IPv6實(shí)驗(yàn)網(wǎng)與CNGI-CERNET2連接的探索與實(shí)踐

張旭輝 ， 左天天

（1.西安外事學(xué)院 陜西 西安 710077；2.西安電子科技大學(xué) 陜西 西安 710071）

當(dāng)前的互聯(lián)網(wǎng)是基于IPv4建立起來的。IPv6和IPv4協(xié)議并不兼容。盡管IPv6有許多IPv4不能比擬的優(yōu)勢(shì)，但要想替代IPv4還需要一個(gè)較長(zhǎng)的時(shí)期。為確保兩者之間的平穩(wěn)過渡，需要針對(duì)不同的通信需求和網(wǎng)絡(luò)狀況，設(shè)計(jì)并使用不同的過渡技術(shù)。綜合學(xué)校的網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)規(guī)劃，可以預(yù)見的是，從IPv4到IPv6網(wǎng)絡(luò)的過渡和升級(jí)是一個(gè)漸進(jìn)過程，首先通過小范圍的實(shí)驗(yàn)網(wǎng)建設(shè)打下基礎(chǔ)，然后才能根據(jù)學(xué)校IPv6網(wǎng)絡(luò)規(guī)劃方案有準(zhǔn)備的升級(jí)改造學(xué)校網(wǎng)絡(luò)。

1 IPv6相關(guān)技術(shù)

1.1 雙協(xié)議棧技術(shù)

實(shí)現(xiàn)從IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)平滑過渡的最典型的技術(shù)是雙協(xié)議棧技術(shù)[1]。采用該技術(shù)就是通過網(wǎng)絡(luò)節(jié)點(diǎn)上既配置IPv4又配置IPv6做到雙協(xié)議棧同時(shí)運(yùn)行，這些網(wǎng)絡(luò)節(jié)點(diǎn)包括用戶終端、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，它們既可以和IPv4節(jié)點(diǎn)進(jìn)行通信，又可以和IPv6節(jié)點(diǎn)進(jìn)行通信。簡(jiǎn)單的說，采用雙協(xié)議棧的基本工作原理是可以同時(shí)對(duì)IPv6和IPv4數(shù)據(jù)包進(jìn)行接收、發(fā)送等處理操作，如圖1所示。

圖1 雙協(xié)議棧技術(shù)Fig.1 Dual stack

雙協(xié)議棧技術(shù)采用IPv4地址的類型，可分公網(wǎng)雙協(xié)議棧和私網(wǎng)雙協(xié)議棧兩類[2]。公網(wǎng)雙協(xié)議棧技術(shù)是指在全網(wǎng)兩端啟用IPv4和IPv6雙協(xié)議棧的同時(shí)，所有的主機(jī)和網(wǎng)絡(luò)設(shè)備均要求配置公網(wǎng)IPv4地址。這明顯不適合當(dāng)前IPv4地址資源已經(jīng)耗盡的現(xiàn)實(shí)。與公網(wǎng)雙協(xié)議棧技術(shù)不同的是，私網(wǎng)雙協(xié)議棧技術(shù)允許用戶終端使用IPv4私有地址，在網(wǎng)絡(luò)核心側(cè)進(jìn)行NAT轉(zhuǎn)換，將IPv4私有地址轉(zhuǎn)換成公有地址，再通過IPv4/IPv6雙協(xié)議棧網(wǎng)絡(luò)傳送IPv4數(shù)據(jù)包。利用私網(wǎng)雙協(xié)議棧技術(shù)可以暫時(shí)緩解當(dāng)前IPv4地址緊缺問題，其工作示意圖如圖2所示。

圖2 私網(wǎng)雙協(xié)議棧工作示意圖Fig.2 Private network dual stack diagram

1.2 隧道技術(shù)

隧道技術(shù)是將一種協(xié)議封裝到另一種協(xié)議中的技術(shù)，它比雙協(xié)議棧技術(shù)更為復(fù)雜[3-4]。

圖3 隧道封裝和解封裝圖Fig.3 Tunnel encapsulation and decapsulation

如圖3所示，將IPv6數(shù)據(jù)包封裝到IPv4數(shù)據(jù)包中，這樣可以實(shí)現(xiàn)IPv6數(shù)據(jù)包安全穿越IPv4網(wǎng)絡(luò)。隧道的入口和出口均要求是雙協(xié)議棧節(jié)點(diǎn)。通過隧道入口時(shí)，IPv6的數(shù)據(jù)包由雙協(xié)議棧路由器封裝到IPv4的數(shù)據(jù)包中，IPv4報(bào)頭的協(xié)議字段要設(shè)置為41，以表明該IPv4數(shù)據(jù)包封裝有IPv6的數(shù)據(jù)包。被封裝的IPv6數(shù)據(jù)包目的地址和源地址為隧道出入口IPv4地址。通過IPv4網(wǎng)絡(luò)，把封裝好的IPv6數(shù)據(jù)包傳輸?shù)剿淼赖某隹?，然后解封該?shù)據(jù)包傳送至目的站點(diǎn)。隧道技術(shù)的優(yōu)點(diǎn)在于只需要對(duì)出入口處的參數(shù)進(jìn)行配置，對(duì)其他部分不做要求。隧道技術(shù)解決了IPv6發(fā)展初級(jí)階段IPv6孤島之間的通信問題，如圖4所示。

圖4 隧道技術(shù)傳輸過程Fig.4 Tunnel implementing process

2 IPv6實(shí)驗(yàn)網(wǎng)的設(shè)計(jì)與組建

IPv6技術(shù)的最終目標(biāo)是實(shí)現(xiàn)實(shí)用化，IPv6從提出至今還沒有走到真正大規(guī)模的實(shí)用化階段。制約它走向?qū)嵱没囊蛩丶扔屑夹g(shù)層面的，也有政策和管理層面的，其中技術(shù)的成熟是使之走向?qū)嵱没谋匾獥l件。綜合實(shí)驗(yàn)網(wǎng)的建設(shè)，使IPv6的先進(jìn)性體現(xiàn)在技術(shù)層面上，然而網(wǎng)絡(luò)在實(shí)際的使用中，仍然可能遇到各種各樣的問題，所以通過設(shè)計(jì)和組建IPv6實(shí)驗(yàn)網(wǎng)收集數(shù)據(jù)和累積經(jīng)驗(yàn)是一種高效手段。

2.1 IPv6實(shí)驗(yàn)網(wǎng)建設(shè)設(shè)備配置方案

2.1.1 方案簡(jiǎn)述

在國(guó)家信息化發(fā)展規(guī)劃中，對(duì)普及下一代網(wǎng)絡(luò)已有明確的表述，而且還對(duì)下一代的網(wǎng)絡(luò)部署制定了非常詳細(xì)的路線圖，即“積極跟蹤，穩(wěn)妥跟進(jìn)，開展相關(guān)實(shí)驗(yàn)，結(jié)合國(guó)情分步驟、分階段實(shí)施”。按照此路線，學(xué)校建立了多個(gè)IPv6實(shí)驗(yàn)網(wǎng)實(shí)驗(yàn)室，在開展計(jì)算機(jī)基礎(chǔ)教學(xué)理論研究和實(shí)踐的同時(shí)，為下一步實(shí)現(xiàn)全校IPv6網(wǎng)絡(luò)應(yīng)用做好鋪墊工作。

2.1.2 建設(shè)方案

結(jié)合學(xué)校目前的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，建立的IPv6實(shí)驗(yàn)網(wǎng)部署在學(xué)校科技樓7個(gè)實(shí)驗(yàn)室，網(wǎng)絡(luò)采用雙協(xié)議棧方式，IPv6的主路由及匯聚層設(shè)置在學(xué)校核心機(jī)房。該子網(wǎng)絡(luò)既要滿足學(xué)校安全需求，還要能夠保證網(wǎng)絡(luò)擴(kuò)展需要。

2.1.3 設(shè)備配置需求

通過調(diào)研，學(xué)校IPv6項(xiàng)目組成員擬定了如下設(shè)備方案，該方案設(shè)備提供方為陜西區(qū)域網(wǎng)絡(luò)有限公司，設(shè)備配置如表1所示。

表1 設(shè)備配置表Tab.1 hardware configuration

2.2 IPv6實(shí)驗(yàn)網(wǎng)設(shè)計(jì)組建的目的和內(nèi)容

全國(guó)多所高校都在國(guó)家CNGI-CERNET2建設(shè)和使用的大環(huán)境中，規(guī)劃和部署了自己的IPv6實(shí)驗(yàn)網(wǎng)，來探索和實(shí)踐IPv6實(shí)驗(yàn)網(wǎng)與CNGI-CERNET2連接的技術(shù)，基于這一點(diǎn)，學(xué)校依托原有的IPv4校園網(wǎng)絡(luò)，規(guī)劃并組建了IPv6實(shí)驗(yàn)網(wǎng)，主要有以下目的和內(nèi)容[5-6]：

1）IPv6實(shí)驗(yàn)網(wǎng)與CNGI-CERNET2實(shí)現(xiàn)連接

通過一臺(tái)邊緣路由器，以雙協(xié)議棧方式接入西安教育城域網(wǎng)雙協(xié)議棧路由器，實(shí)現(xiàn)IPv6實(shí)驗(yàn)網(wǎng)與CNGI-CERNET2的連接，架起學(xué)校IPv6用戶和外網(wǎng)IPv6資源的橋梁；

2）IPv6和IPv4網(wǎng)絡(luò)之間數(shù)據(jù)的互連互通

通過收集IPv6過渡技術(shù)的數(shù)據(jù)，并最終實(shí)現(xiàn)IPv6和IPv4網(wǎng)絡(luò)之間數(shù)據(jù)的互連互通。項(xiàng)目組成員通過參與學(xué)校IPv6實(shí)驗(yàn)網(wǎng)的建設(shè)，研究各種平穩(wěn)過渡技術(shù)，為將來實(shí)現(xiàn)全網(wǎng)向IPv6過渡打下堅(jiān)實(shí)的基礎(chǔ)；

3）搭建IPv6的應(yīng)用服務(wù)

實(shí)驗(yàn)網(wǎng)的建立，最終目的是要為學(xué)校各類應(yīng)用業(yè)務(wù)提供更便捷的服務(wù)，因此，在IPv6實(shí)驗(yàn)網(wǎng)中，需要實(shí)現(xiàn)各類應(yīng)用服務(wù)的搭建，如 DHCPv6、DNS、Web 應(yīng)用。

2.3 IPv6實(shí)驗(yàn)網(wǎng)的地址和域名

學(xué)校在組建IPv6實(shí)驗(yàn)網(wǎng)之前，從中國(guó)教育科研網(wǎng)獲取的地址和域名分別如下：

IPv6地址的范圍：2001:A8:401::/48

IPv6的域名：xaiu6.edu.cn

2.4 IPv6實(shí)驗(yàn)網(wǎng)拓?fù)浣Y(jié)構(gòu)

如圖5所示，學(xué)校IPv6實(shí)驗(yàn)網(wǎng)并沒有直接連通CNGICERNET2，而是由西安教育城域網(wǎng)轉(zhuǎn)接至CERNET2。在圖5中，IPv6實(shí)驗(yàn)網(wǎng)通過一臺(tái)IPv6邊緣路由器R1以雙協(xié)議棧方式接入西安教育城域網(wǎng)雙協(xié)議棧路由器R2。實(shí)驗(yàn)網(wǎng)中路由器、匯聚交換機(jī)和接入交換機(jī)均采用Cisco設(shè)備。IPv6邊緣路由器R1選擇的是一臺(tái)Cisco 2821C，接口eth0/0與一臺(tái)H3C 5500-28C-SI出口匯聚交換機(jī)相連，再通過100M光纖與校外西安教育城域網(wǎng)雙協(xié)議棧路由器R2對(duì)接；IPv6邊緣路由器R1另一個(gè)接口eth0/1連接校內(nèi)IPv6實(shí)驗(yàn)網(wǎng)。實(shí)現(xiàn)校內(nèi)IPv6實(shí)驗(yàn)網(wǎng)可以訪問外部IPv6資源，順利接入CERNET2純IPv6網(wǎng)絡(luò)。

圖5 IPv6實(shí)驗(yàn)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DFig.5 IPv6 experiment network toplogy

IPv4校園網(wǎng)通過核心交換機(jī)H3C S9512與IPv6實(shí)驗(yàn)網(wǎng)匯聚交換機(jī)Cisco C356相連，可以實(shí)現(xiàn)IPv4校園網(wǎng)和IPv6實(shí)驗(yàn)網(wǎng)中雙協(xié)議棧主機(jī)對(duì)教育網(wǎng)IPv4、IPv6資源的并行訪問。IPv4校園網(wǎng)中個(gè)別不支持IPv6網(wǎng)絡(luò)設(shè)備的IPv6接入用戶可以利用隧道技術(shù)來實(shí)現(xiàn)對(duì)IPv6資源的訪問。

IPv6實(shí)驗(yàn)網(wǎng)中，已經(jīng)搭建了服務(wù)器虛擬化平臺(tái)，包括DHCPv6、DNS、Web等IPv6基本應(yīng)用。該實(shí)驗(yàn)網(wǎng)環(huán)境可以向師生提供一個(gè)學(xué)習(xí)、實(shí)驗(yàn)和研究IPv6的平臺(tái)，還提高了技術(shù)人員的水平，滿足了學(xué)校下一代互聯(lián)網(wǎng)絡(luò)相關(guān)課程教學(xué)、實(shí)驗(yàn)和科研的需要。

3 利用私網(wǎng)雙協(xié)議棧技術(shù)實(shí)現(xiàn)IPv6實(shí)驗(yàn)網(wǎng)連接CNGI-CERNET2

如圖5所示，利用私網(wǎng)雙協(xié)議棧技術(shù)，IPv4校園網(wǎng)防火墻FW、IPv6實(shí)驗(yàn)網(wǎng)邊緣路由器R1與西安教育城域網(wǎng)雙協(xié)議棧路由器R2進(jìn)行對(duì)接，實(shí)現(xiàn)了IPv6實(shí)驗(yàn)網(wǎng)與CNGICERNET2的連接，IPv4校園網(wǎng)出口訪問保持不變。

學(xué)校網(wǎng)絡(luò)上聯(lián)為西安教育城域網(wǎng)，雙協(xié)議棧路由器R2提供的接口配置信息如下：

依據(jù)IPv6實(shí)驗(yàn)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D和上聯(lián)設(shè)備的配置信息，校內(nèi)IPv6實(shí)驗(yàn)網(wǎng)要連接純IPv6教育網(wǎng)，需要在邊緣路由器R1接口作如下配置：

配置完成后，首先檢測(cè)與上聯(lián)雙協(xié)議棧路由器R2是否連通，可以在邊緣路由器R1上使用traceroute命令；其次檢測(cè)IPv6實(shí)驗(yàn)網(wǎng)與CNGI-CERNET2是否連通，可以通過使用帶源地址參數(shù)ping上海交通大學(xué)IPv6 DNS，返回的信息如下：

以上數(shù)據(jù)顯示，IPv6實(shí)驗(yàn)網(wǎng)與西安教育城域網(wǎng)之間的路由已經(jīng)連通，同時(shí)與CNGI-CERNET2對(duì)接成功。IPv4校園網(wǎng)和IPv6實(shí)驗(yàn)網(wǎng)雙協(xié)議棧主機(jī)對(duì)IPv4網(wǎng)絡(luò)的訪問通過使用IPv4防火墻FW的NAT轉(zhuǎn)換技術(shù)來實(shí)現(xiàn)，本文不再贅述。

4 結(jié)束語

在現(xiàn)有網(wǎng)絡(luò)上設(shè)計(jì)部署IPv6是一個(gè)長(zhǎng)期而漸進(jìn)的過程，該研究課題是建立在學(xué)校IPv6部署項(xiàng)目的實(shí)際操作的基礎(chǔ)之上，既有學(xué)校全網(wǎng)的發(fā)展規(guī)劃，又有實(shí)驗(yàn)網(wǎng)平臺(tái)的實(shí)際建設(shè)成果，還有在虛擬機(jī)和軟件上完成的實(shí)驗(yàn)操作，這些工作的完成都將成為學(xué)院IPv6校園網(wǎng)的建設(shè)部署的參考和堅(jiān)實(shí)的基礎(chǔ)。

[1]Regis Desmeules.Cisco IPv6網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)Cisco self-study:implementing Cisco IPv6 networks（IPv6）[M].王玲芳，等譯北京：人民郵電出版社，2013.

[2]陳運(yùn)清，等.構(gòu)建運(yùn)營(yíng)級(jí)IPv6網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2012.

[3]Shannon McFarland，Muninder Sambi，Nikhil Sharma，Sanjay hooda.IPv6在企業(yè)網(wǎng)絡(luò)中的部署 IPv6 for enterprise networks[M].孫余強(qiáng)，孫劍，譯.北京：人民郵電出版社，2013.

[4]Ciprian Popoviciu，EricLevy-Abegnoli，Patrick Grossetete.部署IPv6網(wǎng)絡(luò) Deploying IPv6 networks[M].王玲芳，等譯.北京：人民郵電出版社，2013.

[5]楊國(guó)良，李陽(yáng)春，伍佑明.IPv6技術(shù)、部署與業(yè)務(wù)應(yīng)用[M].北京：人民郵電出版社，2011.

[6]伍孝金.IPv6技術(shù)與應(yīng)用[M].北京：清華大學(xué)出版社，2010.