石良武

（湖南商學院現(xiàn)代教育技術中心，湖南長沙410205）

IPv6校園網接軌CERNET2擬解決的關鍵問題*

石良武

（湖南商學院現(xiàn)代教育技術中心，湖南長沙410205）

CERNET2主干網的建成和開通，在全國范圍的高校之間架起了一座IPv6的立交橋。這要求準備向IPv6升級的高校校園網絡必須提供一個高性能、高帶寬的綜合解決方案。本文就接軌CERNET2純IPv6網絡規(guī)劃、核心交換機定性、匯聚交換機選型、出口路由器設備選型、用戶地址選擇以及IPv6路由技術選擇等擬解決的關鍵問題進行探討。

CERNET2；校園網；IPv6

一、引言

CERNET2主干網的建設依托設在清華大學的中國教育和科研計算機網（CERNET）國家網絡中心，以2.5G～10G速率連接全國20個主要城市的25個CNGI-CERNET2主干網核心節(jié)點，為全國高校和科研單位提供高速的下一代互聯(lián)網IPv6接入服務。CERNET2主干網的建成和開通，在全國范圍的高校之間架起了一座IPv6的立交橋。近200所高校的搶先接入，似乎開始了以教育信息化為基礎的國內高校知名度的重新洗牌。

目前很多學校校園網建設都準備向IPv6升級，開展數字圖書館子網、學生宿舍子網、教工宿舍子網建設等多元化的高校校園網建設。由于學生數量和應用平臺的增加，網絡中會出現(xiàn)大量的數據轉移；網上視頻點播、多媒體通信，這些都需要QoS（Quality of Service）支持；同時，學校還存在集中上網、網絡流量突發(fā)的現(xiàn)象。這就要求新的校園網絡必須提供一個高性能、高帶寬的綜合解決方案。

二、接軌CERNET2純IPv6網絡規(guī)劃

結合學校目前的網絡建設情況，本著充分利用現(xiàn)有設備、能夠實現(xiàn)全網IPv6部署、維護簡便的原則，筆者擬作如下規(guī)劃：將現(xiàn)有樓棟匯聚三層交換機不支持IPv6的設備替換為支持IPv6的三層交換機，由于三層交換機作為接入用戶的網關，所以需要該設備支持多種IPv6協(xié)議，如雙棧、隧道等，這樣接入用戶就可以實現(xiàn)IPv6的互連；為了便于統(tǒng)一管理，在新的萬兆核心啟用IPv6，該批核心設備也要求支持雙棧、隧道等，從接入到匯聚再到核心全線實現(xiàn)IPv6；為了能夠提高學校IPv6網絡的使用效率，規(guī)劃盡早接入CERNET2，擴大IPv6網絡的教學研究應用面，同時確保CERNET2的出口安全，擬在出口部署一臺支持IPv6的路由器，以實現(xiàn)與CERNET2進行互連。

三、核心交換機定性

應用技術定向：萬兆至十萬兆標準；硬件支持IPv6。

設計技術定向：數據平面、控制平面、管理平面完全分離+平面保護；NP+ASIC+分布式表項的設計體系；Buffered Crossbar芯片及線卡光電復用技術；LPM+HDR路由提升技術。

四、匯聚交換機選型

1.高性能IPv4/IPv6雙棧協(xié)議多層交換

高背板帶寬為所有的端口提供非阻塞性能；硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報文，支持多種Tunnel隧道技術（如手工配置隧道、6to4隧道和ISATAP隧道等），可根據IPv6網絡的需求規(guī)劃和網絡現(xiàn)狀，提供靈活的IPv6網絡間通信方案；雙協(xié)議棧的支持和處理，使得無需改變網絡架構，即可將現(xiàn)有網絡無縫升級為下一代IPv6方案；豐富完善的路由性能和超大容量路由表資源可滿足大型網絡動態(tài)路由需要。

2.靈活完備的安全控制

具有的多種內在機制可以有效防范和控制病毒傳播和黑客攻擊，如預防DOS攻擊、防黑客IP掃描機制等，還網絡一片綠色環(huán)境；特有的CPU保護控制，對發(fā)送到CPU的數據進行帶寬控制，以避免對CPU的惡意攻擊；SSH（Secure Shell）和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息，保證管理設備信息的安全性，防止黑客攻擊和控制設備；控制非法用戶使用網絡，保證合法用戶合理化使用網絡，如多元素綁定、端口安全、時間ACL、基于數據流的帶寬限速等，滿足企業(yè)網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求。

3.強大的多應用支持能力

支持各種單播和組播動態(tài)路由協(xié)議，可適應不同的網絡規(guī)模和需要進行大量多播服務的環(huán)境，實現(xiàn)網絡的可擴展和多業(yè)務應用；支持IGMPv1/v2/v3全部版本，適應不同組播環(huán)境，滿足組播安全應用的需要；支持豐富的路由協(xié)議如策略路由、等價路由、權重路由等的三層特性和業(yè)務特性，滿足不同網絡鏈路規(guī)劃下的通信需要。

4.完善的QoS策略

以DiffServ標準為核心的QoS保障系統(tǒng)，支持802.1P、IP TOS、2到7層流過濾、SP、WRR等完整的QoS策略，實現(xiàn)基于全網系統(tǒng)多業(yè)務的QoS邏輯；具備MAC流、IP流、應用流等多層流分類和流控制能力，實現(xiàn)精細的流帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網絡根據不同的應用以及不同應用所需要的服務質量特性，提供服務。

5.高可靠性

支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網絡的穩(wěn)定運行和鏈路的負載均衡，合理使用網絡通道，提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協(xié)議，有效保障網絡穩(wěn)定。

6.方便易用易管理

SFP和電口任意選用的架構設計，可選配多種規(guī)格千兆接口模塊，支持千兆銅纜、單/多模光纖接口模塊的混合配置，支持模塊熱插拔，能極大方便用戶靈活配置和擴展網絡；簡單網絡時間協(xié)議（SNTP）保證交換機時間的準確性，并與網絡中時間服務器時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網絡維護和管理；CLI界面方便高級用戶配置和使用；Java-based Web管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設備。

五、出口路由器設備選型

出口路由器設備應具備的特點如下：全面的VPN業(yè)務可滿足最多的客戶需求；同時運行第2層虛擬電路、第2層VPN、第2.5層互通VPN、第3層2547 VPN、VPLS、IPSec、IP over IP和GRE等；擴展性高，可支持成千上萬的VPN；低延遲、低抖動性能的高精度QoS，可支持話音、視頻及其他實時應用；按DLCI、VP、VC、VLAN、信道（DS0）和端口QoS；分類、速率限制、整形、加權循環(huán)調度、嚴格優(yōu)先級調度、加權隨機早期檢測、隨機早期檢測和數據包標記；第2層（802．1p、CLP、DE）映射到第3層QoS（IPDSCP、MPLSEXP）；基于硬件的IPv6性能、MPLS IPv6、IPv6 over IPv4 GRE隧道、IPv6/IPv4雙棧；強大的組播支持包括IGMP v1/v2/v3、PIM-SM、PIM-DM、MLD、SSM、RP、MSDP、BSR以及MPLS/BGP VPN中的組播，以高效利用資源、傳輸高價值內容；基于網絡的安全業(yè)務包括NAT和狀態(tài)防火墻，以及按VRF的NAT和狀態(tài)防火墻；用于匯聚鏈路的MLPPP、MLFR.15和MLFR.16，802.3ad；基于XML的Script API便于第三方和內部OSS開發(fā)；用于RE切換的無中斷切換，具有無中斷轉發(fā)特性；聯(lián)機軟件升級可實現(xiàn)無中斷的較小升級；MPLSFRR確保流量能夠迅速地繞過故障；MPLSTE路徑控制用于路徑優(yōu)化,結合了可預測的性能，可用于話音和視頻等延遲敏感型業(yè)務；LSP ping等高級OA&M特性可用來排除MPLS的故障；IETF平穩(wěn)協(xié)議重啟機制可用來無中斷重啟IS-IS、BGP、OSPF、OSPFv3、LDP、RSVP、第2層VPN和第3層VPN；模塊化RGNOS軟件可確保某一個模塊發(fā)生故障時不會對整個操作系統(tǒng)產生影響；用戶友好的命令可對正在運行的網絡安全地實施新配置，也可以回退到以前的工作配置。高性能NAT、狀態(tài)型防火墻、攻擊檢測和通過多業(yè)務PIC實現(xiàn)的IPSec；隔離路由層面和控制層面，可利用狀態(tài)型防火墻保護控制層面；Flow狀態(tài)型數據包流監(jiān)控帶有標準的flowd v5和v8記錄，可全面監(jiān)控網絡；擴展性高的過濾、單點發(fā)送RPF和速率限制可防止IP欺騙和DOS攻擊；高性能IPSec和MPLS IPSec具有數字證書支持特性，可進一步加強安全性；其他無處不在的安全特性，如端口鏡像、加密管理會話業(yè)務、安全隧道功能、安全遠程登錄和可配置的權限級別及用戶賬戶。

六、用戶地址選擇

由于現(xiàn)在IPv6地址非常充分，IPv6的地址獲得有多種方式，有靜態(tài)指定IPv6地址，有動態(tài)獲得IPv6地址。動態(tài)獲得IPv6地址由兩個部分組成，第一部分由IPv6三層交換機即樓棟匯聚三層交換機向客戶分發(fā)IPv6地址前綴，第二部分結合用戶計算機的MAC地址計算出來，前綴與MAC地址計算出來的部分就形成了IPv6的地址，這樣不僅給用戶使用IPv6網絡帶來了方便，同時針對用戶來說也是透明的，非常方便用戶端的接入。所以應選擇動態(tài)獲得IPv6地址的方式。

七、IPv6路由技術選擇

將網絡分為四個部分：用戶端到樓棟匯聚交換機；樓棟匯聚交換機到主核心交換機；主核心交換機到出口路由器設備；出口路由器到外網。

1.用戶端到樓棟匯聚交換機

目前校園網中還是以IPv4網絡為主，結合學校現(xiàn)狀，為了能夠在不改變現(xiàn)有IPv4網絡的情況下，在接入用戶到樓棟三層匯聚設備之間啟用雙棧的形式，那么用戶發(fā)過來的數據包不論是IPv4還是IPv6，雙棧節(jié)點即樓棟三層交換機在鏈路層接收到數據段，即拆開并檢查包頭。如果IPv4/IPv6包頭中的第一個字段，即IP包的版本號是4，該包就由IPv4棧來處理；如果版本號是6，則由IPv6棧處理，這樣就可以在不改變用戶原有IPv4配置情況下實現(xiàn)接入IPv6網絡，非常方便進行用戶端的實施和維護。

2.樓棟匯聚交換機到主核心交換機

從用戶端到樓棟采用雙棧的方式，結合學校具體的情況，如果用戶發(fā)來的是IPv4數據包，在樓棟匯聚交換機到核心交換機直接采用IPv4的路由方式進行路由，如果用戶端過來的是IPv6數據包，在樓棟匯聚交換機到核心交換機需要通過IPv4來傳輸IPv6的數據包，為了能夠使IPv6的數據包穿透IPv4的網絡，在樓棟匯聚交換機到主核心交換機之間采用隧道的方式，這樣就可以有效處理IPv6數據包穿透IPv4網絡的情況了。

3.主核心交換機到出口路由器

由于主核心交換機到出口路由器只有一條鏈路，為了部署簡單，在主核心交換機和出口路由器采取雙棧的方式，這樣可以有效實現(xiàn)IPv4與IPv6的共存，而且使得出口設備維護非常簡單。

4.出口路由器到外網

由于出口路由器連接多個出口，有IPv4的網絡也有IPv6的網絡，為了使到達出口路由器的數據包進行正常的轉發(fā)，在出口路由器采取雙棧方式，過來的是IPv4數據包則走IPv4的路由方式，IPv6數據包則走IPv6相關的路由，這樣可以使維護出口非常簡便，同時也可很好地實現(xiàn)多個不同運營商、不同協(xié)議的有效融合。☉

[1]徐志桐.在IPV4環(huán)境下部署IPV6網絡的策略[J].中國新技術新產品,2009(9):40.

[2]邊鋒.基于IPv6網絡設備選型指南IPv6應用迫在眉睫[J].中國計算機用戶,2009(18):58-62.

[3]叢林,陳陽,鄧北星,李星.CERNET2 IPv6網絡層拓撲發(fā)現(xiàn)[J].廈門大學學報(自然科學版),2007(S2):6-8.

[4]程敏.基于IPv6的數字化校園網絡系統(tǒng)的研究[J].機電信息,2009(24):167-168.

[5]石良武.接軌CERNET2純IPv6網絡核心交換機定性分析[J].計算機工程與設計,2007(18):4417-4453.

（編輯：隗爽）

book=17,ebook=26

TP393

A

1673-8454（2010）13-0017-03

湖南省教育廳科學研究項目“突破校園網瓶頸接軌CERNET2純IPv6網絡應用研究”（08C485）；國家“十一五”教育規(guī)劃課題“我國高校應用型人才培養(yǎng)模式研究”子課題“高等學校信息資源優(yōu)化整合與教學網絡平臺研究與建設”（FIB070335-A8-17）。