IPv6網(wǎng)絡(luò)環(huán)境下校園網(wǎng)絡(luò)多出口鏈路方案設(shè)計與實現(xiàn)

摘要：該文對IPv6技術(shù)原理做了簡要的概述，分析了IPv6協(xié)議帶來的顯著優(yōu)點和優(yōu)勢，對現(xiàn)階段大型局域網(wǎng)可用的IPv6多出口技術(shù)方案做了對比和分析，尤其是針對NAT66技術(shù)方案做了深入的探討。該文結(jié)合大型局域網(wǎng)建設(shè)的使用情況，基于國產(chǎn)路由器部署了基于NAT66技術(shù)方案的校園網(wǎng)絡(luò)多出口鏈路系統(tǒng)，實現(xiàn)在IPv6環(huán)境下校園網(wǎng)絡(luò)多出口路由選路功能，最后總結(jié)了IPv6網(wǎng)絡(luò)環(huán)境下校園網(wǎng)絡(luò)多出口鏈路系統(tǒng)整體的運行效果與重要意義。

關(guān)鍵詞：IPv6；NAT66；多出口

中圖分類號：TP393.1" " " "文獻標識碼：A

文章編號：1009-3044（2022）33-0074-03

隨著高等教育信息化建設(shè)的迅猛發(fā)展，校園網(wǎng)絡(luò)用戶的信息化需求也不斷提高，特別是高帶寬消耗的應(yīng)用（例如在線視頻、大文件下載等）越來越多，對校園網(wǎng)絡(luò)的品質(zhì)要求越來越高，多出口、高帶寬、更加注重用戶的體驗將成為一種趨勢。當前，大多數(shù)高校校園網(wǎng)絡(luò)出口都擁有多家ISP（互聯(lián)網(wǎng)服務(wù)提供商）互連，滿足用戶對多家ISP網(wǎng)絡(luò)的優(yōu)質(zhì)獨特資源的快速訪問，在傳統(tǒng)的IPv4網(wǎng)絡(luò)環(huán)境下，經(jīng)過數(shù)十年的技術(shù)發(fā)展進步和方案優(yōu)化，網(wǎng)絡(luò)訪問環(huán)境和速度都得到了較大的改善，效果日趨明顯。近年來，我國大力深入推進IPv6規(guī)模部署和應(yīng)用，截至目前，國內(nèi)運營商電信、聯(lián)通、移動都已經(jīng)完成了所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的IPv6改造，全部設(shè)備與云產(chǎn)品均支持IPv6。隨著5G的興起和不斷發(fā)展，IPv6可以提供海量的地址空間和無處不在的連接，從而滿足5G以及垂直行業(yè)對網(wǎng)絡(luò)規(guī)模和連接數(shù)量的需求[1]。當前部分學校已經(jīng)得到了運營商分配的IPv6地址，而國內(nèi)多數(shù)高校此前已經(jīng)與中國教育科研網(wǎng)互聯(lián)，校內(nèi)部署了IPv6雙棧或單棧網(wǎng)絡(luò)。如何優(yōu)化利用好多個運營商IPv6出口帶寬將是當前一段時間需要探討研究解決的重要問題。

1 IPv6技術(shù)簡析

IPv6是英文“Internet Protocol Version 6”（互聯(lián)網(wǎng)協(xié)議第6版）的縮寫，是國際互聯(lián)網(wǎng)技術(shù)和標準組織IETF推出的用于替代IPv4的下一代互聯(lián)網(wǎng)協(xié)議標準。IP地址是互聯(lián)網(wǎng)運行方式的核心部分，工作在ISO/OSI模型的網(wǎng)絡(luò)層，用來標識網(wǎng)絡(luò)層設(shè)備的網(wǎng)絡(luò)地址。

IPv4地址是由32位組成的，37億個唯一的IPv4地址可用于互聯(lián)網(wǎng)；IPv6 地址由 128 位組成（見表1），它們通常顯示為十六進制數(shù)字序列，由冒號字符分隔，IPv6地址池大小為340萬億萬億個地址。IPv4地址幾乎在全球范圍內(nèi)用完了，截至2022年2月，APNIC地址池剩余0.2個A的IPv4地址。根據(jù)最新IP地址分配政策，初次申請，CNNIC（中國互聯(lián)網(wǎng)絡(luò)信息中心）最大可發(fā)放2C的IPv4地址量給會員。可以說，IPv4地址池枯竭，剩余地址即將耗盡。IPv6是下一代互聯(lián)網(wǎng)協(xié)議，是為接替IPv4而開發(fā)的，可以有效解決當前IPV4地址緊缺的現(xiàn)狀。

IPv6不但能提供大量的地址，還在其他方面具有顯著的優(yōu)點和優(yōu)勢。IPv6使用更小的路由表，使得路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度更快；IPv6增加了增強的組播支持以及對流的控制，提高了服務(wù)質(zhì)量（QoS）控制；IPv6加入了對地址自動配置的支持，使得網(wǎng)絡(luò)管理更加方便和快捷；IPv6具有更高的安全性和更好的擴容能力[2]。

自2017年以來，我國IPv6規(guī)模部署工作加速推進、開局良好，網(wǎng)絡(luò)和終端全面就緒，應(yīng)用改造逐步推進，用戶流量穩(wěn)步提升，活躍用戶數(shù)快速增長。雖然我國IPv6流量不斷增長，但與IPv4流量相比，IPv6流量依然較少，有待進一步提升。IPv6規(guī)模部署是網(wǎng)絡(luò)強國戰(zhàn)略的重要部分，更是服務(wù)于高校教學科研發(fā)展的重要基礎(chǔ)，越來越多的高校會同時使用租賃多家運營商的IPv6出口帶寬，這種場景下的用戶IPv6地址分配、路由方式等多出口配置等都將從理論問題變成實踐課題，需要更多的實際探索和理論實踐，逐步完成從IPv4多出口向IPv6多出口的轉(zhuǎn)變。

2 IPv6多出口技術(shù)方案

2.1 BGP技術(shù)方案

BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）是自治系統(tǒng)間的路由協(xié)議，BGP交換的網(wǎng)絡(luò)可達性信息提供了足夠的信息來檢測路由回路并根據(jù)性能優(yōu)先和策略約束對路由進行決策。BGP主要用于互聯(lián)網(wǎng)AS （ 自治系統(tǒng) ）之間的互聯(lián)，全國各大網(wǎng)絡(luò)運營商多數(shù)都是通過BGP協(xié)議與自身的AS號來實現(xiàn)多線互聯(lián)的。

高校可以在APNIC或CNNIC申請學校自己的ASN和IP地址，通過BGP路由協(xié)議，將IP地址信息分別廣播到出口運營商的網(wǎng)絡(luò)中，實現(xiàn)與多個運營商之間的互聯(lián)互通。通過BGP協(xié)議方案連接網(wǎng)絡(luò)，使各接入的運營商之間形成備份，當某一運營商出現(xiàn)故障時，系統(tǒng)會將該運營商線路上的訪問請求切換到其他運營商線路上，保障用戶訪問的暢通。無論是IPv4協(xié)議還是IPv6協(xié)議，BGP技術(shù)方案都是最佳方案之一。但是從實際角度來看，加入運營商BGP互聯(lián)仍有很多困難，在安全管理、寬帶價格等方面仍有很多問題。

2.2 NAT66技術(shù)方案

多年來，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）一直是一個充滿爭議的技術(shù)，在如今的物聯(lián)網(wǎng)時代中，早期IPv4地址設(shè)計僅有32-bit的地址空間是遠遠不夠的。但正是有了NAT技術(shù)，才使得IPv4地址一直沿用至今，未被拋棄。如今IPv6地址空間多達128-bit，地址分配早已不是問題，在IPv6中使用NAT技術(shù)依舊充滿爭議，但用戶的需求就是技術(shù)發(fā)展的方向[3]。

NAT66（IPv6-to-IPv6 Network Address Translation，IPv6-to-IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IPv6數(shù)據(jù)報文頭中的IPv6地址轉(zhuǎn)換為另一個IPv6地址的過程。NAT66前綴轉(zhuǎn)換（IPv6-to-IPv6 Network Prefix Translation，NPTv6，IPv6-to-IPv6網(wǎng)絡(luò)前綴轉(zhuǎn)換）是NAT66的一種實現(xiàn)方式，其將報文頭中的IPv6地址的前綴替換為另一個IPv6地址前綴，實現(xiàn)IPv6地址轉(zhuǎn)換。在校園網(wǎng)普遍使用多出口情況下且BGP無法規(guī)模化使用的前提下，使用IPv6的NAT技術(shù)也是一個選擇。

依據(jù)ITEF（國際互聯(lián)網(wǎng)工程任務(wù)組）的RFC6296文檔，描述了無狀態(tài)IPv6到IPv6網(wǎng)絡(luò)前綴轉(zhuǎn)換（NPTv6）功能，旨在為邊緣網(wǎng)絡(luò)提供地址獨立性。所謂地址獨立性，從現(xiàn)實角度簡單地講，就是局域網(wǎng)在變更出口運營商時保持內(nèi)網(wǎng)的地址編號不變，這與IPv4協(xié)議NAT部署時的場景是相似的。

NPTv6提供了一個滿足IPv6中的地址獨立性要求的簡單方案，使用網(wǎng)絡(luò)前綴轉(zhuǎn)換器的翻譯功能保持了地址獨立性。NPTv6僅僅包含一個雙向、校驗和中性、算法轉(zhuǎn)換函數(shù)，而沒有其他附加的功能，比如不映射端口，這避免了NPTv6轉(zhuǎn)換器重寫傳輸層頭的需要，使得部署新的或改進的傳輸層成為可能，NPTv6在許多情況下不會干擾完整IP有效負載的加密。NPTv6地址映射機制是純算法的，因此NPTv6轉(zhuǎn)換器不需要維護每個節(jié)點或每個連接狀態(tài)，默認的NPTv6映射可以在任一方向上執(zhí)行，從而允許內(nèi)部節(jié)點參與直接對等應(yīng)用程序。

3 NAT66方案實踐

在多運營商出口的網(wǎng)絡(luò)環(huán)境中，NAT66設(shè)備（一般為路由器）連接一個內(nèi)部網(wǎng)絡(luò)，同時連接到不同的外部網(wǎng)絡(luò)。可以在NAT66設(shè)備的各個外網(wǎng)側(cè)接口上配置地址轉(zhuǎn)換，將同一個內(nèi)網(wǎng)地址轉(zhuǎn)換成不同的外網(wǎng)地址，實現(xiàn)同一個內(nèi)部地址到多個外部地址的映射。需要注意的是，在配置IPv6源地址轉(zhuǎn)換的過程中，需要保證轉(zhuǎn)換前后的源IPv6地址前綴長度一致；在同一個接口下，一個內(nèi)網(wǎng)地址前綴和一個外網(wǎng)地址前綴必須是一對一的唯一映射關(guān)系；不同接口下，不同的內(nèi)網(wǎng)地址前綴不能映射到同一個外網(wǎng)地址前綴。

某個校園網(wǎng)絡(luò)出口連接有4家運營商，分別是教育網(wǎng)、電信、聯(lián)通和移動，4家運營商分別向?qū)W校分配了IPv6地址（見表2）。

此前校園網(wǎng)內(nèi)采用IPv6/IPv4雙棧技術(shù)[4-5]，部分區(qū)域采用了隧道技術(shù)，學校整體上具備了IPv6通信能力，部署了教育網(wǎng)的IPv6地址，即校內(nèi)設(shè)備終端已經(jīng)可以獲取2001：DB8：A：：/32這段IPv6地址，并且通過教育網(wǎng)線路訪問互聯(lián)網(wǎng)。現(xiàn)在增加了新的3家運營商的IPv6寬帶出口，預期效果是校內(nèi)設(shè)備終端IPv6地址不變，訪問每家運營商的資源，走各自運營商的出口，除此之外的資源默認走教育網(wǎng)出口。

4家運營商分別與學校核心路由器（本例為華三品牌）的gigabitethernet 1/0/1-4連接，路由器的主要配置如下：

interface gigabitethernet 1/0/1

ipv6 enable

ipv6 address 2001：DB8：1：：2/64

配置教育網(wǎng)接口地址，因內(nèi)網(wǎng)終端配置了教育網(wǎng)地址，故此處不需要配置nat66。

interface gigabitethernet 1/0/2

ipv6 enable

ipv6 address 2001：DB8：2：：2/64

nat66 prefix source 2001：DB8：A：： 48 2001：DB8：B：： 48

配置電信接口地址，通過此接口去往電信網(wǎng)的流量，需要配置源地址轉(zhuǎn)換。

interface gigabitethernet 1/0/3

ipv6 enable

ipv6 address 2001：DB8：3：：2/64

nat66 prefix source 2001：DB8：A：： 48 2001：DB8：C：： 48

配置聯(lián)通接口地址，通過此接口去往聯(lián)通網(wǎng)的流量，需要配置源地址轉(zhuǎn)換。

interface gigabitethernet 1/0/4

ipv6 enable

ipv6 address 2001：DB8：4：：2/64

nat66 prefix source 2001：DB8：A：： 48 2001：DB8：C：： 48

配置移動接口地址，通過此接口去往移動網(wǎng)的流量，需要配置源地址轉(zhuǎn)換。

ipv6 route-static ：： 0 2001：DB8：1：：1

默認路由，流量默認走教育網(wǎng)出口。

ipv6 route-static 240C：C000：： 20 2001：DB8：1：：1

目的地址為教育網(wǎng)的流量走教育網(wǎng)出口

ipv6 route-static 240e：： 20 2001：DB8：2：：1

目的地址為電信的流量走電信網(wǎng)出口

ipv6 route-static 2408：8000：： 20 2001：DB8：3：：1

目的地址為聯(lián)通的流量走聯(lián)通網(wǎng)出口

ipv6 route-static 2409：8000：： 20 2001：DB8：4：：1

目的地址為電信的流量走電信網(wǎng)出口

通過如上配置，能夠達到預期效果，即充分利用各家運營商帶寬，有效解決不同的 ISP 網(wǎng)絡(luò)之間始終存在交互瓶頸問題，努力實現(xiàn)為用戶訪問資源選對路，選好路，選快路。NAT66方案實踐應(yīng)用能夠通暢地與各大運營商互聯(lián)互通，具有較好的可靠性和可擴充性。

鑒于學校校園網(wǎng)的多出口鏈路，通過在路由器上智能選路功能，可以實現(xiàn)訪問外網(wǎng)線路的動態(tài)切換。實時監(jiān)測每一條線路的時延或丟包率，在時延或丟包率高于設(shè)定的閾值時，動態(tài)切換到其他線路上，實現(xiàn)網(wǎng)絡(luò)訪問不中斷，用戶無感知切換運營商。

在此基礎(chǔ)上，為了使出口帶寬的利用率更加高效合理，在出口鏈路上部署了流量控制設(shè)備，根據(jù)用戶需求的輕重緩急，對每個上網(wǎng)IP地址都進行了特定的網(wǎng)絡(luò)帶寬限制，保證用戶公平使用校園網(wǎng)。不斷加大了對校園網(wǎng)絡(luò)出口鏈路的有效管理與利用，不斷提高校園網(wǎng)的整體性能、可靠性與穩(wěn)定性，努力為師生用戶創(chuàng)造一個更加優(yōu)良的上網(wǎng)環(huán)境，為學校教學、科研、管理、服務(wù)提供強有力的支撐。

4 結(jié)束語

當前，我國IPv6發(fā)展經(jīng)過網(wǎng)絡(luò)就緒、端到端貫通等關(guān)鍵階段后，正式步入“流量提升”時代。隨著科技飛速發(fā)展，IPv6最終會取代IPv4成為主流。以NAT66技術(shù)方案為代表的校園網(wǎng)絡(luò)多出口鏈路方案將越來越多地得到普遍應(yīng)用，該方案簡化了局域網(wǎng)內(nèi)的IPv6地址部署方式，能夠滿足當前運營商和用戶的實際需求，提高了出口寬帶的使用率，提升了IPv6網(wǎng)絡(luò)性能和服務(wù)質(zhì)量，同時也節(jié)約了用戶寬帶的使用成本，這對于推進IPv6規(guī)模部署具有非常重要的意義。

參考文獻：

[1] 李振斌，趙鋒.“IPv6+”技術(shù)標準體系[J].電信科學，2020，36（8）：11-21.

[2] 陳吉寧.廣西電子政務(wù)外網(wǎng)IPv6網(wǎng)絡(luò)平臺設(shè)計[J].廣西科學院學報，2014，30（1）：21-23，31.

[3] 李敏英.IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造[J].通訊世界，2019，26（12）：161-162.

[4] 王一鴻，陳波，楊庭春，等.IPv6過渡技術(shù)在校園網(wǎng)的應(yīng)用與分析[J].電腦知識與技術(shù)，2020，16（29）：65-66，74.

[5] 李洪民.IPv6校園網(wǎng)組網(wǎng)方案和網(wǎng)絡(luò)安全規(guī)劃[J].信息與電腦（理論版），2010（20）：90-91.

【通聯(lián)編輯：代影】