以熱門應用為驅動力，促進校園網IPv6升級
——專訪北京郵電大學信息化技術中心主任安杰

文/本刊記者 付涵

北京郵電大學是全國第一批部署IPv6的高校之一。從2005年起，北郵開始在校園網大規模部署IPv6，2008年已經實現全網雙棧，所有校園網終端都可以使用IPv6網絡。目前校園網并發在線終端數量峰值為6.13萬，其中獲得IPv6地址的終端數量為4.59萬。校園網IPv6出口帶寬為10G，接入CNGI-CERNET2，峰值雙向流量達到12G左右。

北郵的IPv6建設中重點關注了對應用訪問的遷移，包括校主頁在內的絕大部分B/S架構的信息系統都支持通過IPv6訪問，同時校內一些大流量應用如IPTV視頻、P2P下載等應用都會引導用戶優先使用IPv6進行流量分流。日前，本刊記者采訪了北京郵電大學信息化技術中心主任安杰，他對校園網向IPv6升級提出了建議。

全局規劃，逐步實施

《中國教育網絡》：北京郵電大學在校園網IPv6升級改造中，主要是以什么思路進行的？

安杰：北郵的校園網IPv6升級改造分兩個方面。網絡上主要采用雙棧方式進行改造，實現IPv6網絡的快速全面覆蓋；對應用系統升級改造則采用逐步過渡的方式，首先操作系統全部開啟IPv6支持，優先保證應用前端支持IPv6訪問，鼓勵發展原生IPv6應用，推進應用向IPv6平穩過渡。

《中國教育網絡》：在應用系統方面，您能否介紹一下校園網是如何進行逐步遷移的？

安杰：首先升級學校的DNS域名系統，保證域名系統能夠支持對IPv6域名的解析，同時提供對北郵IPv6終端的域名解析服務，通過在上級edu.cn注冊北郵的IPv6 DNS記錄，還可使其它IPv6終端用戶通過IPv6網絡解析到bupt.edu.cn的域名。

其次在大量應用系統對IPv6支持還不好的情況下，對于主要的B/S架構的應用，采用反向代理的方式讓應用系統的前端訪問支持IPv6，通過使用反向代理發布應用，除了保障原有安全設備可以繼續使用外，還保障了IPv6訪問的安全審計。

《中國教育網絡》：您認為，在校園網進行IPv6升級過程中，需要注意哪些方面的工作？

安杰：在校園網進行IPv6升級過程中，要做好網絡升級的全局規劃，并逐步實施。首先要多與網絡設備商和有經驗的學校溝通，了解全面開通IPv6對現網的設備改造要求、網絡設備對IPv6的支持能力和IPv6鄰居表容量等重要指標；其次要規劃好提供IPv6地址的方式，充分了解SLAAC和DHCPv6對終端支持和管理的優缺點，以及未來隨著IPv6普及，如何做好IPv6網絡的認證、溯源和安全等方面的工作。

反向代理保障業務持續運行

《中國教育網絡》：北京郵電大學在校園網IPv6升級改造過程中遇到了哪些困難或問題？你們是如何解決的？

安杰：早期普及IPv6時，主要面臨的困難是用戶終端對IPv6的支持，很多終端需要單獨設置，主要的辦法是針對各種操作系統提供詳細的設置文檔，幫助用戶配置終端支持IPv6，同時將校園網上部分用戶感興趣的應用向IPv6網絡傾斜，推動用戶主動關注和使用IPv6。

目前面臨的主要困難是IPv6的上網認證以及安全和審計設備還很缺乏，IPv6處于用戶使用量大但是難于管理的狀態，目前我們采用的方法是在網絡架構上將用戶上網區和數據中心區進行分離，用戶上網區對安全要求相對較低，要保障用戶可以方便使用IPv6而不做太多安全限制，目前主要解決的是IPv6準入認證的問題，實現用戶IPv4和IPv6一次認證，保障安全的同時提升用戶體驗。而對數據中心區域除了部署最新支持IPv6的下一代防火墻外，還采用HTTP/HTTPS反向代理等手段將部分IPv6流量轉為IPv4流量進行安全過濾和審計，保證原有的安全設備可以繼續提供服務。

以熱門應用為驅動力

《中國教育網絡》：從學校遷移到IPv6的角度看，你們希望獲得什么幫助？

安杰：我們最關心的是用戶使用的主要應用是否有IPv6支持，尤其是國內主要互聯網內容商對IPv6的支持進展情況，這是校園網用戶使用IPv6的最大動力，我們希望能在IPv6資源建設上得到更多的支持。

《中國教育網絡》：北京郵電大學在IPv6的升級改造中，您有什么經驗分享？

安杰：認準趨勢、優先發展、在基礎網絡全面部署和穩定保障的基礎上，以熱門應用為驅動力，提高用戶對使用IPv6的興趣。

《中國教育網絡》：北京郵電大學在校園網IPv6建設中的下一步規劃是什么？

安杰：我們將繼續推廣IPv6的使用，鼓勵發展IPv6的原生應用，同時提高IPv6的安全管理，通過準入認證實現對IPv6網絡認證的管理，提升對校園網IPv6管理的精度和力度。