嘉應學院IPv6部署行動與實踐

文/黃戈文 黃何列

嘉應學院

隨著物聯網、移動互聯網、大數據等新興互聯網業務爆炸式的發展，IPv4地址短缺、路由表極具膨脹、網絡安全等問題日益突出，IPv4已經不能滿足網絡發展的需要[1]。下一代IPv6協議具有地址資源充足、無路由問題、即插即用、安全可靠等優勢，因此，采用IPv6逐漸替代IPv4已成為計算機網絡未來發展的趨勢[2]。為加快教育系統推進IPv6基礎網絡設施規模部署和應用系統升級，教育部、省教育廳均以國務院辦公廳《推進互聯網協議第六版(IPv6)規模部署行動計劃》精神為指導，提出IPv6規模部署和應用具體要求，旨在促進下一代互聯網與教育的融合創新。目前大多數地方高校校園網仍是純IPv4網絡，為完成在地方高校中的IPv6規模部署和應用的任務，對地方高校校園網進行IPv6升級改造勢在必行。

校園網發展現狀

校園網網絡現狀

本文以嘉應學院江北校區校園網為例，整個校園網網絡主要分為服務器區、運維區、生活區和教學行政區，通過華為核心交換機實現互聯互通，出口采用核心路由器和防火墻分別接入ISP和教科網。該校區用戶數達到2萬多人，主要采用portal認證方式接入網絡。目前，因IPv4地址短缺，學院校園網主要使用IPv4私有地址結合地址翻譯的方式訪問互聯網和教科網，為用戶提供基于IPv4的網絡服務。學院已向教科網申請了IPv6地址段，下一步將在全校推進互聯網協議第六版(IPv6)規模部署。校園網網絡拓撲現狀如圖1所示。

校園網IPv6規模化部署和應用存在問題

為完成校園網IPv6規模化部署和應用工作目標，需要考慮以下問題：

圖1 校園網網絡拓撲

1.為了實現IPv4和IPv6的互聯互通，需要制定符合學院實際的IPv4、IPv6共存的詳細建設方案，需要進行IPv4/IPv6雙協議共存環境下的網絡的規劃和設計、網絡和安全設備的更新、網絡配置和調試、域名和應用系統的更新，需要學校的統一領導和人財物方面的保障。

2.校園網用戶量大，類別多，包含辦公人員、教師、實驗室用戶、家庭用戶等，需要針對每種用戶設計訪問校內外IPv6資源的方案，對不支持IPv6的存量終端有條件的引導其逐步退網，但仍然要為不支持IPv6的用戶在短期內提供IPv6過渡方案。

3.校內信息系統較多，建設時間不一，建設技術路線多種多樣，統一轉換為IPv6方式訪問的技術障礙多，需要一個統一的解決方案。

4.學院網絡安全硬件大部分支持IPv6協議或升級后支持IPv6，但有一些設備過于老舊，無法支持IPv6，需要更新設備。

建設思路

IPv4到IPv6過渡技術

在校園網IPv6改造中要考慮客戶需求、設備利用和經濟費用等問題，IPv4和IPv6網絡將在一定時間內共存，過渡技術將重點解決IPv4和IPv6網絡的互聯互通問題以及平滑過渡的問題。目前，成熟的過渡技術包括雙協議棧技術、網絡地址/協議轉換技術和隧道技術[3,4]。

1.雙協議棧技術

雙協議棧技術就是同一設備上同時維護IPv4與Ipv6協議，使之同時具有IPv4和IPv6地址，在收發數據時，自動決定使用哪種協議通信。雙協議棧技術能夠保持原有的網絡拓撲結構，具有通用性好、配置原理簡單的優點；但每臺設備需要同時運行IPv4和IPv6兩套協議，對設備的性能要求較高。圖2是雙棧結構下的通信網絡圖。

圖2 雙協議棧結構下的通信網絡

2.網絡地址/協議轉換技術

網絡地址/協議（NAT-PT）轉換技術主要思想是在NAT設備中建立IPv4地址與IPv6地址的映射表，在IPv4節點與IPv6通信時，通過NAT設備進行地址和協議的轉換。該技術的優點是原理簡單、實施成本低，不需要IPv6升級改造；不足之處是網絡地址、協議轉換的開銷較大。NAT-PT技術通信網絡如圖3所示。

圖3 NAT-PT實現IPv4和IPv6節點之間的通信網絡

3.隧道技術

隧道技術主要思想是使用IPv4協議做為承載協議，將IPv6報文封裝到IPv4報文中，通過IPv4網絡轉發數據，從而實現不同協議之間的通信。隧道技術通信網絡如圖4所示。

圖4 隧道技術通信網絡

校園網IPv6規模化部署和應用技術方案

圖5 校園網升級后的網絡拓撲結構

綜合考慮現有設備的利用率和網絡改造成本，以及CNGICERNET2、移動、聯通和電信都能提供IPv6出口鏈路情況下，雙棧+NAT-PT方案是非常符合地方高校實際情況的過渡方案。該方案能夠充分利用原有的網絡設備，通過升級方式或新購設備來支持IPv6業務，使得校園網平臺同時支持兩種業務流的承載和互通。校園網升級后的網絡拓撲結構如圖5所示。利用支持雙棧的三層華為交換機和萬兆路由器作為校園網核心設備；校園網與互聯網邊界采用支持雙棧技術的防火墻實現校園網用戶同時可以訪問IPv6網和IPv4網的外部資源：由于教工宿舍的路由器不支持IPv6，所以需要將教工宿舍單獨劃分成一個IPv4局域網，教工生活區IPv4與IPv6業務互通問題，在教工生活區更換三層匯聚交換機以支持NAT-PT協議，實現教工宿舍IPv4電腦無障礙訪問IPv6資源。

行動要點

校園網IPv6規模化部署和應用行動要點如下：

1.對學校核心網絡、接入網絡、數據中心設備、基礎軟件平臺、業務系統、實驗室局域網進行IPv6兼容性摸查，統計設備升級更新需求；

2.調查統計全校各棟樓的電腦數量和IPv6地址需求，進行全校IPv6地址規劃、路由規劃、安全規劃和運維管理規劃。

3.對基礎設施進行改造，主要包括：對華為核心交換機、路由器、出口防火墻等設備進行升級或替換，使之支持雙棧技術；教工生活區新增支持NAT-PT技術的三層華為交換機，實現地址和協議轉換；

4.服務器區升級負載均衡設備，對開發時間較早，不能支持IPv6的業務系統采用基于IPv6協議的L4/L7負載均衡服務器進行服務發布；

5.升級校園網安全體系，包括：升級Web應用防護系統、VPN系統、入侵防御系統等系統，加強對IPv6用戶的接入認證、策略控制、邊界攻擊防范及IPv6終端用戶的溯源；

6.升級域名解析系統，采用IPv6、國際化域名IDNs等新技術，實現域名系統IPv4和IPv6雙棧運行；7.升級認證計費系統，增強IPv6終端的認證和計費能力；8.做好全校PC和移動終端IPv6協議配置指導和IPv6地址發布。

隨著互聯網技術的不斷創新，現有的IPv4網絡已經嚴重制約了物聯網、移動互聯網、大數據等新技術的發展，IPv6的應用勢在必行。為積極參與下一代互聯網的技術創新，讓IPv6成為高校發展和創新的基礎環境，對校園網進行IPv6規模化部署和應用十分必要。為全面部署IPv6，本文從學校網絡的實際情況出發，綜合考慮客戶需求、設備利用和經濟費用等問題，提出了校園網IPv6規模化部署和應用的建設思路和相應的行動要點，為地方高校實施校園網IPv6規模化部署和應用提供參考，推進我國IPv6規模化應用。