一個(gè)基于IPv6的新型校園組網(wǎng)策略

徐少小

（浙江海洋學(xué)院東?？茖W(xué)技術(shù)學(xué)院，浙江舟山 316004）

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息化是不可逆轉(zhuǎn)的發(fā)展趨勢，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代生活不可或缺的部分。作為科學(xué)研究和人才培養(yǎng)基地的校園在今后發(fā)展過程中必然要實(shí)現(xiàn)其高信息化、高智能化發(fā)展，應(yīng)該充分利用成熟的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)組建新型校園網(wǎng)絡(luò)，將學(xué)校所有的電腦聯(lián)合成為一個(gè)系統(tǒng)的數(shù)據(jù)庫，并對各類數(shù)據(jù)進(jìn)行統(tǒng)一規(guī)范管理。校園網(wǎng)從最初的網(wǎng)絡(luò)簡單接入到IPv4協(xié)議網(wǎng)絡(luò)的普及應(yīng)用，逐步實(shí)現(xiàn)了其智能化發(fā)展，但是我們也應(yīng)該看到IPv4協(xié)議已經(jīng)逐漸顯現(xiàn)出應(yīng)用的局限性，例如網(wǎng)絡(luò)地址資源的有限性，網(wǎng)絡(luò)存在安全隱患，服務(wù)質(zhì)量不高，網(wǎng)絡(luò)結(jié)構(gòu)的劃分和管理不科學(xué)等，IPv6協(xié)議網(wǎng)絡(luò)技術(shù)的日趨成熟使得IPv6協(xié)議網(wǎng)絡(luò)替代IPv4協(xié)議網(wǎng)絡(luò)在校園網(wǎng)的應(yīng)用成為一種必然。中國下一代互聯(lián)網(wǎng)示范工程（CNGI工程）的啟動標(biāo)志著IPv6協(xié)議網(wǎng)絡(luò)在學(xué)術(shù)互聯(lián)網(wǎng)中正式應(yīng)用，是實(shí)現(xiàn)校園信息化和教育信息化的重要途徑。

1 IPv6網(wǎng)絡(luò)協(xié)議概述

1.1 IPv6網(wǎng)絡(luò)協(xié)議

IPv6網(wǎng)絡(luò)協(xié)議，又稱下一代互聯(lián)網(wǎng)協(xié)議，是因特網(wǎng)絡(luò)工程小組為解決現(xiàn)有的IPv4網(wǎng)絡(luò)協(xié)議中存在的不足而設(shè)計(jì)的下一代IP協(xié)議。IPv6網(wǎng)絡(luò)協(xié)議能從根本上解決IPv4網(wǎng)絡(luò)協(xié)議的缺陷，其網(wǎng)絡(luò)質(zhì)量、安全和移動性能夠滿足下一代集語音、數(shù)據(jù)、視頻融合于一身的通信網(wǎng)絡(luò)的高要求。通過IPv6的應(yīng)用，我們不但可以快速獲取海量信息，還可以自由提供信息。與IPv4網(wǎng)絡(luò)協(xié)議相比，IPv6網(wǎng)絡(luò)協(xié)議有以下幾個(gè)明顯的優(yōu)勢：

①網(wǎng)絡(luò)地址空間大，其IP地址的長度為128，就意味著有2^128-1個(gè)地址；②路由表長度小，能大大提高路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度；③支持自動配置，網(wǎng)絡(luò)管理（尤其是局域網(wǎng)的管理）更方便、快捷；④增強(qiáng)版的組播支持和對流支持，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量；⑤可對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對IP報(bào)文進(jìn)行校驗(yàn)，網(wǎng)絡(luò)安全性能更好。

1.2 IPv6工作的主要原理

（1）通過IPv6版的路由器搜索確定移動節(jié)點(diǎn)的轉(zhuǎn)交地址，根據(jù)移動節(jié)點(diǎn)連接的位置不同具體又包括兩種情形：①當(dāng)移動節(jié)點(diǎn)連接到家鄉(xiāng)鏈路上時(shí)，則與其他固定的主機(jī)和路由器一樣確定轉(zhuǎn)交地址。②當(dāng)移動節(jié)點(diǎn)不是連接在其家鄉(xiāng)鏈路上，而是其他外部鏈路上時(shí)則需通過IPv6路由器的自動配置方式確定轉(zhuǎn)交地址。

（2）移動節(jié)點(diǎn)把已經(jīng)獲取的轉(zhuǎn)交地址通知給家鄉(xiāng)代理，在確保操作安全性的前提下，移動節(jié)點(diǎn)也會把轉(zhuǎn)交的地址通知給通信節(jié)點(diǎn)。IPv6協(xié)議采用布告的方式把獲取的轉(zhuǎn)交地址通知給家鄉(xiāng)代理或通信節(jié)點(diǎn)，在通知給其他節(jié)點(diǎn)時(shí)，IPv6是通過移動節(jié)點(diǎn)目的地址可選項(xiàng)實(shí)現(xiàn)的。

（3）數(shù)據(jù)包是通過隧道和源路由技術(shù)向鏈接在外地鏈路上的移動節(jié)點(diǎn)上傳送的。

①得知轉(zhuǎn)交地址的通信節(jié)點(diǎn)通過IPv6的選路報(bào)頭可以直接將數(shù)據(jù)包傳輸給移動節(jié)點(diǎn)，而無需經(jīng)過家鄉(xiāng)代理器，減少數(shù)據(jù)包傳輸時(shí)間，從而提高網(wǎng)絡(luò)速度。

②通信節(jié)點(diǎn)不知道轉(zhuǎn)交地址時(shí)，它和其他固定節(jié)點(diǎn)一樣將數(shù)據(jù)包發(fā)送到移動將節(jié)點(diǎn)，這時(shí)，通信節(jié)點(diǎn)將移動節(jié)點(diǎn)的家鄉(xiāng)地址放入目的IPv6地址域中，并將數(shù)據(jù)包轉(zhuǎn)發(fā)給合適的下一幀上。被發(fā)送到移動節(jié)點(diǎn)的家鄉(xiāng)鏈路上的數(shù)據(jù)包則被家鄉(xiāng)代理將截獲，并通過隧道將其發(fā)送到移動節(jié)點(diǎn)的轉(zhuǎn)交地址上。數(shù)據(jù)包被移動節(jié)點(diǎn)拆封并分析，如果分析出內(nèi)層數(shù)據(jù)包的目的地址是它的家鄉(xiāng)地址，則將其轉(zhuǎn)交高層協(xié)議進(jìn)行處理。

（4）在相反的方向上，移動節(jié)點(diǎn)通過采用特殊機(jī)制路由數(shù)據(jù)包到目的地。

2. 基于IPv6的新型校園組網(wǎng)方案設(shè)計(jì)

2.1 設(shè)計(jì)框架

基于IPv6的新型校園組網(wǎng)的設(shè)計(jì)應(yīng)該遵循“整體規(guī)劃，分布實(shí)施”的原則，因此，在具體討論如何設(shè)計(jì)基于IPv6的新型校園組網(wǎng)方案前，應(yīng)對方案進(jìn)行整體規(guī)劃。新型校園組網(wǎng)的設(shè)計(jì)即要考慮現(xiàn)實(shí)中需要的和近期達(dá)到的目標(biāo)，還要為將來系統(tǒng)的進(jìn)一步升級擴(kuò)容留有余地?；贗Pv6的新型校園組網(wǎng)的總體設(shè)計(jì)結(jié)構(gòu)如圖1所示。

基于IPv6的新型校園組網(wǎng)是由許多系統(tǒng)構(gòu)建組成，通信基礎(chǔ)設(shè)施保證了計(jì)算機(jī)網(wǎng)絡(luò)承載平臺和物理層，其次計(jì)算機(jī)網(wǎng)絡(luò)為教育應(yīng)用提供了信息傳輸與交換的平臺，支撐網(wǎng)絡(luò)與應(yīng)用則是由運(yùn)行管理體系和安全保障體系提供的。

2.2 網(wǎng)絡(luò)層次分配

在現(xiàn)階段的網(wǎng)絡(luò)設(shè)計(jì)中，大多采用TCP/IP體系結(jié)構(gòu)，其網(wǎng)絡(luò)層次可以劃分為核心層、匯聚層和接入層三個(gè)層次。①核心層，顧名思義是網(wǎng)絡(luò)設(shè)計(jì)的中堅(jiān)層次，是核心設(shè)備層。核心設(shè)備在設(shè)計(jì)時(shí)應(yīng)具備全線速轉(zhuǎn)發(fā)流量的功能，能夠?qū)W(wǎng)絡(luò)起到負(fù)載分擔(dān)、路由控制等功能，所以要求了核心設(shè)備需要有高帶寬鏈路，多樣的冗余特性和豐富的路由功能等特點(diǎn)，這是由核心層在校園網(wǎng)中的地位和功能決定的。②匯聚層，位于核心層與接入層之間，是三個(gè)層次的中間層次。匯聚層在校園網(wǎng)中的主要作用是承擔(dān)匯聚并控制用戶流量，ACL限制，負(fù)載均衡，路由策略的選擇等，一般是主干網(wǎng)絡(luò)的邊緣。同時(shí)，匯聚層作為用戶IP子網(wǎng)的缺省網(wǎng)關(guān)，負(fù)載比其他層次要重得多。③接入層，是網(wǎng)絡(luò)的末端層，與用戶的PC機(jī)直接相連，承擔(dān)穩(wěn)定轉(zhuǎn)發(fā)用戶流量的功能。

盡管目前許多學(xué)校的校園網(wǎng)使用的是典型的TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)，但是其中很多一部分學(xué)校使用的匯聚設(shè)備都不支持IPv6協(xié)議，因此，IPv6協(xié)議不能通過路由到達(dá)核心轉(zhuǎn)換機(jī)。這就需要在實(shí)踐中實(shí)現(xiàn)IPv4協(xié)議向IPv6協(xié)議的過度，對此，我們可以考慮從以下幾個(gè)方面著手：在原來的網(wǎng)絡(luò)區(qū)域里通過透傳模式把VLAN TRUNK接入到剛建成的IPv6協(xié)議網(wǎng)絡(luò)里；在剛建成的網(wǎng)絡(luò)區(qū)域中采用雙棧模式用路由的方式接入核心IPv6協(xié)議網(wǎng)絡(luò)；對于相對獨(dú)立的教職工宿舍和學(xué)生寢室可以采用隧道模式接入IPv6協(xié)議網(wǎng)絡(luò)，這樣就實(shí)現(xiàn)了IPv6協(xié)議網(wǎng)絡(luò)對整個(gè)校園網(wǎng)的控制和管理。2.3IPv6子網(wǎng)設(shè)計(jì)和路由設(shè)計(jì)

圖1 基于IPv6的新型校園組網(wǎng)的總體設(shè)計(jì)結(jié)構(gòu)圖Fig.1 IPv6 block diagram of the overall new campus networking

（1）IPv6子網(wǎng)設(shè)計(jì)

為方便闡述基于IPv6的新型校園組網(wǎng)，本文在此設(shè)計(jì)一個(gè)比較簡單的IPv6子網(wǎng)，該子網(wǎng)是在某教學(xué)大樓成立的能夠支持超過2000個(gè)用戶的IPv6子網(wǎng)。該教學(xué)大樓的IPv6子網(wǎng)與整個(gè)學(xué)校匯接中心由核心交換機(jī)RG8610連接，路由選擇的是靜態(tài)路由方式，采用有狀態(tài)的IPv6 DHCP地址分配技術(shù)獲取子網(wǎng)地址。圖2所示為Pv6子網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D。

（2）IPv6路由設(shè)計(jì)

IPv6協(xié)議網(wǎng)絡(luò)有兩種類型的路由，即單播IPv6路由和組播IPv6路由?；贗Pv6的校園組網(wǎng)的路由的設(shè)計(jì)應(yīng)該充分考慮其所面向的用戶，即用戶的使用習(xí)慣、方便校園網(wǎng)絡(luò)中心統(tǒng)一管理、協(xié)議支持的廣泛性以及現(xiàn)今主流的網(wǎng)絡(luò)應(yīng)用模式等相關(guān)因素。下面將對這兩種路由的設(shè)計(jì)分別予以說明：

①單播IPv6路由設(shè)計(jì)。校園網(wǎng)IPv6單播的路由設(shè)計(jì)可以采用靜態(tài)路由與OSPFv3相結(jié)合的方式，通過這種方式實(shí)現(xiàn)路由的冗余，以此簡化校內(nèi)網(wǎng)業(yè)務(wù)子網(wǎng)帶來的管理程序，降低管理難度，也可以減少維護(hù)校園網(wǎng)的費(fèi)用和開銷。

②組播IPv6路由設(shè)計(jì)。IPv6協(xié)議網(wǎng)絡(luò)配有大量的組播地址空間，因而能很好地支持組播。目前，許多學(xué)校都開始大規(guī)模的開展IPTV、視頻點(diǎn)播活動，大大拓展了組播技術(shù)的應(yīng)用空間，這也能在很大程度上推動IPv6協(xié)議網(wǎng)絡(luò)技術(shù)在校園網(wǎng)上的應(yīng)用。新型校園組網(wǎng)設(shè)備的核心、匯聚、接入都采用支持IPv6技術(shù)的設(shè)備，同時(shí)，通過IPv6組的形式發(fā)送組播源的組播數(shù)據(jù)，再根據(jù)校園網(wǎng)絡(luò)規(guī)模大小采用不同的部署方式，例如在小范圍內(nèi)科采用IPv6 PIM-DM的部署方式，以便方便管理網(wǎng)絡(luò)系統(tǒng)。

圖2 IPv6子網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DFig.2 IPv6 subnet network topology diagram

3 IPv6校園網(wǎng)網(wǎng)絡(luò)安全規(guī)劃

隨著校園網(wǎng)應(yīng)用功能的增加，網(wǎng)絡(luò)受到攻擊的次數(shù)越來越多，因此，在建設(shè)IPv6校園網(wǎng)時(shí)，我們需要重點(diǎn)關(guān)注網(wǎng)絡(luò)的安全問題。對此，我們可以通過CPP保護(hù)機(jī)制和網(wǎng)絡(luò)訪問控制兩種方法予以解決網(wǎng)絡(luò)安全問題。

（1）CPP保護(hù)機(jī)制。CPP保護(hù)機(jī)制是指通過流分類和優(yōu)先級分級對傳輸給交換機(jī)CPU的數(shù)據(jù)進(jìn)行處理，并限制CPU的寬帶速度，確保CPU負(fù)載安全，從而為用戶提供穩(wěn)定的網(wǎng)絡(luò)環(huán)境。另一方面，在CPP基礎(chǔ)上，通過雙重過濾機(jī)制來降低其管理板被攻擊點(diǎn)幾率，所謂的雙重過濾機(jī)制，就是指交換機(jī)的線卡首先對數(shù)據(jù)進(jìn)行一級過濾，然后再由管理板進(jìn)行二級過濾，使其最大程度保護(hù)管理板的CPU資源，從而保障網(wǎng)絡(luò)的安全。

（2）網(wǎng)絡(luò)訪問控制（NAC）。網(wǎng)絡(luò)訪問控制是指通過驗(yàn)證身份、保障主機(jī)健康性、保障網(wǎng)絡(luò)安全性等多全方位安全保障，從而行之有效的管理校園網(wǎng)內(nèi)的用戶。這一系列措施的得以實(shí)施，可以合法化校園內(nèi)網(wǎng)用戶身份ID，健康化上網(wǎng)主機(jī)安全狀況，安全化網(wǎng)絡(luò)通信，以及規(guī)范化用戶網(wǎng)絡(luò)訪問行為。

4 結(jié)束語

各地的IPv6駐地網(wǎng)建設(shè)正在如火如荼地進(jìn)行著。盡管現(xiàn)在還是IPv4與IPv6共存的時(shí)代，但是隨著IPv6技術(shù)理論的成熟，實(shí)踐操作經(jīng)驗(yàn)的豐富，作為下一代互聯(lián)網(wǎng)采用的核心協(xié)議的IPv6協(xié)議網(wǎng)絡(luò)最終將占領(lǐng)信息網(wǎng)絡(luò)市場是必然的發(fā)展趨勢。作為CERNET2的絕對主力，高校校園網(wǎng)是IPv6協(xié)議網(wǎng)絡(luò)研究與應(yīng)用的前沿陣地，校園網(wǎng)部署IPv6的成功經(jīng)驗(yàn)將會對IPv6網(wǎng)絡(luò)建設(shè)起到巨大示范和推動作用，同時(shí)為中國的下一代互聯(lián)網(wǎng)產(chǎn)業(yè)帶來更大領(lǐng)先機(jī)會。本文通過基于IPv6的新型校園組網(wǎng)策略的研究與分析，希望對校園網(wǎng)絡(luò)建設(shè)提供粗淺的理論指導(dǎo)。

[1]羅輝瓊,聶瑞華,鄭 凱.基于IPv6的校園網(wǎng)升級研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2010,20(3):132-135.

[2]秦 艷,黃 萌.基于IPv6的下一代移動性網(wǎng)絡(luò)關(guān)鍵技術(shù)[J].山東水利職業(yè)學(xué)院院刊,2006(1).

[3]王相林.IPv6技術(shù)新一代網(wǎng)絡(luò)技術(shù)[M].北京:機(jī)械工業(yè)出版社,2008:12-56.

[4]張?zhí)煸?IPv6技術(shù)及其在校園網(wǎng)的部署[J].信息技術(shù),2007,35(1):25-26.

[5]張宏科,蘇 偉.IPv6路由協(xié)議棧協(xié)議棧原理與技術(shù)[M].北京:北京郵電大學(xué)出版社,2006:50-125.