高校IPv6网络部署的关键性技术研究

2019-11-07 09:18周凯
无线互联科技 2019年15期
关键词:校园网

周凯

摘   要:伴随应用和用户的增长,IPv4最初设计存在的诸多问题已严重限制了互联网的发展。发展下一代互联网协议IPv6已势在必行。目前,各高校纷纷响应国家对下一代互联网建设的战略部署,开始研究并对现有校园网络进行升级改造。然而,高校IPv4网络向IPv6网络的过渡是一个长期而漫长的过程,它将长期处于两协议共存阶段。面对这种过渡时期,文章将从实际出发,首先,提出高校IPv6网络建设的必然性;其次,通过对各种过渡机制的研究给出校园网络IPv4/IPv6共存的过渡技术方案。

关键词:第6版互联网协议;校园网;部署应用

随着互联网的高速发展,第6版互联网协议(Internet Protocol Version 6,IPv6)将不可避免地取代第4版(IPv4)。基于IPv6的下一代互联网建设是解决地址殆尽、提高网络承载能力、服务质量、增强网络安全性等制约性问题的有效办法,也是融入国际互联网、共享全球发展成果、赢得未来发展主动性的途径。本文将从高校IPv6建设的驱动力、IPv6过渡技术方案两个方面探讨和研究高校IPv6网络建设。

1    高校IPv6建設的驱动力

高校IPv6网络建设是顺应互联网发展的,它可以“激活”高校信息化的创新性应用、优化网络、提高网络信息安全等,驱动高校采用IPv6的主要因素有以下几点。

1.1  IPv4的缺陷

IPv4的缺陷是由最初Internet的设计无法满足现今高速发展的互联网需求而产生的。主要问题是地址空间耗尽和IP路由表的膨胀。IPv4使用32位(4字节)地址,地址空间中只有42亿(4.294×109)个。据官方消息称,互联网数字分配机构(Internet Assigned Numbers Authority,IANA)的主要地址池已于2011年2月3日全部分配完结。距离地址耗尽只是时间问题,伴随当今全球化和诸多业务驱动,主要原因有以下几个方面:

(1)移动设备,面对移动互联网的今天,智能手机的普及以及设备成本的降低,使智能手机已成为Internet的主要成员,从而急速加大了IP地址的需求。

(2)虚拟化,可以将物理设备虚拟为多个虚拟机,每个虚拟系统都将配备一个或多个IP地址,如托管虚拟桌面、虚拟桌面基础设施(Virtual Desktop Infrastructure,VDI)等。

(3)地址使用效率低,20世纪八九十年代初,那些有幸攫取了大量IP地址的单位,实际需求的使用量远小于攫取量,造成了很大程度上的地址浪费。

(4)IPv4私有地址冲突或重叠,如两所异地学校合并,进行整合统一组网,两校之间不仅需要单独建设一条同城光缆进行网络通信,还需要对IP地址进行重新编址,否则很有可能发生请求评论(Request for Comments,RFC)1981 IPv4私有地址冲突或重叠问题。虽然可以通过部署一个网络地址转换(Network Address Translation,NAT)重叠地址池来解决,但会在一定程度上影响网络的性能。

1.2  政府的战略规划

根据网络强国的战略部署,促进互联网演进升级和健康创新发展。国家出台了《推进互联网协议第6版(IPv6)规模部署行动计划》,明确了IPv6建设的重要性、目标、任务、实施步骤及保障措施。各省依据文件要求,结合实际情况也相继制定了适应本省IPv6建设的部署计划。加之第二代中国教育和科研计算机网(China Education and Research Network 2,CERNET2)已成功接入IPv6网络,为高校IPv6的建设和发展提供了良好的环境。

1.3  软硬设备的支持

多年前,网络厂家就开始了IPv6的研究与开发,近几年主流网络设备厂家的网络设备都以默认的形式具备了部署IPv6网络的相关功能。个人终端及应用服务器操作系统也都以默认的方式启动IPv6的支持,如Windows系列(个人PC系统及服务器系统)、Linux系列、Apple Mac OS X等。

1.4  IPv6的技术优势

IPv6的优势主要包括:(1)更大的地址空间(2128)。(2)地址部署更简单。(3)完整的端对端网络连接。(4)具有增强的安全能力,针对安全性、服务质量(Quality of Service,QoS)和加密功能改进了扩展属性报头。(5)移动性的改善。(6)使用流标签改进了数据流的资源分配等。这些优势可以极大提高校园网的性能、可靠性和安全性。解决IPv4网络中存在的诸多问题。

2    IPv6部署的技术方案研究

IPv6规模部署是一个长期、复杂的过程。目前高校基本不具备改造纯IPv6(IIPv6-only)网络的条件。在互联网基础设施由IPv6统一之前,它将长时间处于过渡期阶段。IPv4/IPv6将以共存的机制运行。下面将介绍几种IPv4向IPv6的过渡机制。

2.1  双栈技术

双栈机制是一种自然、成熟的基本过渡机制。该机制采用双栈模型,拓扑如图1所示,指在一个接口或者一条链路上同时启用IPv4/IPv6两种协议,并以双协议栈的模式运行。它最大的优势在于不用建立隧道,并且两种协议将以“ships-in-the-night”的方式运行,除共享相同网络资源外,两种协议独立运行,互不相关。无论是路由选择、HA,QoS、安全、多播策略,两种协议都“各自为政”。数据包转发上,由于不需要额外的封装、查表方面的开销,相比其他机制在转发性能上更具优势。

双栈技术缺点如下:

(1)需对现网不支持IPv6协议的设备进行升级。

(2)现网中开启双栈协议有可能会对老设备的性能及可靠性造成影响。

(3)由于双栈协议IPv4/IPv6的独立运行,会增加网络整体运营、维护成本。

2.2  隧道技术

隧道机制:在一种协议上运载或传输另一种协议数据包。本文主要指将IPv6数据包封装在IPv4隧道之内进行传输,以此来建立端到端的IPv6通信机制。这种隧道建立的方法主要分为以下几种。

2.2.1  手工配置

手工配置隧道依据RFC4213,它是建立在双协议栈上的以静态形式来定义的隧道[1]。拓扑如图2所示,每一端主机运行IPv6,主机间建立隧道的路由器运行双协议栈,隧道则建立在IPv4网络之上。

通过IPv4通用路由封装(Generic Routing Encapsulation,GRE)传输IPv6数据包是手工配置隧道的另一种方法。该方式需建立在双协议栈上,采用点到点的封装方法来提供服务。IPv6数据包作为GRE隧道的荷载。

此类隧道的缺点:随着站点数的增加,隧道数会呈几何级增长,可扩展性不强;后期网络运维、故障排除难度大。

2.2.2  隧道代理

隧道代理定义于RFC 3053《IPv6 Tunnel Broker》,即虚拟IPv6 ISPs,隧道代理模型如图3所示[2]。此机制使用专业隧道代理服务器自动管理来自用户的隧道请求。

隧道代理平台可寻址IPv4或IPv6,当隧道代理服务的客户端与隧道代理平台连接时,首先,提供标识和凭证来执行用户的认证、授权、计费;其次,进入平台后完成隧道的生成、修改、删除、启动;再次,隧道服务器是双栈路由器连接到互联网;最后,依据隧道代理平台的配置指令生成、修改、删除、统计每个隧道的服务器侧配置。

此类隧道的缺点:比较适合小型孤立的IPv6站点,便捷地连接到IPv6网络中。当远程修改隧道代理服务配置时会带来安全隐患。

2.2.3  6to4隧道

6to4隧道定义于RFC 3056《Connection of IPv6 Domains via IPv4 Clouds》,是一種自动隧道建立机制[3]。通过用IPv4(协议类型41)数据包来封装传输IPv6数据包。6to4隧道机制部署场景适用于互联6to4网域,利用中断路由器互联6to4网域和纯IPv6网域。6to4的IPv6地址的前缀为2002::/16。

此类隧道的缺点:必须拥有至少一个公网IPv4地址,底层IPv4地址前缀决定6to4的IPv6地址前缀,若迁移到纯IPv6环境需要重新编址;在隧道沿途路径上不支持NAT和多播;在利用中断路由器互联6to4网域和纯IPv6网域时,6to4路由器和6to4中断路由器之间的隧道存在很大的安全隐患,如地址欺骗等。

2.2.4  ISATAP

ISATAP定义于RFC 5214《Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)》是一种站点内部自动隧道寻址协议的简单机制[4]。IPv4网络上的双栈节点通过ISATAP自动隧道化,并将IPv4网络视为非广播多路访问链路。双栈IPv6主机和ISATAP路由器创建ISATAP隧道如图4所示。

此类隧道的缺点:必须不支持多播和传输层NAT;出于安全考虑,IPv4虚拟链路需设定界线。

2.3  翻译技术方案

本文所阐述的翻译技术方案主要包括两个类型:(1)在IPv4和IPv6之间执行转换或代理的技术方案,如NAT-PT,NAT64,TCP-UDP中断、启动整体服务(Boot Integrity Services,BIS)等。(2)政府或相关网络设备厂家所推荐的融合了网络层协议转换和应用层协议翻译的技术方案,如基于云服务提供商IPv6过渡引擎的应用(Service-Providers Application Cloud-based Engine for IPv6 Transition,SPACE6)、SDT6等。这两种类型的差异是显而易见的,前者是通过网络层来实现IPv6报文向IPv4报文的转化,而后者不仅使用相关网络技术完成网络层两协议之间的转换,还在一定程度上解决了应用层协议的翻译,如7层反向代理等。下面将详细阐述下基于SPACE6的翻译方案。

SPACE6是一种集成了网络层协议转换和应用层协议翻译的新技术,能把单栈IPv4或IPv6网站的内容自动发布到IPv4和IPv6两个网络平面,从而可以快速实现网站的双栈升级,部署灵活。网站只需在其授权的域名系统(Domain Name System,DNS)上增加一条相应的AAAA记录即可,可有效解决网站中由于外链导致的内容缺失等问题。

这种翻译技术部署简单,基于原网络架构不变,只需获取IPv6地址并制定内部IPv6路由策略;域名系统进行AAAA记录的配置升级,并在网络核心交换机侧旁挂基于翻译技术的内容发布平台即可。

3    结语

伴随高校网络的不断发展,IPv6取代IPv4成为高校信息化发展建设的新网络环境是必然结果。但限于当下互联网整体环境的影响,将会在很长的时间内处于IPv4/IPv6共存的过渡时期。在这样一个过渡时期,对于高校IPv6升级部署的方案研究是十分必要的,它可以帮助我们积累经验,从实际出发、预测未来、合理地选择技术方案,科学、系统地分步骤、分层次进行改造,以避免盲目建设带来资源浪费。

[参考文献]

[1]RFC 4213.Basic transition mechanisms for ipv6 hosts and routers[EB/OL].(2005-10-23)[2019-08-10].https://tools.ietf.org/html/rfc4213.

[2]RFC 3053.IPv6 tunnel broker[EB/OL].(2001-01-02)[2019-08-10].https://tools.ietf.org/html/rfc3053.

[3]RFC 3056.Connection of IPv6 domains via IPv4 clouds[EB/OL].(2001-02-05)[2019-08-10].https://tools.ietf.org/html/rfc3056.

[4]RFC 5214.Intra-site automatic tunnel addressing protocol(ISATAP)[EB/OL].(2008-05-06)[2019-08-10].https://tools.ietf.org/html/rfc5214.

Abstract:Accompanied with the growth of applications and users, many problems in the initial design of IPv4 have seriously limited the development of the Internet. It is imperative to develop the next generation Internet protocol IPv6. At present, colleges and universities have responded to the national strategic deployment of the next generation Internet construction, began to study and upgrade the existing campus network. However, the transition from IPv4 network to IPv6 network in colleges and universities is a long and long process, and it will be in the stage of coexistence of two protocols for a long time. In the face of this transitional period, the article will proceed from the reality, first of all, put forward the necessity of the construction of IPv6 network in colleges and universities; secondly, through the study of the transition mechanism gives the transition technology scheme of IPv4/IPv6 coexistence in campus network.

Key words:Internet protocol version 6; campus network; deployment application

猜你喜欢
校园网
试论最大匹配算法在校园网信息提取中的应用
基于WinPcap的校园网ARP病毒检测防御系统设计与实现
基于VRRP和MSTP协议实现校园网高可靠性
NAT技术在校园网中的应用
校园网安全问题分析及防护探讨
基于安全漏洞扫描的校园网告警系统的开发与设计
网络行为管理在电视大学校园网中的应用
校园网贷有哪些违法隐患
中小学校园网应用调查研究
VPN在校园网中的集成应用