基于IPv6技術的高職院校校園網(wǎng)升級與建設分析

劉斌

摘要：“十四五”時期，我國將加快數(shù)字化發(fā)展進程，大力推進數(shù)字化建設。作為數(shù)字政府建設的重要組成部分，全國各地教育行政部門也在積極推進數(shù)字化改革。高校作為國家人才培養(yǎng)的重要基地和科學技術創(chuàng)新的重要源泉，在教育改革與發(fā)展中扮演著舉足輕重的角色。當前，校園網(wǎng)主要采用IPv4協(xié)議，然而，隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，IPv4地址短缺的問題日益凸顯。IPv6協(xié)議因地址資源豐富、擴展性良好、安全性高而在應對業(yè)務挑戰(zhàn)時展現(xiàn)出明顯優(yōu)勢。隨著IPv6產(chǎn)業(yè)鏈的逐漸成熟，從IPv4向IPv6的遷移已成為校園網(wǎng)規(guī)劃建設的必然選擇。

關鍵詞：IPv6協(xié)議；校園網(wǎng)；雙棧技術；隧道技術

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）10-0097-03

1 IPv6 的優(yōu)勢和現(xiàn)狀

IPv6被譽為下一代互聯(lián)網(wǎng)的協(xié)議，針對IPv4地址逐漸耗盡的問題，IETF設計了IPv6協(xié)議以替代IPv4 協(xié)議[1]。IPv4地址與IPv6地址在多個方面存在顯著差異：（1） 相較于32位的IPv4地址，128位的IPv6地址擁有更龐大的地址空間。盡管不需要為每一粒沙子分配一個IP地址，但這足以說明IPv6地址空間的巨大容量。（2） IPv6地址取消了IPv4地址報頭中的偏移和填充等字段，簡化后的報頭格式提高了數(shù)據(jù)傳輸?shù)男?。?） IPv4地址在進行路由聚合時，通常根據(jù)前綴進行單一聚合；而IPv6地址由于其分級尋址結構，使得聚合過程更為靈活和高效。（4） IPv4在設計初期并未充分考慮安全性問題，導致網(wǎng)絡數(shù)據(jù)包易受攻擊者劫持、篡改和重放等威脅，影響網(wǎng)絡穩(wěn)定性與安全性。為提高安全性，應用層協(xié)議不得不引入復雜的安全機制，但這往往會影響系統(tǒng)的傳輸效率和用戶體驗。相反，IPv6內(nèi)置安全機制，提供數(shù)據(jù)源認證、完整性和保密性功能，并能有效防范重放攻擊。（5） IPv4的數(shù)據(jù)包最大長度限制為1 500字節(jié)，而IPv6的數(shù)據(jù)包最大長度可達65 535字節(jié)。此外，IPv6還擁有更多的QoS 字段，從而提供更優(yōu)質(zhì)的服務質(zhì)量和更精確的流量控制。（6） IPv6支持自動配置功能，并擴展了DHCP，極大地簡化了網(wǎng)絡運維管理的難度。（7） IPv6與當前熱門的網(wǎng)絡技術SR（Segment Routing，分段路由）相結合，形成的SRv6具備多項強大能力：加速了云網(wǎng)融合進程，為用戶帶來更佳體驗；同時，具備強大的可編程能力，能夠?qū)崿F(xiàn)網(wǎng)絡路徑、業(yè)務、轉發(fā)行為三層可編程空間，滿足不同業(yè)務的多樣化需求；此外，基于SDN架構，SRv6能夠?qū)贸绦蛐畔⑷谌刖W(wǎng)絡，基于全局信息進行網(wǎng)絡調(diào)度和優(yōu)化。

2 IPv4 到IPv6過渡技術

雖然IPv6相比IPv4擁有諸多優(yōu)勢，但在過去的幾十年中，IPv4地址得到了廣泛應用，許多現(xiàn)有的網(wǎng)絡和設備都是基于IPv4運行的。為了實現(xiàn)平穩(wěn)過渡，許多過渡機制被開發(fā)出來，以便IPv4和IPv6之間順暢通信。

在保證現(xiàn)有網(wǎng)絡正常運行的前提下，常用的過渡技術主要有3種：（1） 雙棧技術。雙棧技術是IPv4到IPv6過渡的基礎。雙協(xié)議棧技術指在同一臺設備上同時支持IPv4和IPv6協(xié)議棧，從而分別實現(xiàn)與IPv4或IPv6節(jié)點間的信息互通。雙棧節(jié)點使用IPv6地址與IPv6網(wǎng)絡通信，同時使用IPv4地址與IPv4網(wǎng)絡通信[2]。節(jié)點上的IPv4與IPv6可以完全獨立，也可以有所關聯(lián)。在DNS解析操作中，增加了AAAA記錄，專門用于提供域名和IPv6地址的解析。如果雙棧主機收到DNS返回的AAAA記錄，就使用IPv6地址；如果收到A 記錄，則使用IPv4地址。（2） 隧道技術。在IPv6徹底取代IPv4之前，需要有接入網(wǎng)技術率先部署IPv6協(xié)議棧，而這些網(wǎng)絡就會成為IPv4海洋中的IPv6孤島。隧道技術可以利用現(xiàn)有的IPv4設備為IPv6主機提供服務，使這些IPv6孤島可以通過IPv4網(wǎng)絡進行通信。在進行數(shù)據(jù)包傳輸時，發(fā)送端的隧道端點將IPv6數(shù)據(jù)包作為IPv4的負載數(shù)據(jù)封裝進IPv4數(shù)據(jù)包中，然后在IPv4網(wǎng)絡中進行傳送[3]。當接收端收到IPv4封裝包后，拆掉IPv4的報頭，取出IPv6的數(shù)據(jù)包繼續(xù)處理。（3） 地址轉換技術。地址轉換技術是一種實現(xiàn)由IPv4 到IPv6節(jié)點互通的方式。通過在網(wǎng)絡中增加轉換器，由轉換器完成地址和協(xié)議的轉換。

3 校園網(wǎng)現(xiàn)狀分析

本文以克拉瑪依職業(yè)技術學院為例進行分析，學院現(xiàn)有的計算中心網(wǎng)絡分為兩個區(qū)域：校園內(nèi)網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)。教學樓、辦公樓、體育館、圖書館等通過內(nèi)網(wǎng)訪問計算中心服務器。在訪問外網(wǎng)業(yè)務時，首先經(jīng)過核心交換機到防火墻，之后通過出口路由器訪問外網(wǎng)業(yè)務。

學院以建筑為基礎構造網(wǎng)絡拓撲結構，根據(jù)實際需求劃分區(qū)域并對IP地址進行規(guī)劃。在充分考慮了現(xiàn)有網(wǎng)絡需求和未來網(wǎng)絡規(guī)劃的基礎上，學院選擇合適的網(wǎng)絡設備，以保證各區(qū)域網(wǎng)絡的正常運行。在網(wǎng)絡規(guī)劃時，學院首先要考慮的是滿足學習和教學需要，因此將圖書館、體育館、教學樓、辦公樓等劃分到網(wǎng)絡中樞，這樣數(shù)據(jù)轉發(fā)的安全性和可靠性可以得到保障。而學生宿舍樓上網(wǎng)用戶較多，網(wǎng)絡容易產(chǎn)生擁塞，因此需要進行流量的控制，并保證網(wǎng)絡的開放性和可靠性。目前，學院現(xiàn)有網(wǎng)絡均采用IPv4協(xié)議部署，中心機房設備支持IPv6功能，但網(wǎng)絡架構不合理，需要在進行IPv6改造的同時進行網(wǎng)絡優(yōu)化。現(xiàn)有網(wǎng)絡拓撲如圖1所示。

4 校園網(wǎng)亟須滿足的優(yōu)化要求

1） 為了滿足教學秩序的正常運行和教師、學生對互聯(lián)網(wǎng)資源的訪問需求，文章結合校區(qū)現(xiàn)有的網(wǎng)絡環(huán)境，整合現(xiàn)有網(wǎng)絡資源，以先進適用的技術為基礎，旨在建立一個安全、可控、可管理且能正常運行的全面支持IPv4/IPv6的網(wǎng)絡環(huán)境。

2） 在進行網(wǎng)絡升級優(yōu)化時，必須構建統(tǒng)一的網(wǎng)絡防護體系和信任體系，以保障校園網(wǎng)網(wǎng)絡傳輸?shù)捻槙?，支撐各類校園網(wǎng)業(yè)務，確保數(shù)據(jù)安全。同時，為各級分院開展業(yè)務應用提供高速、安全的網(wǎng)絡支持及相關應用服務保障。設備選型和網(wǎng)絡設計應充分考慮可靠性，包括引擎、風扇、單板等網(wǎng)元級以及路由、交換、匯聚等網(wǎng)絡級的可靠性設計。此外，應具備故障檢測和恢復能力，確保在故障發(fā)生時能夠迅速恢復網(wǎng)絡和數(shù)據(jù)，保障業(yè)務的正常運行。網(wǎng)絡的性能也應足夠強大，滿足學校各種應用需求，包括數(shù)據(jù)處理、存儲、傳輸?shù)?。在應對自然環(huán)境因素，如氣候條件、電磁干擾時，應具備較高的抗干擾能力，以確保網(wǎng)絡在各種環(huán)境下的穩(wěn)定運行。

3） 目前，學校的數(shù)據(jù)共享平臺尚不完善，存在數(shù)據(jù)格式不兼容、數(shù)據(jù)質(zhì)量不高、數(shù)據(jù)更新不及時等問題。不同部門間的數(shù)據(jù)標準不統(tǒng)一，導致數(shù)據(jù)難以相互識別和交流。此外，數(shù)據(jù)共享過程中還涉及個人隱私和敏感信息的保護問題，現(xiàn)有網(wǎng)絡對數(shù)據(jù)安全和隱私保護的考慮尚顯不足。為解決上述問題，升級和改造后的網(wǎng)絡須滿足以下需求：（1） 建設高速、穩(wěn)定、安全的校園網(wǎng)絡，在規(guī)劃和管理網(wǎng)絡拓撲結構、網(wǎng)絡設備和網(wǎng)絡安全時充分考慮數(shù)據(jù)共享的需求。（2） 支持學院各部門數(shù)據(jù)共享與業(yè)務聯(lián)動，構建全校范圍內(nèi)的數(shù)據(jù)共享平臺，消除業(yè)務系統(tǒng)間的“數(shù)據(jù)孤島”。（3） 建立學校數(shù)據(jù)中心，集中存儲和管理全校數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的統(tǒng)一管理和維護，確保數(shù)據(jù)的完整性和安全性。（4） 構建數(shù)據(jù)共享平臺，提供數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換等功能，促進全校范圍內(nèi)數(shù)據(jù)的共享和流通。（5） 制定統(tǒng)一的數(shù)據(jù)標準，包括數(shù)據(jù)格式、數(shù)據(jù)編碼等，確保不同部門間的數(shù)據(jù)能夠相互識別和交流。（6） 開發(fā)數(shù)據(jù)共享接口，便于不同部門間的數(shù)據(jù)交互和共享，同時保障數(shù)據(jù)的安全性和隱私保護。（7） 制定數(shù)據(jù)共享管理制度，明確數(shù)據(jù)共享的范圍、權限、責任等，確保數(shù)據(jù)共享的規(guī)范性和安全性。（8） 采取加密、身份驗證、訪問控制等多種安全措施，確保數(shù)據(jù)在共享過程中的安全性，防止數(shù)據(jù)泄露和被攻擊。

4） 目前，學院已全面實行線上線下混合式教學，校園網(wǎng)須處理大量數(shù)據(jù)和流量，包括視頻、音頻、圖片、文字等。這種教學模式對網(wǎng)絡的互動性、延遲和響應速度提出了更高要求，以確保師生間的互動交流和在線測試等操作的順暢進行。同時，考慮到高峰時段可能出現(xiàn)的網(wǎng)絡訪問量激增，學院的網(wǎng)絡設備須具備足夠的負載能力，以保障網(wǎng)絡的穩(wěn)定運行。此外，線上線下混合式教學還應具備一定的存儲和數(shù)據(jù)處理能力，以便存儲和加工教學資源，如視頻、音頻、PPT 等。對于需要長期保存的數(shù)據(jù)，還要制定可靠的備份和存儲方案。因此，在升級建設時，學院應優(yōu)化網(wǎng)絡設備，提升網(wǎng)絡帶寬和數(shù)據(jù)處理能力，確保網(wǎng)絡的高效運行。

5） 校園網(wǎng)應具有高可靠性、安全性、可擴展性和易用性等特點，以滿足學校各項業(yè)務的需求。具體而言：（1） 校園網(wǎng)的核心設備和關鍵部件應采用高可靠性設計，具備冗余和容錯能力，確保在設備故障時能自動切換到備用設備，避免網(wǎng)絡中斷。（2） 建立完善的安全防御體系，包括防火墻、入侵檢測系統(tǒng)、病毒防護等，有效防范外部攻擊和內(nèi)部破壞，保障網(wǎng)絡的穩(wěn)定和安全。（3） 提供數(shù)據(jù)備份和恢復機制，確保重要數(shù)據(jù)的安全可靠，并制定長期數(shù)據(jù)的可靠存儲方案。（4） 采用不間斷電源（UPS） 或雙路供電等措施，確保網(wǎng)絡設備電源供應的穩(wěn)定性。（5） 建立完善的備份和恢復機制，定期備份關鍵網(wǎng)絡設備和數(shù)據(jù)，確保在需要時能夠快速恢復。（6） 采用智能化的網(wǎng)絡管理系統(tǒng)，實時監(jiān)控網(wǎng)絡設備的運行狀態(tài)和網(wǎng)絡流量，及時發(fā)現(xiàn)并排除故障，保障網(wǎng)絡的穩(wěn)定運行[4]。（7） 提供完善的用戶支持服務，包括技術支持、售后服務等，幫助用戶解決問題，提高用戶滿意度。

5 校園網(wǎng)規(guī)劃設計路徑

5.1 校園網(wǎng)升級改造總體要求

1） 完成端到端的IPv6承載改造，確保改造后全網(wǎng)具備IPv4和IPv6業(yè)務承載能力。在推進本次IPv6升級改造時，應著眼長遠，統(tǒng)籌規(guī)劃，確保升級后的網(wǎng)絡具備可擴展能力。同時保障平穩(wěn)過渡，以維持業(yè)務的連續(xù)性。

2） 提升全網(wǎng)承載能力，使其具備萬兆互聯(lián)的承載能力。

3） 提升全網(wǎng)安全性，確保校園網(wǎng)外網(wǎng)符合三級等保要求。在從IPv4向IPv6的升級過程中，應特別注意IPv6引入所帶來的安全風險，并制定相應的安全防護策略和安全技術部署方案。

5.2 校園網(wǎng)升級改造具體要求

1） 針對互聯(lián)網(wǎng)區(qū)設備進行IPv6改造，新的互聯(lián)網(wǎng)出口區(qū)規(guī)劃應包括：出口交換機、負載均衡器、防火墻和上網(wǎng)行為管理設備，整體要求支持IPv6，且設備應能達到1.5G吞吐。設備應雙機部署，以保障骨干設備的冗余性，并增加互聯(lián)網(wǎng)帶寬。

2） 對骨干設備和鏈路進行升級改造，其中出口路由器、匯聚交換機應支持IPv4、IPv6協(xié)議，無須更換設備，只需進行軟件升級。骨干鏈路應增加到2G，須在出口路由器、匯聚交換機增加萬兆板卡，以擴充鏈路。

3） 對于不支持IPv6的設備，須逐步替換或升級軟件以支持IPv6。在此過程中，應確保新設備或升級后的軟件能與現(xiàn)有系統(tǒng)良好配合。在進行IPv6地址分配時，對于支持IPv6的終端，應為其分配IPv4公有地址和IPv6地址?？墒褂肈HCPv4和DHCPv6服務進行地址分配，也可手動配置。對于不支持IPv6的終端，應逐步替換。

4） 核心交換機在全局模式下啟動IPv6協(xié)議棧，同時運行IPv4 和IPv6 功能，對需要的LoopBack 配置IPv6地址，上行接口配置IPv6地址[5]。

5） 將現(xiàn)有防火墻部署在服務器區(qū)，作為服務器區(qū)的邊界防護設備。同時確保防火墻能支持IPv6，并能根據(jù)安全策略對IPv4 和IPv6 業(yè)務流量進行過濾和控制。

6） 設備互聯(lián)地址規(guī)劃為/64前綴長度，設備管理地址使用LoopBack地址，使用/128前綴長度。主機使用靜態(tài)IPv6地址，DNS、網(wǎng)關等均由人工配置。

7） 對現(xiàn)有數(shù)據(jù)中心的服務器、存儲設備、網(wǎng)絡設備進行升級。服務器應采用高性能服務器，支持虛擬化功能，并將多臺服務器組成服務器集群。存儲設備應采用磁盤陣列搭配NAS設備的方式，實現(xiàn)靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)分開存放。服務器和存儲設備間應采用以太網(wǎng)光纖通道（FCOE） 連接。

5.3 校園網(wǎng)升級改造實施步驟

第一階段：完成對外網(wǎng)骨干網(wǎng)絡的IPv6升級改造，防火墻采用翻譯技術，將IPv6地址轉換成IPv4地址。各樓宇終端訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)業(yè)務時，將IPv6地址轉換成IPv4地址。第二階段：在外網(wǎng)骨干網(wǎng)絡IPv6 改造完成后，逐步對各樓宇進行IPv6改造，將IPv4地址統(tǒng)一修改為IPv6地址，對不支持IPv6的設備進行替換，同時升級數(shù)據(jù)中心設備，共享數(shù)據(jù)。第三階段：經(jīng)過前兩個階段的設計和建設，逐步取消IPv4協(xié)議的應用，使用純IPv6的網(wǎng)絡和客戶端。

6 結束語

隨著下一代互聯(lián)網(wǎng)的快速發(fā)展，部署IPv6地址已經(jīng)迫在眉睫。為了保證現(xiàn)有IPv4業(yè)務能夠正常訪問，研究應充分調(diào)研現(xiàn)有設備對IPv6地址的支持情況，制定詳細的規(guī)劃方案。在規(guī)劃中，應根據(jù)不同的場景使用不同的地址過渡方式，實現(xiàn)校內(nèi)IPv6地址之間的互訪以及對業(yè)務應用的訪問。

參考文獻：

[1] 劉喆.IPv6淺析 ——搭建雙棧地址訪問網(wǎng)站[J].信息技術與信息化，2022（6）：134-137.

[2] 姚坤.高校校園網(wǎng)建設方案的設計與研究[D].銀川：北方民族大學，2013.

[3] 董一芬.IPv6的實現(xiàn)技術與基礎應用研究[D].濟南：山東大學，2007.

[4] 許佳偉.基于校園網(wǎng)環(huán)境下IPv6過渡解決方案的設計與實現(xiàn)[D].武漢：華中科技大學，2011.

[5] 董超.蚌埠市政務外網(wǎng)IPv6改造方案設計[J].電腦知識與技術，2021，17（17）：255-256.

【通聯(lián)編輯：代影】