基于DHCPv6的高校IPv6網絡雙棧部署實踐

顧懷廣 王高才

摘要：高校IPv6網絡部署過程中存在部分路由交換設備不支持IPv6協議、IPv6用戶地址配置管理困難和如何選擇適用的過渡技術等問題。針對部署過程中遇到的困難和問題，文章通過更換部分老舊網絡設備、合理規劃校園網絡IPv6用戶地址分配表、精簡IPv6路由條目，基于DHCPv6地址自動下發機制，采用雙協議棧過渡技術，實現校園網絡IPv4/IPv6雙棧運行，全面完成校園網絡IPv6網絡雙棧規模部署。

關鍵詞： DHCPv6;IPv6;雙棧技術;地址規劃;實踐

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）13-0031-03

1引言

由于Internet的快速普及和廣泛應用，IPv4地址資源已經枯竭，加上IPv4協議自身存在安全缺陷、路由表龐大難以管理、局域網私有地址通過NAT后才能訪問外網等問題，已經不能滿足當前急速擴張的網絡發展需求。IPv6協議具有擁有長度達128位的巨大地址空間、遵循聚類原則擁有更小的路由表、報頭新增流標簽字段和優先級字段以支持實時業務和QoS等優點，彌補了IPv4協議自身存在的缺點[1]。IPv6協議具有的諸多優勢使其逐漸替代IPv4協議成為網絡技術未來發展的新趨勢，成為下一代互聯網技術標準。

2017年，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》并發出通知，要求各地區各部門結合實際認真貫徹落實。2018年，教育部印發《關于貫徹落實推進IPv6規模部署行動計劃的通知》，要求教育系統加快推進IPv6基礎網絡設施規模部署和應用系統升級，促進下一代互聯網與教育的融合創新。黔南民族師范學院作為地方高等院校，緊跟IPv6應用技術前沿，結合實際科學分析、詳細制訂IPv6規模部署方案，主動融入IPv6信息資源網絡，為智慧校園建設提供基礎支撐。

2部署方案規劃設計

學校現運行的IPv4校園網絡采用接入、匯聚和核心的三層網絡結構，主要路由交換設備品牌包括華為、華三和銳捷等，為全校教職工、學生和后勤人員萬余人提供網絡服務，具有網絡覆蓋范圍大、設備類型復雜和用戶規模大等特點。已經向中國教育網CERNET申請到2001：250：2c13：：/48段地址，在出口路由器上配置完成相應的路由條目，連接到CERNET2，實現IPv6外網訪問;對校園門戶網站、校內DNS服務器等應用服務器配置靜態IPv6地址，在DNS服務器IIS上添加AAAA記錄綁定IPv6地址和對應域名，已實現支持門戶網站IPv6外網訪問。為全面完成全校IPv6網絡規模部署，實現校內用戶訪問IPv6信息資源，結合網絡運行現狀，以保持網絡拓撲結構不變、保障用戶網絡質量和降低部署成本為前提，對IPv6用戶地址獲取方法、IPv4/IPv6過渡技術進行科學分析比較，對IPv6路由表和IPv6用戶VLAN地址表進行詳細規劃設計，制定切實可行的部署方案，實現網絡平穩過渡。

2.1 IPv6用戶地址獲取方法

IPv6用戶地址配置有靜態地址配置和動態地址配置兩種方式[2]。靜態地址配置要求用戶在PC端手動設置包括IPv6地址、前綴長度、默認網關和DNS地址等信息，缺點是需要設置信息條目多、靈活性差、糾錯困難以及增加網絡運維成本等，不適用于用戶量大、用戶變化快的應用場景。IPv6的動態地址配置方式分為SLAAC和DHCPv6兩種方式。SLAAC規定主機的IPv6地址由前綴和接口ID組成。IPv6前綴用來標識主機與路由器之間的網絡;接口ID固定長度64位，可通過MAC地址自動生成運算生成。SLAAC存在自動配置的IPv6地址不可控且該地址與主機的MAC地址相關的問題。另外，SLAAC可自動配置的信息有限，部分特殊信息無法通過SLAAC配置，只能完成簡單的IP地址配置DHCPv6[3]（Dynamic Host Configuration Protocol for IPv6）可自動為主機分配IPv6前綴、IPv6地址和DNS服務器地址等網絡配置參數，便于用戶地址配置和后續網絡運維管理，能夠更好地控制地址的分配，減輕網絡運維壓力。

黔南民族師范學院現行網絡具有覆蓋范圍面積大、用戶地理位置分散、用戶數量龐大、用戶信息變更快等特點，并且由于IPv6自身具有地址較長難以記憶、配置信息復雜等特性，結合學校網絡現狀，綜合分析IPv6靜態地址配置、SLAAC配置和DHCPv6配置三種配置方法優缺點，為提高校園網絡用戶的接入便利性、可用性和可維護性，決定采用DHCPv6用戶端地址信息自動配置機制。

2.2 IPv4向IPv6的過渡技術選擇

IPv6協議作為下一代互聯網協議的標準，尚未廣泛應用，且與IPv4協議不兼容。為保證IPv6網絡能夠與IPv4網絡互聯通信，IETF提出系列過渡技術和互聯方案，解決IPv6“信息孤島”問題。當前常用的三種過渡技術分別是隧道技術、協議翻譯技術和雙協議棧技術[4]。隧道技術是將IPv6報文封裝在IPv4報文中，利用現有的IPv4網絡互相通信，隧道兩端節點必須同時支持IPv4協議棧和支持IPv6協議棧。由于在隧道的入口會出現負載協議數據包的拆分，在隧道出口會出現負載協議數據包的重組，將增加隧道出入口的實現復雜度，不利于大規模的推廣應用。協議翻譯技術是指為使純IPv6主機與純IPv4主機之間能夠正常通信，借助中間協議轉換服務器將網絡層中的IPv4/IPv6協議頭相互轉換，適應對端協議類型實現兩種協議之間的通信，缺點是不能支持所有的應用，需購置專門的協議轉換設備，價格高昂。雙協議棧技術是指在主機、路由交換等設備上同時啟用IPv4和IPv6協議，DNS服務器同時提供IPv4和IPv6兩種地址，主機根據實際需要使用適當協議建立連接，具有互通性好、易于理解的優點，缺點是要求網絡中的設備都支持雙協議棧。

通過更換部分老舊設備，經過全面梳理測試，現有網絡設備均支持IPv4和IPv6協議。用戶終端操作系統版本均為Windows 7以上，已安裝啟用IPv4和IPv6協議。本文為降低升級改造中的技術難度、IPv6規模部署的成本、網絡升級改造對用戶的影響，從技術可行性、經濟可行性和網絡運行穩定性多角度綜合分析，采用雙協議棧技術達到改造成本低、網絡改動小、技術實現簡單的目的，為后續純IPv6網絡的構建奠定良好基礎。

2.3 VLAN及用戶地址表規劃

由于采用雙協議棧過渡技術，為便于網絡用戶地址的維護、識別、記憶和修改，簡化網絡規劃、管理，參照現運行的IPv4網絡VLAN及用戶地址規劃表，注重IPv4地址與IPv6地址字段內在含義的關聯，對IPv6網絡地址進行規劃[5]。

如表1所示，IPv6地址2001：250：2C13：22：yy：zzz：：254/112，yy代表匯聚層樓宇編號，zzz代表IPv4的VLAN，實現IPv4和IPv6地址含義關聯，便于運維過程中識別用戶地址、管理用戶群體，進行流量監控和路由聚合。文章設置IPv4用戶地址段和IPv6用戶地址段在相同的VLAN下，為后續雙棧部署中DHCPv6信息的配置提供便利。

2.4 路由規劃

現運行的校園IPv4網絡采用靜態路由和默認路由兩種路由策略。為保證路由策略簡單高效、易于維護，IPv6網絡采用相同的路由配置策略，在匯聚交換機和核心交換機的全局模式和接口模式下啟用IPv6功能，在IPv4網絡互聯Vlanif接口下配置相應的IPv6互聯地址，在交換機全局模式下設置IPv6默認路由和靜態路由，實現同一條物理鏈路傳遞IPv4和IPv6兩種協議數據。

3配置實現

黔南民族師范學院現在運行的匯聚交換機是華為S5732，核心交換機是H3C S12508。配置前均需在設備系統視圖模式下全局開啟IPv6功能。具體配置如下。

3.1 華為S5732匯聚交換機DHCPv6配置

dhcpv6 pool 110 ? ?//創建名為110的IPv6地址池，同時進入IPv6地址池視圖

address prefix 2001：250：2C13：22：1：110：：/112 ? //IPv6地址池視圖下配置網絡前綴 excluded-address 2001：250：2C13：22：1：110：0：254 //配置IPv6地址池中不參與自動分配的IPv6地址

dns-server 2001：250：2C13：：33 ? ? //配置IPv6 DNS服務器地址

interface Vlanif110 ? ? ? ? ? ? ?//進入用戶地址所在的Vlanif110接口視圖

ipv6 enable ? ? ? ? ? ? ? ? ? ? //在接口下開啟IPv6功能

ip address 172.22.1.254 255.255.255.0 ? ? ? ? ?//配置IPv4接口地址

ipv6 address 2001：250：2C13：22：1：110：0：254/112 ?//配置IPv6接口地址

undo ipv6 ndra halt ? ? ? ? ? ?//使能系統發布RA報文功能

ipv6 ndautoconfig managed-address-flag ? //設置RA報文中的有狀態自動配置地址的標志位

ipv6 ndautoconfig other-flag ?//設置RA報文中的有狀態自動配置其他信息的標志位

dhcp select interface ? ? ? ? //開啟接口采用接口地址池的IPv4 DHCP Server功能

dhcpv6 server 110 ? ? ? ? ? ? //選擇dhcpv6地址池

dhcp server dns-list 218.194.224.33 8.8.8.8 ? //配置IPv4 DNS服務器地址

interface Vlanif1001 ? ? ? ? ?//進入互聯地址所在的Vlanif1001接口視圖

ipv6 enable ? ? ? ? ? ? ? ? ? //在接口下開啟IPv6功能

ip address 172.17.1.10 255.255.255.252//配置IPv4接口互聯地址

ipv6 address 4000：：12/124 ? ? //配置IPv6接口互聯地址

3.2 路由配置

以第一教室匯聚到核心交換路由配置為例進行路由配置：

ipv6 route-static ：： 0 4000：：11 description TO-S12508 ? ?//匯聚交換機到核心交換機采用默認路由策略

ipv6 route-static 2001：250：2C13：22：1：： 80 4000：：12 description TO-1Jiao-s5732//核心交換機到匯聚交換機采用靜態路由策略

3.3用戶終端配置

在用戶PC端本地連接屬性中勾選“Internet協議版本6”，雙擊進入“協議屬性”，勾選自動獲取IPv6地址和DNS服務器地址信息功能，即可開啟用戶IPv6訪問功能。

4雙棧部署效果

4.1查看VLAN 110 IPv6地址下發情況

在三層交換機全局視圖下，使用命令查看IPv6地址池110的地址分配情況。如圖2所示，當前共有6個地址在使用，沒有地址沖突，生存時間是172 800秒，即租期為48小時。地址池不參與自動分配的IPv6地址是2001：250：2C13：22：1：110：0：254。

如圖3所示，開啟用戶終端IPv6地址自動獲取功能后，查閱用戶網卡的網絡連接詳細信息，PC端工作在雙棧模式下，已經自動獲取到三層交換機上同一個VLAN下配置的IPv4和IPv6地址等網絡配置信息。

4.2 用戶端接入IPv6測試

通過在IPv6測試網站在線測試，如圖4所示，用戶IPv4和IPv6均已經接入互聯網，且圖3用戶IPv6地址為公網地址。如圖5所示，利用Ping命令測試，該用戶與IPv6應用網站已經連通。

4.3 IPv4/IPv6關聯認證

為實現用戶上網行為可追溯，保障網絡安全，采用用戶上網實名認證機制。通過升級現行用戶實名認證系統，完成用戶IPv4/IPv6接入網絡關聯認證。如圖6所示，當用戶完成IPv4認證時，IPv6協議也認證成功。

4.4 用戶流量測試

完成校園網絡IPv6雙棧規模部署后，通過部署網絡流量監控設備系統，如圖7所示，監測用戶IPv6網絡數據流量狀況，為后續的研究分析提供數據支撐。

5結論

文章通過對校園網絡運行現狀全面分析研究，結合當前主流IPv6應用技術，制訂科學合理、切合實際的IPv6雙棧部署方案。以保持當前網絡拓撲不變為前提，采用基于DHCPv6動態地址分配機制，完成校園網絡用戶IPv6規模部署，實現黔南民族師范學院網絡IPv4和IPv6雙棧運行。經過測試，雙棧用戶能夠

高速訪問純IPv6應用和網站，且部分支持雙棧應用的流量分流到IPv6出口，能夠減輕IPv4出口流量負載，達到優化網絡出口流量、提高網絡運行效率和改善用戶上網體驗的目的。但通過測試發現，還存在以下不足之處：首先是部分安卓系統終端用戶尚不支持DHCPv6，無法獲取到IPv6地址;其次是網絡運行過程中尚未有效實現用戶IPv6地址流量控制，導致負載不均衡。后續應用研究中應注重用戶流量監控和負載均衡控制，全面提高網絡運行效率。

參考文獻：

[1] 杜平.IPv6的技術原理及其在現網中的應用[J].中國新通信，2019，21（20）：108-109.

[2] 吳伊杰，李明洋，王家和，等.IPv6地址配置策略與部署規律的探究[J].深圳大學學報（理工版），2020，37（S1）：13-19.

[3] 王霞，高飛.基于DHCPv6的大規模無線傳感器網絡地址管理協議的設計[J].云南民族大學學報（自然科學版），2016，25（1）：64-68.

[4] 杜紅林.IPv6雙棧技術在校園網中過渡設計與實現——以貴州師范大學校園網為例[J].信息技術與信息化，2019（5）：97-100.

[5] 張穎豪，侯樂青.IPv6地址規劃和分配探討[J].電信網技術，2012（9）：46-50.

【通聯編輯：代影】