網(wǎng)絡(luò)的穩(wěn)定性和安全性仍然需要提高，因安全攻擊事件（病毒、黑客攻擊等）引起的安全事故屢有發(fā)生，攻擊的來(lái)源由外部為主逐漸轉(zhuǎn)移到以內(nèi)部為主，而殺毒軟件、IDS等防護(hù)手段難以全面實(shí)施，局部的安全事故往往會(huì)影響到全網(wǎng)的安全。

再者，高校用戶還承受著巨大的管理壓力，不斷出現(xiàn)的新技術(shù)給網(wǎng)絡(luò)帶來(lái)了使用的復(fù)雜性，加大了網(wǎng)絡(luò)中心的日常維護(hù)工作量，網(wǎng)絡(luò)交換機(jī)等設(shè)備數(shù)量的增多和多校區(qū)因素引起的分布范圍加大，實(shí)際上使對(duì)匯聚、接入等設(shè)備的管理策略難于實(shí)施，大部分高校的網(wǎng)絡(luò)中心存在著人員配置少的難題，一方面是維護(hù)工作的復(fù)雜程度增加，一方面是人手的短缺。IPv4校園網(wǎng)已經(jīng)無(wú)力解決現(xiàn)實(shí)存在的眾多難題，IPv6校園網(wǎng)取代IPv4校園網(wǎng)是發(fā)展的必然結(jié)果。

5.校園網(wǎng)向IPv6的過(guò)渡方案

（1）新建校園網(wǎng)

新校園網(wǎng)IPv6組網(wǎng)方案分析

對(duì)于新建的校園網(wǎng)，有兩種組網(wǎng)方式，一種是建立純IPv6網(wǎng)絡(luò)，另一種是雙棧支持的IPv6網(wǎng)絡(luò)。但由于目前大多數(shù)實(shí)際應(yīng)用依舊是運(yùn)行在IPv4的網(wǎng)絡(luò)之上，而且IPv6的實(shí)際應(yīng)用相對(duì)較少，因此推薦使用后一種組網(wǎng)方式。采用同時(shí)支持IPv6/IPv4的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)建設(shè)，使得校園網(wǎng)平臺(tái)同時(shí)支持兩種協(xié)議的應(yīng)用。

雙棧支持的IPv6網(wǎng)絡(luò)的校園網(wǎng)，邊界路由器可以采用支持雙棧的設(shè)備，連通IPv6互聯(lián)網(wǎng)CERNET2。針對(duì)校內(nèi)網(wǎng)絡(luò)，核心交換機(jī)可以采用支持雙棧的三層設(shè)備，IPv6的三層功能均交由核心處理，匯聚接入使用IPv4交換機(jī)即可。如果條件允許，也可考慮匯聚使用雙棧三層交換機(jī)，形成層次化的IPv6網(wǎng)絡(luò)。

新校園網(wǎng)IPv6網(wǎng)絡(luò)互通方法

上述方案，校內(nèi)IPv6內(nèi)部、IPv4內(nèi)部在各自網(wǎng)內(nèi)分別互通。而校內(nèi)IPv6和IPv4互通，是通過(guò)雙棧核心交換機(jī)進(jìn)行地址協(xié)議轉(zhuǎn)換。校內(nèi)IPv6和校外IPv4(或校內(nèi)IPv4到校外IPv6)通過(guò)出口進(jìn)行地址協(xié)議轉(zhuǎn)換與外部互通。并且校內(nèi)IPv6和校外IPv6，經(jīng)邊界路由設(shè)備直接連接CERNET2。

（2）老校園網(wǎng)升級(jí)

老校園網(wǎng)IPv6組網(wǎng)方案分析

針對(duì)目前大多數(shù)高校，對(duì)已有的校園網(wǎng)部署IPv6組網(wǎng)方案，相比新建校園網(wǎng)要復(fù)雜，基本可以通過(guò)以下兩種方法實(shí)現(xiàn)，一是購(gòu)買(mǎi)新的雙棧設(shè)備，二是升級(jí)核心設(shè)備的軟硬件支持雙棧。

對(duì)于增加新的雙棧設(shè)備，可以通過(guò)新增設(shè)備進(jìn)行NAT-PT轉(zhuǎn)換與原IPv4核心設(shè)備互通，與外部則分別經(jīng)原核心連接的CERNET或新增設(shè)備所連接的CERNET2分別于外部IPv4和IPv6網(wǎng)絡(luò)互通。如果核心設(shè)備可以升級(jí)軟硬件來(lái)支持雙棧，則部署和應(yīng)用互通方案可類似前述新建校園網(wǎng)。

老校園網(wǎng)IPv6網(wǎng)絡(luò)互通方法

上述方案，校內(nèi)IPv6內(nèi)部、IPv4內(nèi)部在各自網(wǎng)內(nèi)分別互通。而校內(nèi)IPv6和IPv4互通，是通過(guò)新建IPv6校園網(wǎng)雙棧核心交換機(jī)進(jìn)行地址協(xié)議轉(zhuǎn)換。校內(nèi)IPv6和校外IPv4(或校內(nèi)IPv4到校外IPv6)通過(guò)出口進(jìn)行地址協(xié)議轉(zhuǎn)換與外部互通。并且校內(nèi)IPv6和校外IPv6，經(jīng)邊界路由設(shè)備直接連接CERNET2或者使用隧道技術(shù)與非直連的IPv6孤島互通。

老校園網(wǎng)升級(jí)的具體方案考慮

為盡量避免對(duì)原有網(wǎng)絡(luò)線路改造或增加，同時(shí)又希望原有用戶可以方便地接入IPv6網(wǎng)絡(luò)，可以直接將核心三層交換機(jī)替換為雙棧設(shè)備，則其形式將類似于新建IPv6校園網(wǎng)。并且由于IPv6建設(shè)初期用戶較少，為了減少設(shè)備投資，考慮使用服務(wù)器模擬路由器作為邊界的雙棧設(shè)備。

6.總結(jié)

本文總結(jié)了IPv4協(xié)議的不足與應(yīng)用形式，分析了IPv6技術(shù)的特點(diǎn)，及其取代IPv4的必然趨勢(shì)。根據(jù)IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)過(guò)渡方案，重點(diǎn)分析了校園網(wǎng)實(shí)現(xiàn)IPv6網(wǎng)絡(luò)的技術(shù)思路。對(duì)于老校園網(wǎng)和新建校園網(wǎng)分別進(jìn)行了分析。

[1].伍海桑,陳茂科.IPv6 的原理和實(shí)踐[M].人民郵電出版社.2009

[2].張俊.淺析IPv6的安全性[A].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2008.10

[3].Davies,J; 張曉彤,晏國(guó)晟,曾慶峰等譯.理解IPv6[M].清華大學(xué)出版社.2006

[4].姚樹(shù)宇.IPv6協(xié)議及其過(guò)渡技術(shù)的安全問(wèn)題[A]. IT論壇.2007.9

[5].張震,唐雄燕.IPv6技術(shù)的應(yīng)用與發(fā)展策略[A].現(xiàn)代傳輸.2009

Analyses To The CampusNetwork’s IPv6 Converting

Ji Changwu Shandong College Of Information Technology, Shandong Weifang 261041

IPv4 address’s depletion problem is imminent,Security problems caused by the inherent inadequacy of IPv4 network being more and more. The IPv4 technology must be replaced by IPv6 technology.Based on the IPv4 network to IPv6 network transition programs, an analysis is proposed to solve the problem that how to use the IPv6 technology in the campus network. And a more indepth analysis to old campus network and new campus network is proposed.

IPv4；IPv6；IP Security；Campus Network

TP393

A

10.3969/j.issn.1001-8972.2011.08.070

季昌武，山東濰坊人，高級(jí)講師，研究方向：網(wǎng)絡(luò)互聯(lián)技術(shù)，軟件開(kāi)發(fā)。