IPv6校園網(wǎng)接軌CERNET2擬解決的關(guān)鍵問題*

石良武

（湖南商學(xué)院現(xiàn)代教育技術(shù)中心，湖南長沙410205）

IPv6校園網(wǎng)接軌CERNET2擬解決的關(guān)鍵問題*

石良武

（湖南商學(xué)院現(xiàn)代教育技術(shù)中心，湖南長沙410205）

CERNET2主干網(wǎng)的建成和開通，在全國范圍的高校之間架起了一座IPv6的立交橋。這要求準(zhǔn)備向IPv6升級的高校校園網(wǎng)絡(luò)必須提供一個高性能、高帶寬的綜合解決方案。本文就接軌CERNET2純IPv6網(wǎng)絡(luò)規(guī)劃、核心交換機定性、匯聚交換機選型、出口路由器設(shè)備選型、用戶地址選擇以及IPv6路由技術(shù)選擇等擬解決的關(guān)鍵問題進行探討。

CERNET2；校園網(wǎng)；IPv6

一、引言

CERNET2主干網(wǎng)的建設(shè)依托設(shè)在清華大學(xué)的中國教育和科研計算機網(wǎng)（CERNET）國家網(wǎng)絡(luò)中心，以2.5G～10G速率連接全國20個主要城市的25個CNGI-CERNET2主干網(wǎng)核心節(jié)點，為全國高校和科研單位提供高速的下一代互聯(lián)網(wǎng)IPv6接入服務(wù)。CERNET2主干網(wǎng)的建成和開通，在全國范圍的高校之間架起了一座IPv6的立交橋。近200所高校的搶先接入，似乎開始了以教育信息化為基礎(chǔ)的國內(nèi)高校知名度的重新洗牌。

目前很多學(xué)校校園網(wǎng)建設(shè)都準(zhǔn)備向IPv6升級，開展數(shù)字圖書館子網(wǎng)、學(xué)生宿舍子網(wǎng)、教工宿舍子網(wǎng)建設(shè)等多元化的高校校園網(wǎng)建設(shè)。由于學(xué)生數(shù)量和應(yīng)用平臺的增加，網(wǎng)絡(luò)中會出現(xiàn)大量的數(shù)據(jù)轉(zhuǎn)移；網(wǎng)上視頻點播、多媒體通信，這些都需要QoS（Quality of Service）支持；同時，學(xué)校還存在集中上網(wǎng)、網(wǎng)絡(luò)流量突發(fā)的現(xiàn)象。這就要求新的校園網(wǎng)絡(luò)必須提供一個高性能、高帶寬的綜合解決方案。

二、接軌CERNET2純IPv6網(wǎng)絡(luò)規(guī)劃

結(jié)合學(xué)校目前的網(wǎng)絡(luò)建設(shè)情況，本著充分利用現(xiàn)有設(shè)備、能夠?qū)崿F(xiàn)全網(wǎng)IPv6部署、維護簡便的原則，筆者擬作如下規(guī)劃：將現(xiàn)有樓棟匯聚三層交換機不支持IPv6的設(shè)備替換為支持IPv6的三層交換機，由于三層交換機作為接入用戶的網(wǎng)關(guān)，所以需要該設(shè)備支持多種IPv6協(xié)議，如雙棧、隧道等，這樣接入用戶就可以實現(xiàn)IPv6的互連；為了便于統(tǒng)一管理，在新的萬兆核心啟用IPv6，該批核心設(shè)備也要求支持雙棧、隧道等，從接入到匯聚再到核心全線實現(xiàn)IPv6；為了能夠提高學(xué)校IPv6網(wǎng)絡(luò)的使用效率，規(guī)劃盡早接入CERNET2，擴大IPv6網(wǎng)絡(luò)的教學(xué)研究應(yīng)用面，同時確保CERNET2的出口安全，擬在出口部署一臺支持IPv6的路由器，以實現(xiàn)與CERNET2進行互連。

三、核心交換機定性

應(yīng)用技術(shù)定向：萬兆至十萬兆標(biāo)準(zhǔn)；硬件支持IPv6。

設(shè)計技術(shù)定向：數(shù)據(jù)平面、控制平面、管理平面完全分離+平面保護；NP+ASIC+分布式表項的設(shè)計體系；Buffered Crossbar芯片及線卡光電復(fù)用技術(shù)；LPM+HDR路由提升技術(shù)。

四、匯聚交換機選型

1.高性能IPv4/IPv6雙棧協(xié)議多層交換

高背板帶寬為所有的端口提供非阻塞性能；硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報文，支持多種Tunnel隧道技術(shù)（如手工配置隧道、6to4隧道和ISATAP隧道等），可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃和網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)間通信方案；雙協(xié)議棧的支持和處理，使得無需改變網(wǎng)絡(luò)架構(gòu)，即可將現(xiàn)有網(wǎng)絡(luò)無縫升級為下一代IPv6方案；豐富完善的路由性能和超大容量路由表資源可滿足大型網(wǎng)絡(luò)動態(tài)路由需要。

2.靈活完備的安全控制

具有的多種內(nèi)在機制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防DOS攻擊、防黑客IP掃描機制等，還網(wǎng)絡(luò)一片綠色環(huán)境；特有的CPU保護控制，對發(fā)送到CPU的數(shù)據(jù)進行帶寬控制，以避免對CPU的惡意攻擊；SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如多元素綁定、端口安全、時間ACL、基于數(shù)據(jù)流的帶寬限速等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求。

3.強大的多應(yīng)用支持能力

支持各種單播和組播動態(tài)路由協(xié)議，可適應(yīng)不同的網(wǎng)絡(luò)規(guī)模和需要進行大量多播服務(wù)的環(huán)境，實現(xiàn)網(wǎng)絡(luò)的可擴展和多業(yè)務(wù)應(yīng)用；支持IGMPv1/v2/v3全部版本，適應(yīng)不同組播環(huán)境，滿足組播安全應(yīng)用的需要；支持豐富的路由協(xié)議如策略路由、等價路由、權(quán)重路由等的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng)絡(luò)鏈路規(guī)劃下的通信需要。

4.完善的QoS策略

以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持802.1P、IP TOS、2到7層流過濾、SP、WRR等完整的QoS策略，實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實現(xiàn)精細的流帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)。

5.高可靠性

支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定。

6.方便易用易管理

SFP和電口任意選用的架構(gòu)設(shè)計，可選配多種規(guī)格千兆接口模塊，支持千兆銅纜、單/多模光纖接口模塊的混合配置，支持模塊熱插拔，能極大方便用戶靈活配置和擴展網(wǎng)絡(luò)；簡單網(wǎng)絡(luò)時間協(xié)議（SNTP）保證交換機時間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護和管理；CLI界面方便高級用戶配置和使用；Java-based Web管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設(shè)備。

五、出口路由器設(shè)備選型

出口路由器設(shè)備應(yīng)具備的特點如下：全面的VPN業(yè)務(wù)可滿足最多的客戶需求；同時運行第2層虛擬電路、第2層VPN、第2.5層互通VPN、第3層2547 VPN、VPLS、IPSec、IP over IP和GRE等；擴展性高，可支持成千上萬的VPN；低延遲、低抖動性能的高精度QoS，可支持話音、視頻及其他實時應(yīng)用；按DLCI、VP、VC、VLAN、信道（DS0）和端口QoS；分類、速率限制、整形、加權(quán)循環(huán)調(diào)度、嚴(yán)格優(yōu)先級調(diào)度、加權(quán)隨機早期檢測、隨機早期檢測和數(shù)據(jù)包標(biāo)記；第2層（802．1p、CLP、DE）映射到第3層QoS（IPDSCP、MPLSEXP）；基于硬件的IPv6性能、MPLS IPv6、IPv6 over IPv4 GRE隧道、IPv6/IPv4雙棧；強大的組播支持包括IGMP v1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGP VPN中的組播，以高效利用資源、傳輸高價值內(nèi)容；基于網(wǎng)絡(luò)的安全業(yè)務(wù)包括NAT和狀態(tài)防火墻，以及按VRF的NAT和狀態(tài)防火墻；用于匯聚鏈路的MLPPP、MLFR.15和MLFR.16，802.3ad；基于XML的Script API便于第三方和內(nèi)部OSS開發(fā)；用于RE切換的無中斷切換，具有無中斷轉(zhuǎn)發(fā)特性；聯(lián)機軟件升級可實現(xiàn)無中斷的較小升級；MPLSFRR確保流量能夠迅速地繞過故障；MPLSTE路徑控制用于路徑優(yōu)化,結(jié)合了可預(yù)測的性能，可用于話音和視頻等延遲敏感型業(yè)務(wù)；LSP ping等高級OA&M特性可用來排除MPLS的故障；IETF平穩(wěn)協(xié)議重啟機制可用來無中斷重啟IS-IS、BGP、OSPF、OSPFv3、LDP、RSVP、第2層VPN和第3層VPN；模塊化RGNOS軟件可確保某一個模塊發(fā)生故障時不會對整個操作系統(tǒng)產(chǎn)生影響；用戶友好的命令可對正在運行的網(wǎng)絡(luò)安全地實施新配置，也可以回退到以前的工作配置。高性能NAT、狀態(tài)型防火墻、攻擊檢測和通過多業(yè)務(wù)PIC實現(xiàn)的IPSec；隔離路由層面和控制層面，可利用狀態(tài)型防火墻保護控制層面；Flow狀態(tài)型數(shù)據(jù)包流監(jiān)控帶有標(biāo)準(zhǔn)的flowd v5和v8記錄，可全面監(jiān)控網(wǎng)絡(luò)；擴展性高的過濾、單點發(fā)送RPF和速率限制可防止IP欺騙和DOS攻擊；高性能IPSec和MPLS IPSec具有數(shù)字證書支持特性，可進一步加強安全性；其他無處不在的安全特性，如端口鏡像、加密管理會話業(yè)務(wù)、安全隧道功能、安全遠程登錄和可配置的權(quán)限級別及用戶賬戶。

六、用戶地址選擇

由于現(xiàn)在IPv6地址非常充分，IPv6的地址獲得有多種方式，有靜態(tài)指定IPv6地址，有動態(tài)獲得IPv6地址。動態(tài)獲得IPv6地址由兩個部分組成，第一部分由IPv6三層交換機即樓棟匯聚三層交換機向客戶分發(fā)IPv6地址前綴，第二部分結(jié)合用戶計算機的MAC地址計算出來，前綴與MAC地址計算出來的部分就形成了IPv6的地址，這樣不僅給用戶使用IPv6網(wǎng)絡(luò)帶來了方便，同時針對用戶來說也是透明的，非常方便用戶端的接入。所以應(yīng)選擇動態(tài)獲得IPv6地址的方式。

七、IPv6路由技術(shù)選擇

將網(wǎng)絡(luò)分為四個部分：用戶端到樓棟匯聚交換機；樓棟匯聚交換機到主核心交換機；主核心交換機到出口路由器設(shè)備；出口路由器到外網(wǎng)。

1.用戶端到樓棟匯聚交換機

目前校園網(wǎng)中還是以IPv4網(wǎng)絡(luò)為主，結(jié)合學(xué)?，F(xiàn)狀，為了能夠在不改變現(xiàn)有IPv4網(wǎng)絡(luò)的情況下，在接入用戶到樓棟三層匯聚設(shè)備之間啟用雙棧的形式，那么用戶發(fā)過來的數(shù)據(jù)包不論是IPv4還是IPv6，雙棧節(jié)點即樓棟三層交換機在鏈路層接收到數(shù)據(jù)段，即拆開并檢查包頭。如果IPv4/IPv6包頭中的第一個字段，即IP包的版本號是4，該包就由IPv4棧來處理；如果版本號是6，則由IPv6棧處理，這樣就可以在不改變用戶原有IPv4配置情況下實現(xiàn)接入IPv6網(wǎng)絡(luò)，非常方便進行用戶端的實施和維護。

2.樓棟匯聚交換機到主核心交換機

從用戶端到樓棟采用雙棧的方式，結(jié)合學(xué)校具體的情況，如果用戶發(fā)來的是IPv4數(shù)據(jù)包，在樓棟匯聚交換機到核心交換機直接采用IPv4的路由方式進行路由，如果用戶端過來的是IPv6數(shù)據(jù)包，在樓棟匯聚交換機到核心交換機需要通過IPv4來傳輸IPv6的數(shù)據(jù)包，為了能夠使IPv6的數(shù)據(jù)包穿透IPv4的網(wǎng)絡(luò)，在樓棟匯聚交換機到主核心交換機之間采用隧道的方式，這樣就可以有效處理IPv6數(shù)據(jù)包穿透IPv4網(wǎng)絡(luò)的情況了。

3.主核心交換機到出口路由器

由于主核心交換機到出口路由器只有一條鏈路，為了部署簡單，在主核心交換機和出口路由器采取雙棧的方式，這樣可以有效實現(xiàn)IPv4與IPv6的共存，而且使得出口設(shè)備維護非常簡單。

4.出口路由器到外網(wǎng)

由于出口路由器連接多個出口，有IPv4的網(wǎng)絡(luò)也有IPv6的網(wǎng)絡(luò)，為了使到達出口路由器的數(shù)據(jù)包進行正常的轉(zhuǎn)發(fā)，在出口路由器采取雙棧方式，過來的是IPv4數(shù)據(jù)包則走IPv4的路由方式，IPv6數(shù)據(jù)包則走IPv6相關(guān)的路由，這樣可以使維護出口非常簡便，同時也可很好地實現(xiàn)多個不同運營商、不同協(xié)議的有效融合。☉

[1]徐志桐.在IPV4環(huán)境下部署IPV6網(wǎng)絡(luò)的策略[J].中國新技術(shù)新產(chǎn)品,2009(9):40.

[2]邊鋒.基于IPv6網(wǎng)絡(luò)設(shè)備選型指南IPv6應(yīng)用迫在眉睫[J].中國計算機用戶,2009(18):58-62.

[3]叢林,陳陽,鄧北星,李星.CERNET2 IPv6網(wǎng)絡(luò)層拓撲發(fā)現(xiàn)[J].廈門大學(xué)學(xué)報(自然科學(xué)版),2007(S2):6-8.

[4]程敏.基于IPv6的數(shù)字化校園網(wǎng)絡(luò)系統(tǒng)的研究[J].機電信息,2009(24):167-168.

[5]石良武.接軌CERNET2純IPv6網(wǎng)絡(luò)核心交換機定性分析[J].計算機工程與設(shè)計,2007(18):4417-4453.

（編輯：隗爽）

book=17,ebook=26

TP393

A

1673-8454（2010）13-0017-03

湖南省教育廳科學(xué)研究項目“突破校園網(wǎng)瓶頸接軌CERNET2純IPv6網(wǎng)絡(luò)應(yīng)用研究”（08C485）；國家“十一五”教育規(guī)劃課題“我國高校應(yīng)用型人才培養(yǎng)模式研究”子課題“高等學(xué)校信息資源優(yōu)化整合與教學(xué)網(wǎng)絡(luò)平臺研究與建設(shè)”（FIB070335-A8-17）。