以热门应用为驱动力，促进校园网IPv6升级
——专访北京邮电大学信息化技术中心主任安杰

文/本刊记者 付涵

北京邮电大学是全国第一批部署IPv6的高校之一。从2005年起，北邮开始在校园网大规模部署IPv6，2008年已经实现全网双栈，所有校园网终端都可以使用IPv6网络。目前校园网并发在线终端数量峰值为6.13万，其中获得IPv6地址的终端数量为4.59万。校园网IPv6出口带宽为10G，接入CNGI-CERNET2，峰值双向流量达到12G左右。

北邮的IPv6建设中重点关注了对应用访问的迁移，包括校主页在内的绝大部分B/S架构的信息系统都支持通过IPv6访问，同时校内一些大流量应用如IPTV视频、P2P下载等应用都会引导用户优先使用IPv6进行流量分流。日前，本刊记者采访了北京邮电大学信息化技术中心主任安杰，他对校园网向IPv6升级提出了建议。

全局规划，逐步实施

《中国教育网络》：北京邮电大学在校园网IPv6升级改造中，主要是以什么思路进行的？

安杰：北邮的校园网IPv6升级改造分两个方面。网络上主要采用双栈方式进行改造，实现IPv6网络的快速全面覆盖；对应用系统升级改造则采用逐步过渡的方式，首先操作系统全部开启IPv6支持，优先保证应用前端支持IPv6访问，鼓励发展原生IPv6应用，推进应用向IPv6平稳过渡。

《中国教育网络》：在应用系统方面，您能否介绍一下校园网是如何进行逐步迁移的？

安杰：首先升级学校的DNS域名系统，保证域名系统能够支持对IPv6域名的解析，同时提供对北邮IPv6终端的域名解析服务，通过在上级edu.cn注册北邮的IPv6 DNS记录，还可使其它IPv6终端用户通过IPv6网络解析到bupt.edu.cn的域名。

其次在大量应用系统对IPv6支持还不好的情况下，对于主要的B/S架构的应用，采用反向代理的方式让应用系统的前端访问支持IPv6，通过使用反向代理发布应用，除了保障原有安全设备可以继续使用外，还保障了IPv6访问的安全审计。

《中国教育网络》：您认为，在校园网进行IPv6升级过程中，需要注意哪些方面的工作？

安杰：在校园网进行IPv6升级过程中，要做好网络升级的全局规划，并逐步实施。首先要多与网络设备商和有经验的学校沟通，了解全面开通IPv6对现网的设备改造要求、网络设备对IPv6的支持能力和IPv6邻居表容量等重要指标；其次要规划好提供IPv6地址的方式，充分了解SLAAC和DHCPv6对终端支持和管理的优缺点，以及未来随着IPv6普及，如何做好IPv6网络的认证、溯源和安全等方面的工作。

反向代理保障业务持续运行

《中国教育网络》：北京邮电大学在校园网IPv6升级改造过程中遇到了哪些困难或问题？你们是如何解决的？

安杰：早期普及IPv6时，主要面临的困难是用户终端对IPv6的支持，很多终端需要单独设置，主要的办法是针对各种操作系统提供详细的设置文档，帮助用户配置终端支持IPv6，同时将校园网上部分用户感兴趣的应用向IPv6网络倾斜，推动用户主动关注和使用IPv6。

目前面临的主要困难是IPv6的上网认证以及安全和审计设备还很缺乏，IPv6处于用户使用量大但是难于管理的状态，目前我们采用的方法是在网络架构上将用户上网区和数据中心区进行分离，用户上网区对安全要求相对较低，要保障用户可以方便使用IPv6而不做太多安全限制，目前主要解决的是IPv6准入认证的问题，实现用户IPv4和IPv6一次认证，保障安全的同时提升用户体验。而对数据中心区域除了部署最新支持IPv6的下一代防火墙外，还采用HTTP/HTTPS反向代理等手段将部分IPv6流量转为IPv4流量进行安全过滤和审计，保证原有的安全设备可以继续提供服务。

以热门应用为驱动力

《中国教育网络》：从学校迁移到IPv6的角度看，你们希望获得什么帮助？

安杰：我们最关心的是用户使用的主要应用是否有IPv6支持，尤其是国内主要互联网内容商对IPv6的支持进展情况，这是校园网用户使用IPv6的最大动力，我们希望能在IPv6资源建设上得到更多的支持。

《中国教育网络》：北京邮电大学在IPv6的升级改造中，您有什么经验分享？

安杰：认准趋势、优先发展、在基础网络全面部署和稳定保障的基础上，以热门应用为驱动力，提高用户对使用IPv6的兴趣。

《中国教育网络》：北京邮电大学在校园网IPv6建设中的下一步规划是什么？

安杰：我们将继续推广IPv6的使用，鼓励发展IPv6的原生应用，同时提高IPv6的安全管理，通过准入认证实现对IPv6网络认证的管理，提升对校园网IPv6管理的精度和力度。