高校IPv6網(wǎng)絡部署的關鍵性技術研究

周凱

摘? ?要：伴隨應用和用戶的增長，IPv4最初設計存在的諸多問題已嚴重限制了互聯(lián)網(wǎng)的發(fā)展。發(fā)展下一代互聯(lián)網(wǎng)協(xié)議IPv6已勢在必行。目前，各高校紛紛響應國家對下一代互聯(lián)網(wǎng)建設的戰(zhàn)略部署，開始研究并對現(xiàn)有校園網(wǎng)絡進行升級改造。然而，高校IPv4網(wǎng)絡向IPv6網(wǎng)絡的過渡是一個長期而漫長的過程，它將長期處于兩協(xié)議共存階段。面對這種過渡時期，文章將從實際出發(fā)，首先，提出高校IPv6網(wǎng)絡建設的必然性;其次，通過對各種過渡機制的研究給出校園網(wǎng)絡IPv4/IPv6共存的過渡技術方案。

關鍵詞：第6版互聯(lián)網(wǎng)協(xié)議;校園網(wǎng);部署應用

隨著互聯(lián)網(wǎng)的高速發(fā)展，第6版互聯(lián)網(wǎng)協(xié)議（Internet Protocol Version 6，IPv6）將不可避免地取代第4版（IPv4）?；贗Pv6的下一代互聯(lián)網(wǎng)建設是解決地址殆盡、提高網(wǎng)絡承載能力、服務質(zhì)量、增強網(wǎng)絡安全性等制約性問題的有效辦法，也是融入國際互聯(lián)網(wǎng)、共享全球發(fā)展成果、贏得未來發(fā)展主動性的途徑。本文將從高校IPv6建設的驅(qū)動力、IPv6過渡技術方案兩個方面探討和研究高校IPv6網(wǎng)絡建設。

1? ? 高校IPv6建設的驅(qū)動力

高校IPv6網(wǎng)絡建設是順應互聯(lián)網(wǎng)發(fā)展的，它可以“激活”高校信息化的創(chuàng)新性應用、優(yōu)化網(wǎng)絡、提高網(wǎng)絡信息安全等，驅(qū)動高校采用IPv6的主要因素有以下幾點。

1.1? IPv4的缺陷

IPv4的缺陷是由最初Internet的設計無法滿足現(xiàn)今高速發(fā)展的互聯(lián)網(wǎng)需求而產(chǎn)生的。主要問題是地址空間耗盡和IP路由表的膨脹。IPv4使用32位（4字節(jié)）地址，地址空間中只有42億（4.294×109）個。據(jù)官方消息稱，互聯(lián)網(wǎng)數(shù)字分配機構（Internet Assigned Numbers Authority，IANA）的主要地址池已于2011年2月3日全部分配完結。距離地址耗盡只是時間問題，伴隨當今全球化和諸多業(yè)務驅(qū)動，主要原因有以下幾個方面：

（1）移動設備，面對移動互聯(lián)網(wǎng)的今天，智能手機的普及以及設備成本的降低，使智能手機已成為Internet的主要成員，從而急速加大了IP地址的需求。

（2）虛擬化，可以將物理設備虛擬為多個虛擬機，每個虛擬系統(tǒng)都將配備一個或多個IP地址，如托管虛擬桌面、虛擬桌面基礎設施（Virtual Desktop Infrastructure，VDI）等。

（3）地址使用效率低，20世紀八九十年代初，那些有幸攫取了大量IP地址的單位，實際需求的使用量遠小于攫取量，造成了很大程度上的地址浪費。

（4）IPv4私有地址沖突或重疊，如兩所異地學校合并，進行整合統(tǒng)一組網(wǎng)，兩校之間不僅需要單獨建設一條同城光纜進行網(wǎng)絡通信，還需要對IP地址進行重新編址，否則很有可能發(fā)生請求評論（Request for Comments，RFC）1981 IPv4私有地址沖突或重疊問題。雖然可以通過部署一個網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation，NAT）重疊地址池來解決，但會在一定程度上影響網(wǎng)絡的性能。

1.2? 政府的戰(zhàn)略規(guī)劃

根據(jù)網(wǎng)絡強國的戰(zhàn)略部署，促進互聯(lián)網(wǎng)演進升級和健康創(chuàng)新發(fā)展。國家出臺了《推進互聯(lián)網(wǎng)協(xié)議第6版（IPv6）規(guī)模部署行動計劃》，明確了IPv6建設的重要性、目標、任務、實施步驟及保障措施。各省依據(jù)文件要求，結合實際情況也相繼制定了適應本省IPv6建設的部署計劃。加之第二代中國教育和科研計算機網(wǎng)（China Education and Research Network 2，CERNET2）已成功接入IPv6網(wǎng)絡，為高校IPv6的建設和發(fā)展提供了良好的環(huán)境。

1.3? 軟硬設備的支持

多年前，網(wǎng)絡廠家就開始了IPv6的研究與開發(fā)，近幾年主流網(wǎng)絡設備廠家的網(wǎng)絡設備都以默認的形式具備了部署IPv6網(wǎng)絡的相關功能。個人終端及應用服務器操作系統(tǒng)也都以默認的方式啟動IPv6的支持，如Windows系列（個人PC系統(tǒng)及服務器系統(tǒng)）、Linux系列、Apple Mac OS X等。

1.4? IPv6的技術優(yōu)勢

IPv6的優(yōu)勢主要包括：（1）更大的地址空間（2128）。（2）地址部署更簡單。（3）完整的端對端網(wǎng)絡連接。（4）具有增強的安全能力，針對安全性、服務質(zhì)量（Quality of Service，QoS）和加密功能改進了擴展屬性報頭。（5）移動性的改善。（6）使用流標簽改進了數(shù)據(jù)流的資源分配等。這些優(yōu)勢可以極大提高校園網(wǎng)的性能、可靠性和安全性。解決IPv4網(wǎng)絡中存在的諸多問題。

2? ? IPv6部署的技術方案研究

IPv6規(guī)模部署是一個長期、復雜的過程。目前高?；静痪邆涓脑旒僆Pv6（IIPv6-only）網(wǎng)絡的條件。在互聯(lián)網(wǎng)基礎設施由IPv6統(tǒng)一之前，它將長時間處于過渡期階段。IPv4/IPv6將以共存的機制運行。下面將介紹幾種IPv4向IPv6的過渡機制。

2.1? 雙棧技術

雙棧機制是一種自然、成熟的基本過渡機制。該機制采用雙棧模型，拓撲如圖1所示，指在一個接口或者一條鏈路上同時啟用IPv4/IPv6兩種協(xié)議，并以雙協(xié)議棧的模式運行。它最大的優(yōu)勢在于不用建立隧道，并且兩種協(xié)議將以“ships-in-the-night”的方式運行，除共享相同網(wǎng)絡資源外，兩種協(xié)議獨立運行，互不相關。無論是路由選擇、HA，QoS、安全、多播策略，兩種協(xié)議都“各自為政”。數(shù)據(jù)包轉(zhuǎn)發(fā)上，由于不需要額外的封裝、查表方面的開銷，相比其他機制在轉(zhuǎn)發(fā)性能上更具優(yōu)勢。

雙棧技術缺點如下：

（1）需對現(xiàn)網(wǎng)不支持IPv6協(xié)議的設備進行升級。

（2）現(xiàn)網(wǎng)中開啟雙棧協(xié)議有可能會對老設備的性能及可靠性造成影響。

（3）由于雙棧協(xié)議IPv4/IPv6的獨立運行，會增加網(wǎng)絡整體運營、維護成本。

2.2? 隧道技術

隧道機制：在一種協(xié)議上運載或傳輸另一種協(xié)議數(shù)據(jù)包。本文主要指將IPv6數(shù)據(jù)包封裝在IPv4隧道之內(nèi)進行傳輸，以此來建立端到端的IPv6通信機制。這種隧道建立的方法主要分為以下幾種。

2.2.1? 手工配置

手工配置隧道依據(jù)RFC4213，它是建立在雙協(xié)議棧上的以靜態(tài)形式來定義的隧道[1]。拓撲如圖2所示，每一端主機運行IPv6，主機間建立隧道的路由器運行雙協(xié)議棧，隧道則建立在IPv4網(wǎng)絡之上。

通過IPv4通用路由封裝（Generic Routing Encapsulation，GRE）傳輸IPv6數(shù)據(jù)包是手工配置隧道的另一種方法。該方式需建立在雙協(xié)議棧上，采用點到點的封裝方法來提供服務。IPv6數(shù)據(jù)包作為GRE隧道的荷載。

此類隧道的缺點：隨著站點數(shù)的增加，隧道數(shù)會呈幾何級增長，可擴展性不強;后期網(wǎng)絡運維、故障排除難度大。

2.2.2? 隧道代理

隧道代理定義于RFC 3053《IPv6 Tunnel Broker》，即虛擬IPv6 ISPs，隧道代理模型如圖3所示[2]。此機制使用專業(yè)隧道代理服務器自動管理來自用戶的隧道請求。

隧道代理平臺可尋址IPv4或IPv6，當隧道代理服務的客戶端與隧道代理平臺連接時，首先，提供標識和憑證來執(zhí)行用戶的認證、授權、計費;其次，進入平臺后完成隧道的生成、修改、刪除、啟動;再次，隧道服務器是雙棧路由器連接到互聯(lián)網(wǎng);最后，依據(jù)隧道代理平臺的配置指令生成、修改、刪除、統(tǒng)計每個隧道的服務器側配置。

此類隧道的缺點：比較適合小型孤立的IPv6站點，便捷地連接到IPv6網(wǎng)絡中。當遠程修改隧道代理服務配置時會帶來安全隱患。

2.2.3? 6to4隧道

6to4隧道定義于RFC 3056《Connection of IPv6 Domains via IPv4 Clouds》，是一種自動隧道建立機制[3]。通過用IPv4（協(xié)議類型41）數(shù)據(jù)包來封裝傳輸IPv6數(shù)據(jù)包。6to4隧道機制部署場景適用于互聯(lián)6to4網(wǎng)域，利用中斷路由器互聯(lián)6to4網(wǎng)域和純IPv6網(wǎng)域。6to4的IPv6地址的前綴為2002：：/16。

此類隧道的缺點：必須擁有至少一個公網(wǎng)IPv4地址，底層IPv4地址前綴決定6to4的IPv6地址前綴，若遷移到純IPv6環(huán)境需要重新編址;在隧道沿途路徑上不支持NAT和多播;在利用中斷路由器互聯(lián)6to4網(wǎng)域和純IPv6網(wǎng)域時，6to4路由器和6to4中斷路由器之間的隧道存在很大的安全隱患，如地址欺騙等。

2.2.4? ISATAP

ISATAP定義于RFC 5214《Intra-Site Automatic Tunnel Addressing Protocol （ISATAP）》是一種站點內(nèi)部自動隧道尋址協(xié)議的簡單機制[4]。IPv4網(wǎng)絡上的雙棧節(jié)點通過ISATAP自動隧道化，并將IPv4網(wǎng)絡視為非廣播多路訪問鏈路。雙棧IPv6主機和ISATAP路由器創(chuàng)建ISATAP隧道如圖4所示。

此類隧道的缺點：必須不支持多播和傳輸層NAT;出于安全考慮，IPv4虛擬鏈路需設定界線。

2.3? 翻譯技術方案

本文所闡述的翻譯技術方案主要包括兩個類型：（1）在IPv4和IPv6之間執(zhí)行轉(zhuǎn)換或代理的技術方案，如NAT-PT，NAT64，TCP-UDP中斷、啟動整體服務（Boot Integrity Services，BIS）等。（2）政府或相關網(wǎng)絡設備廠家所推薦的融合了網(wǎng)絡層協(xié)議轉(zhuǎn)換和應用層協(xié)議翻譯的技術方案，如基于云服務提供商IPv6過渡引擎的應用（Service-Providers Application Cloud-based Engine for IPv6 Transition，SPACE6）、SDT6等。這兩種類型的差異是顯而易見的，前者是通過網(wǎng)絡層來實現(xiàn)IPv6報文向IPv4報文的轉(zhuǎn)化，而后者不僅使用相關網(wǎng)絡技術完成網(wǎng)絡層兩協(xié)議之間的轉(zhuǎn)換，還在一定程度上解決了應用層協(xié)議的翻譯，如7層反向代理等。下面將詳細闡述下基于SPACE6的翻譯方案。

SPACE6是一種集成了網(wǎng)絡層協(xié)議轉(zhuǎn)換和應用層協(xié)議翻譯的新技術，能把單棧IPv4或IPv6網(wǎng)站的內(nèi)容自動發(fā)布到IPv4和IPv6兩個網(wǎng)絡平面，從而可以快速實現(xiàn)網(wǎng)站的雙棧升級，部署靈活。網(wǎng)站只需在其授權的域名系統(tǒng)（Domain Name System，DNS）上增加一條相應的AAAA記錄即可，可有效解決網(wǎng)站中由于外鏈導致的內(nèi)容缺失等問題。

這種翻譯技術部署簡單，基于原網(wǎng)絡架構不變，只需獲取IPv6地址并制定內(nèi)部IPv6路由策略;域名系統(tǒng)進行AAAA記錄的配置升級，并在網(wǎng)絡核心交換機側旁掛基于翻譯技術的內(nèi)容發(fā)布平臺即可。

3? ? 結語

伴隨高校網(wǎng)絡的不斷發(fā)展，IPv6取代IPv4成為高校信息化發(fā)展建設的新網(wǎng)絡環(huán)境是必然結果。但限于當下互聯(lián)網(wǎng)整體環(huán)境的影響，將會在很長的時間內(nèi)處于IPv4/IPv6共存的過渡時期。在這樣一個過渡時期，對于高校IPv6升級部署的方案研究是十分必要的，它可以幫助我們積累經(jīng)驗，從實際出發(fā)、預測未來、合理地選擇技術方案，科學、系統(tǒng)地分步驟、分層次進行改造，以避免盲目建設帶來資源浪費。

[參考文獻]

[1]RFC 4213.Basic transition mechanisms for ipv6 hosts and routers[EB/OL].（2005-10-23）[2019-08-10].https：//tools.ietf.org/html/rfc4213.

[2]RFC 3053.IPv6 tunnel broker[EB/OL].（2001-01-02）[2019-08-10].https：//tools.ietf.org/html/rfc3053.

[3]RFC 3056.Connection of IPv6 domains via IPv4 clouds[EB/OL].（2001-02-05）[2019-08-10].https：//tools.ietf.org/html/rfc3056.

[4]RFC 5214.Intra-site automatic tunnel addressing protocol（ISATAP）[EB/OL].（2008-05-06）[2019-08-10].https：//tools.ietf.org/html/rfc5214.

Abstract：Accompanied with the growth of applications and users， many problems in the initial design of IPv4 have seriously limited the development of the Internet. It is imperative to develop the next generation Internet protocol IPv6. At present， colleges and universities have responded to the national strategic deployment of the next generation Internet construction， began to study and upgrade the existing campus network. However， the transition from IPv4 network to IPv6 network in colleges and universities is a long and long process， and it will be in the stage of coexistence of two protocols for a long time. In the face of this transitional period， the article will proceed from the reality， first of all， put forward the necessity of the construction of IPv6 network in colleges and universities; secondly， through the study of the transition mechanism gives the transition technology scheme of IPv4/IPv6 coexistence in campus network.

Key words：Internet protocol version 6; campus network; deployment application