基于IPv6 的校园网部署方案

杨 阳

（天津电子信息职业技术学院 天津300150）

随着2010 年2 月3 日国际互联网名称和编号分配公司（ICANN）将最后5 组IP 地址 （基于互联网通信协议IPv4）分配给全球5 大区域互联网注册管理机构，第一代互联网地址总库已经枯竭，互联网未来的发展将系于在全球范围内普及下一代互联网通信协议IPv6。

IPv6 的特点

海量的地址空间 IPv6 最根本的改变是能满足未来全球范围内可确定的地址空间需求。IPv6 将地址位数从IPv4 的32 位，扩展到128 位。 这意味着可以为地球上任何需要加入互联网的设备提供唯一的确定的地址。 正因为有了全球范围内可确定的唯一地址，IPv6 提供了全球范围内的地址可达性、端到端的安全通信以及所有对地址有要求的应用和服务的支持。

无需NAT 海量的地址空间使得作为暂时解决地址空间不足的NAT （Network Address Translation，网络地址转换）技术慢慢退出历史舞台， 从而提高了网络的效率。

没有广播地址 IPv6 包括单播地址（一到一），多播地址（一到多） 和新的任意播地址 （一到最近），而没有了广播地址。

更简单的报头提高了路由器的效率 更简单的报头提供了更多优于IPv4 的地方， 包括路由选择效率更高，有助于提高性能和转发速率；不需要处理校验和；报头扩展机制更简单，效率更高。

IPv4 到IPv6 的过渡

虽然IPv6 的使用是必然的，但现阶段Internet 无论是网络设备还是用户设备主要基于IPv4，要将这些设备都替换成IPv6 设备，需要大量的经费。 另外，网络的升级换代需要时间，不能以暂停现有业务为代价。 为了实现IPv4 到IPv6的 平 稳 过 渡 ，IETF （Internet Engineering Task Force， 互联网工程任务组）设计了多种方法，主要分为双协议栈、隧道化、网络地址转换。

双协议栈 双协议栈是指在设备上同时启用IPv4 和IPv6 协议栈。 双栈节点根据目标地址决定使用哪个协议栈， 这样就需要每台设备都要支持两种协议， 而且每台设备都要配置两种协议，需要双寻址方案，IPv4 和IPv6 选路协议的双重管理，IPv4 和IPv6 两个路由表占用更多资源， 更使得管理成本更高， 故障排除和监管工作更加复杂。

隧道技术 隧道 （Tunnel）是指一种协议封装到另外一种协议中来实现传输互联的目的。 现阶段有多种隧道机制可用来部署IPv6。人工配置隧道：隧道的两个端点需要使用适当的IPv4 和IPv6 地址进行配置，坐落于端点的边缘路由器通常是双栈路由器。 通用路由封装（Generic Routing Encapsulation，GRE）隧道：按照IPv4 网络传输数据的定义，GRE 通过将需要传输的数据包封装在GRE 包内， 从而传输IPv6 数据。 GRE 是通过隧道传输IPv6 业务负载的一个理想的机制。 6to4 隧道：是使用嵌在IPv6 地址中的一个IPv4 地址来确认隧道的端点，并自动建立隧道。

网络地址转换 NAT-PT（Network Address Trans-lation Protocol）附带协议转换器的网络地址转换器，是一种转换机制，需要部署在只支持IPv6 的网络和只支持IPv4的网络之间， 但是需要连接两个IPv6 网络的时候， 使用它并不合适，因为这将需要在两个地方进行转换，使得效率降低。

现阶段我国IPv6 的发展情况

1998 年，教育部建设了CERNET-IPv6 试验网。 2003 年8 月经国务院批准，我国下一代互联网示范项目（CNGI）正式启动。 此项目由国家发改委等八个部委共同组织，六大全国性网络运营商和清华大学、北京大学、中国科学院等一百多所高校和研究单位以及华为公司、 中兴通讯、CISCO 等几十个网络设备制造商通力合作参与，成为我国下一代互联网进程的一个里程碑。 2004 年12 月25 日，由国家发改委等八大部委联合宣布我国第一个下一代互联网示范网（CNGI）—CERNET2 主干网正式开通， 标志着我国以IPv6 为核心的下一代互联网正式进入实质发展阶段。 2011 年12 月，国务院总理温家宝主持召开国务院常务会议，研究部署加快发展我国下一代互联网产业。 2012 年5 月，工信部发布了《互联网行业“十二五”发展规划》，要求“十二五”期间骨干网全面支持IPv6， 使得IPv6 网络在中国开始更加引人关注。

校园网的IPv6 的技术部署

随着IPv6 业务的不断开展以及网络设备的不断更新，校园网成为推动IPv6 发展的主要动力。 初期的校园网使用隧道技术在以IPv4 为主的原有网络上部署IPv6，逐渐过渡到部分网络采用双栈技术组网，直到目前的以双栈网络为主校园网，经历了长时间的规划和更新过程。 目前，笔者所在学院的双栈模式校园网部署方案如1 所示。

图1 双栈模式校园网部署方案示意图

如图1 所示，在校园网骨干网络部署中采用三层拓扑结构：（1）核心层： 需要提供高速广域网接口， 最长的网络正常运行时间，全面的网络安全性和可扩展性，并且能适应未来发展并保护投资体系结构， 有多种业务的支持能力，包括IPv6 隧道以及IPv6/IPv4 双栈协议等等。 （2）汇聚层：高密度接口，高性能，高容量，多种业务支持能力， 包括IPv6 隧道以及IPv6/IPv4 双栈协议。 （3）接入层：高性能，多业务支持，支持IPv6/IPv4 双栈协议，校园内的用户可以经过接入设备方便地访问IPv6 和IPv4 的资源。

对于双栈的终端设备，IPv6 网关和IPv4 网关都部署在汇聚层的三层交换机上。 为提高网络可靠性，汇聚层和核心层之间、接入层和汇聚层之间均采用双链路上联，以实现链路的冗余，汇聚层设备作为用户接入点网关设备，通过运行VRRP 实现网关冗余，核心节点采用双核心部署保证节点冗余。

双栈校园网的安全问题

网络安全问题是网络建设中必不可少的考虑因素。 针对双栈校园网， 不仅要考虑针对IPv4 接入层和汇聚层的安全防御，同样要考虑针对IPv6 协议族的攻击带来的安全问题。

首先，考虑添加双栈防火墙设备来提高网络的安全性。 目前，我国对过渡时期防火墙设备的规范还处于起步阶段，双栈防火墙设备技术要求的国家标准和行业标准也尚未制定。 因此，中国移动牵头、华为参与起草的《双栈防火墙设备技术要求》行业标准，成为我国首个对IPv4 向IPv6 过渡中的防火墙设备的技术规范标准。

其次， 采用802.1X 的传统认证方式。 双栈用户通过认证后，本地地址信息上传到认证服务器，为用户提供审计，保证了用户接入的合法性和安全性。

最后， 采用接入层防攻击策略，其中包括防欺骗攻击，防DOS攻击，防DAD 攻击等等。

[1]杨立身.陈艳格.IPv6 校园网架构探讨[J].光通信研究，2008（5）.

[2]刘震.基于IPv6 的下一代校园网设计研究[D].上海：东华大学，2005.

[3]陆孺牛.IPv6 校园网的设计与部署[D].西安：西安电子科技大学，2008.

[4]Diane Teare.CCNP ROUTE学习指南[M].北京：人民邮电出版社，2011.

[5]杭州华三通信技术有限公司.新一代网络建设理论与实践[M].北京：电子工业出版社，2011.

[6]张五红，王宇.高校IPv6 校园网的部署与配置[J].计算机工程与设计，2007（13）.

[7]张天云.IPv6 技术及其在校园网的部署[J].甘肃科技纵横，2006（1）.