文/肖波 马传连 冉静学
中央民族大学校园网设备IPv6升级
文/肖波 马传连 冉静学
随着校园信息化建设的深入和发展,校园网已经成为高校信息化建设必不可缺的基础设施,同时,校园网在学校的人才培养、学科建设以及科研等方面发挥了重大作用。随着IPv4资源地不断枯竭以及IPv6技术的成熟,由教育部组织的下一代互联网业务试商用及设备产业化项目——教育科研基础设施IPv6技术升级和应用示范,已经在全国100多所高校实施,争取到2010年底前,在接入CERNET和CNGICERNET2的基础上,将校园网升级到下一代互联网,建立安全、可控、可管理和可运营的下一代校园网试商用环境,实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,使其成为学校新一代教学和科研信息基础设施,继续支持下一代互联网的技术试验和应用示范,为我国下一代互联网向深度和广度发展做出贡献。本文重点介绍了IPv6校园网升级改造项目在中央民族大学具体部署及实施情况,以及在IPv6校园网升级改造项目中涉及到的IPv6开放式最短路径优先协议版本3(OSPFv3)以及无状态地址配置技术。
高校校园网IPv6升级项目的积极实施,使我国下一代互联网的发展之路向深度和广度延伸
现存的IPv4网络潜伏着两大危机:地址枯竭和路由表急剧膨胀。IPv6的出现将从根本上解决这些问题。IPv6继承了IPv4的优点,并且根据IPv4多年来运行的经验进行了大幅度的修改和功能扩充,比IPv4的处理性能更加强大、高效。
IPv6与IPv4相比主要有以下几方面变化:扩展的寻址能力、简化的报头格式、对扩展报头和选项支持的改进、标识流的能力以及认证和加密能力。同时,IPv4向IPv6过渡将是一个长期的过程,为了提供一个稳定的过渡,同时对用户和应用软件的影响最小,在这个过程中出现的一些过渡技术。例如,双栈、隧道以及地址/协议转换等技术,也将长期被应用。
双协议栈技术是指在一台设备上同时运行IPv4和IPv6协议栈,使得设备能够处理两种类型的协议,主机根据目的IP地址来决定采用IPv4还是IPv6协议发送或接收数据包。双栈协议并不一定要和隧道技术一起使用,但创建隧道一定要有双栈技术的支持。隧道技术提供了一种以现有IPv4路由体系来传递IPv6数据的方法,在两者都具备双栈的几点间,将IPv6分组作为无结构意义的数据,封装在IPv4分组中,IPv4数据报头的“协议”设置为“41”,指示这个分组是一个IPv6分组,IPv4数据报文的原地址和目的地址分别对应隧道入口和出口的IPv4地址,到了隧道的出口处,再将IPv6报文取出转发给目标节点。IPv6相对于IPv4在路由协议方面只是发生了很小的变化,在本文中主要应用的是OSPFv3。
建设方针
通过分析国内多所重点大学校园网的成功经验,我们认为下一代校园网的建设应采用“整体规划、分步实施”的方针。其中整体设计方案的确定,不仅要考虑近期目标,还要为系统的扩展留有余地。整个IPv6校园网络的建设不是一朝一夕可以实现的,必须分步实施。在设计中,我们需要考虑各阶段的情况,适应长远发展,进行统一规划和设计。
早在2005年,中央民族大学就进行了一次大规模的网络升级改造,当时我们已经考虑到IPv4向IPv6的升级改造,所以,建成了万兆核心、千兆楼宇以及百兆到桌面的校园网络。学校布置了4台85系列的华为核心交换机,铺设20多公里的光纤,通过负载均衡和策略路由连接中国教育科研网以及电信网络,实现与互联网的链接,建成结构合理、管理细化的校园网络。借助这次的下一代互联网升级改造项目,中央民族大学校园网络进行了大规模的调整,构架高安全性、高性能和高稳定性的IPv4网络的同时,构建稳定的IPv6网络,实现IPv6与IPv4双协议网络同时运行,并加大无线网络对IPv6的支撑。
组网方案
根据项目的建设目标,学校建成双核心、双协议栈的校园网络,如图1所示。
校园网络架构分为核心层、汇聚层、接入层。核心层由网络中心的2台S8512和1台S7510E、1号学生公寓的S8512、图书馆的S7503E,以及文科楼的1台S8505共7台设备组成。这些设备均采用万兆单模光纤双上联的方式进行连接。
按核心设备的分布汇聚层划分为5个区域,各区域的汇聚设备使用千兆光纤直接连接至本区域的核心设备,无线网络设备则连接在不同楼宇内的汇聚设备。
校园网内所有设备都支持IPv6路由协议,为了实现校园网用户访问IPv6网络的需求,我们在校园网络中全面部署了IPv4和IPv6网络。网络中心的2台S8512分别作为IPv4网络和IPv6网络的出口交换机,分别通过出口路由器连接至C E R N E T和CERNET 2,满足校园网络用户访问Internet和CERNET 2的网络需求。
OSPFv3
OSPFv3是OSPF版本3的简称,主要提供对IPv6的支持,遵循的标准为RFC 2740(OSPF for IPv6)。
1.特点
OSPFv3和OSPFv2在很多方面是相同的:Router ID、Area ID仍然是32位的;相同类型的报文:Hello报文、DD(数据库描述)报文、LSR(链路状态请求)报文、LSU(链路状态更新)报文和LSACK(链路状态确认)报文;相同的邻居发现机制和邻接形成机制;相同的LSA扩散机制和老化机制。
OSPFv3和OSPFv2的不同主要有:OSPFv3是基于链路(Link)运行,OSPFv2是基于网段运行,OSPFv3在同一条链路上可以运行多个实例;OSPFv3是通过Router ID来标识邻接的邻居,OSPFv2则是通过IP地址来标识邻接的邻居。
2.全网分区运行
中央民族大学校园网络中所有网络设备均支持IPv6协议和OSPFv3路由协议,所以在本次网络规划中,所有使用OSPFv3路由协议的设备都可以实现全网的互联互通。OSPFv3的协议部署如图1。
全网核心层与汇聚层交换机均通过OSPFv3协议互联,全网运行OSPFv3协议,分成3个Area:
1.Area0:网络中心的2台核心设备S8512、文科楼的S8505、学生公寓的S8512、图书馆的S7503E以及理科楼的S7503E之间的互联网段划分至Area0,网络中心的S8512及汇聚交换机之间的链路及汇聚交换机的业务网段划分至Area0。
2.Area1:核心设备至各楼无线设备之间的链路划分至Area1。
3.Area2:1号学生公寓核心交换机与汇聚交换机之间的链路及汇聚交换机的业务网段属于Area2,5号楼大汇聚交换机与下联汇聚交换机之间的链路及汇聚交换机的业务网段属于Area2。
IPv6无状态地址配置协议
IPv6的无状态自动配置协议在主机则无需进行任何配置,在路由器上也只需要很少的配置,并且不需要额外的服务器。无状态机制允许主机使用已知的信息和路由器通告来的信息共同生成自己的地址。路由器通告网络前缀来定义子网;主机生成一个“接口标识符”来标识子网内的一个接口。IPv6地址就由这两部分组成。如果没有路由器的参与,主机只能生成一个本地链路地址,这个地址对于本地网络的通讯已经足够了。无状态地址自动配置只能用于主机,而不能用于路由器。
无状态自动配置只能发生在支持多播的链路上,支持多播的接口启用时,自动配置的过程就开始了。它会发送一个邻居请求报文,携带上这个“探测”地址,如果其它节点已经在使用这个“探测”地址,就会回应一个邻居通告报文。
如果节点发现它的“探测”地址已经被使用,自动配置就会中止,接下来就需要手工配置了。为了避免这种情况的发生,网络管理员可以提供一个替代的接口标识符来取代原有的接口标识符,使得自动配置过程得以继续,否则,就需要手工配置接口的本地链路地址和其它地址。当节点确定它的“探测”地址是惟一的,它就将这个地址应用于接口。此时接口就具备了IP通信的能力。
接下来的自动配置步骤是节点得到一个路由器通告报文或者感知到本地网络中没有路由器存在。如果本地网络中存在路由器,它们将发送路由器通告报文,指导主机使用何种类型的自动配置方式。
虽然路由器周期性地发送路由器通告报文,但是为了加快自动配置的速度,主机会向“所有路由器”的多播地址发送一个或多个路由器请求报文,路由器收到这些报文后会回应路由器通告报文。路由器通告报文可能包括一些用于无状态自动配置生成本地站点地址和全球单播地址的信息,比如地址前缀、有效时间等。由于路由器周期性地发送路由器通告报文,主机会连续收到新的通告消息,处理每一个通告消息,来进行配置状态的更改和刷新。
为了保证安全,所有的地址在分配给接口之前必须检验其唯一性。在无状态配置的情况下,地址的唯一性主要是通过接口标识符来保证的。也就是说,如果接口的本地链路地址是惟一的,那么用同一标识符生成的其它地址就不需要再进行重复地址检测了。为了加快自动配置的速度,主机可以将生成本地链路地址和监听路由器通告报文并行处理,以抵消路由器收到请求报文和发送通告报文之间的延迟。IPv6无状态地址自动配置的过程见图2。
由图1可知,27号学生公寓的S5528通过光纤与学生公寓的S8512实现物理互联,同时在27号学生公寓的S5528和学生公寓的S8512上应用OSPFv3协议实现路由互连,27号学生公寓的用户网关落在汇聚设备S5528上。用户终端连接在接入交换机E126A,当终端连接上时,可以通过无状态地址自动配置获得地址。其中共有两个用户VLAN,分别为VLAN273、VLAN274,它们的IPv6地址分别为2001:DA8:219:1601::1/64和2001:DA8:219:1602::1/64。
在设备配置中,中央民族大学校园网络中心的2台85系列核心交换机的OSPFv3的配置如下:
Area 0 的配置:
校园网汇聚交换机的IPv6无状态地址配置协议的配置如下:
在接入层,为了防止遭受ARP风暴、MAC扫描、ICMP风暴以及带宽攻击等病毒攻击,对接入层交换机的接口进行相应的配置,配置如下:
目前,中央民族大学校园网络升级改造中的硬件设备部署调试阶段已经完成,全校所有楼宇都可以应用IPv6网络接入服务,也可以应用现有的CERNET2网络服务。我们将继续进一步完善校园网络IPv6的其它应用及管理,不断增加例如Web、视频VOD、网络电视等方面的服务,逐步引入IPv6/IPv4双协议栈网管系统、流量控制统计等网络管理手段,深入研究IPv6的计费系统以及它的移动性等,逐步完善校园网从IPv4向IPv6的过渡以及IPv6的网络应用。
(作者单位为中央民族大学现代教育技术部)
教育信息化顶层设计要超前
总体技术组第二次全体专家工作会议在清华大学举行,与会专家指出
近日,清华大学计算中心(下文简称计算中心)在北京承办了教育部“教育服务与监管体系信息化建设”项目(“金教工程”一期)总体技术组第二次全体专家工作会议。会议由计算中心主任、总体技术组组长蒋东兴主持,教育部科技司司长谢焕忠、副司长陈盈晖、办公厅副主任王洪元、金教办成员、总体技术组专家及业务代表近60人出席了会议。
“教育服务与监管体系信息化建设”项目是教育部为建成数据集中、应用集成、基础设施整合、标准规范、安全高效的教育电子服务平台,全面提高教育公共服务能力和教育管理水平而组织的重大信息化建设项目。为了确保项目顺利实施,教育部专门成立了“教育服务与监管体系信息化建设”项目专家组,成员由国内信息化、财务、设备等领域的来自国内重点大学的知名专家组成,全面负责总体建设方案、顶层设计方案和基础设施与技术架构方案的评审、项目总体验收评审和其他重大技术咨询与指导工作。
会上,各职能域规划工作小组的组长和子项目负责专家汇报了近期工作进展。在听取汇报后,谢焕忠、陈盈晖、王洪元等金教办领导都充分肯定了目前项目取得的进展,并指出要加强研究,进一步加强沟通和统筹,顶层设计要有超前性,适应教育改革与发展的需要。
总体技术组专家还就跨职能域间的业务关联、数据关联等技术等问题进行了专题研讨,并对项目推进中遇到的共性问题展开了热烈的讨论。本次会议推动了顶层设计工作,在一些问题上达成了很多共识,对后期的工作开展起到积极的推动作用。
(来源:清华大学新闻网)