高校IPv6 网络升级改造探讨

◆周 强

（中山大学新华学院 广东 510520）

2019 年11 月26 日，欧洲网络协调中心宣布全球所有的43亿个IPv4 地址已经全部分配完毕，意味着ISP 无法再申请到新的可路由的全球公网IPv4 地址，如今必须面对可重用和未使用的IPv4 地址越来越少的情况。目前采用NAT 技术可以将多个私有地址转化为少数几个公有地址，能在一定程度上缓解IPv4 地址枯竭的问题。但通过NAT 技术后破坏了设备通信端到端的连接模型，NAT 后计算机连接数量也是有限制的。鉴于IPv4 过渡到IPv6 具有可行性，选择IPV6 技术来才是从根本上解决IPv4地址空间不足问题的方式。

IPv4 地址是由32 位二进制数构成，理论上总地址数为2^32。IPv6 地址是由128 位二进制数构成，理论上总地址数为2^128。后者是前者的2^96 倍，因此采用后者能彻底解决当前地址空间不足的问题，并能满足今后相当长的一段时间地址空间分配的需求。采用IPv6 技术，另一个显著优点：不用改变原有物理的网络拓扑结构，核心层、汇聚层设备升级支持IPv6 即可。整体上看IPv6 的网络配置原理与IPv4 网络配置原理相似，通过配置设备接口地址，管理地址，新建IPv6 路由策略以及策略路由来实现数据传输。好比，IPv4 原来是公路，现在公路下新建一条IPv6的地铁，都是为了跑数据建立的业务体系，并且二者的业务不会相互影响。

1 网络拓扑

我校采用混合式三层网络拓扑架构，防火墙作为出口路由实现教育网1、教育网2、移动ISP 网的“三网接入”并为不同网络业务做不同策略路由，同时起到第一层安全防护。下联上网行为管理设备，完成对通过的流量进行控制和日志审计功能。之后连入核心层交换机S7706。核心交换机完成数据高速转发，并定义部分VLAN 接口。再做链路聚合下联多个汇聚层交换机：服务器区交换机，宿舍区汇聚交换机，行政办公区交换机，教学实验区交换机。各汇聚层交换机主要实现VLAN 定义，VLAN 接口ip 配置，配置静态路由完成到核心交换机的路由可达。宿舍区汇聚交换机再分别上联电信ISP、移动ISP。各汇聚交换机下联接入层交换机，接入层交换机直连设备终端。

在服务器区域，由我校自行搭建DHCP、DNS 等服务器，核心层和汇聚层设备使用DHCP 中继模式使各管理vlan 获取服务器分配ipv4 地址信息，采用策略路由在核心层选择不同next-hop。升级后，教育网1 同时为我校提供IPv4 和IPv6 业务，通过相同的物理链路，完成IPv6 数据传输。

2 地址规划

IPv6 是由128 位二进制数构成，即32 位十六进制数，通常用8 组（4 位/组）16 进制数表示。例如2001:0DA8:202A:0:0:0:0，也可简写成2001:da8:202a::。

我校由教育网1 提供IPv6 业务，分配给我校的业务地址为2001:da8:202a::/48。可自行管理，即前缀是2001:da8:202a::的2^80个IP 皆为全球可路由公网IP 地址，地址范围是2001:da8:202a::至2001:da8:202a:ffff:ffff:ffff:ffff:ffff。通常来讲，最后4 组地址是与设备mac 地址值有关联，第3 组作为可规划的管理IP 地址。规划的核心思想是对第3 组的4 位十六进制数做划分，可以根据功能或者物理区域划分，并保证在策略配置时，这些路由可以做汇聚，简化路由条目。

对于普通的PC 机，我校采用无状态自动配置（见图1）。后4 组接口ID 通常是根据EUI64 算法转化后得到，EUI64 主要将48 位MAC 地址转换成64 位地址。在此基础上，RFC3041 引进随机地址机制，由随机数字代替MAC 地址转化为接口ID，该地址存在生存周期，周期结束，地址更换，能够有效解决网络访问被跟踪的问题。由IPv6 的NS 报文和NA 报文实现DAD 机制，避免IP 地址冲突。我校办公网络vlan1633，在不影响原来IPv4业务基础下，新增IPv6 后配置信息如下

图1 普通PC 机IP 规划

关于服务器，我校采用有状态手动配置，核心思想是关联原来的 IPv4 网络，有规律可循。举例原设备 IP 地址192.168.255.33/24 所属vlan 20。

可以为vlan20 新增IPv6 接口管理IP 2001:da8:202a:20::1，服务器IP 地址规划为2001:da8:202a:20:192:168:255:33/64。（见图2）。因为两者为同一设备的不同IP，方便记忆与管理。

图2 服务器IP 分配

3 路由可达

IPv6 可以采用基于OSPFv2 开发的OSPFv3 的动态路由，OSPFv3 最大的改变就是新增了对IPv6 地址的支持，并且兼容IPv6 的体系架构，同时保留OSPFv2 的机制：如区域划分、DR选举、flooding、根据链路状态的最短路径算法等，并且OSPFv3相比OSPFv2 对部分功能也做了一定增强。鉴于我校网络拓扑结构不是太复杂，我们采用是静态路由技术：在防火墙对应接口配置好教育网1 的IPV6 接口IP，完成区域划分以及出口路由和回执路由的配置信息。配置好下联核心交换机接口，防火墙与核心交换机中间设备均采用透明转发模式。核心交换机配置默认路由指向防火墙，根据目的地址配置策略路由指向目标汇聚层交换机。各汇聚层交换机配置默认路由指向核心层交换机，接入层交换机不做更改，达成的目标为ipv6 的全网可路由。后期可以根据需求，在交换机做策略路由，同IPv4 网络：定义流分类，制定流行为，匹配流规则。最后将流规则应用到流量入接口或者出接口。

4 应用业务升级

我校目前使用BIND 搭建的DNS 服务器，此次升级需为DNS服务器新增IPv6 地址，forward 字段添加上级的IPv6 的DNS 信息，为内部网站域名添加AAAA 记录。地址分配方面，如果是使用中继服务，DHCPv6 需同步更新DNS 服务器地址信息。在Web 服务器升级方面，由于各大门户网站并未全面支持IPv6 地址信息，目前IPv6 建设中存在比较显著的天窗问题：由于网站中存在相互引用的现象，当被引用的链接不支持IPv6 访问，IPv6用户即便使用双栈技术访问这个外链，也会出现内容无法显示的故障。如果资金方面允许，可以采用翻译设备，能够缓解这个问题。

5 IPv4 与IPv6 互访以及过渡

校园网IPv6 的升级改造，要综合考虑根本需求，设备利用和经济费用的因素。在长时间内，IPv4 和IPv6 网络是共存的状态，在这个过渡期，IPv4 和IPv6 的互访是关键，目前的主流技术分双协议栈技术、翻译技术、隧道技术。三种技术如何选择，具体情况需具体分析。我校目前的建设方案：初期选用翻译技术适应WEB 应用，成熟阶段使用双栈技术让用户访问互联网络，最终可以使用纯IPv6 环境，让客户端和服务端通过IPv6 网络透明通信。

6 IPv6 安全问题

当前，我国关于IPv6 网络在国际出口方面的流量限制较小，例如在IPv4 网络中受限的“雅虎”等网站资源能够通过IPv6 网络正常访问。某些不适宜的资源流入也是对我们的挑战，我们必须牢牢掌握意识形态工作领导权和主动权，学校必须重视在这方面的引导。

另一方面，安全防护的软硬件也应该适用IPv6 网络，按需进行升级。我校IPv6 的网络安全目前是通过两项：（1）天融信防火墙作为出口路由，制定严格安全访问控制策略，并在允许公网访问的IPv6 上均执行了病毒检测；（2）深信服AF 设备部署在出口链路上，对通过的流量进行检测和控制。二者结合使用保证内部网络的安全。

7 结语

IPv6 的升级是基于设备升级，关键点还是要保证对现有IPv4应用程序的可访问性，因此。在实际升级前，要做好方案规划，考虑全面方能更好实施下一阶段的工作。IPv6 是当前网络发展的趋势，但是彻底取代IPv4 还是要有相当长的一段时间，相关建设者也应尽心考量，共同推进IPv6 网络体系建设。