基于IPv6的下一代校园网建设*

谭爱平 成亚玲（湖南工业职业技术学院 湖南 长沙 410208）

基于IPv6的下一代校园网建设*

谭爱平 成亚玲
（湖南工业职业技术学院 湖南 长沙 410208）

以湖南工业职业技术学院校园网二期改造工程为背景，从高职院校网络建设现状出发，分析IPv4协议在地址资源、网络安全、网络结构、管理及服务质量方面局限性的基础上，阐述基于IPv6的下一代校园网的主要特征、IPv6校园网建设原则。结合原有IPv4信息资源和应用系统应用，将原有校园网网络升级为IPv4/IPv6双栈网络平台，为推动高职院校建设IPv6校园网及各种新兴IPv6应用起到了积极示范效果。

IPv6；下一代校园网；IPv4

IP地址作为IP网络的最基础地址资源，是三网融合的先决条件。伴随着信息化进程的加速，IPv4地址资源呈现快速消耗的趋势。以中国电信为例，预计在 2011年前后出现明显地址缺口:用户量将达到8600万，移动互联网用户2000万，IPTV用户630万，届时，IP地址需求缺口约有1700万。三网融合将产生巨大的IP地址需求：近期，以IPTV为代表的视频业务需要更大的IP寻址空间；远期，物联网等相关业务的大规模开展将使IP延展到更广泛的网络空间。

为改变IPv4地址资源受限造成的被动局面，由IPv4向IPv6平稳过渡成为了各界关注的焦点。国内各大运营商正在积极推动IPv6的部署和应用，而作为科研、学术重要阵地的高等院校由于在业务驱动方面（需要数据网、一卡通、视频监控等多网融合，以降低投资成本，提高管理效率；师生用户的工作、学习和生活完全依赖网路，对信息服务的期望值越来越高；校园网和信息化工作的价值创造力和价值量化手段缺乏，信息化应该为高校总体发展战略提供更有效的支撑）和技术驱动方面（40G/100G以太网标准已于2010年6月被正式批准通过；MPLS技术被证明可以有效解决IP网络的服务质量问题；IPv6已经启动大规模的试商用，三网融合、物联网、云计算等重大应用和重大产业快速推进）都需要建设基于IPv6的下一代校园网。

下一代校园网特征

泛载——多业务广泛承载 校园网随着宽带网络的不断建设和接入用户的规模发展，在业务应用方面出现了如下需求：随时随地的信息服务，构筑按需服务的教学网络环境；更高带宽满足日益多媒体化的应用对传输性能的需求；提供数据、语音、视频业务区分服务质量，保障核心业务有效开展等等。要满足多业务广泛承载，可以从以下技术层面进行实现：普适接入-802.11n无线对移动业务承载，覆盖每个角落，无处不在的网络；40G/100G以太网技术标准提供传输带宽提升承载容量；利用MPLS DS-TE区分提供服务优先级，确保服务质量；三网融合、云计算、物联网等新兴应用。

可信——网络和业务可信赖 业务欺骗在网络中无处不在，下一代校园网在业务应用方面应该达到网络可控、可管和可追溯；业务风险大幅度降低；信息服务更值得信赖等要求。如采用SAVI源地址验证保障地址可信，实名准入认证确保身份可信，使网络中的身份合法、源地址真实、终端安全、行为可控、服务可靠。

绿色低碳 国家狠抓节能减排工作，节能减排是全世界的共同目标和责任。信息产业的二氧化碳排放量已经占到全球的2.5%，已成为全球第五大耗能产业。下一代校园网应该节约能源、降低二氧化碳排放、做到绿色低碳。

基于IPv6 一方面，除台式机、笔记本外，每个师生用户的手机和其他智能终端都有可用的IP地址获取信息服务；校园的摄像头、一卡通卡具、照明灯具都可实现端到端的IP连接，实时在线、永久在线等，这些都需要大量的IP地址。另一方面，由于端到端的连接、服务质量和安全性要求更加苛刻，IPv4/IPv6资源访问互通、业务应用等都需要IPv6来解决。

湖南工业职业技术学院IPv6校园网建设与应用

（一）湖南工业职业技术学院的IPv6校园网升级遵循的原则

高可靠性 确保校园网提供的服务稳定。网络系统是日常业务和各种应用系统的基础设施，必须保证工作日和重点时期不间断运行。

高性能 要确保数字图书馆、校园FTP、流媒体点播和直播、网络安全系统可靠服务，主干网应提供可保证的服务质量和充足的带宽，确保数据、图像、语音等多媒体的实时通讯高性能。

可扩充和可扩展 所有网络设备不但应满足当前需要，还应能适应未来校园网环境的变化，网络应可以平滑地扩充和升级，最大限度地减少对网络架构和现有设备的调整。

易管理 升级选购的网络设备应易于管理和维护、操作简单、易学易用，便于进行网络配置与管理。

（二）本次校园网升级建设的主要内容

校园网架构的改造 我院原有网络架构基本采用二层网络架构模式，网络扩展性不强，办公区的广播风暴，病毒、Dos攻击等会直接影响到核心交换机的性能，对整网的网络性能影响较大。通过此次升级，全网网络架构被改造为核心层、汇聚层、接入层三层架构。

IPv6路由设计 考虑到我院原有的校园网采用OSPFv2作为主要路由策略，校园网升级方案中在IPv6校园网上部署的OSPFv3，其域的设计沿用了OSPFv2的思路，网络管理和路由规划等设计细节也可以参考原有的OSPFv2的原则。根据部署的模式不同，可以采用不同IPv6的路由协议部署方式。新建校园网将全网部署双协议栈，使IPv4/IPv6校园网资源可平滑对接。

组播路由设计 在校园网中，随着IPTV、视频点播等应用的大规模开展，IPv6对组播有很好的支持，并分配了大量的组播地址空间，考虑到原有IPv4网络，本次升级方案中采用了双栈组播技术而不是纯IPv6的组播技术。双栈组播是IPv4和IPv6组播网的叠加，组播源配置成双栈，可以同时向IPv4组和IPv6组发送数据流，使运行不同协议栈的所有主机都能接收组播报文。这样，IPv4和IPv6组播能同时运行在路由器和主机上，并且能同时存在于同一网络链路；路由器也能同时成为IPv4组和IPv6组的汇聚点(RP)，能有效地提升网络的性能。

校园网骨干网带宽升级 伴随着信息化建设的深入，包括学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等业务系统在内的校园信息系统建设要求核心交换机能够提供无瓶颈的数据交换，万兆的骨干网络速率已成为校园网发展的趋势。我院校园网原有网络骨干网是千兆，本次改造后骨干网提升到万兆。

设备升级 我院原有的联想品牌网设备，不支持IPv4/ IPv6双栈。本次改造后采用的核心设备是Cisco的6500系列和锐捷的RG-8610系列，汇聚设备是锐捷的RG-S5750，支持双栈，可以满足广大师生对CERNET和CNGI-CERNET2资源的同时访问。

校园网安全防护提升 由于接入层设备采购时间较早，不支持ARP攻击防御，不支持ACL以及环路检测等安全特性，对ARP攻击、DHCP仿冒等难以有效防御。本次网络升级对校园网的安全防护进行了合理规划，能有效地防止各类安全事件。升级后的校园网有四个出口：（1）教育网出口：以独立光纤线路接入CERNET华中区网络节点中南大学，网络带宽为100Mbps；（2）电信网出口：电信网出口带宽为1Gbps；（3）联通网出口：2010年增加150M连通网出口带宽；（4）Ipv6出口：以独立光纤线路接入CERNET华中区网络节点中南大学，网络带宽为1Gbps，升级改造后的校园网拓扑结构如图1所示。

图1 湖南工业职业技术学院校园网示意图

无线用户接入 湖南工业职业技术学院原有校园网全部为有线网络，升级后的校园网新增了无线网络设备，以扩大IPv6的接入范围和接入手段。无线网络于2010年3月完成了一期工程，总共安装了42个无线接入点，实现了无线网络对湖南工业职业技术学院教学区域、办公区、学生宿舍、图书馆和公共活动区域的100%覆盖。无线接入采用实名准入认证确保身份可信，如图2所示。升级后的网络分为核心层、汇聚层、接入层。核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。在部署IPv6核心层设备时，特别注意了在双栈环境中设备转发性能达到线速转发。核心层的Cisco 6500系列、锐捷RG-8610系列交换机，实现万兆双链路捆绑，保证核心设备间的高性能转发及冗余，实现汇聚设备的双链路上行，提高骨干链路可靠性。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。由于汇聚层设备压力比较大，选用了模块化、分布式转发的体系结构的锐捷RG-S5750系列设备，具备良好的可扩展性等性能。接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等方式的攻击，对安全性的要求很高，还必须提供灵活的用户管理手段。在部署IPv6网络时，首先要考虑接入层交换机支持对双栈用户进行认证，IPv6 HOST、IPv6 ACL、WEB浏览器认证等功能，同时，在IPv6中，用户可能遭受ND攻击，接入层交换机也需要支持ND防攻击的相关功能。在此次升级中，接入层设备采用的是支持IPv6管理并具有安全特性的RG-S26、RG-S26系列产品。

图2 无线实名准入认证图

（三）IPv6信息资源与应用系统

在原有基础上，基于IPv4/IPv6双栈网络平台重点升级开发了信息资源系统和应用系统，部署了数字图书馆、流媒体点播和直播服务器，开发了新的IPv6校园网门户系统、IPv6网络虚拟教学平台，配备了FTP文件服务器、EMAIL邮件服务器等。

通过IPv6校园网建设项目，湖南工业职业技术学院已在全院范围内建成IPv4/IPv6双栈网络，使IPv6网络普及率达到100%。在校园内实现了随时随地访问IPv6网络资源，网络可靠率达到98%，IPv4/IPv6双栈用户数超过5000人，提供DNS、Web、邮件、音视频等多种IPv6应用，为推动湖南省高校IPv6校园网建设及各种新兴的IPv6应用的发展提供了较好的条件，同时也为湖南省其他高校建设IPv6校园网提供了重要参考。

[1]赵海，孙华丽，王翠荣.IPv6网络拓扑特征演化分析[J].东北大学学报（自然科学版），2011，32(3)：28-32.

[2]王相林.IPv6技术新一代网络技术[M].北京:机械工业出版社，2008:12-56.

[3]Li Qing.IPV6 Advanced Protocols Implementation[M].北京:人民邮电出版社，2009:23-49.

[4]Childress B，Cathey B，Dixon S.The adoption of IPv6 [J].Journal of Computing Sciences in Colleges，2003，18（4）：39-51.

[5]张五红，王宇.高校IPv6校园网的部署与配置[J].计算机工程与设计，2007，28（13）：3106-3110.

[6]张天云.IPv6技术及其在校园网的部署 [J].信息技术，2007，35（1）：25-26.

[7]罗辉琼，聂瑞华，郑凯.基于IPv6的校园网升级研究[J].计算机技术与发展，2010，20（3）：133-135.

[8]韩强.基于IPv4向IPv6过渡期的校园网架构研究[J].吉林工程技术师范学院学报，2010，26（2）：68-70.

[9]张宏科，苏伟.IPv6路由协议栈原理与技术[M].北京:北京邮电大学出版社，2006:50-125.

[10]肖嵬.基于IPv6的下一代网络在校园网中的实现[J].重庆师范大学学报（自然科学版），2009，26（4）：82-85.

G717

A

1672-5727（2011）08-0167-02

谭爱平（1979—），男，硕士，湖南工业职业技术学院讲师，研究方向为计算机网络技术、网络安全技术。

成亚玲（1981—），女，硕士，湖南工业职业技术学院讲师，研究方向为计算机应用。

*本文系教育部高职高专计算机类专业教指委2011规划课题《机械行业高职网络工程专业关键问题的研究》（课题编号：jzw590111033）；湖南省教育厅2010年科学研究项目《数字校园统一身份管理模型及关键技术研究》(项目编号:10C0120)的部分研究成果