□張俊鵬

一、高校校園網(wǎng)絡現(xiàn)狀

目前我國高校校園網(wǎng)絡建設大部分都是基于IPv4 技術，而校園網(wǎng)絡的發(fā)展方向和趨勢及實際應用對網(wǎng)絡地址數(shù)量、網(wǎng)絡安全性、服務質量、移動性等都有較高要求，尤其是IPv4地址的匱乏問題只能采用NAT 等技術應付，但這樣就打破了IPv4 全網(wǎng)絡唯一性的原則，降低了網(wǎng)絡的安全性和穩(wěn)定性，增加了校園網(wǎng)絡的建設難度和成本以及復雜性，以上種種情況說明IPv4 難以滿足校園網(wǎng)絡進一步發(fā)展的需求。而IPv6可以解決上述存在的一系列問題，它有巨大的地址空間(IPv4的地址空間是232，IPv6 的地址空間則達到了2128，可用地址數(shù)量幾乎可以說是無窮的)、可靠的安全性、易管理、可移動性、QoS 多樣化等等許多新特性，較好地解決了上述問題。

對于大部分高校而言，已分配的IP 地址是有限的，許多學校甚至已經基本用盡，而各種應用系統(tǒng)、各種服務器的數(shù)量只會越來越多，若繼續(xù)申請IPv4 地址要面對的問題除耗費一定資金以外還有一個較長的審批時間和可用地址絕對數(shù)量仍然很少的情況，根本無法滿足今后的需要。IP 地址緊缺成為高校校園網(wǎng)絡進一步發(fā)展的最大桎梏之一，因此建設基于IPv6 的校園網(wǎng)絡，保證校園網(wǎng)絡從IPv4 逐步平穩(wěn)過渡并直至被IPv6 完全取代已成為非常迫切的需求，對高校信息化建設工作具有重大的現(xiàn)實意義。

雖然IPv6 取代IPv4 是目前網(wǎng)絡發(fā)展的必然趨勢，但在當前的一段時間內，IPv6 完全取代IPv4 仍然存在著一些問題:現(xiàn)在所使用的絕大部分網(wǎng)絡設備都不支持IPv6 協(xié)議，若要全部更換或升級一方面需要巨額的資金，另一方面也不是短時間內就能完全解決的;此外目前大部分的網(wǎng)絡應用都是基于IPv4 協(xié)議的，而網(wǎng)絡應用是需要通過需求來推動發(fā)展的，若沒有IPv6 大環(huán)境的變化則不會有大量IPv6 應用的驅動。基于此可以看出IPv6 取代IPv4 是一個長期的過程，當前一段時間不是要立刻完成IPv4 到IPv6 的轉變，而是保持穩(wěn)定的IPv4 和IPv6 的融合和過渡。

二、基于IPV4 校園網(wǎng)絡向IPV6 校園網(wǎng)絡的過渡技術

目前在校園網(wǎng)絡建設中常用的IPv6 過渡技術主要有三種:雙協(xié)議棧技術、隧道技術和NAT-PT 技術。

(一)雙協(xié)議棧技術(RFC4213)。雙協(xié)議棧(Dual Stack)指的是IPV4 協(xié)議棧和IPv6 協(xié)議棧，而雙協(xié)議棧技術是指同時在網(wǎng)絡節(jié)點上運行IPv4 和IPv6 兩套協(xié)議棧，這樣協(xié)議棧中的體系結構從應用層到數(shù)據(jù)鏈路層都是重復的。從網(wǎng)絡協(xié)議的原理來看，IPv4 和IPv6 不兼容，但在數(shù)據(jù)報的結構上可以看到二者近似且在網(wǎng)絡層的上下層(傳輸層和數(shù)據(jù)鏈路層)平臺均相同，則使用雙協(xié)議棧技術的網(wǎng)絡節(jié)點既能與使用IPv4 協(xié)議的終端通信又能與使用IPv6 協(xié)議的終端通信。

配置為雙棧的設備接口可以擁有一個IPv4 地址或一個IPv6 地址或兩者都擁有。同時，路由器包含兩個單獨的路由表:一個用于IPv4 尋址，另一個用于IPv6 尋址。兩個表都駐留于同一路由器中。

雙棧節(jié)點鏈路層接收到數(shù)據(jù)幀后解封裝并檢查幀頭，如果IPv4/IPv6 幀頭中的第一個字段，即IP 包的版本號是4，該包就由IPv4 棧來處理;如果版本號是6，則由IPv6 棧處理。

為了支持IPv6 路由的地址學習，雙棧路由器設備還要同時運行支持IPv6 的路由協(xié)議。如果現(xiàn)網(wǎng)絡部署了OSPF，則新增支持IPv6 的OSPFv3;如果現(xiàn)網(wǎng)絡部署的是ISIS，則在網(wǎng)絡中部署ISIS 多拓撲，以支持IPv6 路由的學習。支持IPv6的BGP4 +，通過配置使IPv6 地址族來支持IPv6 路由的通告，必要時升級RR 以支持IPv6 路由反射功能。

雙棧協(xié)議體系結構允許網(wǎng)絡設備接收、處理和轉發(fā)IPv4/IPv6 信息流，支持IPv4 / IPv6 雙棧的網(wǎng)絡設備(主要是路由器等)，使網(wǎng)絡從邏輯上看到的是并行的兩個網(wǎng)絡，并支持向IPv6 的平滑過渡。

雙協(xié)議棧技術簡單直觀，易于操作，但相關網(wǎng)絡設備要同時獨自占用一個IPv4 和IPv6 的地址，這樣就不能從本質上解決IP 地址非常缺少的問題，且會增加CPU 及內存的開銷，影響系統(tǒng)的性能。

(二)隧道技術(RFC 2893)。在IPv6 技術的迅猛發(fā)展和實際應用中出現(xiàn)了許多各自獨立的純IPv6 的實驗或應用網(wǎng)絡，由于骨干網(wǎng)絡仍然基于IPv4，所以它們被分割開來，這形成了事實上的IPv6 孤島，它們無法通過現(xiàn)有IPv4 網(wǎng)絡互相訪問。為了實現(xiàn)這些IPv6 孤島之間的通信，可以采用隧道技術。通過隧道技術依附于現(xiàn)有的全覆蓋的IPv4 網(wǎng)絡海洋逐步連接所有的IPv6 孤島，隨著IPv6 網(wǎng)絡數(shù)量的穩(wěn)步增多和所占網(wǎng)絡比重的不斷加大，全網(wǎng)絡會逐漸實現(xiàn)IPv4 向IPv6的過渡。

隧道技術可以通過對數(shù)據(jù)報的封裝達到把相對獨立的IPv6 和IPv4 網(wǎng)絡相連接的目的，即將IPv6 數(shù)據(jù)報作為數(shù)據(jù)的一部分封裝在IPv4 數(shù)據(jù)報里，通過傳輸IPv4 數(shù)據(jù)報來攜帶封裝其中的IPv6 數(shù)據(jù)報的傳輸，從而達到IPv6 數(shù)據(jù)報在現(xiàn)有的IPv4 網(wǎng)絡中傳輸?shù)哪康摹?/p>

利用隧道技術傳輸IPv6 報文的具體過程如下:一是IPv6網(wǎng)絡節(jié)點將封裝好的IPv6 報文發(fā)送到達隧道的發(fā)送端設備。二是隧道的發(fā)送端設備(一般是路由器)接收IPv6 報文，然后通過查詢路由表來確定報文要通過隧道進行轉發(fā)，于是將IPv6 整體報文作為數(shù)據(jù)封裝到IPv4 報文中，通過隧道的對應物理接口將報文發(fā)送出去。三是封裝了IPv6 報文的IPv4 數(shù)據(jù)報文通過隧道到達隧道另一端的接收端設備(一般是路由器)，接收端設備根據(jù)報文中的目的地址判斷出該IPv4 報文的目的地是自己后，對報文進行拆封，取出內部封裝的IPv6報文，然后根據(jù)IPv6 報文目的地址將報文通過查詢路由表;若報文的目的地址是接收端本身則直接將IPv6 數(shù)據(jù)報文轉發(fā)給高一層協(xié)議進行處理;否則進行下一步轉發(fā)。

從上述過程可以看出:隧道技術的本質是二次封裝IPv6報文并利用IPv4 報文作為載體進行轉發(fā)，它不能從根本上完成純IPv6 網(wǎng)絡與純IPv4 網(wǎng)絡的直接訪問。而隧道兩端的路由器也需要使用IPv4/IPv6 的雙IP 地址，這也不能解決IP 地址稀缺的問題。

(三)NAT - PT 技術(RFC 2766)。NAT - PT(Network Address Translation-Protocol Translation，附帶協(xié)議轉換的網(wǎng)絡地址轉換)技術是基于IPv6 協(xié)議與IPv4 協(xié)議轉換的地址轉換，是為了解決兩者的互通問題。在IPv4 網(wǎng)絡完全過渡到IPv6 網(wǎng)絡之前，兩種類型網(wǎng)絡之間直接的通信可以通過NAT-PT 來實現(xiàn)。

在NAT-PT 技術的工作機制中，當IPv6 主機向處于外部公網(wǎng)的IPv4 主機發(fā)起連接請求時，一組IPv4 的地址應該被提前設置好以用來作地址轉換使用。數(shù)據(jù)報文發(fā)送時IPv6 網(wǎng)絡將相關的IPv6 數(shù)據(jù)報中的源地址和網(wǎng)絡層以及傳輸層的相關協(xié)議字段的頭部校驗和部分進行轉換;反之對IPv4 主機向IPv6 網(wǎng)絡傳輸?shù)臄?shù)據(jù)報也進行類似部分的轉換，這種轉換可以是基于手工配置一一對應關系的靜態(tài)轉換也可以是基于NAT 地址池的多對一的動態(tài)轉換(通過不同的端口號構建不同的socket 來區(qū)分不同的IPv6 主機)。

在轉換的過程中，IPv6 節(jié)點的TCP/UDP 端口號被轉換成已經登記的IPv4 的TCP/UDP 端口號。最初傳統(tǒng)NAT-PT只局限于TCP、UDP 及使用了端口復用的其他應用程序(屬于靜態(tài)地址捆綁)，而現(xiàn)在的NAPT -PT 則解決了傳統(tǒng)NAT-PT 中存在的問題，一個IPv4 的轉換地址就可以建立63K的TCP 和63k 的UDP 連接。

在NAT-PT 中，所有與某一進程有關的請求與應答都必須要經過同一NAT -PT 路由器，這就需要把NAT -PT 置于邊界路由器上，該路由器對于一個局域網(wǎng)絡來說是唯一的，這是NAT-PT 的一個局限性，此外一些IPv4 的數(shù)據(jù)報字段在IPv6 中會發(fā)生改變，因此NAT-PT 的轉換不是很準確，在端對端網(wǎng)絡層上也缺少安全性。

三、校園網(wǎng)IPV6 過渡策略

對于大部分高校而言，原有的校園網(wǎng)絡因多年建設已經成型，當前所有的網(wǎng)絡應用系統(tǒng)都是在IPv4 網(wǎng)絡上開展的，在IPv6 網(wǎng)絡的建設中由于受人力、物力、財力和時間等方面的限制無法完全推倒重建，只能在原有的校園網(wǎng)絡上進行升級改造。這意味著現(xiàn)有的網(wǎng)絡應用系統(tǒng)和客戶端都必須從IPv4 上遷移到IPv6 上，在遷移的過程中對于普通網(wǎng)絡業(yè)務系統(tǒng)要保持平滑遷移，而對于實時性要求特別強的核心網(wǎng)絡業(yè)務系統(tǒng)要做到無間斷遷移，保持數(shù)據(jù)的穩(wěn)定性和準確性。在這種情況下，各高?？梢愿鶕?jù)自身校園網(wǎng)絡的情況結合上述三種過渡技術的優(yōu)劣綜合考慮各方面的情況選擇最合適的過渡技術，目前來看在進行IPv6 網(wǎng)絡建設的985 大學中有50%以上選擇使用技術最成熟且應用最廣泛的雙協(xié)議棧技術完成基于IPv4 的校園網(wǎng)絡向基于IPv6 的校園網(wǎng)絡的過渡，具體體現(xiàn)在:一是在滿足網(wǎng)絡應用系統(tǒng)平滑和無間斷遷移方面，雙協(xié)議棧技術可以在網(wǎng)絡節(jié)點上同時使用IPv4 和IPv6 進行網(wǎng)絡數(shù)據(jù)傳輸，并且在整個遷移過程中對用戶保持透明。二是在校園網(wǎng)絡和CERNET2 主干網(wǎng)絡連接時，雙協(xié)議棧術不影響原有內外網(wǎng)的IPv4 網(wǎng)絡業(yè)務。三是在向IPv6網(wǎng)絡過渡的過程中，從各方面綜合考慮通常不能通過一次性更換現(xiàn)有網(wǎng)絡設備將網(wǎng)絡升級，而是先小范圍更新核心設備，然后再逐步擴展到整個網(wǎng)絡，分步驟進行。四是為保護現(xiàn)有網(wǎng)絡建設投資，要最大限度地考慮使用現(xiàn)有的設備，目前校園網(wǎng)絡中近三年以來使用的大部分核心網(wǎng)絡設備都支持雙協(xié)議棧技術，因此對于一些非核心設備若可以通過官網(wǎng)進行系統(tǒng)軟件升級來實現(xiàn)對雙協(xié)議棧技術的支持則進行系統(tǒng)升級;對于不支持雙協(xié)議棧技術的部分老舊核心層設備和匯聚層設備則需要購置更新，而大部分的接入層設備無需更換;對于部分網(wǎng)絡拓撲復雜，應用系統(tǒng)繁多的校園網(wǎng)，可在更換核心設備后，采用以雙協(xié)議棧為主、隧道方式并存的方案。

四、結語

從網(wǎng)絡發(fā)展的角度來看IPv4 網(wǎng)絡向IPv6 網(wǎng)絡的過渡是未來IPv6 網(wǎng)絡全球應用化的必由之路，這一定是一個漫長的過程，校園網(wǎng)絡作為最先接觸并應用IPv6 的行業(yè)網(wǎng)絡應緊緊抓住發(fā)展契機，各高校需要積極制定過渡性戰(zhàn)略計劃，選擇符合自身特點的過渡技術和過渡策略，循序漸進分步驟分階段將IPv4 網(wǎng)絡上原有的各種資源平滑地遷移到IPv6 網(wǎng)絡上并大力開發(fā)相關應用，最終建設成為高性能、高安全的IPv6校園網(wǎng)絡，促進網(wǎng)絡環(huán)境下教學活動的開展，繼而推動我國信息產業(yè)的進一步發(fā)展。

［1］程軍.基于IPv6 的校園網(wǎng)過渡方案研究［J］.巢湖學院學報，2012

［2］杜焱喆.基于雙協(xié)議棧的校園網(wǎng)IPv6 過渡策略分析與實現(xiàn)［J］.華東交通大學學報，2012