基于IPv6的下一代校園網建設*

譚愛平 成亞玲（湖南工業職業技術學院 湖南 長沙 410208）

基于IPv6的下一代校園網建設*

譚愛平 成亞玲
（湖南工業職業技術學院 湖南 長沙 410208）

以湖南工業職業技術學院校園網二期改造工程為背景，從高職院校網絡建設現狀出發，分析IPv4協議在地址資源、網絡安全、網絡結構、管理及服務質量方面局限性的基礎上，闡述基于IPv6的下一代校園網的主要特征、IPv6校園網建設原則。結合原有IPv4信息資源和應用系統應用，將原有校園網網絡升級為IPv4/IPv6雙棧網絡平臺，為推動高職院校建設IPv6校園網及各種新興IPv6應用起到了積極示范效果。

IPv6；下一代校園網；IPv4

IP地址作為IP網絡的最基礎地址資源，是三網融合的先決條件。伴隨著信息化進程的加速，IPv4地址資源呈現快速消耗的趨勢。以中國電信為例，預計在 2011年前后出現明顯地址缺口:用戶量將達到8600萬，移動互聯網用戶2000萬，IPTV用戶630萬，屆時，IP地址需求缺口約有1700萬。三網融合將產生巨大的IP地址需求：近期，以IPTV為代表的視頻業務需要更大的IP尋址空間；遠期，物聯網等相關業務的大規模開展將使IP延展到更廣泛的網絡空間。

為改變IPv4地址資源受限造成的被動局面，由IPv4向IPv6平穩過渡成為了各界關注的焦點。國內各大運營商正在積極推動IPv6的部署和應用，而作為科研、學術重要陣地的高等院校由于在業務驅動方面（需要數據網、一卡通、視頻監控等多網融合，以降低投資成本，提高管理效率；師生用戶的工作、學習和生活完全依賴網路，對信息服務的期望值越來越高；校園網和信息化工作的價值創造力和價值量化手段缺乏，信息化應該為高校總體發展戰略提供更有效的支撐）和技術驅動方面（40G/100G以太網標準已于2010年6月被正式批準通過；MPLS技術被證明可以有效解決IP網絡的服務質量問題；IPv6已經啟動大規模的試商用，三網融合、物聯網、云計算等重大應用和重大產業快速推進）都需要建設基于IPv6的下一代校園網。

下一代校園網特征

泛載——多業務廣泛承載 校園網隨著寬帶網絡的不斷建設和接入用戶的規模發展，在業務應用方面出現了如下需求：隨時隨地的信息服務，構筑按需服務的教學網絡環境；更高帶寬滿足日益多媒體化的應用對傳輸性能的需求；提供數據、語音、視頻業務區分服務質量，保障核心業務有效開展等等。要滿足多業務廣泛承載，可以從以下技術層面進行實現：普適接入-802.11n無線對移動業務承載，覆蓋每個角落，無處不在的網絡；40G/100G以太網技術標準提供傳輸帶寬提升承載容量；利用MPLS DS-TE區分提供服務優先級，確保服務質量；三網融合、云計算、物聯網等新興應用。

可信——網絡和業務可信賴 業務欺騙在網絡中無處不在，下一代校園網在業務應用方面應該達到網絡可控、可管和可追溯；業務風險大幅度降低；信息服務更值得信賴等要求。如采用SAVI源地址驗證保障地址可信，實名準入認證確保身份可信，使網絡中的身份合法、源地址真實、終端安全、行為可控、服務可靠。

綠色低碳 國家狠抓節能減排工作，節能減排是全世界的共同目標和責任。信息產業的二氧化碳排放量已經占到全球的2.5%，已成為全球第五大耗能產業。下一代校園網應該節約能源、降低二氧化碳排放、做到綠色低碳。

基于IPv6 一方面，除臺式機、筆記本外，每個師生用戶的手機和其他智能終端都有可用的IP地址獲取信息服務；校園的攝像頭、一卡通卡具、照明燈具都可實現端到端的IP連接，實時在線、永久在線等，這些都需要大量的IP地址。另一方面，由于端到端的連接、服務質量和安全性要求更加苛刻，IPv4/IPv6資源訪問互通、業務應用等都需要IPv6來解決。

湖南工業職業技術學院IPv6校園網建設與應用

（一）湖南工業職業技術學院的IPv6校園網升級遵循的原則

高可靠性 確保校園網提供的服務穩定。網絡系統是日常業務和各種應用系統的基礎設施，必須保證工作日和重點時期不間斷運行。

高性能 要確保數字圖書館、校園FTP、流媒體點播和直播、網絡安全系統可靠服務，主干網應提供可保證的服務質量和充足的帶寬，確保數據、圖像、語音等多媒體的實時通訊高性能。

可擴充和可擴展 所有網絡設備不但應滿足當前需要，還應能適應未來校園網環境的變化，網絡應可以平滑地擴充和升級，最大限度地減少對網絡架構和現有設備的調整。

易管理 升級選購的網絡設備應易于管理和維護、操作簡單、易學易用，便于進行網絡配置與管理。

（二）本次校園網升級建設的主要內容

校園網架構的改造 我院原有網絡架構基本采用二層網絡架構模式，網絡擴展性不強，辦公區的廣播風暴，病毒、Dos攻擊等會直接影響到核心交換機的性能，對整網的網絡性能影響較大。通過此次升級，全網網絡架構被改造為核心層、匯聚層、接入層三層架構。

IPv6路由設計 考慮到我院原有的校園網采用OSPFv2作為主要路由策略，校園網升級方案中在IPv6校園網上部署的OSPFv3，其域的設計沿用了OSPFv2的思路，網絡管理和路由規劃等設計細節也可以參考原有的OSPFv2的原則。根據部署的模式不同，可以采用不同IPv6的路由協議部署方式。新建校園網將全網部署雙協議棧，使IPv4/IPv6校園網資源可平滑對接。

組播路由設計 在校園網中，隨著IPTV、視頻點播等應用的大規模開展，IPv6對組播有很好的支持，并分配了大量的組播地址空間，考慮到原有IPv4網絡，本次升級方案中采用了雙棧組播技術而不是純IPv6的組播技術。雙棧組播是IPv4和IPv6組播網的疊加，組播源配置成雙棧，可以同時向IPv4組和IPv6組發送數據流，使運行不同協議棧的所有主機都能接收組播報文。這樣，IPv4和IPv6組播能同時運行在路由器和主機上，并且能同時存在于同一網絡鏈路；路由器也能同時成為IPv4組和IPv6組的匯聚點(RP)，能有效地提升網絡的性能。

校園網骨干網帶寬升級 伴隨著信息化建設的深入，包括學校基本的教學教務管理、科研管理、后勤管理、數字圖書館、視頻服務系統、辦公自動化系統和校園社區服務等業務系統在內的校園信息系統建設要求核心交換機能夠提供無瓶頸的數據交換，萬兆的骨干網絡速率已成為校園網發展的趨勢。我院校園網原有網絡骨干網是千兆，本次改造后骨干網提升到萬兆。

設備升級 我院原有的聯想品牌網設備，不支持IPv4/ IPv6雙棧。本次改造后采用的核心設備是Cisco的6500系列和銳捷的RG-8610系列，匯聚設備是銳捷的RG-S5750，支持雙棧，可以滿足廣大師生對CERNET和CNGI-CERNET2資源的同時訪問。

校園網安全防護提升 由于接入層設備采購時間較早，不支持ARP攻擊防御，不支持ACL以及環路檢測等安全特性，對ARP攻擊、DHCP仿冒等難以有效防御。本次網絡升級對校園網的安全防護進行了合理規劃，能有效地防止各類安全事件。升級后的校園網有四個出口：（1）教育網出口：以獨立光纖線路接入CERNET華中區網絡節點中南大學，網絡帶寬為100Mbps；（2）電信網出口：電信網出口帶寬為1Gbps；（3）聯通網出口：2010年增加150M連通網出口帶寬；（4）Ipv6出口：以獨立光纖線路接入CERNET華中區網絡節點中南大學，網絡帶寬為1Gbps，升級改造后的校園網拓撲結構如圖1所示。

圖1 湖南工業職業技術學院校園網示意圖

無線用戶接入 湖南工業職業技術學院原有校園網全部為有線網絡，升級后的校園網新增了無線網絡設備，以擴大IPv6的接入范圍和接入手段。無線網絡于2010年3月完成了一期工程，總共安裝了42個無線接入點，實現了無線網絡對湖南工業職業技術學院教學區域、辦公區、學生宿舍、圖書館和公共活動區域的100%覆蓋。無線接入采用實名準入認證確保身份可信，如圖2所示。升級后的網絡分為核心層、匯聚層、接入層。核心層主要承擔高速數據交換的任務，同時要為各匯聚節點提供最佳傳輸通道。在部署IPv6核心層設備時，特別注意了在雙棧環境中設備轉發性能達到線速轉發。核心層的Cisco 6500系列、銳捷RG-8610系列交換機，實現萬兆雙鏈路捆綁，保證核心設備間的高性能轉發及冗余，實現匯聚設備的雙鏈路上行，提高骨干鏈路可靠性。匯聚層的主要任務是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務。由于匯聚層設備壓力比較大，選用了模塊化、分布式轉發的體系結構的銳捷RG-S5750系列設備，具備良好的可擴展性等性能。接入層的主要任務是完成用戶的接入，它直接和用戶連接，可能遭受ARP風暴、MAC掃描、ICMP風暴、帶寬攻擊等方式的攻擊，對安全性的要求很高，還必須提供靈活的用戶管理手段。在部署IPv6網絡時，首先要考慮接入層交換機支持對雙棧用戶進行認證，IPv6 HOST、IPv6 ACL、WEB瀏覽器認證等功能，同時，在IPv6中，用戶可能遭受ND攻擊，接入層交換機也需要支持ND防攻擊的相關功能。在此次升級中，接入層設備采用的是支持IPv6管理并具有安全特性的RG-S26、RG-S26系列產品。

圖2 無線實名準入認證圖

（三）IPv6信息資源與應用系統

在原有基礎上，基于IPv4/IPv6雙棧網絡平臺重點升級開發了信息資源系統和應用系統，部署了數字圖書館、流媒體點播和直播服務器，開發了新的IPv6校園網門戶系統、IPv6網絡虛擬教學平臺，配備了FTP文件服務器、EMAIL郵件服務器等。

通過IPv6校園網建設項目，湖南工業職業技術學院已在全院范圍內建成IPv4/IPv6雙棧網絡，使IPv6網絡普及率達到100%。在校園內實現了隨時隨地訪問IPv6網絡資源，網絡可靠率達到98%，IPv4/IPv6雙棧用戶數超過5000人，提供DNS、Web、郵件、音視頻等多種IPv6應用，為推動湖南省高校IPv6校園網建設及各種新興的IPv6應用的發展提供了較好的條件，同時也為湖南省其他高校建設IPv6校園網提供了重要參考。

[1]趙海，孫華麗，王翠榮.IPv6網絡拓撲特征演化分析[J].東北大學學報（自然科學版），2011，32(3)：28-32.

[2]王相林.IPv6技術新一代網絡技術[M].北京:機械工業出版社，2008:12-56.

[3]Li Qing.IPV6 Advanced Protocols Implementation[M].北京:人民郵電出版社，2009:23-49.

[4]Childress B，Cathey B，Dixon S.The adoption of IPv6 [J].Journal of Computing Sciences in Colleges，2003，18（4）：39-51.

[5]張五紅，王宇.高校IPv6校園網的部署與配置[J].計算機工程與設計，2007，28（13）：3106-3110.

[6]張天云.IPv6技術及其在校園網的部署 [J].信息技術，2007，35（1）：25-26.

[7]羅輝瓊，聶瑞華，鄭凱.基于IPv6的校園網升級研究[J].計算機技術與發展，2010，20（3）：133-135.

[8]韓強.基于IPv4向IPv6過渡期的校園網架構研究[J].吉林工程技術師范學院學報，2010，26（2）：68-70.

[9]張宏科，蘇偉.IPv6路由協議棧原理與技術[M].北京:北京郵電大學出版社，2006:50-125.

[10]肖嵬.基于IPv6的下一代網絡在校園網中的實現[J].重慶師范大學學報（自然科學版），2009，26（4）：82-85.

G717

A

1672-5727（2011）08-0167-02

譚愛平（1979—），男，碩士，湖南工業職業技術學院講師，研究方向為計算機網絡技術、網絡安全技術。

成亞玲（1981—），女，碩士，湖南工業職業技術學院講師，研究方向為計算機應用。

*本文系教育部高職高專計算機類專業教指委2011規劃課題《機械行業高職網絡工程專業關鍵問題的研究》（課題編號：jzw590111033）；湖南省教育廳2010年科學研究項目《數字校園統一身份管理模型及關鍵技術研究》(項目編號:10C0120)的部分研究成果