高校校園網(wǎng)IPv6升級(jí)改造探索

摘 ?要：現(xiàn)階段隨著5G和物聯(lián)網(wǎng)技術(shù)的發(fā)展，萬(wàn)物互聯(lián)的時(shí)代即將到來(lái)，由于IPv4網(wǎng)絡(luò)地址緊缺，IPv6網(wǎng)絡(luò)逐步替代IPv4網(wǎng)絡(luò)是時(shí)代所趨。文章對(duì)IPv6網(wǎng)絡(luò)相關(guān)技術(shù)進(jìn)行了研究和實(shí)踐，并從紹興職業(yè)技術(shù)學(xué)院IPv4/IPv6共存的網(wǎng)絡(luò)建設(shè)技術(shù)方案出發(fā)，從IPv6升級(jí)改造技術(shù)選型、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、IPv6網(wǎng)絡(luò)地址規(guī)劃、IPv6網(wǎng)絡(luò)路由設(shè)計(jì)、應(yīng)用業(yè)務(wù)改造這幾個(gè)方面提出了高校IPv6改造思路和技術(shù)解決方案。

關(guān)鍵詞：IPv4/IPv6;校園網(wǎng);網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

中圖分類號(hào)：TP393.04 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）23-0103-03

Exploration on Upgrading IPv6 of Campus Network in Colleges and Universities

——Take Shaoxing Vocational & Technical College for Example

XIE Hulin

（Shaoxing Vocational & Technical College，Shaoxing ?312000，China）

Abstract：At present，with the development of 5G and internet of things technology，the era of internet of everything is coming. Due to the shortage of IPv4 network addresses，it is the trend of the times for IPv6 networks to gradually replace IPv4 networks. This paper studies and practices IPv6 network related technologies，and from the network construction technical scheme of the coexistence of IPv4 and IPv6 in Shaoxing Vocational & Technical College，this paper puts forward the IPv6 transformation ideas and technical solutions for colleges and universities from the aspects of IPv6 upgrading technology selection，network topology design，IPv6 network address planning，IPv6 network routing design and application business transformation.

Keywords：IPv4/IPv6;campus network;network topology design

0 ?引 ?言

IPv6是Internet工程任務(wù)組（Internet Engineering Task Force，IETF）為替代IPv4而設(shè)計(jì)的下一代IP協(xié)議。IPv6地址號(hào)聲稱能夠?yàn)槭澜缟厦恳涣Ｉ匙泳幋a一個(gè)地址。IPv4最大的問(wèn)題是網(wǎng)絡(luò)地址資源有限，嚴(yán)重制約了互聯(lián)網(wǎng)的應(yīng)用和發(fā)展，而IPv6的使用不僅可以解決網(wǎng)絡(luò)地址資源的數(shù)量問(wèn)題，而且可以解決各種接入設(shè)備接入Internet的障礙[1]。IPv6作為互聯(lián)網(wǎng)的新版本，其根本目的是繼承和取代IPv4，但由于歷史原因，目前很多互聯(lián)網(wǎng)站點(diǎn)和應(yīng)用對(duì)IPv6網(wǎng)絡(luò)的支持還沒(méi)有普及，IPv4和IPv6的不兼容，使一個(gè)協(xié)議的設(shè)備不能與另一個(gè)協(xié)議的設(shè)備進(jìn)行通信，作者在單位負(fù)責(zé)學(xué)校的信息化推進(jìn)工作，因我校信息化建設(shè)面臨著IPv4基礎(chǔ)網(wǎng)絡(luò)升級(jí)到IPv6網(wǎng)絡(luò)的問(wèn)題，本文作者就如何進(jìn)行校園網(wǎng)IPv6升級(jí)改造，在技術(shù)層面進(jìn)行了一定的研究并將研究所得運(yùn)用到了實(shí)際工作中。

1 ?IPv6升級(jí)改造技術(shù)選型

目前，由于IPv6網(wǎng)絡(luò)資源不如IPv4網(wǎng)絡(luò)，將IPv4網(wǎng)絡(luò)升級(jí)為IPv6的主要過(guò)渡技術(shù)包括翻譯技術(shù)、隧道技術(shù)和雙協(xié)議棧技術(shù)：

（1）翻譯技術(shù)，基于能夠使IPv4和IPv6互聯(lián)互通的無(wú)狀態(tài)翻譯技術(shù)和雙重翻譯技術(shù)的協(xié)議翻譯器，能保證IPv4和IPv6網(wǎng)絡(luò)的互通。

（2）隧道技術(shù)，是在現(xiàn)有IPv4路由系統(tǒng)的基礎(chǔ)上傳輸IPv6數(shù)據(jù)的技術(shù)，是過(guò)渡階段最容易采用的技術(shù)，適用于IPv6主機(jī)/網(wǎng)絡(luò)之間的互通。

（3）雙協(xié)議棧技術(shù)，是同時(shí)運(yùn)行IPv4和IPv6兩套協(xié)議棧，完全兼容IPv4和IPv6，適用于任何IPv4、IPv6網(wǎng)絡(luò)。

從盡量不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)?，不影響用戶的上網(wǎng)體驗(yàn)，平穩(wěn)演進(jìn)到純IPv6網(wǎng)絡(luò)，IPv6升級(jí)應(yīng)盡量使用戶無(wú)感知，IPv6升級(jí)應(yīng)充分考慮可持續(xù)發(fā)展性和可管理性。我校采用的是基于雙棧協(xié)議，IPv4/IPv6共存的網(wǎng)絡(luò)建設(shè)技術(shù)方案。

網(wǎng)站升級(jí)IPv4/IPv6雙棧協(xié)議不是簡(jiǎn)單的升級(jí)，而是一個(gè)系統(tǒng)的全面升級(jí)。雙棧協(xié)議策略的特點(diǎn)是：所有軟硬件設(shè)備同時(shí)運(yùn)行IPv4和IPv6協(xié)議棧，可以同時(shí)處理IPv4和IPv6數(shù)據(jù)包，同時(shí)支持IPv6和IPv4接入。

雙棧升級(jí)包括以下幾個(gè)方面：

（1）網(wǎng)絡(luò)層改造：制定IPv6網(wǎng)絡(luò)升級(jí)方案，開(kāi)放網(wǎng)絡(luò)設(shè)備IPv6協(xié)議，接入ISP運(yùn)營(yíng)商（我校以電信出口為例）IPv6帶寬，獲取IPv6地址，做IPv6地址DHCP策略。

（2）設(shè)備層改造：所有硬件設(shè)備都需要支持IPv6，全部開(kāi)放IPv6協(xié)議棧。

（3）業(yè)務(wù)系統(tǒng)改造：所有前后業(yè)務(wù)管理系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)安全系統(tǒng)、應(yīng)用系統(tǒng)，全部啟用IPv6協(xié)議，支持同時(shí)運(yùn)行IPv4/IPv6協(xié)議[2]。

2 ?網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

我校采用三層網(wǎng)絡(luò)組網(wǎng)架構(gòu)，外網(wǎng)防火墻作為出口路由實(shí)現(xiàn)電信500 Mbps出口、移動(dòng)500 Mbps出口的“兩網(wǎng)接入”，并為不同網(wǎng)絡(luò)業(yè)務(wù)做不同策略路由，外網(wǎng)防火墻旁側(cè)設(shè)置DMZ區(qū)，防火墻同時(shí)對(duì)內(nèi)網(wǎng)和DMZ區(qū)起到第一層安全防護(hù)。下串聯(lián)深信服上網(wǎng)行為管理設(shè)備AC，實(shí)現(xiàn)對(duì)通過(guò)的流量進(jìn)行控制和日志審計(jì)功能。AC下串聯(lián)和城市熱點(diǎn)上網(wǎng)認(rèn)證設(shè)備，采用Web Portal認(rèn)證實(shí)現(xiàn)對(duì)上網(wǎng)用戶的入網(wǎng)認(rèn)證，之后連入核心層交換機(jī)S7606E。核心交換機(jī)完成數(shù)據(jù)高速轉(zhuǎn)發(fā)，并定義部分VLAN接口。再做鏈路聚合下聯(lián)三個(gè)匯聚層交換機(jī)：教師線匯聚交換機(jī)，機(jī)房線匯聚交換機(jī)，數(shù)據(jù)中心交換機(jī)，其中核心交換機(jī)和數(shù)據(jù)中心交換機(jī)之間接入內(nèi)網(wǎng)防火墻，保障服務(wù)器區(qū)的安全。各匯聚層交換機(jī)主要實(shí)現(xiàn)VLAN定義，VLAN接口IP配置，配置靜態(tài)路由完成到核心交換機(jī)的路由可達(dá)。各匯聚交換機(jī)下聯(lián)接入層交換機(jī)，接入層交換機(jī)直連設(shè)備終端。在服務(wù)器區(qū)，由我校自行搭建Web、DHCP、DNS等服務(wù)器，核心層和匯聚層設(shè)備使用DHCP中繼模式使各管理VLAN獲取服務(wù)器分配IPv4地址信息，采用策略路由在核心層選擇不同下一跳路由。電信500 Mbps出口同時(shí)為我校提供IPv4和IPv6業(yè)務(wù)，通過(guò)相同的物理鏈路，完成IPv6數(shù)據(jù)傳輸。學(xué)校網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)如圖1所示。

3 ?IPv6網(wǎng)絡(luò)地址規(guī)劃

學(xué)校在部署IPv6時(shí)，先明確學(xué)校基礎(chǔ)設(shè)備可用性，明確學(xué)校主干網(wǎng)絡(luò)上的設(shè)備是否支持IPv6（尤其是出口設(shè)備、核心設(shè)備、匯聚設(shè)備）;計(jì)費(fèi)、審計(jì)和行為管理等設(shè)備是否支持IPv6。只有各網(wǎng)絡(luò)設(shè)備很好的支持IPv6地址，基于雙棧協(xié)議IPv4/IPv6共存的網(wǎng)絡(luò)建設(shè)方案才能在學(xué)校很好的落實(shí)。IPv6是由128位二進(jìn)制數(shù)構(gòu)成，即32位十六進(jìn)制數(shù)。電信500 Mbps出口給學(xué)校提供的IPv6地址段240E：F3： C000：300：：/56，出口互聯(lián)地址240E：F3：C000：300：：1/126（電信側(cè)），240E：F3：C000：300：：2/126（學(xué)校側(cè)），電信側(cè)已將

“/56”地址段用靜態(tài)路由指向240E：F3：C000：300：：2，紹興職業(yè)技術(shù)學(xué)院側(cè)默認(rèn)路由請(qǐng)指向240E：F3：C000：300：：1，IPv6 DNS地址：240E：1C：200：：1、240E：1C：200：：2。

基于電信給學(xué)校提供的IPv6地址段，學(xué)校在進(jìn)行部署規(guī)劃前，我們應(yīng)先規(guī)劃出特定IPv6地址段作為今后學(xué)校網(wǎng)絡(luò)規(guī)劃中管理地址段以及為互聯(lián)地址段做提前規(guī)劃，方便今后校園網(wǎng)日后的規(guī)劃性拓展做鋪墊。在現(xiàn)已申請(qǐng)的IPv6地址240E：F3：C000：300：：/56中，我們?cè)O(shè)想設(shè)備管理地址使用240E：F3：C000：300：250：：/80;設(shè)備互聯(lián)地址使用240E：F3：C000： 300：192：：/80，出口互聯(lián)地址使用240E：F3：C000： 300：：1/126（電信側(cè)）、240E：F3：C000：300：：2/126（學(xué)校側(cè)）。網(wǎng)絡(luò)設(shè)備管理可以利用原有的交換機(jī)管理VLAN創(chuàng)建IPv6地址進(jìn)行管理，并分配校園網(wǎng)中每個(gè)設(shè)備的管理地址。在劃分IPv6子網(wǎng)時(shí)，80位前綴用作網(wǎng)絡(luò)地址，65～80位地址是IPv4 VLAN號(hào)。格式為：240E：F3：C000：300：1001：：1/80，最后48位地址為用戶的主機(jī)號(hào)，將相應(yīng)的IPv6地址分配給相應(yīng)的IPv4 VLAN，建立DHCP服務(wù)器，通過(guò)DHCPv6（有狀態(tài)）將IPv6地址和IPv6 DNS地址分配給主機(jī)，如表1中分配的地址所示。

4 ?IPv6網(wǎng)絡(luò)路由設(shè)計(jì)

網(wǎng)絡(luò)升級(jí)完成后，全網(wǎng)核心層、匯聚層交換機(jī)均同時(shí)支持IPv4和IPv6。對(duì)IPv4/IPv6雙棧網(wǎng)絡(luò)設(shè)備，核心層、匯聚層IPv6路由采用靜態(tài)或動(dòng)態(tài)路由協(xié)議接入核心層。按照規(guī)劃好的IPv6地址分別配置在各端口上，配置相應(yīng)的路由，需將默認(rèn)路由指向外網(wǎng)出口端，然后出口端防護(hù)墻配置回指路由。由于IPv6出口鏈路目前只有一條，所以不需要考慮多出口路由負(fù)載均衡等問(wèn)題，因此在配置好出口靜態(tài)路由及回程路由之后，開(kāi)啟對(duì)應(yīng)IPv6安全域的防護(hù)即可。用戶入網(wǎng)認(rèn)證方式仍舊采用城市熱點(diǎn)Web Portal三層認(rèn)證，用戶盡量對(duì)網(wǎng)絡(luò)升級(jí)無(wú)感知，降低影響面。核心交換機(jī)VLAN接口配置案例如圖2所示，核心交換機(jī)VLAN接口配置案例如圖3所示。

5 ?應(yīng)用業(yè)務(wù)改造

目前，我校校園網(wǎng)有兩臺(tái)內(nèi)網(wǎng)DNS服務(wù)器（一臺(tái)為主服務(wù)器，一臺(tái)為備用）。對(duì)于此IPv6升級(jí)，需要將IPv6地址和IPv6 DNS信息添加到DNS服務(wù)器。在學(xué)校內(nèi)部運(yùn)營(yíng)網(wǎng)站的域名中添加新的AAAA記錄。在地址分配方面選擇中繼服務(wù)，需要DHCPv6同步更新內(nèi)網(wǎng)中DNS服務(wù)器的地址信息[3]。在Web服務(wù)器升級(jí)方面，互聯(lián)網(wǎng)站點(diǎn)和應(yīng)用對(duì)IPv6網(wǎng)絡(luò)的支持還沒(méi)有普及，“天窗”問(wèn)題突出。當(dāng)我們要利用雙棧協(xié)議技術(shù)對(duì)現(xiàn)有的作業(yè)場(chǎng)所進(jìn)行技術(shù)改造升級(jí)時(shí)，無(wú)論是設(shè)備的優(yōu)化升級(jí)還是程序代碼的修改，如果站點(diǎn)包含指向其他站點(diǎn)的鏈接（鏈外），但鏈外站點(diǎn)尚未升級(jí)IPv6轉(zhuǎn)換，用戶在訪問(wèn)網(wǎng)站時(shí)，會(huì)出現(xiàn)各種問(wèn)題，如響應(yīng)速度慢、內(nèi)容標(biāo)識(shí)丟失、應(yīng)用場(chǎng)景功能失效等，導(dǎo)致用戶體驗(yàn)差，沒(méi)有以前那么友好。如果資金允許，可以使用IPv6協(xié)議翻譯設(shè)備來(lái)緩解這一問(wèn)題。

6 ?結(jié) ?論

在推進(jìn)IPv6網(wǎng)絡(luò)改造升級(jí)時(shí)，必須首先考慮各級(jí)網(wǎng)絡(luò)支撐設(shè)備對(duì)IPv6的技術(shù)支撐，因當(dāng)前大多數(shù)應(yīng)用系統(tǒng)資源還是面向IPv4結(jié)構(gòu)搭建的，所以呼吁網(wǎng)絡(luò)建設(shè)者在規(guī)劃升級(jí)改造方案時(shí)，也勢(shì)必要做好對(duì)現(xiàn)有IPv4應(yīng)用的可訪。網(wǎng)絡(luò)建設(shè)者從規(guī)劃上就應(yīng)明確認(rèn)識(shí)到，升級(jí)不是一蹴而就的，需要多方考量，在保障現(xiàn)有應(yīng)用的有效支撐下進(jìn)行改造。

IPv6的全面普及是必然的發(fā)展趨勢(shì)，但要讓IPv6完成全面取代現(xiàn)有的IPv4還是需要很漫長(zhǎng)的過(guò)渡期。從網(wǎng)絡(luò)建設(shè)者角度來(lái)看，勢(shì)必要結(jié)合當(dāng)前現(xiàn)有環(huán)境，在推進(jìn)IPv6的開(kāi)展時(shí)，必須要考慮相對(duì)平穩(wěn)的過(guò)渡方案，不可一味追求技術(shù)的革新，而忽視IPv4對(duì)現(xiàn)有場(chǎng)景的支撐依靠。

參考文獻(xiàn)：

[1] 陳波，王莉，肖璐，等.校園網(wǎng)IPv6部署與實(shí)踐初探 [J].電腦知識(shí)與技術(shù)，2018，14（21）：33-35.

[2] 姚娟，聞琛陽(yáng).門戶網(wǎng)站IPv6改造的技術(shù)路線選擇 [J].通信電源技術(shù)，2019，36（2）：197-198.

[3] 周強(qiáng).高校IPv6網(wǎng)絡(luò)升級(jí)改造探討 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（4）：107-109.

作者簡(jiǎn)介：謝胡林（1979.08—），男，漢族，浙江紹興人，講師，碩士，研究方向：網(wǎng)絡(luò)和大數(shù)據(jù)。