因特网协议版本6技术在校园网中的应用

中国移动通信集团江苏有限公司南京分公司 周宇燕

IPv6（因特网协议版本6）地址可以提供足够的地址空间，其所拥有的地址容量是IPv4的约8×1028倍[1]，并能提供更多的地址层次，还将层次化要求设计到了全局可路由地址的格式中。在目前IPv4网络技术如此成熟的情况下，只能通过分步实施的方法来逐步过渡到IPV6网络。因此，在今后相当长的一段时间内，IPv6网络将和IPv4网络共存。如何以合理的代价逐步过渡到IPv6，解决好IPv4与IPv6共存，将是我们需要迫切考虑的。

本文研究的主要内容包括IPv6主流过渡技术的探讨，并以南京某大学校园网为例，综合各种技术，讨论增加IPV6网络的可能性，并设计IPv6网络的架构方案。

1 IPv6与IPv4的共存与整合策略

目前的IPv6与IPv4共存与整合策略主要依靠过渡技术实现，过渡技术重点解决如何在IPv4网络环境里实现与IPv6网络的互操作及平滑过渡问题。

1.1 双协议栈技术

双协议栈（dualstack）是指在单个节点同时支持IPv4和IPv6两种协议栈。由于IPv6和IPv4是功能相近的网络层协议，两者都基于相同的物理平台，而且加载于其上的传输层协议TCP（传输控制协议）和UDP（用户数据报文协议）也没有区别，所以可以在一台主机上同时支持IPv4和IPv6。双协议栈技术的工作原理是：一台主机同时支持IPv6和IPv4两种协议，该主机既能与支持IPv4协议的主机通信，又能与支持IPv6的主机通信。双协议栈是其他IPv4/IPv6互通技术的基础，它有3种工作模式[2]：只运行IPv6，此时表现为IPv6节点；只运行IPv4，此时表现为IPv4节点；同时打开IPv6和IPv4。

图1为双栈协议结构。

1.2 隧道技术

隧道机制就是用IPv4封装IPv6数据包并且把这些封装了的数据包通过IPv4网络送往一个IPv4目的节点，目的节点拆封数据包并剥离出IPv6数据包。

1.2.1 ISATAP隧道

ISATAP（站点间自动隧道寻址协议）由RFC 4212定义[3]，它是一种地址分配技术，是一种主机到主机、主机到路由器以及路由器到路由器的自动隧道技术，它可以在IPv4网络上创建一个虚拟IPv6网络。IPv6数据包在IPv4中的隧道封装在ISATAP主机之间或者ISATAP主机和ISATAP路由器之间执行。隧道封装是自动的，意味着当启用了ISATAP时没必要在主机上应用手动配置。对于ISATAP主机到ISATAP路由器的隧道，ISATAP主机必须首先从可用的路由器列表中找出一个ISATAP路由器的IPv4地址。分配给ISATAP主机和路由器的地址由专用的可聚合全球单播IPv6地址和特殊格式的接口标识组合而成。一个ISATAP主机上启用的ISATAP地址使用本地链路前缀（FE80::/10）。必须给站点内的ISATAP操作分配一个可聚合或者本地站点的/64前缀。ISATAP主机通过在IPv4上建立起来的ISATA隧道从ISATAP路由器发送的广播消息中接收/64前缀。ISATAP在ISATAP?IPv6地址中嵌入IPv4地址[2]。接口标识在IANA（因特网号码分配部门）保留给ISATAP的高阶32位0000:5EFE后追加32位IPv4地址IPv4兼容隧道。

1.2.2 6to4（IPv6 to IPv4）隧道

在两个IPv6域间建立、操作、管理和支持配置隧道至少需要两个实体的同步，对于某些组织来说有些麻烦。IETF（因特网工程任务组）定义了另一种称为6to4的机制来简化通过隧道在IPv4网络上配置IPv6。这种机制在由IPv6节点组成的站点之间采用动态隧道方法，不需要手动地事先调整隧道的源和目的IPv4地址。IP数据包的隧道封装是根据6to4站点上产生的数据包的目的地址自动完成的。这种机制在站点边缘的边界路由器上启用，6to4路由器必须通过IPv4路由器基础设施到达其他的6to4站点和6to4路由器。6to4前缀都基于IANA分配的2002::/16地址空间[4]。每个6to4站点至少使用一个分配给6to4路由器的全球单播IPv4地址，IPv4的32位地址被转换为16进制格式后附加在2002::/16前缀后面。最终表现形式是2002:IPv4-address::/48。6to4前缀基于全球唯一的IPv4地址，所以没必要在6to4站点之间传播/48前缀的IPv6路由。

2 IPV6技术在校园网中的应用

2.1 校园网总体组网

校园园区的网络结构可以分成三层：接入层、汇聚层和核心层。

1）接入层：提供网络的第一级接入功能，完成简单的二、三层交换。安全、QoS（服务质量）和POE（以太网供电）功能都位于这一层。

2）汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。

3）核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。

2.2 IPv6规划

组建IPv4/IPv6校园网其实是在学校已经比较成熟的IPv4网络基础之上组建新的IPv6网络，根据不同时期的应用需求逐步对IPv6网络进行针对性改造，让其适应日益增长的IPv6应用要求。目前，从IPv6在校园网内的发展规律来看，IPv6数据量增长是一个渐进的过程，而现在的网络设备大部分都是基于IPv4的，不可能将它在短时间内都过渡到基于IPv6的设备。因此校园网中应用IPv6也是一个渐进的过程，IPv4/IPv6将长期共存[5]。

2006年CERNET 2（第二代中国教育和科研计算机网）开通，CERNET2是中国教育科研网专门针对IPv6技术的发展建设的实验型网络，现在已经在全国许多高校开通。南京林业大学如要进行IPv6的过渡，则也应该连接到CERNET 2[6]。

部署IPv6之前要考虑的方针策略：

1）网络中部署IPv6业务的模式。

在校园网中部署IPv6可以有全双栈模式和隧道模式。全双栈模式组网是最理想的方案，不必为不同类型的用户单独部署网络配置，开销小，管理简单，IPv4和IPv6的逻辑界面清晰。隧道模式属于过渡技术，不是最终的理想方案；隧道两端点设备需要花费额外的系统开销。

2）针对不同的网络环境进行建设[7]。

可以考虑直接扩容为全双栈模式，适当兼顾只支持IPv4栈的终端；可根据学校的实际情况，可以先建设部分双栈网络，其他部分采用隧道模式允许用户访问CERNET 2，逐步将不支持IPv6的设备进行换代升级。

综上所述，本次部署IPv6网络的时候，建议有条件的网络中采用全双栈部署，完成本次驻地网的大部分建设；其次根据现有校园网内的实际情况，采用部分过渡技术，在不影响现有IPv4校园网主体拓扑结构的条件下，使得校园网中需要部署IPv6网络的地方能够通过隧道技术，接入CERNET 2。从技术角度，这是最理想的方案，不必为不同类型的用户单独部署网络配置，开销小，管理简单，IPv4和IPv6的逻辑界面清晰。

2.3 校园网方案

在校园网内部架设IPv6网络，既能从实际上解决学校IP地址短缺的问题，又能为使用IPv6技术积累经验。经过调查研究，发现南京某大学校园网设备对IPv6支持情况见表1。

从表1可以看出，除接入层交换机外，其他都可以直接支持IPv6。这样就可以在不改变校园网网络拓扑，不增加设备的情况下，实现IPv4和IPv6的共存，并实现层次化的IPv6网络。

?

经研究，对校园网改造可采取如下方案：

1）将试验楼改造为IPv6网络；

2）为连接实验楼的核心交换机增加一个NP模块，设置为双栈交换机；

3）将实验楼的汇聚交换机设置位双栈交换机；

4）将路由器设备为双栈路由器，并连接到CERNET 2。

校园网其他设备不做改动。

改造后的校园网拓扑见图2。

改造后的校园网通信情况可分为以下几种情况：

1）校园网内部IPv4主机之间通信。

对于校园网内部IPv4主机之间通信，通过IPv4协议栈，与改造前无任何区别。

2）校园网内部IPv6主机之间通信。

对于校园网内部IPv6主机之间通信，通过IPv6协议栈，只需要在汇聚层和核心层交换机上开启双栈。

3）校园网内部IPv4与IPv6主机之间通信。

对于校园网内部IPv4与IPv6主机之间通信，可在汇聚层交换机上运用NAT-PT（网络地址转换-协议转换）技术实现双向转化。

4）校园网内部IPv6主机与外部IPv6之间通信。

对于直接相连的IPv6网络直接通过IPv6协议栈通信，非直接相连的IPv6孤岛，可在边界路由器上开启隧道，通过隧道进行通信。

5）校园网内部IPv6主机与外部IPv4之间通信。

对于校园网内部IPv6主机与外部IPv4之间通信，可在边界路由器上运行NAT-PT进行转换，实现与外界IPv4网络通信。

通过以上一系列工作，可基本实现将新增IPv6网络平滑地融入到IPv4网络中。然后，随着时间的推移，IPv6技术的成熟，IPv6应用增多，可逐步将IPv4节点升级到IPv6节点，加大IPv6节点的覆盖面。最后，将校园网全面过渡到纯IPv6网络。

3 结束语

本文基于IPv6技术组网设计，在网络地址的短缺条件下，对IPv6技术进行理论探讨，并根据在校园网内增加IPv6网络的具体情况，得出结论：利用现有的设备，采用合适的方法，根据具体情况，是可以实现在一个普通的校园网内增设IPv6网络的。通过双协议栈、隧道技术，可以在校园网内实现IPv4和IPv6网络的互联互通，从而在今后一段时间内，实现从IPv4向IPv6的平滑过渡。

因为IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题。与IPv4相比，IPv6在网络保密性、完整性方面有了更好的改进，在可控性和抗否认性方面有了新的保证，但IPv6不仅不可能彻底解决所有安全问题，同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层，因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，构建一个整体的防御体系，这样才能使我们的网络应用更加安全。

[1]GONCALRVESMarcrus.IPv6网络 [M].北京:人民邮电出版社,2000.48-54.

[2]波波维亚.部署IPv6网络 [M].北京:人民邮电出版社,2007.218-225.

[3]姚羽.IPv6技术项目实验指导书[M].北京:电子工业出版社,2007.111-156.

[4]VOLZB.Dynamic hostconfiguration protocol for IPv6(DHCPv6)relay agent subscriber–ID option[BE/OL].[2014-03-05].http://datatracker.ietf.org/doc/rfc4580/.

[5]POPOVICIUCprian．部署IPv6网络 [M].北京:人民邮电出版社,2006.

[6]李云琪，杨家海.一个面向IPv6的网络拓扑管理系统的实现[J].计算机工程与应用,2004(29):73-75.

[7]张金祥,杨家海.3TNet综合网络管理系统的设计及实现 [J].中国教育网络,2007(2):15-16. ◆