高校校園網(wǎng)IPv6方案設計

季昌武 山東信息職業(yè)技術學院，山東 濰坊 261041

高校校園網(wǎng)IPv6方案設計

季昌武 山東信息職業(yè)技術學院，山東 濰坊 261041

IPv4地址的耗盡問題已迫在眉睫，由于IPv4的先天不足導致的網(wǎng)絡安全問題越來越多。IPv6技術取代IPv4技術是必然趨勢。本文根據(jù)IPv4網(wǎng)絡到IPv6網(wǎng)絡過渡方案，重點分析了校園網(wǎng)應用IPv6技術的途徑。并且對于老校園網(wǎng)和新建校園網(wǎng)分別進行了分析。

IPv4；IPv6；IPSec；校園網(wǎng)

1.IPv4地址耗盡與安全問題

IP地址枯竭的問題已經(jīng)不是個新問題，特別在中國，問題已經(jīng)迫在眉睫。專家預測IPv4地址將在2010年耗盡，首當其沖的就是新興發(fā)展中國家。

由于我國IPv4地址資源嚴重不足，除了采用CIDR、VLSM和DHCP技術緩解地址緊張問題，更多的是采用私有IP地址結合網(wǎng)絡地址轉換(NAT/PAT)技術來解決這個問題。比如PSTN、ADSL、GPRS撥號上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址，通過NAT技術接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡傳輸?shù)乃俣?，且安全性等方面也難以得到保障。從根本上看，互聯(lián)網(wǎng)可信度問題、端到端連接特性遭受破壞、網(wǎng)絡沒有強制采用IPSec而帶來的安全性問題，使IPv4網(wǎng)絡面臨各種威脅。

2.IPv6技術

（1）IPv6技術簡介

IPv6的地址是128位編碼，能產(chǎn)生2的128次方個IP地址。地址資源極為豐富。而且能夠為互聯(lián)網(wǎng)提供更安全、更為廣闊的應用與服務。IPv6技術徹底解決了地址空間耗盡和路由表爆炸等問題，而且為IP協(xié)議注入了新的內容，使支持安全、主機移動以及多媒體成為IP協(xié)議的有機組成部分。IPv6技術是一個可靠的、可管理的、安全和高效的IP網(wǎng)絡的長期解決方案。

（2）IPv6的安全

安全問題始終是與Internet相關的一個重要話題。由于在IPv4協(xié)議設計之初沒有考慮安全性，因而在早期的Internet上時常發(fā)生諸如企業(yè)或機構網(wǎng)絡遭到攻擊、機密數(shù)據(jù)被竊取等不幸的事情。為了加強Internet的安全性，從1995年開始IETF著手研究制定了一套用于保護IP通信的IP安全(IP Security，IPSec)協(xié)議。IPSec是IPv6的一個組成部分，提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭到改動。加密機制通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被他人截獲而失密。IPSec的認證包頭(Authentication Header，AH)協(xié)議定義了認證的應用方法，封裝安全負載（Encapsulating Security Payload，ESP）協(xié)議定義了加密和可選認證的應用方法。在實際進行IP通信時，可以根據(jù)安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。

3.IPv4至IPv6的過渡技術

IPv6網(wǎng)絡一般分為純IPv6網(wǎng)和過渡IPv6兩種網(wǎng)絡。構建純IPv6的網(wǎng)絡需要各個節(jié)點主機、路由器支持IPv6協(xié)議棧即可。過渡IPv6網(wǎng)絡對節(jié)點主機和路由器并無特殊的要求，只需通過采用一定的技術來實現(xiàn)IPv6網(wǎng)絡。當前主要采用的技術有隧道技術、雙協(xié)議棧技術、轉換技術。

（1）雙協(xié)議棧技術

IPv6和IPv4是功能相近的網(wǎng)絡層協(xié)議，兩者都基于相同的物理平臺，且傳輸層協(xié)議對于IPv6和IPv4是相同的功能。由協(xié)議棧結構可以看出，一臺主機同時支持IPv6和IPv4兩種協(xié)議，該主機既能與支持IPv4協(xié)議的主機通信，又能與支持IPv6協(xié)議的主機通信。

（2）隧道技術

隨著IPv6網(wǎng)絡的發(fā)展，出現(xiàn)了許多局部的IPv6網(wǎng)絡，但是這些IPv6網(wǎng)絡需要通過IPv4骨干網(wǎng)絡相連。利用隧道技術可以通過現(xiàn)有的運行IPv4協(xié)議的Internet骨干網(wǎng)絡將局部的IPv6網(wǎng)絡連接起來，因而是IPv4向IPv6過渡的初期最易于采用的技術。該技術容易實現(xiàn)，但缺點是不能實現(xiàn)IPv4主機與IPv6主機的直接通信。

（3）網(wǎng)絡地址轉換/協(xié)議轉換技術

網(wǎng)絡地址轉換/協(xié)議轉換技術NATPT(Network Address Translation -Protocol Translation)通過與SIIT協(xié)議轉換和傳統(tǒng)的IPv4下的動態(tài)地址翻譯(NAT)以及適當?shù)膽脤泳W(wǎng)關(ALG)相結合，實現(xiàn)了只安裝了IPv6的主機和只安裝了IPv4機器的大部分應用的相互通信。這種技術依賴于從支持IPv4的互聯(lián)網(wǎng)到支持IPv6的互聯(lián)網(wǎng)的轉換，IPv4和IPv6可在這一轉換過程中互相兼容。

4.校園網(wǎng)的發(fā)展趨勢

目前，校園網(wǎng)不得不面對大量的問題與挑戰(zhàn)。

首先需要面對承載更多業(yè)務的迫切需求，如一卡通、視頻會議、IP電話等對網(wǎng)絡有著特定要求的應用難于部署；不同的業(yè)務往往需要部署不同的網(wǎng)絡，BT等更改網(wǎng)絡流量模型、更改會話鏈接模型等應用的出現(xiàn)也給網(wǎng)絡帶來不穩(wěn)定的因素。

其次網(wǎng)絡的穩(wěn)定性和安全性仍然需要提高，因安全攻擊事件（病毒、黑客攻擊等）引起的安全事故屢有發(fā)生，攻擊的來源由外部為主逐漸轉移到以內部為主，而殺毒軟件、IDS等防護手段難以全面實施，局部的安全事故往往會影響到全網(wǎng)的安全。

再者，高校用戶還承受著巨大的管理壓力，不斷出現(xiàn)的新技術給網(wǎng)絡帶來了使用的復雜性，加大了網(wǎng)絡中心的日常維護工作量，網(wǎng)絡交換機等設備數(shù)量的增多和多校區(qū)因素引起的分布范圍加大，實際上使對匯聚、接入等設備的管理策略難于實施，大部分高校的網(wǎng)絡中心存在著人員配置少的難題，一方面是維護工作的復雜程度增加，一方面是人手的短缺。IPv4校園網(wǎng)已經(jīng)無力解決現(xiàn)實存在的眾多難題，IPv6校園網(wǎng)取代IPv4校園網(wǎng)是發(fā)展的必然結果。

5.校園網(wǎng)向IPv6的過渡方案

（1）新建校園網(wǎng)

新校園網(wǎng)IPv6組網(wǎng)方案分析

對于新建的校園網(wǎng)，有兩種組網(wǎng)方式，一種是建立純IPv6網(wǎng)絡，另一種是雙棧支持的IPv6網(wǎng)絡。但由于目前大多數(shù)實際應用依舊是運行在IPv4的網(wǎng)絡之上，而且IPv6的實際應用相對較少，因此推薦使用后一種組網(wǎng)方式。采用同時支持IPv6/IPv4的網(wǎng)絡設備進行組網(wǎng)建設，使得校園網(wǎng)平臺同時支持兩種協(xié)議的應用。

雙棧支持的IPv6網(wǎng)絡的校園網(wǎng)，邊界路由器可以采用支持雙棧的設備，連通IPv6互聯(lián)網(wǎng)CERNET2。針對校內網(wǎng)絡，核心交換機可以采用支持雙棧的三層設備，IPv6的三層功能均交由核心處理，匯聚接入使用IPv4交換機即可。如果條件允許，也可考慮匯聚使用雙棧三層交換機，形成層次化的IPv6網(wǎng)絡。

新校園網(wǎng)IPv6網(wǎng)絡互通方法

上述方案，校內IPv6內部、IPv4內部在各自網(wǎng)內分別互通。而校內IPv6和IPv4互通，是通過雙棧核心交換機進行地址協(xié)議轉換。校內IPv6和校外IPv4(或校內IPv4到校外IPv6)通過出口進行地址協(xié)議轉換與外部互通。并且校內IPv6和校外IPv6，經(jīng)邊界路由設備直接連接CERNET2。

（2）老校園網(wǎng)升級

老校園網(wǎng)IPv6組網(wǎng)方案分析

針對目前大多數(shù)高校，對已有的校園網(wǎng)部署IPv6組網(wǎng)方案，相比新建校園網(wǎng)要復雜，基本可以通過以下兩種方法實現(xiàn)，一是購買新的雙棧設備，二是升級核心設備的軟硬件支持雙棧。

對于增加新的雙棧設備，可以通過新增設備進行NAT-PT轉換與原IPv4核心設備互通，與外部則分別經(jīng)原核心連接的CERNET或新增設備所連接的CERNET2分別于外部IPv4和IPv6網(wǎng)絡互通。如果核心設備可以升級軟硬件來支持雙棧，則部署和應用互通方案可類似前述新建校園網(wǎng)。

老校園網(wǎng)IPv6網(wǎng)絡互通方法

上述方案，校內IPv6內部、IPv4內部在各自網(wǎng)內分別互通。而校內IPv6和IPv4互通，是通過新建IPv6校園網(wǎng)雙棧核心交換機進行地址協(xié)議轉換。校內IPv6和校外IPv4(或校內IPv4到校外IPv6)通過出口進行地址協(xié)議轉換與外部互通。并且校內IPv6和校外IPv6，經(jīng)邊界路由設備直接連接CERNET2或者使用隧道技術與非直連的IPv6孤島互通。

老校園網(wǎng)升級的具體方案考慮

為盡量避免對原有網(wǎng)絡線路改造或增加，同時又希望原有用戶可以方便地接入IPv6網(wǎng)絡，可以直接將核心三層交換機替換為雙棧設備，則其形式將類似于新建IPv6校園網(wǎng)。并且由于IPv6建設初期用戶較少，為了減少設備投資，考慮使用服務器模擬路由器作為邊界的雙棧設備。

6.總結

本文總結了IPv4協(xié)議的不足與應用形式，分析了IPv6技術的特點，及其取代IPv4的必然趨勢。根據(jù)IPv4網(wǎng)絡到IPv6網(wǎng)絡過渡方案，重點分析了校園網(wǎng)實現(xiàn)IPv6網(wǎng)絡的技術思路。對于老校園網(wǎng)和新建校園網(wǎng)分別進行了分析。

[1].伍海桑,陳茂科.IPv6 的原理和實踐[M].人民郵電出版社.2009

[2].張俊.淺析IPv6的安全性[A].網(wǎng)絡安全技術與應用. 2008.10

[3].Davies,J; 張曉彤,晏國晟,曾慶峰等譯.理解IPv6[M].清華大學出版社.2006

[4].姚樹宇.IPv6協(xié)議及其過渡技術的安全問題[A]. IT論壇.2007.9

[5].張震,唐雄燕.IPv6技術的應用與發(fā)展策略[A].現(xiàn)代傳輸.2009

Analyses To The CampusNetwork’s IPv6 Converting

Ji Changwu Shandong College Of Information Technology, Shandong Weifang 261041

IPv4 address’s depletion problem is imminent,Security problems caused by the inherent inadequacy of IPv4 network being more and more. The IPv4 technology must be replaced by IPv6 technology.Based on the IPv4 network to IPv6 network transition programs, an analysis is proposed to solve the problem that how to use the IPv6 technology in the campus network. And a more indepth analysis to old campus network and new campus network is proposed.

IPv4；IPv6；IP Security；Campus Network

TP393

A

10.3969/j.issn.1001-8972.2011.08.070

季昌武，山東濰坊人，高級講師，研究方向：網(wǎng)絡互聯(lián)技術，軟件開發(fā)。