文/王宇杰 楊志軍

北京交通大學(xué)下一代校園網(wǎng)建設(shè)進(jìn)入新階段

文/王宇杰 楊志軍

編者按：隨著設(shè)備產(chǎn)業(yè)化專項(xiàng)教育科研基礎(chǔ)設(shè)施IPv6技術(shù)的升級(jí)以及應(yīng)用示范項(xiàng)目的開(kāi)展，作為子項(xiàng)目的承擔(dān)者，北京交通大學(xué)的下一代互聯(lián)網(wǎng)建設(shè)進(jìn)入了一個(gè)嶄新的階段，本文為《下一代校園網(wǎng)建設(shè)進(jìn)入新階段》后部分，介紹北京交大對(duì)下一代校園網(wǎng)建設(shè)的研究，以供參考。

網(wǎng)絡(luò)升級(jí)方案

整個(gè)CNGI2的建設(shè)過(guò)程工作量非常大，基本涉及到全校所有網(wǎng)絡(luò)設(shè)備的更換，一共涉及2臺(tái)核心設(shè)備，40臺(tái)匯聚設(shè)備，近500臺(tái)接入設(shè)備。如何改造對(duì)用戶影響最小、時(shí)間最短是一個(gè)難題。學(xué)校制定了自頂向下，逐步更換，先4后6的原則。

首先，將2臺(tái)核心設(shè)備上線，接入現(xiàn)網(wǎng)環(huán)境中，運(yùn)行ospfv2，實(shí)現(xiàn)核心和整個(gè)校園網(wǎng)的互通。

第二步，將全校所有樓宇的匯聚設(shè)備逐一更換并連接至新核心。為使影響最小，每一個(gè)新匯聚規(guī)劃了完全不同的互聯(lián)地址和網(wǎng)管地址。匯聚設(shè)備配置完畢后，再現(xiàn)場(chǎng)上電，然后通過(guò)備份鏈路將新匯聚和新核心調(diào)通。因新匯聚采用單獨(dú)的地址和光纖鏈路，所以這個(gè)過(guò)程對(duì)用戶沒(méi)有影響。待新匯聚完全準(zhǔn)備好，挑選用戶最少的時(shí)間段，將舊的接入逐臺(tái)接到新匯聚上，每次只斷一臺(tái)接入，這個(gè)過(guò)程不到1分鐘。接到新匯聚上后，用戶就可以恢復(fù)上網(wǎng)。

待全部的匯聚更換完畢，所有的匯聚就都接在新核心上時(shí)，將校園網(wǎng)v4出口線路切換至新核心上，舊核心就可以順利下線。至此，雙棧改造的硬件部分基本完成。

第三步，也是工作量最大的一步，但也是影響最小的一步，逐臺(tái)更換接入設(shè)備。

第四步，待v4全部切換完畢，運(yùn)行穩(wěn)定后，全網(wǎng)部署OSPFv3，實(shí)現(xiàn)用戶的雙棧接入。

值得一提的是：在項(xiàng)目建設(shè)中，為了提高整個(gè)網(wǎng)絡(luò)的可靠性，學(xué)校進(jìn)行了大部分樓宇的光纜改造和部分樓宇的垂直布線改造。如前所述，學(xué)校的校園網(wǎng)建于90年代初期，當(dāng)時(shí)的光纖基本是小對(duì)數(shù)，最多8芯，遠(yuǎn)遠(yuǎn)不能滿足目前網(wǎng)絡(luò)的應(yīng)用要求。為了滿足雙上行的要求，對(duì)不滿足要求的樓宇的光纜重新鋪設(shè)大對(duì)數(shù)光纜。另外，原來(lái)學(xué)校有一大片學(xué)生宿舍接入交換機(jī)采用光纖堆疊技術(shù)，本次升級(jí)對(duì)這部分區(qū)域進(jìn)行了樓內(nèi)垂直布線改造，由光改為電，并取消堆疊。

截至目前為止，北京交通大學(xué)CNGI2建設(shè)的網(wǎng)絡(luò)部分的改造已全部完成，用了大概半年時(shí)間。項(xiàng)目實(shí)施后IPv6流量已經(jīng)達(dá)到1Gbps。

CNGI2項(xiàng)目實(shí)施后IPv6出口流量

純IPv6網(wǎng)絡(luò)建設(shè)

純粹的IPv6節(jié)點(diǎn)網(wǎng)絡(luò)的建設(shè)，可以為下一代互聯(lián)網(wǎng)的建設(shè)和研究提供極有參考價(jià)值的幫助。在現(xiàn)有的網(wǎng)絡(luò)上建設(shè)純粹的IPv6網(wǎng)絡(luò)，最理想的方案是利用支持IPv6 VPN的設(shè)備，在現(xiàn)有的物理網(wǎng)絡(luò)上建設(shè)一個(gè)IPv6的vpn網(wǎng)絡(luò)，也就是6VPE的解決方案。但在本次下一代互聯(lián)網(wǎng)項(xiàng)目中，由于經(jīng)費(fèi)的限制，很多學(xué)校所選擇的核心及匯聚層設(shè)備連IPv4的MPLS VPN特性都不支持，更不用說(shuō)支持6VPE。北京交通大學(xué)也存在這種情況。

其次的方法就是建立跨越整個(gè)校園網(wǎng)的二層Vlan，在此基礎(chǔ)上連接各處的純IPv6節(jié)點(diǎn)。這個(gè)方法要解決廣播域帶來(lái)的廣播問(wèn)題。學(xué)校目前在測(cè)試該方案。

另外，學(xué)校的“下一代互聯(lián)網(wǎng)中心”實(shí)驗(yàn)室通過(guò)OSPF v3將其大量的純IPv6節(jié)點(diǎn)接入到現(xiàn)網(wǎng)中，進(jìn)行現(xiàn)網(wǎng)中純IPv6網(wǎng)絡(luò)的科研和實(shí)驗(yàn)。

最后，學(xué)校利用建成的覆蓋全校的無(wú)線網(wǎng)絡(luò)，廣播專門(mén)的純IPv6 SSID，無(wú)線用戶通過(guò)該SSID接入后只能使用IPv6，無(wú)法使用IPv4。通過(guò)這種方式，用戶可以在全校任何一個(gè)地方接入純IPv6網(wǎng)絡(luò)進(jìn)行純粹的下一代互聯(lián)網(wǎng)的體驗(yàn)和科研。

支撐體系研究

一個(gè)網(wǎng)絡(luò)的正常運(yùn)行，離不開(kāi)網(wǎng)管、計(jì)費(fèi)等支持系統(tǒng)。在北京交通大學(xué)下一代互聯(lián)網(wǎng)建設(shè)過(guò)程中，除了等待隨子項(xiàng)目一起部署的校園網(wǎng)的網(wǎng)絡(luò)支撐系統(tǒng)外，學(xué)校對(duì)相關(guān)的支撐體系也做了一些有益的嘗試。其中包括：

1）網(wǎng)管系統(tǒng)：除了CNGI一期建設(shè)中的基于開(kāi)源的CACTI的網(wǎng)管系統(tǒng)外，學(xué)校還測(cè)試了北郵的綜合網(wǎng)管系統(tǒng)。學(xué)校將所有的IPv6網(wǎng)絡(luò)設(shè)備添加到系統(tǒng)中，該系統(tǒng)會(huì)定期（默認(rèn)5分鐘）輪詢交換機(jī)，讀出所有neighbor表項(xiàng)并歸檔。這個(gè)功能能準(zhǔn)確定位用戶，可以準(zhǔn)確地反查某一時(shí)間某一個(gè)IPv6地址使用的mac地址及使用的交換機(jī)端口。同時(shí)該系統(tǒng)反應(yīng)出學(xué)校的IPv6有效用戶已經(jīng)接近1萬(wàn)人。

2）IPv6的安全產(chǎn)品。在小范圍嘗試一些免費(fèi)的開(kāi)源安全軟件的同時(shí)，學(xué)校和設(shè)備廠商也進(jìn)行積極的交流。目前學(xué)校所使用的cisdo的FWSM防火墻模塊已經(jīng)在幾年前就支持IPv6特性，而且改防火墻模塊支持多達(dá)20個(gè)的虛擬防火墻。目前已經(jīng)將其架設(shè)在學(xué)校的CERNET2出口上做IPv6的安全訪問(wèn)控制。

3）IPv6流控產(chǎn)品。針對(duì)目前主流的IPv6的應(yīng)用，支持IPv6的流控產(chǎn)品的部署也是要考慮的問(wèn)題。目前的IPv6的應(yīng)用主要集中在BT和視頻流方面，但到底應(yīng)用的有效組成部分是什么，需要有專業(yè)的產(chǎn)品來(lái)定位。目前學(xué)校的IPv6出口流量1G帶寬已經(jīng)用滿，學(xué)校計(jì)劃在條件成熟的時(shí)候測(cè)試一些廠商的設(shè)備，如cisco的SCE 8000和Allot的10000。

4）計(jì)費(fèi)產(chǎn)品。目前學(xué)校的IPv6出口1G帶寬已經(jīng)完全占滿，主要原因是校內(nèi)的IPv6流量免費(fèi)。要想有效的控制帶寬使用，除了用專門(mén)的流控設(shè)備加以整形外，通過(guò)合理的計(jì)費(fèi)手段，讓用戶自我約束網(wǎng)絡(luò)使用習(xí)慣是一個(gè)很好的方法。目前學(xué)校IPv4的計(jì)費(fèi)采用Drcom的雙機(jī)計(jì)費(fèi)方案，該公司對(duì)IPv6的計(jì)費(fèi)已經(jīng)進(jìn)入測(cè)試階段，學(xué)校將會(huì)和該公司合作，開(kāi)始進(jìn)行IPv6的商業(yè)計(jì)費(fèi)測(cè)試。

應(yīng)用系統(tǒng)建設(shè)及遷移

網(wǎng)絡(luò)升級(jí)的同時(shí)，學(xué)校也加大了應(yīng)用系統(tǒng)建設(shè)的力度。除傳統(tǒng)的應(yīng)用系統(tǒng)的遷移之外，利用NGIX建立了反向代理，使更多的應(yīng)用系統(tǒng)支持IPv6的訪問(wèn)。此外，學(xué)校重點(diǎn)建設(shè)了2個(gè)資源網(wǎng)站：交大晨光BT和交大IPv6實(shí)驗(yàn)站。

交大晨光BT是國(guó)內(nèi)出現(xiàn)最早的高校校內(nèi)BT站點(diǎn)之一，支持IPv6的種子，而且在不久的將來(lái)會(huì)只支持IPv6的訪問(wèn)。這個(gè)站點(diǎn)上有大量用戶感興趣的資源。

交大IPv6實(shí)驗(yàn)站是交大IPv6的門(mén)戶網(wǎng)站。除了一些IPv6的介紹外，主要提供基于雙棧的視頻服務(wù)。

通過(guò)以上兩個(gè)網(wǎng)站的改造，學(xué)校涌現(xiàn)出一大批IPv6的用戶。

開(kāi)展的科研

在下一代互聯(lián)網(wǎng)建設(shè)的基礎(chǔ)之上，學(xué)校結(jié)合試商用的要求，進(jìn)行了一些科研嘗試。

隨著下一代互聯(lián)網(wǎng)的建設(shè)，用戶的雙棧接入已不成問(wèn)題，關(guān)鍵問(wèn)題是如何對(duì)用戶的IPv6接入做到可控，可管理。學(xué)校對(duì)入圍CNGI二期的3個(gè)接入交換機(jī)廠家的產(chǎn)品做了全面的評(píng)測(cè)，從IPv6網(wǎng)管，IPv6 ACL，DHCPv6 snooping，ND snooping，IPv6 MAC綁定，IPv6端口綁定等幾個(gè)涉及到用戶IPv6安全接入的方面做了全面研究和測(cè)試。研究測(cè)試結(jié)果表明：廠商在安全接入控制上做了很多工作，有些廠商在上述幾個(gè)方面考慮了相關(guān)的功能，但多數(shù)都做得不完善或有BUG，距離IPv4的安全接入的控制水平還有一定的差距。另外，對(duì)于IPV6用戶的安全可控接入方式也遠(yuǎn)沒(méi)有IPv4多，802.1x和portal目前都不支持IPv6的接入認(rèn)證，這些方面還要等待廠商的完善。

另外，如何利用用戶的IPv4信息來(lái)定位IPv6信息也是學(xué)校研究的一個(gè)重點(diǎn)。目前，純粹的IPv6用戶可能僅僅存在科研網(wǎng)絡(luò)中，現(xiàn)網(wǎng)中的絕大多數(shù)用戶使用的還是雙棧。如何利用豐富的IPv4信息來(lái)定位IPv6用戶，學(xué)校做了有益的嘗試。從雙棧匯聚上定時(shí)采集用戶的mac表，arp表和IPv6的鄰居關(guān)系表；將這些信息入庫(kù)，另外結(jié)合計(jì)費(fèi)上的用戶信息，關(guān)聯(lián)起來(lái)做一定的檢索，可以方便的定位IPv6用戶的IPv4信息和賬號(hào)信息，進(jìn)而可以準(zhǔn)確定位用戶。另外，結(jié)合portal認(rèn)證的測(cè)試，可以不依賴于計(jì)費(fèi)帳戶的信息來(lái)定位用戶。

用戶的培養(yǎng)

下一代互聯(lián)網(wǎng)的普及，不僅在于設(shè)備的支持，更在于用戶的培養(yǎng)，只有用戶量上去，才有可能進(jìn)行商用的測(cè)試和科研。而用戶的培養(yǎng)，關(guān)鍵是要有出色的IPv6應(yīng)用來(lái)吸引用戶使用下一代互聯(lián)網(wǎng)。學(xué)校在這方面做了有益的嘗試，目前最關(guān)鍵的下一代互聯(lián)網(wǎng)的應(yīng)用是BT。學(xué)校的BT在2008年就已經(jīng)支持IPv6，經(jīng)過(guò)2年的建設(shè)，加上下一代互聯(lián)網(wǎng)建設(shè)后雙棧網(wǎng)絡(luò)環(huán)境的建立以及IPv6流量免費(fèi)使用，目前BT上IPV6的種子數(shù)量已經(jīng)超過(guò)IPv4的種子。而且目前交大晨光BT的IPv6平臺(tái)允許校外用戶訪問(wèn)，IPv4的平臺(tái)則禁止校外用戶訪問(wèn)。這些因素都加速用戶要盡快安裝并使用IPv6。下一步學(xué)校計(jì)劃逐步取消BT平臺(tái)IPv4的支持，要想使用BT，必須安裝和使用IPV6協(xié)議。

后續(xù)工作

CNGI2北京交通大學(xué)升級(jí)子項(xiàng)目的網(wǎng)絡(luò)改造目前雖已結(jié)束，但還有很多后續(xù)工作需要做：

1）進(jìn)一步加強(qiáng)應(yīng)用系統(tǒng)的遷移工作，使更多的系統(tǒng)為IPv6網(wǎng)絡(luò)提供服務(wù)；已經(jīng)遷移的系統(tǒng)，改造的更好；

2）進(jìn)一步加強(qiáng)IPv6安全防御體系的研究，為IPv6網(wǎng)路的安全可靠運(yùn)行提供保證。主要集中在兩方面的研究：一方面是出口的安全，另一方面是接入安全。

3）配合項(xiàng)目總體規(guī)劃，部署IPv6應(yīng)用示范項(xiàng)目并試用。

4）進(jìn)一步加強(qiáng)基于下一代互聯(lián)網(wǎng)的校園無(wú)線網(wǎng)建設(shè)的研究。

隨著國(guó)家2008年下一代互聯(lián)網(wǎng)業(yè)務(wù)試商用及設(shè)備產(chǎn)業(yè)化專項(xiàng)教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級(jí)和應(yīng)用示范項(xiàng)目的開(kāi)展，北京交通大學(xué)的下一代互聯(lián)網(wǎng)建設(shè)迎來(lái)了新的建設(shè)階段。目前學(xué)校CNGI2項(xiàng)目升級(jí)中的網(wǎng)絡(luò)部分改造已基本完成，但相關(guān)的支撐系統(tǒng)的建設(shè)和應(yīng)用系統(tǒng)的遷移才剛剛開(kāi)始。同時(shí)，如何建設(shè)一個(gè)安全的下一代互聯(lián)網(wǎng)是一個(gè)全新的課題。要想將下一代互聯(lián)網(wǎng)建設(shè)到目前v4網(wǎng)絡(luò)的階段，還有比較長(zhǎng)的一段路要走。

（作者單位為北京交通大學(xué)信息中心）