校園網(wǎng)絡(luò)IPv6地址規(guī)劃探析

摘 要：IPv6技術(shù)是互聯(lián)網(wǎng)升級(jí)演進(jìn)的必然趨勢(shì)，是校園網(wǎng)絡(luò)規(guī)劃階段需要重點(diǎn)考慮的環(huán)節(jié)。IPv6地址規(guī)劃需要考慮路由性能、路由策略和安全等因素，合理的IP地址規(guī)劃可以直觀地識(shí)別節(jié)點(diǎn)屬性，提高網(wǎng)絡(luò)的可管理性。IPv6地址分配方法主要有單調(diào)分配、稀疏分配、最適合分配、隨機(jī)分配和前綴委托等。以作者所在學(xué)校為例，介紹IPv6地址的規(guī)劃，期待能為有類似需求的單位提供一點(diǎn)有益的探索和借鑒。

關(guān)鍵詞：校園網(wǎng)絡(luò)；IPv6；地址規(guī)劃；DHCPv6；最適合分配

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2024）23-0044-04

Abstract： IPV6 technology is the inevitable trend of Internet upgrading and evolution， and it is also a key link that needs to be considered in the stage of campus network planning. IPv6 address planning needs to consider routing performance， routing strategy and security. Reasonable IP address planning can directly identify node attributes and improve the manageability of the network. IPv6 address allocation methods mainly include monotone allocation， sparse allocation， most suitable allocation， random allocation and prefix delegation， and so on. Taking the author's school as an example， this paper introduces the planning of IPv6 address， and expects to provide some useful exploration and reference for units with similar needs.

Keywords： campus network; IPv6; address planning; DHCPv6; most suitable allocation

IPv6（Internet Protocol Version 6，互聯(lián)網(wǎng)協(xié)議第6版）是互聯(lián)網(wǎng)工程任務(wù)組（IETF）設(shè)計(jì)的用來(lái)替代IPv4的下一代IP協(xié)議，隨著互聯(lián)網(wǎng)技術(shù)的不斷革新、互聯(lián)網(wǎng)規(guī)模的異常龐大， IPv6替代IPv4是互聯(lián)網(wǎng)升級(jí)演進(jìn)的必然趨勢(shì)[1]。國(guó)家對(duì)IPv6的建設(shè)非常重視，2021年7月中央網(wǎng)信辦、國(guó)家發(fā)展改革委、工業(yè)和信息化部印發(fā)《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，要求堅(jiān)定不移推進(jìn)IPv6規(guī)模部署和應(yīng)用，IPv6的部署有著重要的意義[2]。2023年4月，中央網(wǎng)信辦等三部門印發(fā)《深入推進(jìn)IPv6規(guī)模部署和應(yīng)用2023年工作安排》，要求堅(jiān)持以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo)，全面貫徹落實(shí)黨的二十大精神，扎實(shí)推動(dòng)IPv6規(guī)模部署和應(yīng)用向縱深發(fā)展，為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)提供有力支撐。

1 IPv6技術(shù)概述

1.1 IPv6地址介紹

IPv4采用了32位地址，而IPv6采用了128位地址長(zhǎng)度，幾乎可以不受限制地提供IP地址。為了方便使用，IPv6地址采用冒分十六進(jìn)制表示法，即將128位IPv6地址每16位分為1節(jié)，中間用冒號(hào)分隔，然后轉(zhuǎn)換成十六進(jìn)制表示。IPv6地址可以采用0位壓縮表示法，可以對(duì)每一節(jié)中前位的0進(jìn)行省略，另外，一個(gè)IPv6地址中可能包含很長(zhǎng)一段的0，可以對(duì)連續(xù)的0用雙冒號(hào)代替，為保證地址解析的唯一性，雙冒號(hào)只能使用一次[3]。IPv6定義了三大類地址，即單播地址、組播地址和任播地址，其中單播地址表示單一接口的地址，又包括全局單播地址、唯一本地地址和鏈路本地地址，全局單播IPv6地址的有效范圍是全局有效，相當(dāng)于IPv4的公網(wǎng)地址，因此IPv6網(wǎng)絡(luò)可以實(shí)現(xiàn)端到端的完整通信，避免了網(wǎng)絡(luò)地址轉(zhuǎn)換。與IPv4相比，IPv6具有擴(kuò)大了地址空間、固定首部的格式不同、提高了網(wǎng)絡(luò)的整體吞吐量、可以實(shí)現(xiàn)優(yōu)先級(jí)控制和QoS保障、提供有效的端到端的安全保證、支持即插即用和移動(dòng)性以及更好地實(shí)現(xiàn)了組播功能等優(yōu)點(diǎn)[4]。

1.2 IPv6接口標(biāo)識(shí)符分配

IPv6地址的組成方式是“子網(wǎng)前綴+接口標(biāo)識(shí)符”，這個(gè)后64位的接口標(biāo)識(shí)符在單播IPv6地址的64位子網(wǎng)前綴中是唯一的。IPv6接口標(biāo)識(shí)符通常有以下幾種，RFC2464定義的EUI-64恒定接口標(biāo)識(shí)符、RFC4941定義的隨機(jī)產(chǎn)生接口標(biāo)識(shí)符，或RFC7217定義的穩(wěn)定語(yǔ)義不透明接口標(biāo)識(shí)符。IPv6地址也可以進(jìn)行靜態(tài)配置，即手動(dòng)分配地址，通過(guò)接口界面、命令行進(jìn)行手動(dòng)配置。由于IPv6的地址很長(zhǎng)，手動(dòng)配置的難度較大，通常通過(guò)DHCPv6協(xié)議解決地址分配問(wèn)題。

DHCPv6是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，可以用來(lái)集中管理、分配IP地址，使客戶端動(dòng)態(tài)獲得IPv6地址、前綴、網(wǎng)關(guān)地址和DNS服務(wù)器地址等信息，并能夠提升地址的使用率，DHCP協(xié)議的前身是BOOTP協(xié)議，使用UDP協(xié)議工作。DHCPv6基本協(xié)議主要有DHCPv6服務(wù)器和DHCPv6客戶端2種角色。DHCPv6服務(wù)器負(fù)責(zé)處理來(lái)自客戶端的地址分配、地址續(xù)租、地址釋放等請(qǐng)求，為客戶端分配IPv6地址/前綴和其他網(wǎng)絡(luò)配置信息。DHCPv6客戶端通過(guò)與DHCPv6服務(wù)器進(jìn)行交互，獲取IPv6網(wǎng)絡(luò)配置信息。一般情況下，DHCPv6客戶端通過(guò)本地鏈路范圍的組播地址與DHCPv6服務(wù)器通信，完成自身的地址配置功能，DHCPv6服務(wù)器為DHCPv6客戶端分配IPv6地址。DHCPv6又分為2種，RFC3315定義的有狀態(tài)DHCPv6和RFC3736定義的無(wú)狀態(tài)DHCPv6。對(duì)于有狀態(tài)DHCPv6，DHCPv6服務(wù)器能自動(dòng)配置IPv6地址和前綴，同時(shí)分配DNS、NIS、SNTP服務(wù)器等網(wǎng)絡(luò)配置參數(shù)；對(duì)于無(wú)狀態(tài)DHCPv6，IPv6地址通過(guò)路由通告RA方式自動(dòng)生成，DHCPv6服務(wù)器只分配除IPv6地址以外的配置參數(shù)。相對(duì)其他分配IPv6地址的方式而言，DHCPv6的有狀態(tài)地址分配方式對(duì)企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)更便于管理[5]。

2 IPv6地址規(guī)劃的原則和方法

IP地址規(guī)劃的目標(biāo)是為基礎(chǔ)架構(gòu)和終端用戶提供方便運(yùn)維管理的IP地址容量，實(shí)現(xiàn)節(jié)點(diǎn)通信和互聯(lián)網(wǎng)訪問(wèn)，IP地址的可視化映射。一份結(jié)構(gòu)良好的IP地址規(guī)劃能從其IP地址直觀地識(shí)別節(jié)點(diǎn)屬性，提高網(wǎng)絡(luò)的可管理性和降低排錯(cuò)時(shí)間。

2.1 IPv6地址規(guī)劃的原則

IPv6地址規(guī)劃需要考慮3個(gè)因素：路由性能、路由策略和安全[6]。路由器通過(guò)路由表進(jìn)行路由選擇，在與對(duì)端路由器進(jìn)行周期性的路由通信時(shí)，路由表將會(huì)被更新。對(duì)于大型網(wǎng)絡(luò)，在每個(gè)路由協(xié)議中處理的路由數(shù)量，一定程度上影響了用戶IP報(bào)文的處理；另外，如果路由協(xié)議更新的路由表數(shù)量非常巨大，則正在處理的IP封包會(huì)需要更多的周期。因此，對(duì)每個(gè)網(wǎng)絡(luò)，支持層級(jí)化的IP地址分配方案能幫助提高路由性能。路由策略和安全策略都是基于IP地址來(lái)實(shí)現(xiàn)，比如基于源或者目的IP地址，或者端口號(hào)等頭部信息來(lái)進(jìn)行數(shù)據(jù)包過(guò)濾。因此，IP地址規(guī)劃將會(huì)對(duì)安全策略的配置與更新等日常管理產(chǎn)生影響。如果進(jìn)行了合理的IP地址規(guī)劃，可以簡(jiǎn)化基于IP地址的訪問(wèn)控制列表ACL配置，以便在路由器、防火墻、DNS服務(wù)器和設(shè)備的ACL中可以用較少的條目來(lái)定義ACL[7]。持續(xù)的安全審計(jì)工作可能需要重定向流量，分割或隔離已知病毒或木馬的網(wǎng)站或應(yīng)用系統(tǒng)，以進(jìn)行排錯(cuò)與分析。

2.2 IPv6地址規(guī)劃的方法

IPv6地址的分配技術(shù)主要有單調(diào)分配、稀疏分配、最適合分配、隨機(jī)分配和前綴委托5種。

單調(diào)分配方案最為簡(jiǎn)單，僅僅用于分配子網(wǎng)，以1位十六進(jìn)制元為例，從塊地址0，1，2開始計(jì)算，直到F，在當(dāng)前層面提供最多16個(gè)子網(wǎng)。如果在一個(gè)特定層需要分配超過(guò)16個(gè)子網(wǎng)，可以分配2位，最多提供256個(gè)地址塊。

稀疏分配技術(shù)是一種盡可能的分散分配，最適合于分配匯聚層，它是從最左邊的位元開始劃分，其序列為0000，1000，0100，1100，0010……用十六進(jìn)制表示為0，8，4，C，2，A，6，E……其本質(zhì)上是從最左邊開始按位計(jì)算，是盡可能的分散分配。這種方案的動(dòng)機(jī)除了分配地址之外，也為未來(lái)的成長(zhǎng)預(yù)留分配空間。

最適合分配方法試圖以最佳的方式來(lái)壓縮每個(gè)地址塊，類似于IPv4中的無(wú)類域間路由（CIDR）技術(shù)，可以更加精確地符合地址容量的需求，并且節(jié)省IP地址空間。比如辦公網(wǎng)絡(luò)需要更大的地址空間，我們分配了/52前綴地址，而無(wú)線網(wǎng)絡(luò)和監(jiān)控網(wǎng)絡(luò)分配了/56前綴地址。在擁有海量IPv6地址空間的今天，這可能不是一個(gè)重點(diǎn)考慮的因素。

隨機(jī)分配方法是把用于分配的比特位進(jìn)行隨機(jī)化。定義一個(gè)0至15（F）的隨機(jī)數(shù)，如果沒(méi)有分配，就分配此地址塊。比如塊地址依次分配的是5，B，2，F(xiàn)，8……這種隨機(jī)分配方案避免使用單調(diào)塊計(jì)算分配的站點(diǎn)或子網(wǎng)，從安全的角度來(lái)說(shuō)，使別人更難以跟蹤和發(fā)現(xiàn)你的IP分配計(jì)劃。

前綴委托本身不是一種分配技術(shù)，但它為使用DHCPv6協(xié)議的網(wǎng)絡(luò)提供了一種自動(dòng)分配的機(jī)制。配置了地址池的路由器或者DHCPv6服務(wù)器可以分配整塊給下游請(qǐng)求的路由器。

下面以1位十六進(jìn)制元為例，對(duì)以上幾種分配方案進(jìn)行對(duì)比，見表1。

3 校園網(wǎng)IPv6地址規(guī)劃

由于IPv6的全局單播地址是唯一的，部署之前應(yīng)與運(yùn)營(yíng)商ISP申請(qǐng)IP地址段，假如從運(yùn)營(yíng)商申請(qǐng)了一段“2401：0：0：：/48”開頭的48位IPv6地址段，根據(jù)上述的規(guī)劃原則和思路，對(duì)作者所在學(xué)院的校園網(wǎng)絡(luò)按照最適合分配方法和單調(diào)分配方法進(jìn)行規(guī)劃[8]。

地址規(guī)劃整體采用三層（核心層、匯聚層、接入層）和二層（核心層、接入層）相結(jié)合的方式，核心層按照業(yè)務(wù)面進(jìn)行劃分，包括業(yè)務(wù)及管理地址、用戶地址。業(yè)務(wù)地址主要指各類業(yè)務(wù)系統(tǒng)所在的內(nèi)網(wǎng)服務(wù)器或虛擬服務(wù)器地址，以及承載這些服務(wù)的超融合平臺(tái)、私有云平臺(tái)、云桌面平臺(tái)所用的地址等；管理地址主要指所有網(wǎng)絡(luò)設(shè)備的互聯(lián)地址、管理地址、loopback地址等網(wǎng)絡(luò)配置用的地址；用戶地址包括辦公網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)、一卡通網(wǎng)絡(luò)和物聯(lián)網(wǎng)等網(wǎng)絡(luò)的用戶終端地址。

業(yè)務(wù)及管理地址段、辦公有線網(wǎng)絡(luò)采用三層模式，其他業(yè)務(wù)采用二層模式。采用三層模式時(shí)，核心層采用“/52”前綴，每個(gè)子段占總地址的十六分之一；匯聚層按照業(yè)務(wù)或樓宇劃分，采用“/56”前綴，可劃分256個(gè)子網(wǎng)；接入層按照每層樓劃分，采用“/64”前綴，每個(gè)匯聚層下可再劃分256個(gè)子網(wǎng)。其他業(yè)務(wù)網(wǎng)絡(luò)采用二層模式，核心層采用“/60”前綴，接入層采用“/64”前綴。對(duì)于無(wú)線網(wǎng)絡(luò)和監(jiān)控網(wǎng)絡(luò)，接入層按照樓宇或者交換機(jī)進(jìn)行劃分；對(duì)于一卡通網(wǎng)絡(luò)，接入層按照食堂消費(fèi)、宿舍門禁、水控及電控等業(yè)務(wù)劃分；各個(gè)部門的業(yè)務(wù)專網(wǎng)，如實(shí)訓(xùn)系統(tǒng)、錄播系統(tǒng)、考試系統(tǒng)、語(yǔ)言測(cè)評(píng)中心、人臉識(shí)別系統(tǒng)及車輛識(shí)別系統(tǒng)等，各自都需要?jiǎng)澐忠粋€(gè)單獨(dú)的子網(wǎng)。最終規(guī)劃的校園網(wǎng)IPv6地址見表2。

從表2中可以看出，對(duì)于8節(jié)128位的IPv6地址，前3節(jié)（前48位）是運(yùn)營(yíng)商分配的地址前綴，不能改動(dòng)；接入網(wǎng)統(tǒng)一規(guī)劃為“/64”前綴，即后4節(jié)（后64位）屬于主機(jī)ID，不參與子網(wǎng)劃分；因此主要在前綴長(zhǎng)度和64位之間的第4節(jié)（49—64位）間定義網(wǎng)絡(luò)塊或子網(wǎng)，這4位元代表4個(gè)16進(jìn)制數(shù)字，所以根據(jù)地址規(guī)劃，將這4個(gè)16進(jìn)制數(shù)字中的每一個(gè)映射到不同場(chǎng)景中。對(duì)于三層模式，第4節(jié)的49—52位用于劃分核心層，53—60位用于劃分匯聚層，61—64位用于劃分接入層；對(duì)于二層模式，第4節(jié)的前一半（49—56位）用于劃分核心層，第4節(jié)的后一半（57—64位）用于劃分接入層。另外，表2中的接入層只列出了一兩項(xiàng)，其他子網(wǎng)使用的地址段依次排列即可。

IPv6規(guī)劃還可以將本地地址和臨時(shí)地址結(jié)合，避免地址呈現(xiàn)連續(xù)狀態(tài)，防止由于地址長(zhǎng)期保持不變，IPv6單個(gè)子網(wǎng)地址范圍大，續(xù)簽地址仍然保持和上次分配的地址一樣，導(dǎo)致地址被追蹤和掃描的風(fēng)險(xiǎn)變大[9]。在后續(xù)的IPv6網(wǎng)絡(luò)建設(shè)實(shí)施過(guò)程中，終端的IPv6地址一般通過(guò)DHCPv6自動(dòng)分配，可以在核心路由器中配置，也可以通過(guò)專門的DHCP服務(wù)器來(lái)實(shí)現(xiàn)，也可以與認(rèn)證設(shè)備聯(lián)動(dòng)，從而提高終端接入安全。

4 結(jié)束語(yǔ)

IPv6網(wǎng)絡(luò)是互聯(lián)網(wǎng)發(fā)展的必然趨勢(shì)，在國(guó)家戰(zhàn)略的推動(dòng)下，職業(yè)院校都積極開展了IPv6網(wǎng)絡(luò)建設(shè)工作。IPv6地址不僅地址容量巨大，而且直接分配的是全球單播地址，不需要經(jīng)過(guò)NAT技術(shù)轉(zhuǎn)換為公網(wǎng)地址。為了有效利用IPv6的海量地址，在具體實(shí)施網(wǎng)絡(luò)建設(shè)和配置之前，需要進(jìn)行合理的地址規(guī)劃，以便能從其地址直觀地識(shí)別接入節(jié)點(diǎn)的信息，提高IPv6地址的易讀性，減少核心設(shè)備中路由條目，提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率，簡(jiǎn)化網(wǎng)絡(luò)的規(guī)劃、管理、配置、變更和擴(kuò)展的工作量， 便于日后的網(wǎng)絡(luò)運(yùn)維。

本次IPv6網(wǎng)絡(luò)規(guī)劃與配置，以甘肅交通職業(yè)技術(shù)學(xué)院新校區(qū)建設(shè)實(shí)踐為例，借鑒了IPv4環(huán)境下校園網(wǎng)絡(luò)的設(shè)計(jì)管理方式，可操作性強(qiáng)，為下一步IPv6為主導(dǎo)的應(yīng)用提供平滑的過(guò)渡，希望能為有類似需求的單位提供一點(diǎn)有益的探索和借鑒，為IPv6的發(fā)展貢獻(xiàn)力量。

參考文獻(xiàn)：

[1] 邱霜玲.基于IPv6的校園網(wǎng)組網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都：西南交通大學(xué)，2017.

[2] 羅全珍，張義平，段小煥.基于雙協(xié)議棧校園網(wǎng)的防火墻安全策略配置研究[J].電子技術(shù)與軟件工程，2022（23）：5-8.

[3] 鄧小盾.基于IPv6的校園網(wǎng)絡(luò)建設(shè)模式的研究與設(shè)計(jì)[D].西安：西安科技大學(xué)，2014.

[4] 王家寧，孟祥蓮，張世龍.基于IPv6協(xié)議的智慧園區(qū)網(wǎng)絡(luò)建設(shè)關(guān)鍵技術(shù)的研究[J].科技創(chuàng)新與應(yīng)用，2021（3）：158-160.

[5] 顧懷廣，王高才.基于DHCPv6的高校IPv6網(wǎng)絡(luò)雙棧部署實(shí)踐[J].電腦知識(shí)與技術(shù)，2022，18（13）：31-33，39.

[6] 葉宇煦，秦超，袁立權(quán)，等.接入網(wǎng)IPv6地址的規(guī)劃與分配方法[J].電信網(wǎng)技術(shù)，2010，（4）：37-40.

[7] 謝霞，曾祥容，成就，等.校園IPv6地址規(guī)劃和管理實(shí)踐[J].中國(guó)教育網(wǎng)絡(luò)，2022（12）：42-45.

[8] 向陽(yáng)，喬治錫，楊錦滔.基于IPv6技術(shù)校園網(wǎng)的研究應(yīng)用[J].現(xiàn)代信息科技，2020，4（9）：82-84，88.

[9] 朱慧.高校IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（7）：98-100.

基金項(xiàng)目：2022年度甘肅省高等學(xué)校創(chuàng)新基金項(xiàng)目（2022B-323）

第一作者簡(jiǎn)介：羅全珍（1981－），男，碩士，副教授。研究方向?yàn)榫W(wǎng)絡(luò)安全。