因特網協議版本6技術在校園網中的應用

中國移動通信集團江蘇有限公司南京分公司 周宇燕

IPv6（因特網協議版本6）地址可以提供足夠的地址空間，其所擁有的地址容量是IPv4的約8×1028倍[1]，并能提供更多的地址層次，還將層次化要求設計到了全局可路由地址的格式中。在目前IPv4網絡技術如此成熟的情況下，只能通過分步實施的方法來逐步過渡到IPV6網絡。因此，在今后相當長的一段時間內，IPv6網絡將和IPv4網絡共存。如何以合理的代價逐步過渡到IPv6，解決好IPv4與IPv6共存，將是我們需要迫切考慮的。

本文研究的主要內容包括IPv6主流過渡技術的探討，并以南京某大學校園網為例，綜合各種技術，討論增加IPV6網絡的可能性，并設計IPv6網絡的架構方案。

1 IPv6與IPv4的共存與整合策略

目前的IPv6與IPv4共存與整合策略主要依靠過渡技術實現，過渡技術重點解決如何在IPv4網絡環境里實現與IPv6網絡的互操作及平滑過渡問題。

1.1 雙協議棧技術

雙協議棧（dualstack）是指在單個節點同時支持IPv4和IPv6兩種協議棧。由于IPv6和IPv4是功能相近的網絡層協議，兩者都基于相同的物理平臺，而且加載于其上的傳輸層協議TCP（傳輸控制協議）和UDP（用戶數據報文協議）也沒有區別，所以可以在一臺主機上同時支持IPv4和IPv6。雙協議棧技術的工作原理是：一臺主機同時支持IPv6和IPv4兩種協議，該主機既能與支持IPv4協議的主機通信，又能與支持IPv6的主機通信。雙協議棧是其他IPv4/IPv6互通技術的基礎，它有3種工作模式[2]：只運行IPv6，此時表現為IPv6節點；只運行IPv4，此時表現為IPv4節點；同時打開IPv6和IPv4。

圖1為雙棧協議結構。

1.2 隧道技術

隧道機制就是用IPv4封裝IPv6數據包并且把這些封裝了的數據包通過IPv4網絡送往一個IPv4目的節點，目的節點拆封數據包并剝離出IPv6數據包。

1.2.1 ISATAP隧道

ISATAP（站點間自動隧道尋址協議）由RFC 4212定義[3]，它是一種地址分配技術，是一種主機到主機、主機到路由器以及路由器到路由器的自動隧道技術，它可以在IPv4網絡上創建一個虛擬IPv6網絡。IPv6數據包在IPv4中的隧道封裝在ISATAP主機之間或者ISATAP主機和ISATAP路由器之間執行。隧道封裝是自動的，意味著當啟用了ISATAP時沒必要在主機上應用手動配置。對于ISATAP主機到ISATAP路由器的隧道，ISATAP主機必須首先從可用的路由器列表中找出一個ISATAP路由器的IPv4地址。分配給ISATAP主機和路由器的地址由專用的可聚合全球單播IPv6地址和特殊格式的接口標識組合而成。一個ISATAP主機上啟用的ISATAP地址使用本地鏈路前綴（FE80::/10）。必須給站點內的ISATAP操作分配一個可聚合或者本地站點的/64前綴。ISATAP主機通過在IPv4上建立起來的ISATA隧道從ISATAP路由器發送的廣播消息中接收/64前綴。ISATAP在ISATAP?IPv6地址中嵌入IPv4地址[2]。接口標識在IANA（因特網號碼分配部門）保留給ISATAP的高階32位0000:5EFE后追加32位IPv4地址IPv4兼容隧道。

1.2.2 6to4（IPv6 to IPv4）隧道

在兩個IPv6域間建立、操作、管理和支持配置隧道至少需要兩個實體的同步，對于某些組織來說有些麻煩。IETF（因特網工程任務組）定義了另一種稱為6to4的機制來簡化通過隧道在IPv4網絡上配置IPv6。這種機制在由IPv6節點組成的站點之間采用動態隧道方法，不需要手動地事先調整隧道的源和目的IPv4地址。IP數據包的隧道封裝是根據6to4站點上產生的數據包的目的地址自動完成的。這種機制在站點邊緣的邊界路由器上啟用，6to4路由器必須通過IPv4路由器基礎設施到達其他的6to4站點和6to4路由器。6to4前綴都基于IANA分配的2002::/16地址空間[4]。每個6to4站點至少使用一個分配給6to4路由器的全球單播IPv4地址，IPv4的32位地址被轉換為16進制格式后附加在2002::/16前綴后面。最終表現形式是2002:IPv4-address::/48。6to4前綴基于全球唯一的IPv4地址，所以沒必要在6to4站點之間傳播/48前綴的IPv6路由。

2 IPV6技術在校園網中的應用

2.1 校園網總體組網

校園園區的網絡結構可以分成三層：接入層、匯聚層和核心層。

1）接入層：提供網絡的第一級接入功能，完成簡單的二、三層交換。安全、QoS（服務質量）和POE（以太網供電）功能都位于這一層。

2）匯聚層：匯聚來自配線間的流量和執行策略，當路由協議應用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網關。

3）核心層：網絡的骨干，必須能夠提供高速數據交換和路由快速收斂，要求具有較高的可靠性、穩定性和易擴展性等。

2.2 IPv6規劃

組建IPv4/IPv6校園網其實是在學校已經比較成熟的IPv4網絡基礎之上組建新的IPv6網絡，根據不同時期的應用需求逐步對IPv6網絡進行針對性改造，讓其適應日益增長的IPv6應用要求。目前，從IPv6在校園網內的發展規律來看，IPv6數據量增長是一個漸進的過程，而現在的網絡設備大部分都是基于IPv4的，不可能將它在短時間內都過渡到基于IPv6的設備。因此校園網中應用IPv6也是一個漸進的過程，IPv4/IPv6將長期共存[5]。

2006年CERNET 2（第二代中國教育和科研計算機網）開通，CERNET2是中國教育科研網專門針對IPv6技術的發展建設的實驗型網絡，現在已經在全國許多高校開通。南京林業大學如要進行IPv6的過渡，則也應該連接到CERNET 2[6]。

部署IPv6之前要考慮的方針策略：

1）網絡中部署IPv6業務的模式。

在校園網中部署IPv6可以有全雙棧模式和隧道模式。全雙棧模式組網是最理想的方案，不必為不同類型的用戶單獨部署網絡配置，開銷小，管理簡單，IPv4和IPv6的邏輯界面清晰。隧道模式屬于過渡技術，不是最終的理想方案；隧道兩端點設備需要花費額外的系統開銷。

2）針對不同的網絡環境進行建設[7]。

可以考慮直接擴容為全雙棧模式，適當兼顧只支持IPv4棧的終端；可根據學校的實際情況，可以先建設部分雙棧網絡，其他部分采用隧道模式允許用戶訪問CERNET 2，逐步將不支持IPv6的設備進行換代升級。

綜上所述，本次部署IPv6網絡的時候，建議有條件的網絡中采用全雙棧部署，完成本次駐地網的大部分建設；其次根據現有校園網內的實際情況，采用部分過渡技術，在不影響現有IPv4校園網主體拓撲結構的條件下，使得校園網中需要部署IPv6網絡的地方能夠通過隧道技術，接入CERNET 2。從技術角度，這是最理想的方案，不必為不同類型的用戶單獨部署網絡配置，開銷小，管理簡單，IPv4和IPv6的邏輯界面清晰。

2.3 校園網方案

在校園網內部架設IPv6網絡，既能從實際上解決學校IP地址短缺的問題，又能為使用IPv6技術積累經驗。經過調查研究，發現南京某大學校園網設備對IPv6支持情況見表1。

從表1可以看出，除接入層交換機外，其他都可以直接支持IPv6。這樣就可以在不改變校園網網絡拓撲，不增加設備的情況下，實現IPv4和IPv6的共存，并實現層次化的IPv6網絡。

?

經研究，對校園網改造可采取如下方案：

1）將試驗樓改造為IPv6網絡；

2）為連接實驗樓的核心交換機增加一個NP模塊，設置為雙棧交換機；

3）將實驗樓的匯聚交換機設置位雙棧交換機；

4）將路由器設備為雙棧路由器，并連接到CERNET 2。

校園網其他設備不做改動。

改造后的校園網拓撲見圖2。

改造后的校園網通信情況可分為以下幾種情況：

1）校園網內部IPv4主機之間通信。

對于校園網內部IPv4主機之間通信，通過IPv4協議棧，與改造前無任何區別。

2）校園網內部IPv6主機之間通信。

對于校園網內部IPv6主機之間通信，通過IPv6協議棧，只需要在匯聚層和核心層交換機上開啟雙棧。

3）校園網內部IPv4與IPv6主機之間通信。

對于校園網內部IPv4與IPv6主機之間通信，可在匯聚層交換機上運用NAT-PT（網絡地址轉換-協議轉換）技術實現雙向轉化。

4）校園網內部IPv6主機與外部IPv6之間通信。

對于直接相連的IPv6網絡直接通過IPv6協議棧通信，非直接相連的IPv6孤島，可在邊界路由器上開啟隧道，通過隧道進行通信。

5）校園網內部IPv6主機與外部IPv4之間通信。

對于校園網內部IPv6主機與外部IPv4之間通信，可在邊界路由器上運行NAT-PT進行轉換，實現與外界IPv4網絡通信。

通過以上一系列工作，可基本實現將新增IPv6網絡平滑地融入到IPv4網絡中。然后，隨著時間的推移，IPv6技術的成熟，IPv6應用增多，可逐步將IPv4節點升級到IPv6節點，加大IPv6節點的覆蓋面。最后，將校園網全面過渡到純IPv6網絡。

3 結束語

本文基于IPv6技術組網設計，在網絡地址的短缺條件下，對IPv6技術進行理論探討，并根據在校園網內增加IPv6網絡的具體情況，得出結論：利用現有的設備，采用合適的方法，根據具體情況，是可以實現在一個普通的校園網內增設IPv6網絡的。通過雙協議棧、隧道技術，可以在校園網內實現IPv4和IPv6網絡的互聯互通，從而在今后一段時間內，實現從IPv4向IPv6的平滑過渡。

因為IPv6是新的協議，在其發展過程中必定會產生一些新的安全問題。與IPv4相比，IPv6在網絡保密性、完整性方面有了更好的改進，在可控性和抗否認性方面有了新的保證，但IPv6不僅不可能徹底解決所有安全問題，同時還會伴隨其產生新的安全問題。目前多數網絡攻擊和威脅來自應用層而非IP層，因此，保護網絡安全與信息安全，只靠一兩項技術并不能實現，還需配合多種手段，構建一個整體的防御體系，這樣才能使我們的網絡應用更加安全。

[1]GONCALRVESMarcrus.IPv6網絡 [M].北京:人民郵電出版社,2000.48-54.

[2]波波維亞.部署IPv6網絡 [M].北京:人民郵電出版社,2007.218-225.

[3]姚羽.IPv6技術項目實驗指導書[M].北京:電子工業出版社,2007.111-156.

[4]VOLZB.Dynamic hostconfiguration protocol for IPv6(DHCPv6)relay agent subscriber–ID option[BE/OL].[2014-03-05].http://datatracker.ietf.org/doc/rfc4580/.

[5]POPOVICIUCprian．部署IPv6網絡 [M].北京:人民郵電出版社,2006.

[6]李云琪，楊家海.一個面向IPv6的網絡拓撲管理系統的實現[J].計算機工程與應用,2004(29):73-75.

[7]張金祥,楊家海.3TNet綜合網絡管理系統的設計及實現 [J].中國教育網絡,2007(2):15-16. ◆