IPv6校園網(wǎng)的建設(shè)策略

摘要上世紀(jì)90年代,我國863工程就開展了相關(guān)的IPv6項(xiàng)目的研究,2003年,國家醞釀啟動下一代互聯(lián)網(wǎng)示范工程(CNGI)。本文結(jié)合在大學(xué)部署IPv6校園網(wǎng)的情況,分析了IPv6地址的手工配置,無狀態(tài)配置和有狀態(tài)配置三種方法的工作機(jī)理與特點(diǎn),論述了網(wǎng)絡(luò)結(jié)構(gòu)升級方案,IP地址配置方案,網(wǎng)絡(luò)路由設(shè)計(jì)以及IPv6校園網(wǎng)安全設(shè)計(jì)的全過程。

關(guān)鍵詞IPv6;結(jié)構(gòu)遷移;地址配置;路由設(shè)計(jì)

中圖分類號TP393文獻(xiàn)標(biāo)識碼A文章編號1673-9671-(2009)112-0054-01

0 引言

我國IPv6進(jìn)入實(shí)質(zhì)性發(fā)展階段的標(biāo)志,是2003年中國下一代互聯(lián)網(wǎng)示范工程(CNGI)的啟動。該項(xiàng)目由國家發(fā)展和改革委員會委托中國工程院組織,由中國教育科研網(wǎng),中國電信,中國網(wǎng)通,中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)中心等單位共同承擔(dān)。本文論述了IPv6校園網(wǎng)的建設(shè)策略,使建成的 IPv6校園網(wǎng)能夠滿足現(xiàn)有IPv4應(yīng)用的正常進(jìn)行,同時發(fā)揮出IPv6的技術(shù)優(yōu)勢,使網(wǎng)絡(luò)具有可擴(kuò)展性,支持IPv4業(yè)務(wù)與IPv6業(yè)務(wù)的互通以及良好的網(wǎng)絡(luò)安全。

1網(wǎng)絡(luò)結(jié)構(gòu)升遷

IPV6校園網(wǎng)CNGI駐地網(wǎng)在設(shè)計(jì)建設(shè)方案時,大都需要能保證原有IPv4業(yè)務(wù)正常運(yùn)行,因此除了使用IPV6地址以外,還需同時使用IPv4地址。要完成網(wǎng)絡(luò)結(jié)構(gòu)從IPv4網(wǎng)遷移到IPv6網(wǎng),IPv6必須能夠支持并處理IPv4體系的遺留問題。有兩種主要的遷移技術(shù):一是雙棧機(jī)制,二是隧道技術(shù)。

隧道模式的優(yōu)點(diǎn)是:只需增加一臺支持IPv6業(yè)務(wù)的核心設(shè)備,其余設(shè)備保持不變,保護(hù)原有投資。新增的IPv6用戶可以正常訪問IPv6網(wǎng)絡(luò)及IPv6業(yè)務(wù)。原有IPv4業(yè)務(wù)不產(chǎn)生任何變化,正常運(yùn)行。這種方案適用于校園網(wǎng)中存在大量IPv4設(shè)備沒有IPv6功能,或者不能升級到IPv6,快速將網(wǎng)絡(luò)均升級為IPv6需要較長的時間,可以采用此方案。

雙棧機(jī)制的優(yōu)點(diǎn)是:從技術(shù)角度這是最理想的方案,不必為不同類型的用戶單獨(dú)部署網(wǎng)絡(luò)配置,開銷小,管理簡單、IPv4和IPv6的邏輯界面清晰;缺點(diǎn)是學(xué)校的原有網(wǎng)絡(luò)都是IPv4網(wǎng)絡(luò),必須將原有主干部分的網(wǎng)絡(luò)設(shè)備淘汰棄用,投資過大,并有不同程度的設(shè)備資源浪費(fèi)。

從現(xiàn)實(shí)環(huán)境中來考慮,一般高校的資金都比較充足,并且國家教委對建設(shè)IPv6校園網(wǎng)大都有專項(xiàng)資金的支持,因此,本文建議采用雙棧機(jī)制將原有IPv4校園網(wǎng)升遷到IPv6校園網(wǎng),將原校園網(wǎng)絡(luò)主干的路由、交換等網(wǎng)絡(luò)設(shè)備全部更新為支持IPv4/IPv6協(xié)議的設(shè)備,具體實(shí)施過程:將由原來只支持IPv4的核心層交換機(jī)改為支持IPv4/IPv6的高性能雙棧交換機(jī),如Cisco Catalyst 8540,同時也將所有匯聚層的原有三層交換機(jī)更換為雙棧交換機(jī),如Cisco Catalyst 6509-E,直接連接到雙棧核心。

2 IPv6地址配置

為了簡化網(wǎng)絡(luò)設(shè)備地址配置,IPV6協(xié)議需同時支持手工地址配置和自動配置,IPv6地址自動配置方法主要有無狀態(tài)地址自動配置和有狀態(tài)地址自動配置兩種。IPv6地址手工配置:手工地址配置是指在己知IPv6地址的情況下,通過命令行或配置界面等方式手動為設(shè)備配置主機(jī)位地址和所屬網(wǎng)絡(luò)的前綴信息,這種分配方式適用于流動性相對較小的用戶,增加了管理工作量,適用于對安全性要求較高,且管理員需要進(jìn)行管理和監(jiān)督的用戶;IPV6地址自動配置:無狀態(tài)地址自動配置協(xié)議基于IPv6地址結(jié)構(gòu),由IPv6地址前綴和接口ID組成;有狀態(tài)地址自動配置,采用DHCPv6協(xié)議,它是IPv6下的動態(tài)主機(jī)配置協(xié)議,與IPv4中的DHCP類似,DHCPv6是一種提供網(wǎng)絡(luò)配置信息的客戶/服務(wù)器類型的協(xié)議,這種分配方式適用于終端數(shù)量大的用戶,對用戶可靠性,安全性要求不高,適用于管理員對部分終端可以不用及時監(jiān)控的情況。

通過上面對兩種IPv6地址分配方式的分析,在分配IPv6地址時,可針對不同的用戶采用不同的地址分配方式:對校園網(wǎng)的核心層和匯聚層和接入層的網(wǎng)絡(luò)設(shè)備,提供校園網(wǎng)服務(wù)的各院系的應(yīng)用服務(wù)器、以及網(wǎng)管節(jié)點(diǎn)等,由于其上面承載的業(yè)務(wù)系統(tǒng)安全級別高,業(yè)務(wù)種類,終端數(shù)量相對固定,出現(xiàn)故障需要準(zhǔn)確,快速定位故障點(diǎn),這些都需要明確的地址進(jìn)行網(wǎng)絡(luò)管理,因此應(yīng)該通過手工配置的方式獲取地址。在國內(nèi)高校的IPv6地址段為2001:DA8:XXXX::/48,可以從這段地址中取出2001:da8:XXXX:1000::/64用于手工指;而對于使用校園網(wǎng)服務(wù)的終端用戶,如在校學(xué)生上網(wǎng),機(jī)房上網(wǎng),教師上網(wǎng)等,其數(shù)量大,流動性強(qiáng),安全性要求和單個故障對業(yè)務(wù)影響相對小,可選擇使用無狀態(tài)地址自動地址配置或DHCPv6配置方式。為向不同類型的終端用戶自動配置IP地址,需要在保留原IPv4 DHCP服務(wù)器的同時,再按照系部或二級學(xué)院作為單位,分別部署一個DHCPv6服務(wù)器以提供對IPv6地址的自動分配。

3IPv6網(wǎng)絡(luò)路由設(shè)計(jì)

首先是選擇路由協(xié)議,OSPF協(xié)議是現(xiàn)在應(yīng)用最為廣泛的路由協(xié)議,無論是在企業(yè)網(wǎng)內(nèi)部,還是在互聯(lián)網(wǎng)上,OSPFv3都得到了大量的應(yīng)用,由于OSPFv3協(xié)議支持IPv6路由,因此,可以將與外部IPV6骨干網(wǎng)相連的路由器以及所有雙棧設(shè)備都配上支持IPv6的OSPFv3路由協(xié)議。在內(nèi)網(wǎng),雖然新升遷的核心層和匯聚層設(shè)備都支持IPv6的路由功能,但考慮到增加IPv6的路由可能會增加網(wǎng)絡(luò)設(shè)備資源的消耗,有可能會降低目前校園網(wǎng)的性能,進(jìn)而影響到校園網(wǎng)用戶的正常使用,而校園內(nèi)物理鏈路資源比較豐富,帶寬資源比較容易增加,因此,為了加快路由的轉(zhuǎn)發(fā),可以采用“獨(dú)立路由,共享交換”的建設(shè)思路。具體做法是,并采用獨(dú)立的路由器完成IPv6的路由,然后通過數(shù)據(jù)鏈路層連接至各匯聚層交換機(jī),實(shí)現(xiàn)所有接入點(diǎn)的雙棧連接。

4IPv6校園網(wǎng)安全設(shè)計(jì)

為了應(yīng)對IPv6網(wǎng)絡(luò)應(yīng)用帶來的安全性問題,可以采用了Cisco公司的網(wǎng)絡(luò)準(zhǔn)入控制NAC(Network Access Control)策略,通過身份驗(yàn)證、主機(jī)健康性保障、網(wǎng)絡(luò)安全性保障等多重角度,對內(nèi)網(wǎng)用戶進(jìn)行有效的管理,實(shí)現(xiàn)內(nèi)網(wǎng)用戶身份的合法化,上網(wǎng)主機(jī)安全狀況的健康化,網(wǎng)絡(luò)通信的安全化以及用戶網(wǎng)絡(luò)訪問行為的規(guī)范化。

5結(jié)束語

目前,各高校的校園網(wǎng)主要以IPv4網(wǎng)絡(luò)為主,但高校作為學(xué)術(shù)研究的基地,建立起IPv6校園網(wǎng)以推動高校師生對IPv6技術(shù)的研究和實(shí)踐有著重大的意義?，F(xiàn)在各高校實(shí)施IPv6的技術(shù)條件日漸成熟,將校園網(wǎng)升級到IPv6,可以解決目前各高校IPv4校園網(wǎng)存在的IP地址資源短缺、QoS、安全等問題。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第5版)[M].北京:電子工業(yè)出版社,2008.

[2]ipv4向ipv6的過渡技術(shù)綜述[J].北京郵電大學(xué)學(xué)報, 2002,4.

[3]如何從ipv4過渡到ipv6[J].計(jì)算機(jī)時代,2004,8.

作者簡介:

危光輝,重慶電子工程職業(yè)學(xué)院教師,出生于1973年7月,男,碩士,網(wǎng)絡(luò)工程師,主要從事計(jì)算機(jī)網(wǎng)絡(luò)方向的教學(xué)和研究。