IPv6 雙棧技術(shù)在校園網(wǎng)中的應(yīng)用研究
——以北華航天工業(yè)學(xué)院校園網(wǎng)為例

耿娟平 郭冬濱 李 倩

（1、北華航天工業(yè)學(xué)院信息技術(shù)中心,河北 廊坊065000 2、北華航天工業(yè)學(xué)院國(guó)資處,河北 廊坊065000）

隨著IPv4 地址的枯竭,固有缺陷的突出,運(yùn)維的困難,與此同時(shí)IPv6 技術(shù)的日益成熟,服務(wù)質(zhì)量和安全性能上都有了很大程度的提高。IPv6 自2003 年,8 個(gè)部委聯(lián)合啟動(dòng)中國(guó)下一代互聯(lián)網(wǎng)示范工程CNGI[1]以來經(jīng)歷了“白銀時(shí)代”、“青銅時(shí)代”到現(xiàn)在突飛猛進(jìn)的“黃金時(shí)代”。集政府部門、中央企業(yè)、基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、通信設(shè)備制造企業(yè)、科研機(jī)構(gòu)等迅速行動(dòng),出臺(tái)詳實(shí)的部署方案和工作計(jì)劃,推進(jìn)IPv6 的升級(jí)改造工程的進(jìn)展。2020年7 月份于廣州南沙舉行的“2020 全球IPv6 下一代互聯(lián)網(wǎng)峰會(huì)”上,劉東等國(guó)內(nèi)外專家在中國(guó)發(fā)布了全球首份“推進(jìn)IPv6 規(guī)模部署向純IPv6 發(fā)展聯(lián)合倡議”。高校校園網(wǎng)由IPv4 向IPv6 過渡勢(shì)必成為必然,刻不容緩。我校于2017、2018 年借助中央財(cái)政資金專項(xiàng)信道升級(jí)、萬兆升級(jí)及千兆到桌面工作,保障校園網(wǎng)基礎(chǔ)設(shè)施及骨干網(wǎng)絡(luò)的建設(shè)。雖然目前應(yīng)用僅限于運(yùn)行在IPv4 網(wǎng)絡(luò),但為IPv6 網(wǎng)絡(luò)提供了支持和儲(chǔ)備。我校網(wǎng)絡(luò)通過200M鏈路接入中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（CERNET）[2],通過1900M鏈路（100 M聯(lián)通鏈路+1800 M電信鏈路）接入國(guó)際互聯(lián)網(wǎng),為快速地接入教育網(wǎng)和Internet 提供了保障。我校校園網(wǎng)采用環(huán)形+星型拓?fù)浣Y(jié)構(gòu),西校區(qū)核心交換機(jī)（Cisco WS-C6509-E）分別通過20G 信道與東校區(qū)綜合實(shí)驗(yàn)樓核心交換機(jī)（Cisco WS-C6509-T）、圖書館核心交換機(jī)（Cisco WS-C4500X）和教8 樓核心交換機(jī)（Cisco WS-C4500X）相連,綜合實(shí)驗(yàn)樓、圖書館、教8 樓核心交換機(jī)分別由10G 信道連接。接入層交換機(jī)（Cisco WS-C3560X）與核心交換機(jī)由10G 信道連通,與終端用戶通過1000 M信道相連,形成了“萬兆主干、千兆桌面”的網(wǎng)絡(luò)格局。

1 校園網(wǎng)IPv6 雙棧技術(shù)部署方案設(shè)計(jì)

基于我校現(xiàn)有IPv4 網(wǎng)絡(luò)環(huán)境,在IPv6 雙棧技術(shù)改造方案中,必須遵循兼顧現(xiàn)網(wǎng)、保障業(yè)務(wù)、降低成本[2]的原則。我校IPv6雙棧技術(shù)具體實(shí)施從以下幾個(gè)方面開展,從而實(shí)現(xiàn)雙棧網(wǎng)絡(luò)環(huán)境的平穩(wěn)過渡。部署方案主要圍繞以下幾點(diǎn)開展。

1.1 網(wǎng)絡(luò)核心增加IPv6 路由。為同時(shí)實(shí)現(xiàn)對(duì)IPv4 和IPv6 兩種業(yè)務(wù)流的支持和通信,學(xué)校對(duì)現(xiàn)在IPv4 網(wǎng)進(jìn)行了升級(jí)改造和重新組網(wǎng)建設(shè)。校園網(wǎng)核心采用支持雙棧的三層交換機(jī),所有與IPv6 相關(guān)的三層交換處理都由該交換機(jī)完成。匯聚層分布在教8樓、綜合實(shí)驗(yàn)樓和圖書館,接入層則主要分布在不同樓宇的樓層中,用于各個(gè)單位的端口接入,從而連接用戶終端。

1.2 校園網(wǎng)出口增加IPv6 出口。在現(xiàn)在的核心出口路由器Cisco7604 上開啟IPv6路由協(xié)議,實(shí)現(xiàn)IPv4 和IPv6 兩種協(xié)議同時(shí)運(yùn)行,同時(shí),保障對(duì)外用戶提供IPv4 和IPv6 網(wǎng)絡(luò)訪問服務(wù)。在物理接口下需要啟用IPv6 服務(wù),IPv6 enable。

圖1 雙棧網(wǎng)絡(luò)

1.3 辦公教學(xué)區(qū)、宿舍區(qū)域、無線網(wǎng)絡(luò)提供IPv6 接入。校園網(wǎng)用戶只需要接入設(shè)備開啟IPv6 協(xié)議, 便可實(shí)現(xiàn)無感知接入IPv6 網(wǎng)絡(luò)。

2 校園網(wǎng)IPv6 具體實(shí)現(xiàn)

2.1 IPv6 子網(wǎng)地址規(guī)劃

IP 地址規(guī)劃影響網(wǎng)絡(luò)的管理性,在部署IPv6 地址時(shí)應(yīng)該考慮到目標(biāo)。在地址分配規(guī)劃的每一層都使用共同的分配技術(shù),但在地址規(guī)劃層次結(jié)構(gòu)的不同水平階段可以應(yīng)用不同的技術(shù)。我們定義了3 個(gè)層級(jí),開始是源IPv6 地址段2001:250:805::/48,為核心分配/52 前綴,/56 前綴分配給匯聚,最后/64 分配給單個(gè)子網(wǎng)。對(duì)核心層使用稀疏技術(shù),對(duì)區(qū)域使用最合適,對(duì)站點(diǎn)使用隨機(jī),對(duì)子網(wǎng)使用單調(diào)的分配技術(shù)。校內(nèi)子網(wǎng),根據(jù)校區(qū)接入位置和分布聚類具體規(guī)劃為：學(xué)校IPv6 地址范圍2001:250:805::/48 學(xué)校按照三層設(shè)備分布及vlan 分配構(gòu)造子網(wǎng),如：2001:250:805:0XXX::1/64,2001:250:805:1XXX::1/64,2001:250:805:2XXX::1/64,2001:

250:805:3XXX::1/64 其中0XXX、1XXX、2XXX、3XXX 是中的0、1、2、3 分別代表教七樓、綜合實(shí)驗(yàn)樓、教8 樓和圖書館的三層設(shè)備,XXX 代表vlan 號(hào)。

2.2 IPv6 路由協(xié)議選擇和配置。IPv6 采用無狀態(tài)地址配置和DHCPv6 地址配置,兩者之間的工作過程和特點(diǎn)都不盡相同。無狀態(tài)地址配置（Stateless Address Autoconfiguration）SLAAC 工作過程:第一步,由路由器廣播地址前綴信息；第二步,通過路由器廣播的地址前綴和PC 端的MAC 地址或PC 端操作系統(tǒng)隨機(jī)生成的數(shù)值創(chuàng)建IPv6 地址,挑選IP 地址；第三步,經(jīng)過重復(fù)檢測(cè)后,最終確定PC 機(jī)的IPv6 地址并使用。它的主要特點(diǎn)：操作簡(jiǎn)單,幾乎所有終端都支持,終端用什么地址完全自主,也可以提供DNS服務(wù)器信息。通過IPv6 unicast-routing 命令即可實(shí)現(xiàn)。DHCPv6地址配置的工作過程是,PC 終端向DHCPv6 服務(wù)器請(qǐng)求IPv6 地址；DHCPv6 服務(wù)器分配IPv6 地址；經(jīng)過重復(fù)檢測(cè)后使用。這種地址配置的特點(diǎn)是,安卓手機(jī)不支持此協(xié)議；終端地址由DHCPv6服務(wù)器集中分配；可以提供更多信息。IPv6 路由協(xié)議選擇和配置上,內(nèi)部路由協(xié)議采用OSPFv3,但如果網(wǎng)絡(luò)規(guī)模大時(shí),可以采用BGP 協(xié)議。如果對(duì)外有多條鏈路且上游支持,采用BGP 動(dòng)態(tài)路由協(xié)議否則采用靜態(tài)路由即可。對(duì)外路由配置：與上游路由器使用BGP 傳遞路由,向上游路由器發(fā)送自己的地址段,上游路由器發(fā)送默認(rèn)路由。內(nèi)部路由配置：校內(nèi)使用OSPFv3 路由協(xié)議,出口路由器發(fā)送默認(rèn)路由。

有線網(wǎng)絡(luò)vlan 接口配置如下：

圖2 有線Vlan 接口配置

在IPv4 的基礎(chǔ)上增加了IPv6 地址及地址驗(yàn)證。

2.3 服務(wù)器雙棧支持。服務(wù)器增加IPv6 配置,簡(jiǎn)單配置IPv6地址、前綴長(zhǎng)度、網(wǎng)關(guān)信息即可。設(shè)置IPv6 地址的同時(shí)要設(shè)置防火墻。在DNS 服務(wù)器上,通過IIS 上添加AAAA 記錄綁定IPv6 地址及對(duì)應(yīng)域名即可。

2.4 計(jì)費(fèi)系統(tǒng)與網(wǎng)絡(luò)安全設(shè)備設(shè)置。我校IPv4 認(rèn)證與計(jì)費(fèi)主要采用接入認(rèn)證和出口portal 協(xié)議,時(shí)長(zhǎng)計(jì)費(fèi),因此在現(xiàn)IPv6 時(shí)只需接入認(rèn)證協(xié)議即可。網(wǎng)絡(luò)安全設(shè)備的IPv6 支持：防火墻、操作系統(tǒng)防火墻、WEB 應(yīng)用防火墻（WAF）支持IPv6 協(xié)議。WAF 地址及網(wǎng)關(guān)：2001:250:805:e000:210:31:XXX:fe/120。

2.5 網(wǎng)絡(luò)應(yīng)用的IPv6 支持。目前運(yùn)行在網(wǎng)絡(luò)上的應(yīng)用對(duì)IPv6支持主要由直接支持、網(wǎng)絡(luò)層轉(zhuǎn)換、反向代理三種方式。直接支持常用于DNS、BBS 等服務(wù),通過直接增加IPv6 地址,提供IPv6 服務(wù)。網(wǎng)絡(luò)層轉(zhuǎn)換主要通過使用IVI 轉(zhuǎn)換設(shè)備,提供IPv6 服務(wù)。反向代理則主要是通過設(shè)置Nginx 反向代理服務(wù)器,可實(shí)現(xiàn)對(duì)650多個(gè)網(wǎng)站集中提供IPv6/IPv4 的http/https/http2 服務(wù)。我校主要通過第一種方式實(shí)現(xiàn)網(wǎng)絡(luò)上的應(yīng)用。

2.6 用戶IPv6 接入。用戶接入IPv6 可通過直接接入、子網(wǎng)橋接接入和子網(wǎng)路由接入三種方式。用戶直接接入指連接校園網(wǎng)的用戶,直接獲取IPv6 地址,訪問IPv6 服務(wù)。用戶機(jī)只需要勾選上“Internet 協(xié)議版本6（TCP/IPv6）”即可。子網(wǎng)橋接接入是指IPv6橋接接入校園網(wǎng),直接獲取IPv6 地址,訪問IPv6 服務(wù)。子網(wǎng)路由接入是指網(wǎng)絡(luò)信息中心統(tǒng)一分配IPv6 地址前綴,校園網(wǎng)路由設(shè)備上增加靜態(tài)路由子網(wǎng)用戶分配子網(wǎng)的IPv6 地址,路由接入校園網(wǎng),訪問IPv6 服務(wù)。目前,我校校園網(wǎng)用戶主要采用前兩種方式接入,使用戶無感知接入IPv6 網(wǎng)絡(luò)。

2.7 IPv6 運(yùn)維。通過show ipv6 route;show ipv6 neighbor;show mac-add；可以查看到路由表、鄰居緩存及查看交換機(jī)的某個(gè)接口連接的設(shè)備的MAC 地址。這些信息記錄下來跟蹤用戶、統(tǒng)計(jì)校園網(wǎng)IPv6 接入設(shè)備的情況。

3 實(shí)際運(yùn)行效果

圖3 終端用戶IPv6 接入

IPv6 項(xiàng)目部署后校園網(wǎng)對(duì)所有開通雙協(xié)議棧的校園網(wǎng)用戶提供IPv6 接入服務(wù),IPv6 升級(jí)運(yùn)行效果達(dá)到了預(yù)期效果,運(yùn)行平穩(wěn),主要表現(xiàn)在:

3.1 滿足了校園網(wǎng)用戶增長(zhǎng)的需求。IPv6 地址充裕,使得校園網(wǎng)用戶都能擁有獨(dú)立的IPv6 地址。現(xiàn)階段IPv6 資源絕大多集中在CERNET 網(wǎng)范圍內(nèi),為在校師生通過網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)和開展科研提供了一個(gè)很好的平臺(tái)。

3.2 網(wǎng)速快。由于IPv6 采用端到端服務(wù),訪問速度得到很大的提升,提升了IPv6 用戶網(wǎng)絡(luò)服務(wù)體驗(yàn)。

3.3 服務(wù)質(zhì)量高[3]。IPv6 通過在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)進(jìn)行加密校驗(yàn),并且具有數(shù)據(jù)報(bào)頭結(jié)構(gòu)方面的特性,從而保障高質(zhì)量的網(wǎng)絡(luò)服務(wù)。

結(jié)束語

IPv4 地址塊耗盡極大地限制了互聯(lián)網(wǎng)絡(luò)的進(jìn)一步發(fā)展,IPv6的出現(xiàn)則填補(bǔ)了這一短板[4]。但是,純IPv6 互聯(lián)網(wǎng)取代純IPv4 時(shí)代則是需要一個(gè)漫長(zhǎng)的過渡階段。我校校園網(wǎng)IPv6 實(shí)施部署至今,實(shí)現(xiàn)有線網(wǎng)IPv4/IPv6 雙棧測(cè)試平臺(tái)上線運(yùn)行,用戶可以訪問IPv4 和IPv6 兩類資源,目前平臺(tái)運(yùn)行穩(wěn)定。在終端接入、服務(wù)發(fā)布、網(wǎng)信安全方面做了大量工作,實(shí)現(xiàn)了IPv6 系統(tǒng)的實(shí)名接入、訪問資源的事后審計(jì)等技術(shù)措施；學(xué)校網(wǎng)站群的雙棧發(fā)布；以及關(guān)鍵站點(diǎn)的Https 發(fā)布測(cè)試,確保其可正常工作。

下一步的完善計(jì)劃:（1）擴(kuò)大IPv6 覆蓋范圍。確保新購網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)全部支持IPv6,學(xué)校網(wǎng)站群全部站點(diǎn)支持IPv6。（2）加強(qiáng)網(wǎng)絡(luò)安全防護(hù)[5]。落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,增強(qiáng)IPv6 環(huán)境下的個(gè)人信息的安全性、降低風(fēng)險(xiǎn)、開展災(zāi)難備份及恢復(fù)等工作。本文介紹了北華航天工業(yè)學(xué)院網(wǎng)絡(luò)基本狀態(tài),在此基礎(chǔ)上介紹了規(guī)劃和實(shí)施IPv6 校園網(wǎng)的具體步驟。雖然此升級(jí)改造仍存在不足,但為今后過渡到純IPv6 時(shí)代和其他院校IPv6 校園網(wǎng)的實(shí)施提供了理論參考和實(shí)踐經(jīng)驗(yàn)。