校園網(wǎng)IPv6升級改造探討

鐘焯榮 張曉鵬

摘 要：國務(wù)院、教育部相繼發(fā)布了關(guān)于《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6） 規(guī)模部署行動計劃》的通知，廣東省教育廳發(fā)布了關(guān)于印發(fā)《全省教育系統(tǒng)加快推進(jìn)IPv6 部署實施意見》的通知，校園網(wǎng)IPv6 升級是必然趨勢。文章將結(jié)合學(xué)校的實際情況，規(guī)劃實施IPv6網(wǎng)絡(luò)的升級改造，同時分享IPv6 網(wǎng)絡(luò)部署建設(shè)的經(jīng)驗。

關(guān)鍵詞：校園網(wǎng);IPv6;升級

0? ? 引言

移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的快速發(fā)展，使IPv4地址資源正逐漸枯竭。隨著國家政策要求網(wǎng)絡(luò)、應(yīng)用、終端等全面支持IPv6，基礎(chǔ)網(wǎng)絡(luò)、各種生產(chǎn)業(yè)務(wù)、應(yīng)用、終端將逐步完成IPv6改造，IPv6網(wǎng)絡(luò)是后續(xù)互聯(lián)網(wǎng)技術(shù)發(fā)展的大勢所趨。

1? ? 基礎(chǔ)網(wǎng)絡(luò)升級

從IPv6協(xié)議產(chǎn)生并進(jìn)入互聯(lián)網(wǎng)運(yùn)行，經(jīng)過多年的發(fā)展，業(yè)界達(dá)成了一個共識，那就是今后相當(dāng)長的一個時期內(nèi)，IPv6網(wǎng)絡(luò)將與IPv4共存，因此在IPv6升級改造時，一個優(yōu)勢就是不用改變原有物理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，只要核心層、匯聚層網(wǎng)關(guān)設(shè)備升級支持IPv6。整體上看IPv6的網(wǎng)絡(luò)配置原理與IPv4網(wǎng)絡(luò)配置原理相似，通過配置設(shè)備接口地址、管理地址、新建IPv6 路由來實現(xiàn)數(shù)據(jù)傳輸，客戶端終端設(shè)備啟用IPv6協(xié)議即可獲取地址并接入網(wǎng)絡(luò)訪問IPv6資源。

1.1? 地址規(guī)劃

本校IPv6網(wǎng)絡(luò)由教育網(wǎng)提供，網(wǎng)絡(luò)物理線路是跟IPv4同一線路，采用雙棧的方式接入教育網(wǎng)主干線路，申請到全球真實可路由的地址為2001：da8：2004：：/48。根據(jù)學(xué)校網(wǎng)絡(luò)的設(shè)備功能、區(qū)域劃分，制訂了IPv6地址使用規(guī)劃，確定IPv6子網(wǎng)劃分的最小單位為2^64，如2001：da8：2004：1000：：/64，并根據(jù)核心路由交換機(jī)、核心-匯聚互聯(lián)、接入層管理地址、用戶業(yè)務(wù)地址、服務(wù)器應(yīng)用業(yè)務(wù)等進(jìn)行大類、大子網(wǎng)地址分區(qū)，如華山區(qū)域用戶業(yè)務(wù)IP范圍 2001：da8：2004：2000～2FFF：：/64，在策略配置時，路由可以做匯聚，簡化路由條目。

1.2? 網(wǎng)絡(luò)拓?fù)?/p>

我校校園網(wǎng)采用的是3層網(wǎng)絡(luò)架構(gòu)，即核心-匯聚-接入層，其物理線路連接就是原來IPv4的網(wǎng)絡(luò)連接線路，不需改變原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，采用雙棧的方式配置IPv6地址及路由，其中核心設(shè)備之間采用支持IPv6路由的動態(tài)路由協(xié)議OSPFv3，實現(xiàn)鏈路狀態(tài)的最短路徑走向，核心-匯聚之間采用靜態(tài)路由協(xié)議，根據(jù)目的地址配置策略在核心上做靜態(tài)路由指向。

1.3? 子網(wǎng)和客戶端配置

在子網(wǎng)配置上采用了無狀態(tài)自動配置的方式，地址分配是根據(jù)EUI64算法轉(zhuǎn)化后得到，EUI64主要將48位MAC地址轉(zhuǎn)換成64位地址。如以下vlan 67子網(wǎng)在不影響原來IPv4業(yè)務(wù)基礎(chǔ)上，新增IPv6 后配置信息，客戶端只需配置了IPv6協(xié)議即獲取到IPv6地址。

1.4? 隧道轉(zhuǎn)換

部分網(wǎng)絡(luò)區(qū)域不支持雙棧方式接入IPv6網(wǎng)絡(luò)，以及使用家庭寬帶路由器、無線路由器等下接的終端是無法使用IPv6的，這種情況可以通過ISATAP隧道轉(zhuǎn)換的方式來解決。它是一種基于IPv4地址生成IPv6本地鏈路地址的方法，通過建立虛擬的IPv6網(wǎng)絡(luò)接口，將主機(jī)的IPv4地址比特串加上特定IPv6前綴作為接口的IPv6地址，隧道的配置和通過隧道方式轉(zhuǎn)換成IPv6地址的方法和測試結(jié)果如下：

2? ? 軟件升級

軟件升級包括各類操作系統(tǒng)、Web服務(wù)軟件、DNS服務(wù)、郵件服務(wù)、數(shù)據(jù)庫等，這些系統(tǒng)基本都能很好地支持IPv6，而應(yīng)用系統(tǒng)如何平滑遷移是網(wǎng)絡(luò)升級改造成敗的關(guān)鍵。

2.1? 地址分配

業(yè)務(wù)應(yīng)用系統(tǒng)軟件等是對外提供網(wǎng)絡(luò)服務(wù)的，提供服務(wù)的地址應(yīng)當(dāng)固定，地址分配采用手工分配有狀態(tài)固定地址，指導(dǎo)思想是匹配管理原有的IPv4地址，使其有規(guī)律可循，如原IPv4地址為202.116.160.16，所劃分IPv6子網(wǎng)為2001：da8：2004：1000：：/64，則對應(yīng)分配的IPv6地址為2001：da8：2004：1000：202：116：160：16/64，方便記憶與管理。

2.2? DNS服務(wù)

我校DNS服務(wù)采用的是BIND搭建的DNS服務(wù)器，其操作系統(tǒng)Centos和BIND都已支持IPv6，只需服務(wù)器新增IPv6地址，BIND服務(wù)監(jiān)聽所有地址就可以提供解析服務(wù)。增加域名IPv6解析需在區(qū)域文件中添加AAAA記錄，如我校主頁V4、V6解析記錄為：

2.2? Web服務(wù)

當(dāng)前主流的Web服務(wù)軟件Apache，IIS，Resin，Nginx都能很好地支持IPv6協(xié)議，系統(tǒng)配置新增地址，如業(yè)務(wù)系統(tǒng)代碼沒有特別的限制，一般都能平滑遷移過渡到IPv6環(huán)境。如Web服務(wù)軟件為apache，修改其配置文件添加以下內(nèi)容：

目前，我校已對主要的網(wǎng)站進(jìn)行了雙棧方式的IPv6升級改造，并持續(xù)運(yùn)行穩(wěn)定。

2.3? 反向代理

反向代理服務(wù)就是在不對原有系統(tǒng)做任何改變的情況下，利用dns解析AAAA記錄到反向代理服務(wù)上，我校采用了Nginx服務(wù)軟件配置了反向代理服務(wù)器，為一些老舊系統(tǒng)進(jìn)行平滑升級到IPv6。在配置文件添加內(nèi)容：

3? ? 結(jié)語

校園網(wǎng)升級IPv6，設(shè)備升級是基礎(chǔ)，實現(xiàn)對現(xiàn)有IPv4應(yīng)用的無縫遷移到IPv6訪問是關(guān)鍵，因此在實施升級改造前應(yīng)做好方案規(guī)劃、全面考慮，根據(jù)學(xué)校的實際情況，循序漸進(jìn)、分步實施，推進(jìn)IPv6 網(wǎng)絡(luò)建設(shè)。

[參考文獻(xiàn)]

[1]周強(qiáng).高校IPv6網(wǎng)絡(luò)升級改造探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（4）：107-109.

[2]周軍宏.關(guān)于校園網(wǎng)IPv6 升級的思考[J].電腦編程技巧與維護(hù)，2019（12）：67-69.

[3]劉清濤.IPv6 網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造[J].信息與電腦（理論版），2018（10）：144-145.

（編輯 王雪芬）