基于IPv4/IPv6雙棧機(jī)制的高校網(wǎng)絡(luò)改造研究

周凱 褚寧琳

摘 ? 要：在國家戰(zhàn)略的推動(dòng)下，高校都展開了IPv6網(wǎng)絡(luò)的建設(shè)工作，但從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過渡是一個(gè)漫長的過程，面對當(dāng)下各高校現(xiàn)網(wǎng)的實(shí)際情況，需要制定一個(gè)系統(tǒng)的、科學(xué)的、可行性高的IPv6建設(shè)方案，進(jìn)行有步驟、分層次的建設(shè)。文章將從高校IPv4網(wǎng)絡(luò)建設(shè)的實(shí)際情況出發(fā)，分析IPv6與IPv4特性上的優(yōu)勢差異及IPv6組網(wǎng)規(guī)劃設(shè)計(jì)中應(yīng)重點(diǎn)考慮的若干問題，給出基于雙棧協(xié)議的3層組網(wǎng)架構(gòu)和大二層扁平化組網(wǎng)架構(gòu)的IPv6校園建設(shè)實(shí)例。

關(guān)鍵詞：第6版互聯(lián)網(wǎng)協(xié)議;規(guī)劃設(shè)計(jì);部署方案

現(xiàn)今高校網(wǎng)絡(luò)建設(shè)由于資金投入不足、運(yùn)營模式多樣、校區(qū)擴(kuò)建、新舊設(shè)備共存等諸多問題，導(dǎo)致校園網(wǎng)絡(luò)向互聯(lián)網(wǎng)協(xié)議第6版（Internet Protocol Version 6，IPv6）升級改造具有一定的復(fù)雜性及難度。如何順利平穩(wěn)過渡這一時(shí)期是當(dāng)下需要思考的問題，本文將綜合考慮高校網(wǎng)絡(luò)的現(xiàn)狀，通過對IPv6與IPv4的特性分析，升級改造初期的部署規(guī)劃和設(shè)計(jì)，給出高校IPv6改造部署的可行性方案。

1 ? ?IPv6特性

1.1 ?地址空間

IPv6相比IPv4最顯著的優(yōu)勢就是使用了128位地址長度來代替了原協(xié)議的32位地址長度，并支持多層子網(wǎng)劃分及地址分配，這些IP地址滿足了Internet中更多用戶、應(yīng)用的使用。實(shí)現(xiàn)了端到端的完整通信，避免了網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）。

1.2 ?數(shù)據(jù)報(bào)頭格式

全新的IPv6報(bào)頭格式設(shè)計(jì)，把一些不重要的字段和擴(kuò)展字段移到了IPv6頭部之后的擴(kuò)展頭部，簡化了IPv6的頭部信息，提高路由處理信息的效率。雖然基本頭部是IPv4的兩倍，但提供了IPv4地址的4倍位數(shù)。

1.3 ?狀態(tài)和無狀態(tài)的地址配置

IPv6同時(shí)支持狀態(tài)地址和無狀態(tài)地址配置，并可以同時(shí)使用。無狀態(tài)地址配置，鏈路上的主機(jī)可以使用IPv6本地鏈路地址、過渡地址、前綴生成地址來自動(dòng)配置。如沒有路由器，則兩臺(tái)主機(jī)可以通過本地鏈路地址自動(dòng)配置與鏈路上相鄰節(jié)點(diǎn)進(jìn)行通信，相比IPv4簡化了配置。

1.4 ?IPSec

IPSec頭部對IPv4支持為可選，對IPv6的支持為必選。這樣的必選不僅提供了標(biāo)準(zhǔn)化的安全解決方案，還為不同IPv6協(xié)議程序之間的互聯(lián)操作提供了方便。IPSec主要由認(rèn)證頭部（Authentication Header，AH）和封裝安全負(fù)載（Encapsulated Security Payload，ESP）協(xié)議組成，AH負(fù)責(zé)保護(hù)IPv6數(shù)據(jù)包，并確保數(shù)據(jù)的完整性及消息認(rèn)證，ESP頭部和尾部負(fù)責(zé)確保數(shù)據(jù)的完整性和機(jī)密性，并對數(shù)據(jù)進(jìn)行認(rèn)證，同時(shí)，保護(hù)ESP封裝的負(fù)載[1]。

1.5 ?優(yōu)先級傳輸

可擴(kuò)展對于如何處理和識別數(shù)據(jù)流IPv6頭部給出了新的字段，數(shù)據(jù)流通過Traffic Class字段進(jìn)行排序，路由通過Flow Label字段識別和處理每個(gè)流的數(shù)據(jù)包。當(dāng)數(shù)據(jù)包有效負(fù)載由IPSec和ESP加密時(shí)，仍然可以有序地發(fā)送由IPv6報(bào)頭信息識別的流量。

1.6 ?可擴(kuò)展

可擴(kuò)展可以在頭部后面通過添加擴(kuò)展頭部進(jìn)行擴(kuò)展IPv6，擴(kuò)展頭部的大小只受限于IPv6數(shù)據(jù)包大小，而不像IPv4頭部可選字段只支持40字節(jié)。

2 ? ?高校IP6網(wǎng)絡(luò)部署規(guī)劃

高校IPv6建設(shè)的驅(qū)動(dòng)力決定IPv6網(wǎng)絡(luò)建設(shè)的必須性，但I(xiàn)Pv4向純IPv6網(wǎng)絡(luò)過渡是一個(gè)漫長而復(fù)雜的過程。不可否認(rèn)，這個(gè)過渡期將長期處于IPv4和IPv6共存的狀態(tài)。怎樣科學(xué)、穩(wěn)步地對高校網(wǎng)絡(luò)升級改造，避免資源浪費(fèi)、重復(fù)性建設(shè)值得思考。筆者認(rèn)為，在升級改造前依據(jù)學(xué)校實(shí)際信息化建設(shè)及發(fā)展現(xiàn)狀，科學(xué)地制定詳細(xì)的IPv6網(wǎng)絡(luò)部署規(guī)劃是必需的，這個(gè)部署規(guī)劃過程如下。

2.1 ?評估

部署之前應(yīng)對當(dāng)前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行細(xì)致的評估，它可以給出初步的參考依據(jù)。評估的內(nèi)容主要包括以下幾點(diǎn)：

（1）網(wǎng)絡(luò)，調(diào)查當(dāng)前的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)類型、設(shè)備類型、設(shè)備性能和功能以及記錄相關(guān)數(shù)據(jù)，以確認(rèn)這些設(shè)備是否滿足相關(guān)IPv6技術(shù)改造的要求。

（2）地址分配，確認(rèn)現(xiàn)行地址分配方案，力求與IPv6地址規(guī)劃與分配方案之間建立相關(guān)的聯(lián)系。

（3）網(wǎng)絡(luò)服務(wù)，確定現(xiàn)網(wǎng)中運(yùn)行的網(wǎng)絡(luò)服務(wù)，如DNS，NTP，DHCP等。

（4）網(wǎng)絡(luò)管理，確認(rèn)現(xiàn)有網(wǎng)絡(luò)的網(wǎng)絡(luò)管理工具是否可以管理IPv6網(wǎng)絡(luò);若不能管理，將采用何種工具。

（5）網(wǎng)絡(luò)應(yīng)用，梳理現(xiàn)網(wǎng)中所有業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)等并記錄，而后確認(rèn)這些網(wǎng)絡(luò)應(yīng)用與IPv6的交互方式。

2.2 ?設(shè)計(jì)

總體設(shè)計(jì)要從前期評估摸底的實(shí)際情況出發(fā)，高校IPv6網(wǎng)絡(luò)建設(shè)主要從編址設(shè)計(jì)、過渡方案的選擇、網(wǎng)絡(luò)服務(wù)、安全性、穩(wěn)定性5個(gè)層面設(shè)計(jì)。

2.2.1 ?IPv6編址方案設(shè)計(jì)

編址方案的設(shè)計(jì)不僅要滿足當(dāng)前的編址需要，還要充分考慮到未來學(xué)校信息化持續(xù)發(fā)展的需求。公網(wǎng)地址由IANA負(fù)責(zé)分配，IANA會(huì)委派區(qū)域性的互聯(lián)網(wǎng)注冊機(jī)構(gòu)（Regional Internet Registry，RIR）分配地址塊。目前，高校IPv6地址主要由中國教育和科研計(jì)算機(jī)網(wǎng)分配。基本分配原則會(huì)遵循RIR的地址分配指引，得到單個(gè)/48子網(wǎng)，可以獲得65 536個(gè)/64網(wǎng)絡(luò)。對于高校而言，雖然地址量很大，但也要合理分配，以達(dá)到高效路由選擇和路由聚合的效果。

編址方針為有效區(qū)分各網(wǎng)絡(luò)類型。高校網(wǎng)絡(luò)類型從屬性上分為管理地址和業(yè)務(wù)地址兩類;從場景上分為教學(xué)生活網(wǎng)、數(shù)據(jù)中心網(wǎng)、業(yè)務(wù)網(wǎng)3大塊。細(xì)分的話，教學(xué)生活網(wǎng)包含生活網(wǎng)和教學(xué)網(wǎng);數(shù)據(jù)中心網(wǎng)分為常規(guī)管理網(wǎng)、私有云平臺(tái)管理網(wǎng)、其他各專網(wǎng)等;業(yè)務(wù)網(wǎng)分為非托管業(yè)務(wù)、托管業(yè)務(wù)、物聯(lián)網(wǎng)業(yè)務(wù)等。面對這樣一套復(fù)雜的網(wǎng)絡(luò)分類，應(yīng)首先滿足每個(gè)LAN子網(wǎng)都是/64位網(wǎng)絡(luò)，確定網(wǎng)絡(luò)標(biāo)識符所需的地址空間，RFC 3627推薦0子網(wǎng)空間的/126網(wǎng)絡(luò)專用于鏈路子網(wǎng)的地址分配。

地址分配要兼顧路由選擇，基本前提是不能影響現(xiàn)有IPv4路由選擇，對于兩種協(xié)議路由選擇，應(yīng)盡可能結(jié)合使用。主機(jī)獲取地址時(shí)，無論是采用無狀態(tài)地址自動(dòng)分配特征，還是使用狀態(tài)化地址配置特征，都是建立高效、穩(wěn)定路由選擇的關(guān)鍵。對于一些特殊需求主機(jī)，也可以使用IP地址隱私擴(kuò)展功能，使主機(jī)可以基于時(shí)間段自動(dòng)更換IPv6地址。

2.2.2 ?過渡機(jī)制選擇

純IPv6網(wǎng)絡(luò)的實(shí)現(xiàn)將是個(gè)長期過程，這個(gè)過程屬于IPv4與IPv6共存階段。選擇何種機(jī)制主要從當(dāng)前網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)設(shè)備的支持、應(yīng)用的支持及未來IPv6的流量方面來考慮。筆者在《高校IPv6網(wǎng)絡(luò)部署的關(guān)鍵性技術(shù)研究》一文中對多種過渡機(jī)制的優(yōu)劣作了詳細(xì)的闡述。

2.2.3 ?網(wǎng)絡(luò)服務(wù)與安全性

（1）網(wǎng)絡(luò)服務(wù)：主要包括DNS，AAA，DHCP等，給予用戶等價(jià)于IPv4網(wǎng)絡(luò)的服務(wù)也是改造的關(guān)鍵。如實(shí)施雙棧DNS，提供IPv4/IPv6地址解析、是否對主機(jī)提供自動(dòng)配置特性或DHCPv6等。

（2）安全性：處于過渡期的網(wǎng)絡(luò)，不僅要防御IPv4網(wǎng)絡(luò)中存在的安全威脅，還要防御IPv6網(wǎng)絡(luò)帶來的新的安全威脅。如攻擊者通過隧道方式封裝IPv6流量，鬼使神差地通過安全設(shè)備進(jìn)行攻擊。所以在IPv6網(wǎng)絡(luò)建設(shè)時(shí)，要對現(xiàn)網(wǎng)中不支持IPv6安全防御的設(shè)備進(jìn)行升級或采購。在防火墻、IPS等設(shè)備上部署相應(yīng)的安全防御策略、IPsec。

3 ? ?高校IPv6部署方案設(shè)計(jì)

高校IPv6網(wǎng)絡(luò)部署，基本都會(huì)基于現(xiàn)有IPv4網(wǎng)絡(luò)進(jìn)行升級改造，組網(wǎng)架構(gòu)可分為大二層架構(gòu)（見圖1）與傳統(tǒng)3層網(wǎng)絡(luò)架構(gòu)（見圖2）兩種。本文將根據(jù)這兩種架構(gòu)闡述IPv4/IPv6雙棧部署實(shí)例，以面向教學(xué)生活網(wǎng)與數(shù)據(jù)中心業(yè)務(wù)網(wǎng)兩種環(huán)境。

大二層扁平化架構(gòu)常用于教學(xué)生活網(wǎng)架構(gòu)采用收縮核心的設(shè)計(jì)思想，忽略匯聚層直接至接入層，通過控制層面設(shè)備有效減少網(wǎng)絡(luò)層的物理和邏輯級聯(lián)級數(shù)，架構(gòu)清晰便于精細(xì)化管理維護(hù)[2]。如圖1所示的多業(yè)務(wù)控制網(wǎng)關(guān)（Broadband Remote Access Server，BRAS）是整網(wǎng)的核心。這種大二層扁平化架構(gòu)向IPv6網(wǎng)絡(luò)改造時(shí)，保持現(xiàn)有IPv4網(wǎng)路拓?fù)洳蛔儯_啟全網(wǎng)所有網(wǎng)絡(luò)設(shè)備和主機(jī)相關(guān)接口的IPv4/IPv6雙棧功能，在核心BRAS上配置IPv6上聯(lián)口和下聯(lián)口的靜態(tài)路由或OSPv3路由，并通過BRAS的DHCP功能，按照預(yù)先制定好的地址編制、規(guī)劃自動(dòng)分配動(dòng)態(tài)地址即可。需要認(rèn)證計(jì)費(fèi)的場景開啟BRAS的AAA認(rèn)證功能并與三方的認(rèn)證計(jì)費(fèi)系統(tǒng)配合實(shí)現(xiàn)用戶準(zhǔn)入、準(zhǔn)出的認(rèn)證、計(jì)費(fèi)和管理。出口防火墻負(fù)責(zé)與ISP的接入及相關(guān)IPv6網(wǎng)絡(luò)的安全策略部署，原IPv4配置保持不變。

3層網(wǎng)絡(luò)架構(gòu)采用層次化設(shè)計(jì)，分為核心層、匯聚層、接入層，每一層都有各自特定的功能。這種架構(gòu)也是傳統(tǒng)校園網(wǎng)（含數(shù)據(jù)中心）組網(wǎng)方案。（1）接入層：主要負(fù)責(zé)物理或虛擬主機(jī)的接入。（2）匯聚層：匯聚一組接入層交換機(jī)，并提供應(yīng)用的負(fù)責(zé)均衡、安全性服務(wù)等，如防火墻服務(wù)、IPS服務(wù)、深度包檢測、網(wǎng)絡(luò)監(jiān)控等。（3）核心層：網(wǎng)絡(luò)的高速交換主干。核心層的穩(wěn)定、高速、可控、可擴(kuò)展是基礎(chǔ)[3]。數(shù)據(jù)中心網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)改造時(shí)，原IPv4拓?fù)浣Y(jié)構(gòu)不變，開啟全網(wǎng)所有網(wǎng)絡(luò)設(shè)備和主機(jī)的相關(guān)接口的IPv4/IPv6雙棧功能，手動(dòng)按照預(yù)先規(guī)劃好的地址在主機(jī)上配置靜態(tài)地址即可。對于數(shù)據(jù)中心服務(wù)器地址的分配也可采用基于RFC 5006草案SLAAC部署，以擴(kuò)展路由器通告消息，令其包含DNS信息。開啟IPv6協(xié)議棧的網(wǎng)絡(luò)適配器激活后，網(wǎng)絡(luò)適配器會(huì)根據(jù)自己的MAC地址和已知的IPv6前綴，自動(dòng)分配一個(gè)IPv6地址，配置核心交換機(jī)上聯(lián)口和下聯(lián)口的相關(guān)IPv6路由。出口防火墻配置ISP的接入及相關(guān)IPv6網(wǎng)絡(luò)的安全策略，DNS啟用AAAA記錄進(jìn)行解析，原IPv4配置保持不變。對采用3層架構(gòu)的教學(xué)生活網(wǎng)，主要不同在于地址的分配形式及其他相關(guān)網(wǎng)絡(luò)服務(wù)上，如增加DHCP、認(rèn)證計(jì)費(fèi)系統(tǒng)等。

4 ? ?結(jié)語

本文主要闡述了高校IPv6網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中應(yīng)具體考慮的若干問題及基于雙棧協(xié)議、基礎(chǔ)組網(wǎng)架構(gòu)的IPv6校園網(wǎng)絡(luò)建設(shè)實(shí)例。給出了一套系統(tǒng)的IPv4向IPv6過渡的組網(wǎng)方案。但面對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境如混合模式IPv6的實(shí)施、SAN網(wǎng)絡(luò)中的IPv6實(shí)施、虛擬化技術(shù)的IPv6實(shí)施、IPv6網(wǎng)絡(luò)安全、IPv6網(wǎng)絡(luò)管理等，都應(yīng)在IPv6網(wǎng)絡(luò)部署的基礎(chǔ)上，因地制宜地給出具體的適應(yīng)實(shí)際環(huán)境的解決方案，以達(dá)到最佳過渡效果。

[參考文獻(xiàn)]

[1]潘平江.基于IPv6的IPSec與防火墻協(xié)同策略的研究與設(shè)計(jì)[D].廣州：華南理工大學(xué)，2015.

[2]郭立志.高校扁平化園區(qū)網(wǎng)的架構(gòu)設(shè)計(jì)[J].科技經(jīng)濟(jì)導(dǎo)刊，2016（29）：22-23.

[3]曾華燊.園區(qū)網(wǎng)建設(shè)技術(shù)縱橫[J].計(jì)算機(jī)應(yīng)用，1995（5）：1-4.