IPv6校园网的建设策略

摘要上世纪90年代,我国863工程就开展了相关的IPv6项目的研究,2003年,国家酝酿启动下一代互联网示范工程(CNGI)。本文结合在大学部署IPv6校园网的情况,分析了IPv6地址的手工配置,无状态配置和有状态配置三种方法的工作机理与特点,论述了网络结构升级方案,IP地址配置方案,网络路由设计以及IPv6校园网安全设计的全过程。

关键词IPv6;结构迁移;地址配置;路由设计

中图分类号TP393文献标识码A文章编号1673-9671-(2009)112-0054-01

0 引言

我国IPv6进入实质性发展阶段的标志,是2003年中国下一代互联网示范工程(CNGI)的启动。该项目由国家发展和改革委员会委托中国工程院组织,由中国教育科研网,中国电信,中国网通,中国科学院计算机网络中心等单位共同承担。本文论述了IPv6校园网的建设策略,使建成的 IPv6校园网能够满足现有IPv4应用的正常进行,同时发挥出IPv6的技术优势,使网络具有可扩展性,支持IPv4业务与IPv6业务的互通以及良好的网络安全。

1网络结构升迁

IPV6校园网CNGI驻地网在设计建设方案时,大都需要能保证原有IPv4业务正常运行,因此除了使用IPV6地址以外,还需同时使用IPv4地址。要完成网络结构从IPv4网迁移到IPv6网,IPv6必须能够支持并处理IPv4体系的遗留问题。有两种主要的迁移技术:一是双栈机制,二是隧道技术。

隧道模式的优点是:只需增加一台支持IPv6业务的核心设备,其余设备保持不变,保护原有投资。新增的IPv6用户可以正常访问IPv6网络及IPv6业务。原有IPv4业务不产生任何变化,正常运行。这种方案适用于校园网中存在大量IPv4设备没有IPv6功能,或者不能升级到IPv6,快速将网络均升级为IPv6需要较长的时间,可以采用此方案。

双栈机制的优点是:从技术角度这是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰;缺点是学校的原有网络都是IPv4网络,必须将原有主干部分的网络设备淘汰弃用,投资过大,并有不同程度的设备资源浪费。

从现实环境中来考虑,一般高校的资金都比较充足,并且国家教委对建设IPv6校园网大都有专项资金的支持,因此,本文建议采用双栈机制将原有IPv4校园网升迁到IPv6校园网,将原校园网络主干的路由、交换等网络设备全部更新为支持IPv4/IPv6协议的设备,具体实施过程:将由原来只支持IPv4的核心层交换机改为支持IPv4/IPv6的高性能双栈交换机,如Cisco Catalyst 8540,同时也将所有汇聚层的原有三层交换机更换为双栈交换机,如Cisco Catalyst 6509-E,直接连接到双栈核心。

2 IPv6地址配置

为了简化网络设备地址配置,IPV6协议需同时支持手工地址配置和自动配置,IPv6地址自动配置方法主要有无状态地址自动配置和有状态地址自动配置两种。IPv6地址手工配置:手工地址配置是指在己知IPv6地址的情况下,通过命令行或配置界面等方式手动为设备配置主机位地址和所属网络的前缀信息,这种分配方式适用于流动性相对较小的用户,增加了管理工作量,适用于对安全性要求较高,且管理员需要进行管理和监督的用户;IPV6地址自动配置:无状态地址自动配置协议基于IPv6地址结构,由IPv6地址前缀和接口ID组成;有状态地址自动配置,采用DHCPv6协议,它是IPv6下的动态主机配置协议,与IPv4中的DHCP类似,DHCPv6是一种提供网络配置信息的客户/服务器类型的协议,这种分配方式适用于终端数量大的用户,对用户可靠性,安全性要求不高,适用于管理员对部分终端可以不用及时监控的情况。

通过上面对两种IPv6地址分配方式的分析,在分配IPv6地址时,可针对不同的用户采用不同的地址分配方式:对校园网的核心层和汇聚层和接入层的网络设备,提供校园网服务的各院系的应用服务器、以及网管节点等,由于其上面承载的业务系统安全级别高,业务种类,终端数量相对固定,出现故障需要准确,快速定位故障点,这些都需要明确的地址进行网络管理,因此应该通过手工配置的方式获取地址。在国内高校的IPv6地址段为2001:DA8:XXXX::/48,可以从这段地址中取出2001:da8:XXXX:1000::/64用于手工指;而对于使用校园网服务的终端用户,如在校学生上网,机房上网,教师上网等,其数量大,流动性强,安全性要求和单个故障对业务影响相对小,可选择使用无状态地址自动地址配置或DHCPv6配置方式。为向不同类型的终端用户自动配置IP地址,需要在保留原IPv4 DHCP服务器的同时,再按照系部或二级学院作为单位,分别部署一个DHCPv6服务器以提供对IPv6地址的自动分配。

3IPv6网络路由设计

首先是选择路由协议,OSPF协议是现在应用最为广泛的路由协议,无论是在企业网内部,还是在互联网上,OSPFv3都得到了大量的应用,由于OSPFv3协议支持IPv6路由,因此,可以将与外部IPV6骨干网相连的路由器以及所有双栈设备都配上支持IPv6的OSPFv3路由协议。在内网,虽然新升迁的核心层和汇聚层设备都支持IPv6的路由功能,但考虑到增加IPv6的路由可能会增加网络设备资源的消耗,有可能会降低目前校园网的性能,进而影响到校园网用户的正常使用,而校园内物理链路资源比较丰富,带宽资源比较容易增加,因此,为了加快路由的转发,可以采用“独立路由,共享交换”的建设思路。具体做法是,并采用独立的路由器完成IPv6的路由,然后通过数据链路层连接至各汇聚层交换机,实现所有接入点的双栈连接。

4IPv6校园网安全设计

为了应对IPv6网络应用带来的安全性问题,可以采用了Cisco公司的网络准入控制NAC(Network Access Control)策略,通过身份验证、主机健康性保障、网络安全性保障等多重角度,对内网用户进行有效的管理,实现内网用户身份的合法化,上网主机安全状况的健康化,网络通信的安全化以及用户网络访问行为的规范化。

5结束语

目前,各高校的校园网主要以IPv4网络为主,但高校作为学术研究的基地,建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践有着重大的意义。现在各高校实施IPv6的技术条件日渐成熟,将校园网升级到IPv6,可以解决目前各高校IPv4校园网存在的IP地址资源短缺、QoS、安全等问题。

参考文献

[1]谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2008.

[2]ipv4向ipv6的过渡技术综述[J].北京邮电大学学报, 2002,4.

[3]如何从ipv4过渡到ipv6[J].计算机时代,2004,8.

作者简介:

危光辉,重庆电子工程职业学院教师,出生于1973年7月,男,硕士,网络工程师,主要从事计算机网络方向的教学和研究。