陳彬

(云南師范大學(xué) 網(wǎng)絡(luò)與信息中心，云南 昆明 650500)

隨著計算機(jī)信息技術(shù)的不斷發(fā)展，人們對互聯(lián)網(wǎng)使用的要求也越來越高，傳統(tǒng)的IPv4網(wǎng)絡(luò)面臨嚴(yán)峻的挑戰(zhàn)[1].隨著IPv6標(biāo)準(zhǔn)的頒布，中共中央辦公廳、國務(wù)院辦公廳聯(lián)合印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6) 規(guī)模部署行動計劃》，提出了下一代互聯(lián)網(wǎng)發(fā)展的規(guī)劃和目標(biāo)，意在加快推進(jìn)我國IPv6規(guī)模部署，促進(jìn)互聯(lián)網(wǎng)健康發(fā)展.

高校校園網(wǎng)絡(luò)是互聯(lián)網(wǎng)建設(shè)與發(fā)展的重要組成部分，基于IPv4協(xié)議的校園網(wǎng)絡(luò)已經(jīng)無法適應(yīng)信息技術(shù)發(fā)展需求，構(gòu)建基于IPv6協(xié)議的校園網(wǎng)是高校校園網(wǎng)絡(luò)發(fā)展的必然趨勢.由于IPv4技術(shù)成熟，應(yīng)用廣泛，從IPv4過渡到IPv6需要較長的時間，在這個過程中需要解決基于兩種協(xié)議的網(wǎng)絡(luò)的穩(wěn)定性和可操作性.

本文在分析云南師范大學(xué)原有校園網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，綜合考慮IPv4向IPv6過渡面臨的多種問題，針對問題采取了高效、快速、安全、可靠的網(wǎng)絡(luò)部署方式，順利實現(xiàn)了校園網(wǎng)IPv6部署.

1 原有網(wǎng)絡(luò)環(huán)境

云南師范大學(xué)呈貢主校區(qū)校園網(wǎng)分為核心層、匯聚層和接入層三層網(wǎng)絡(luò)結(jié)構(gòu)，核心層為一臺RG -12010，接入層設(shè)備按照區(qū)域在匯聚層匯聚后接入核心層.學(xué)?，F(xiàn)有出口包含多條運(yùn)營商鏈路和一條教育網(wǎng)鏈路，其中教育網(wǎng)鏈路提供IPv6出口帶寬服務(wù).

2 IPv4和IPv6的過渡技術(shù)

IPv4和IPv6的過渡技術(shù)主要有：隧道技術(shù)、NAT-PT、無狀態(tài)翻譯技術(shù)和雙棧協(xié)議[2]，它們各有其技術(shù)特點、使用范圍和存在的問題[3];其中，雙棧協(xié)議技術(shù)和隧道技術(shù)比較成熟，雙棧技術(shù)是在支持雙棧協(xié)議的網(wǎng)絡(luò)節(jié)點上開通IPv4和IPv6的應(yīng)用與管理，能夠?qū)Pv4和IPv6分組進(jìn)行處理;隧道技術(shù)主要是把IPv6協(xié)議的分組封裝到IPv4協(xié)議分組中去，通過IPv4進(jìn)行傳輸，到達(dá)目的地址后再取出IPv6分組數(shù)據(jù);表1為這兩種技術(shù)的對比.

原有的網(wǎng)絡(luò)結(jié)構(gòu)為傳統(tǒng)的三層架構(gòu)，網(wǎng)關(guān)部署在匯聚層，由于區(qū)域大匯聚和樓宇匯聚等設(shè)備不支持IPv6 OSPFv3動態(tài)路由協(xié)議[4]，必須使用靜態(tài)IPv6路由，組網(wǎng)難度大，后續(xù)維護(hù)管理復(fù)雜；而且接入層、匯聚層交換機(jī)都不支持IPv6 ND-SNOOPING和ND-CHECK等安全接入功能[5]，IPv6網(wǎng)絡(luò)安全得不到保障.此外，在升級改造過程中，還需考慮采購設(shè)備的投入及后續(xù)升級問題；綜合考慮上述因素，擬采用大二層結(jié)構(gòu)[6]的雙棧技術(shù)來進(jìn)行IPv6部署，保留接入層、匯聚層交換機(jī)，將不支持IPv6動態(tài)路由協(xié)議的設(shè)備作為二層交換設(shè)備使用，對核心設(shè)備進(jìn)行升級改造，同時將各業(yè)務(wù)網(wǎng)關(guān)上移至核心層，升級后的核心設(shè)備可支持IPv6各項功能，并實現(xiàn)IPv4與IPv6兩個網(wǎng)絡(luò)之間的網(wǎng)絡(luò)互通和資源互訪.

表1 兩種過渡技術(shù)的對比Table 1 Comparison of two transition technologies

3 IPv6實施及測試

雙棧技術(shù)在路由交換設(shè)備上使用IPv4和IPv6兩套協(xié)議，設(shè)備可以根據(jù)數(shù)據(jù)進(jìn)行分析，依據(jù)不同的版本信息選擇不同的協(xié)議棧進(jìn)行數(shù)據(jù)處理，它們按照各自的路由協(xié)議在網(wǎng)關(guān)設(shè)備上進(jìn)行計算，維護(hù)不同的路由表.目前，絕大部分操作系統(tǒng)和網(wǎng)絡(luò)廠家的網(wǎng)絡(luò)設(shè)備都支持雙協(xié)議棧.升級改造后的網(wǎng)絡(luò)拓?fù)淙鐖D1所示.

圖1 改造后校園網(wǎng)拓?fù)浣Y(jié)構(gòu)Fig.1 Campus network topology after transformation

改造后所有網(wǎng)關(guān)都上移至核心交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)由原來的傳統(tǒng)三層結(jié)構(gòu)變?yōu)榇蠖咏Y(jié)構(gòu).目前，學(xué)校有1 G的教育網(wǎng)IPv6出口帶寬，核心設(shè)備與出口設(shè)備間部署靜態(tài)路由[7]和OSPFv3實現(xiàn)全網(wǎng)可達(dá).在改造為大二層結(jié)構(gòu)后，核心交換機(jī)采取無狀態(tài)自動獲取IP地址的方式來為IPv6終端設(shè)備分配地址.此外，在核心設(shè)備上完成與第三方認(rèn)證系統(tǒng)的對接[8]，實現(xiàn)用戶在通過IPv4認(rèn)證后，能正常訪問IPv6資源.

IPv6地址分配可以使用“無狀態(tài)SLAAC”、“有狀態(tài)DHCPv6”或“DHCPv6 relay”3種分配方式[9]，此次改造使用“無狀態(tài)SLAAC”方式并通過MAC-to-EUI64轉(zhuǎn)換方法來實現(xiàn)用戶的地址分配.基于學(xué)校整體規(guī)劃，按辦公區(qū)有線、辦公區(qū)無線、宿舍區(qū)有線和宿舍區(qū)無線分配不同地址段，IPv6前綴為/64[10],從而方便管理及對安全策略進(jìn)行調(diào)整.

實施完成后，在用戶端進(jìn)行30 d的連通性測試.在校園網(wǎng)內(nèi)不同地點進(jìn)行終端到校內(nèi)核心層網(wǎng)關(guān)連通性測試，平均時延2 ms，丟包率為0%；此外，選擇互聯(lián)網(wǎng)目的地址進(jìn)行終端到互聯(lián)網(wǎng)的連通性測試，如新浪、百度和搜狐等，平均時延60 ms，丟包率為0%；測試結(jié)果達(dá)到使用要求，鏈路質(zhì)量良好.

4 結(jié)語

在云南師范大學(xué)原有校園網(wǎng)絡(luò)環(huán)境下，通過升級網(wǎng)絡(luò)核心設(shè)備，運(yùn)用基于大二層下的IPv6雙棧技術(shù)實施IPv6校園網(wǎng)絡(luò)建設(shè)，該方案不僅方便、快捷地完成了IPv6網(wǎng)絡(luò)部署，減少了投入成本，并且優(yōu)化了校園網(wǎng)的傳輸性能，降低了校園網(wǎng)運(yùn)維的難度和成本.