高校校园网IPv6方案设计

季昌武 山东信息职业技术学院，山东 潍坊 261041

高校校园网IPv6方案设计

季昌武 山东信息职业技术学院，山东 潍坊 261041

IPv4地址的耗尽问题已迫在眉睫，由于IPv4的先天不足导致的网络安全问题越来越多。IPv6技术取代IPv4技术是必然趋势。本文根据IPv4网络到IPv6网络过渡方案，重点分析了校园网应用IPv6技术的途径。并且对于老校园网和新建校园网分别进行了分析。

IPv4；IPv6；IPSec；校园网

1.IPv4地址耗尽与安全问题

IP地址枯竭的问题已经不是个新问题，特别在中国，问题已经迫在眉睫。专家预测IPv4地址将在2010年耗尽，首当其冲的就是新兴发展中国家。

由于我国IPv4地址资源严重不足，除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题，更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN、ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址，通过NAT技术接入互联网，这不仅大大降低了网络传输的速度，且安全性等方面也难以得到保障。从根本上看，互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题，使IPv4网络面临各种威胁。

2.IPv6技术

（1）IPv6技术简介

IPv6的地址是128位编码，能产生2的128次方个IP地址。地址资源极为丰富。而且能够为互联网提供更安全、更为广阔的应用与服务。IPv6技术彻底解决了地址空间耗尽和路由表爆炸等问题，而且为IP协议注入了新的内容，使支持安全、主机移动以及多媒体成为IP协议的有机组成部分。IPv6技术是一个可靠的、可管理的、安全和高效的IP网络的长期解决方案。

（2）IPv6的安全

安全问题始终是与Internet相关的一个重要话题。由于在IPv4协议设计之初没有考虑安全性，因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等不幸的事情。为了加强Internet的安全性，从1995年开始IETF着手研究制定了一套用于保护IP通信的IP安全(IP Security，IPSec)协议。IPSec是IPv6的一个组成部分，提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密。IPSec的认证包头(Authentication Header，AH)协议定义了认证的应用方法，封装安全负载（Encapsulating Security Payload，ESP）协议定义了加密和可选认证的应用方法。在实际进行IP通信时，可以根据安全需求同时使用这两种协议或选择使用其中的一种。

3.IPv4至IPv6的过渡技术

IPv6网络一般分为纯IPv6网和过渡IPv6两种网络。构建纯IPv6的网络需要各个节点主机、路由器支持IPv6协议栈即可。过渡IPv6网络对节点主机和路由器并无特殊的要求，只需通过采用一定的技术来实现IPv6网络。当前主要采用的技术有隧道技术、双协议栈技术、转换技术。

（1）双协议栈技术

IPv6和IPv4是功能相近的网络层协议，两者都基于相同的物理平台，且传输层协议对于IPv6和IPv4是相同的功能。由协议栈结构可以看出，一台主机同时支持IPv6和IPv4两种协议，该主机既能与支持IPv4协议的主机通信，又能与支持IPv6协议的主机通信。

（2）隧道技术

随着IPv6网络的发展，出现了许多局部的IPv6网络，但是这些IPv6网络需要通过IPv4骨干网络相连。利用隧道技术可以通过现有的运行IPv4协议的Internet骨干网络将局部的IPv6网络连接起来，因而是IPv4向IPv6过渡的初期最易于采用的技术。该技术容易实现，但缺点是不能实现IPv4主机与IPv6主机的直接通信。

（3）网络地址转换/协议转换技术

网络地址转换/协议转换技术NATPT(Network Address Translation -Protocol Translation)通过与SIIT协议转换和传统的IPv4下的动态地址翻译(NAT)以及适当的应用层网关(ALG)相结合，实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信。这种技术依赖于从支持IPv4的互联网到支持IPv6的互联网的转换，IPv4和IPv6可在这一转换过程中互相兼容。

4.校园网的发展趋势

目前，校园网不得不面对大量的问题与挑战。

首先需要面对承载更多业务的迫切需求，如一卡通、视频会议、IP电话等对网络有着特定要求的应用难于部署；不同的业务往往需要部署不同的网络，BT等更改网络流量模型、更改会话链接模型等应用的出现也给网络带来不稳定的因素。

其次网络的稳定性和安全性仍然需要提高，因安全攻击事件（病毒、黑客攻击等）引起的安全事故屡有发生，攻击的来源由外部为主逐渐转移到以内部为主，而杀毒软件、IDS等防护手段难以全面实施，局部的安全事故往往会影响到全网的安全。

再者，高校用户还承受着巨大的管理压力，不断出现的新技术给网络带来了使用的复杂性，加大了网络中心的日常维护工作量，网络交换机等设备数量的增多和多校区因素引起的分布范围加大，实际上使对汇聚、接入等设备的管理策略难于实施，大部分高校的网络中心存在着人员配置少的难题，一方面是维护工作的复杂程度增加，一方面是人手的短缺。IPv4校园网已经无力解决现实存在的众多难题，IPv6校园网取代IPv4校园网是发展的必然结果。

5.校园网向IPv6的过渡方案

（1）新建校园网

新校园网IPv6组网方案分析

对于新建的校园网，有两种组网方式，一种是建立纯IPv6网络，另一种是双栈支持的IPv6网络。但由于目前大多数实际应用依旧是运行在IPv4的网络之上，而且IPv6的实际应用相对较少，因此推荐使用后一种组网方式。采用同时支持IPv6/IPv4的网络设备进行组网建设，使得校园网平台同时支持两种协议的应用。

双栈支持的IPv6网络的校园网，边界路由器可以采用支持双栈的设备，连通IPv6互联网CERNET2。针对校内网络，核心交换机可以采用支持双栈的三层设备，IPv6的三层功能均交由核心处理，汇聚接入使用IPv4交换机即可。如果条件允许，也可考虑汇聚使用双栈三层交换机，形成层次化的IPv6网络。

新校园网IPv6网络互通方法

上述方案，校内IPv6内部、IPv4内部在各自网内分别互通。而校内IPv6和IPv4互通，是通过双栈核心交换机进行地址协议转换。校内IPv6和校外IPv4(或校内IPv4到校外IPv6)通过出口进行地址协议转换与外部互通。并且校内IPv6和校外IPv6，经边界路由设备直接连接CERNET2。

（2）老校园网升级

老校园网IPv6组网方案分析

针对目前大多数高校，对已有的校园网部署IPv6组网方案，相比新建校园网要复杂，基本可以通过以下两种方法实现，一是购买新的双栈设备，二是升级核心设备的软硬件支持双栈。

对于增加新的双栈设备，可以通过新增设备进行NAT-PT转换与原IPv4核心设备互通，与外部则分别经原核心连接的CERNET或新增设备所连接的CERNET2分别于外部IPv4和IPv6网络互通。如果核心设备可以升级软硬件来支持双栈，则部署和应用互通方案可类似前述新建校园网。

老校园网IPv6网络互通方法

上述方案，校内IPv6内部、IPv4内部在各自网内分别互通。而校内IPv6和IPv4互通，是通过新建IPv6校园网双栈核心交换机进行地址协议转换。校内IPv6和校外IPv4(或校内IPv4到校外IPv6)通过出口进行地址协议转换与外部互通。并且校内IPv6和校外IPv6，经边界路由设备直接连接CERNET2或者使用隧道技术与非直连的IPv6孤岛互通。

老校园网升级的具体方案考虑

为尽量避免对原有网络线路改造或增加，同时又希望原有用户可以方便地接入IPv6网络，可以直接将核心三层交换机替换为双栈设备，则其形式将类似于新建IPv6校园网。并且由于IPv6建设初期用户较少，为了减少设备投资，考虑使用服务器模拟路由器作为边界的双栈设备。

6.总结

本文总结了IPv4协议的不足与应用形式，分析了IPv6技术的特点，及其取代IPv4的必然趋势。根据IPv4网络到IPv6网络过渡方案，重点分析了校园网实现IPv6网络的技术思路。对于老校园网和新建校园网分别进行了分析。

[1].伍海桑,陈茂科.IPv6 的原理和实践[M].人民邮电出版社.2009

[2].张俊.浅析IPv6的安全性[A].网络安全技术与应用. 2008.10

[3].Davies,J; 张晓彤,晏国晟,曾庆峰等译.理解IPv6[M].清华大学出版社.2006

[4].姚树宇.IPv6协议及其过渡技术的安全问题[A]. IT论坛.2007.9

[5].张震,唐雄燕.IPv6技术的应用与发展策略[A].现代传输.2009

Analyses To The CampusNetwork’s IPv6 Converting

Ji Changwu Shandong College Of Information Technology, Shandong Weifang 261041

IPv4 address’s depletion problem is imminent,Security problems caused by the inherent inadequacy of IPv4 network being more and more. The IPv4 technology must be replaced by IPv6 technology.Based on the IPv4 network to IPv6 network transition programs, an analysis is proposed to solve the problem that how to use the IPv6 technology in the campus network. And a more indepth analysis to old campus network and new campus network is proposed.

IPv4；IPv6；IP Security；Campus Network

TP393

A

10.3969/j.issn.1001-8972.2011.08.070

季昌武，山东潍坊人，高级讲师，研究方向：网络互联技术，软件开发。