基于雙協(xié)議棧的校園網IPv6過渡策略分析與實現(xiàn)

杜焱喆

（華東交通大學現(xiàn)代教育技術中心，江西南昌330013）

隨著網絡的迅速發(fā)展，整個互聯(lián)網呈現(xiàn)了高速增長的趨勢，各類應用如雨后春筍般涌現(xiàn)。但在繁榮背后卻隱藏著重大危機，其中最為嚴重的問題是32位IPv4地址即將被耗盡。2011年2月[1]，現(xiàn)有的互聯(lián)網IP地址已分配完畢，IP地址總庫已經枯竭[2]。路由表爆炸，服務質量，安全性降低的危險也日益凸顯。因此，我們急切地需要新一代的互聯(lián)網協(xié)議，為了徹底解決當下問題，人們已經在著手研發(fā)新的IP協(xié)議，即IPv6協(xié)議，IPv6擁有多達2128位的地址空間，IP地址不足的問題將被徹底解決。IPv6還采用了分級尋址（Multi-tiered addressing）模式，具有高效IP頭部，更好的QoS支持，主機地址自動配置，認證和加密等諸多技術[3]。另外，校園網作為互聯(lián)網不可或缺的部分，也面臨著IPv4向IPv6過渡的問題。下文將詳細介紹多種IPv4到IPv6的過渡技術，并且針對校園網使用雙協(xié)議棧技術完成IPv4向IPv6過渡的策略進行了分析與實現(xiàn)。

1 IPv4到IPv6的過渡技術

1.1 雙協(xié)議棧（Dual-stack）[4]

雙協(xié)議棧技術是指在兩端設備上同時安裝并使用IPv4和IPv6兩種IP協(xié)議的技術。通過該技術實現(xiàn)終端設備或網絡節(jié)點間的IPv4和IPv6同時通訊。如圖1所示，雙協(xié)議棧技術在以太網中采用哪種IP協(xié)議通訊，需要查詢分析數(shù)據(jù)報頭的協(xié)議ID。雙協(xié)議棧技術根據(jù)協(xié)議ID的值進行區(qū)分[5]。如果協(xié)議ID的值為0x0800，則使用IPv4協(xié)議通訊。反之，如果協(xié)議ID的值為0x86dd，則使用IPv6進行通訊。

雙協(xié)議棧技術互訪性好，簡單易行，是IPv6與IPv4節(jié)點最直觀的通訊方式。但由于雙協(xié)議棧技術要同時各占用一個IPv4和IPv6的地址，無法根本上解決IP地址緊缺的問題，而且無法解決單IPv4地址主機到單IPv6地址主機的互訪問題。所以雙協(xié)議棧技術只能作為過渡方案使用。

圖1 雙協(xié)議棧工作方式Fig.1 Dual-stack operative mode

1.2 隧道技術（Tunnel）[4]

隨著IPv6高速發(fā)展，目前有了許多獨立的純IPv6局域網，這種網絡就是IPv6孤島。由于這些IPv6孤島無法實現(xiàn)互訪，所以只有利用現(xiàn)有的IPv4骨干網絡進行通訊。而這種利用現(xiàn)有IPv4骨干網絡承載和傳輸IPv6數(shù)據(jù)包的技術稱之為隧道技術。通過這種技術，利用現(xiàn)有運行IPv4協(xié)議的骨干網絡將多個獨立的IPv6孤島連接起來，逐步將IPv6孤島連接成為IPv6大陸，逐漸萎縮IPv4使用范圍，從而實現(xiàn)IPv4向IPv6過渡。

隧道技術是將IPv6數(shù)據(jù)包封裝成為IPv4數(shù)據(jù)包，來實現(xiàn)IPv6數(shù)據(jù)通過IPv4網絡進行通訊的。在IPv4骨干網絡中，封裝成IPv4的IPv6數(shù)據(jù)包，采用IPv4網絡的路由方式傳輸。數(shù)據(jù)包發(fā)送時，發(fā)送端設備會進行數(shù)據(jù)包封裝，而且數(shù)據(jù)包頭采用一個“協(xié)議域”來標識IPv6數(shù)據(jù)包。當接收端設備收到數(shù)據(jù)包后，首先分析數(shù)據(jù)包頭。如果分析到數(shù)據(jù)包頭“協(xié)議域”值為41，該設備就將這個數(shù)據(jù)包恢復成封裝之前的IPv6數(shù)據(jù)包，并傳送到目的地址。

隧道技術還提供了隧道代理（Tunnel Broker）技術用來自動的配置隧道。達到提高配置隧道的擴展性的目的。隧道代理的主要工作方式是：用戶可自行建立、更改和拆除隧道，簡化隧道的配置過程；用戶一般通過瀏覽器的方式就可以向ISP申請永久的IPv6地址和域名。ISP負責將用戶（操作系統(tǒng)需要支持雙協(xié)議棧）的IPv6地址和名字信息存放到域名服務DNS里，實現(xiàn)用戶節(jié)點的IPv6域名解析。

隧道技術大多用于IPv6孤島對接，無法完成純IPv6與純IPv4的訪問。在隧道兩端的設備依然需要使用雙IP地址，也無法解決地址緊張問題。

1.3 IVI技術[2]

羅馬數(shù)字中IV代表四，VI代表六，所以IVI代表IPv4和IPv6過渡和互訪。IVI技術工作方法是把IPv6集中在某個特定的地址，使它能與IPv4進行無狀態(tài)的映射，從而實現(xiàn)IPv6和IPv4的互訪并保證端到端的地址透明。IPv4中也同樣的取出一些地址不在IPv4中用，而是通過IVI技術映射成IPv6地址在IPv6的網絡里使用。用戶獲得到IPv6地址就可以直接訪問IPv6資源，同時這些地址也可以通過設備轉換成映射的IPv4地址，訪問IPv4資源，實現(xiàn)IPv4和IPv6的互通。

2 校園網IPv4到IPv6過渡中可能遇到的問題

2.1 現(xiàn)IPv4下業(yè)務系統(tǒng)的過渡

現(xiàn)階段校園網內的所有業(yè)務系統(tǒng)都是使用IPv4地址進行通訊。在向IPv6過渡的階段，所有的業(yè)務系統(tǒng)都需同時適應IPv4和IPv6的雙協(xié)議通訊。而且業(yè)務遷移過程必須平滑，特別是核心業(yè)務系統(tǒng)，要求無間斷遷移。

2.2 校園網大多數(shù)出口還使用IPv4協(xié)議

完成網絡出口的IPv6對接是校園網從IPv4到IPv6過渡的第一步。只有當網絡出口對接IPv6之后，業(yè)務系統(tǒng)才能真正的往IPv6遷移，用戶才會真正的接觸和使用IPv6網絡。高校校園網目前的出口主要分為兩類，一類是電信、聯(lián)通、網通等公用網，另一類是CERNET教育網。公用網目前大部分使用的還是IPv4協(xié)議?；旧蠜]有真正開始使用IPv6協(xié)議的公用網。所以目前無法與公用網進行IPv6對接。而CERNET教育網中的下一代互聯(lián)網試驗網CERNET2主干網是一個純IPv6網絡。因此校園網要實現(xiàn)IPv6接入，目前主要是完成與CERNET2主干網的對接。并且在對接過程中要保證與原CERNET教育網以及公用網的IPv4互通不能中斷。

2.3 投資成本

校園網內現(xiàn)所有設備都是為IPv4而考慮的，如要升級到IPv6，就要考慮到升級的投資成本代價?，F(xiàn)有的網絡設備全套更換是不現(xiàn)實的，也是不經濟的。所以，必須選擇一個好的過渡策略，可以讓現(xiàn)有的網絡設備價值發(fā)揮到最大，從而保護舊投資，減少新投資。

3 校園網的過渡策略分析

基于校園網過渡的以上三個問題，隨機翻閱了寧夏醫(yī)科大學[6]、中國海洋大學[7]、新疆大學[8]、北京大學、北京師范大學、第二軍醫(yī)大學、東北電力大學、海南師范大學、上海交通大學、暨南大學、內蒙古工業(yè)大學、上海理工大學、山東大學、中央民族大學、中國人民大學、華東交通大學等16所高校的IPv6建設相關文章，統(tǒng)計得出其中大面積使用雙協(xié)議棧技術的學校有14所，另外兩所高校分別使用隧道技術和IVI技術為主要升級策略。

由此可見使用雙協(xié)議棧技術為主是最簡單易行的方案。原因如下：

1）雙協(xié)議棧技術可以在同一個設備、主機節(jié)點或者業(yè)務系統(tǒng)上同時使用IPv4和IPv6進行網絡傳輸。滿足業(yè)務系統(tǒng)平滑或者無間斷遷移需求。業(yè)務系統(tǒng)遷移過程對用戶透明。

2）雙協(xié)議棧技術在與CERNET2主干網連接時，不影響原CERNET教育網的IPv4網絡業(yè)務，同時也不影響公用網的IPv4網絡業(yè)務。

3）雙協(xié)議棧技術只需在核心設備和匯聚設備上部署，無需大量更換樓宇內設備和配置。近幾年購置的核心交換設備和匯聚設備，默認都帶有雙協(xié)議棧技術。所以接入成本非常低，可有效保護現(xiàn)有投資。對于部分核心設備陳舊或網絡拓撲復雜的校園網，可更換核心設備后，使用雙協(xié)議棧接入或者采用以雙協(xié)議棧為主、隧道方式并存的方案。

4 校園網的-雙協(xié)議棧策略實現(xiàn)

4.1 實現(xiàn)方式

現(xiàn)階段校園網IPv6接入主要是為了接入CERNET2網絡。所以現(xiàn)在主要是在CERNET教育網接入線路上進行雙協(xié)議棧設置。出口接入拓撲如圖2。

圖2 雙協(xié)議棧接入拓撲圖Fig.2 Dual-stack access topology

4.2 接入步驟

新增一臺純二層千兆網絡交換機用來將校園內IPv4數(shù)據(jù)和IPv6數(shù)據(jù)同時傳輸?shù)酵粭lCernet線路上。在現(xiàn)有核心匯聚三層交換機和下聯(lián)匯聚交換機上開啟雙協(xié)議棧功能。IPv4和IPv6網關均部署在匯聚三層交換機上，同時開啟IPv6路由功能，并配置IPv6網關地址。在核心匯聚三層交換機上部署IPv6路由功能如OSPFv3、IPv6靜態(tài)路由等。由于網內所有三層設備均是雙棧設備，既運行IPv4也運行IPv6路由協(xié)議。不會影響原有IPv4業(yè)務正常運行。

如果某些下聯(lián)匯聚交換機無法支持雙棧方式，也可以使用隧道技術作為補充。保證這些網絡可以順利接入IPv6。

4.3 域名服務器DNS配置

由雙協(xié)議棧工作方式得知，只有當目標地址是IPv6地址時，雙協(xié)議?？蛻魴C才會使用IPv6協(xié)議去訪問。當雙協(xié)議棧客戶機訪問目的地址的域名時，DNS服務器會自動查詢目的地址的A記錄、AAAA記錄或A6記錄。如果返回的是IPv4地址，雙協(xié)議棧客戶機就使用IPv4協(xié)議訪問目的地址。反之，如果返回的是IPv6地址，就使用IPv6協(xié)議訪問[9]。如果同時存在IPv4和IPv6記錄，雙協(xié)議棧主機會根據(jù)返回信息決定用哪一種協(xié)議進行通訊。所以要實現(xiàn)雙協(xié)議棧主機使用IPv6協(xié)議訪問，校園網內DNS服務器就必須升級并支持AAAA或A6記錄。

4.4 過渡策略

完成出口接入后，應首先對部分需求迫切的部門、學院、研究機構開放IPv6訪問，還可同時建立純IPv6試驗區(qū)。然后再將業(yè)務系統(tǒng)逐步開通IPv6訪問。最后逐步開放全網IPv6訪問，并嘗試并鼓勵相關機構部署純IPv6服務，逐步完成IPv4到IPv6的過渡。

5 結語

首先介紹雙協(xié)議棧技術、隧道技術、IVI技術3種IPv4到IPv6過渡技術，并且結合高校校園網拓撲結構、業(yè)務系統(tǒng)狀態(tài)、投資成本等實際問題，參考分析多個高校的建設方案，提出了首先采用便捷、易用、低投入的雙協(xié)議棧技術對校園網的核心設備和匯聚設備進行部署或改造升級，完成IPv6接入。然后逐步放開IPv6訪問，培養(yǎng)IPv6用戶，并將網內的業(yè)務系統(tǒng)升級成為雙棧業(yè)務系統(tǒng)，支持IPv6訪問。最終實現(xiàn)校園網絡IPv4/IPv6全面過渡升級。這是一個漫長的過程，現(xiàn)有的IPv4網絡上已經有非常豐富的教學、科研、娛樂資源，IPv6網絡是一個新興的網絡，上面的應用和資源的缺少嚴重阻礙了它的發(fā)展。IPv4向IPv6過渡不僅僅是從技術上實現(xiàn)IPv6的訪問，同時還要鼓勵和支持網內用戶自行提供IPv6服務和資源，豐富IPv6應用。只有網內用戶都能自覺使用IPv6方式進行通訊，才能算是真正實現(xiàn)了IPv4到IPv6的過渡。

[1]張紅斌，李廣麗.基于web的英語自助學習系統(tǒng)設計[J].華東交通大學學報，2010，27（1）：52-57.

[2]朱亞瓊.校園網IPv4/IPv6過渡技術研究[J].硅谷，2011（19）：45-75.

[3]華為3Com技術有限公司.IPv6技術[M].1版.北京：清華大學出版社，2004：103-105.

[4]馬嚴，趙曉宇.IPv4向IPv6過渡技術源述[J].北京郵電大學學報，2002，25（4）：1-5.

[5]DESMEULES R.Cisco IPv6網絡實現(xiàn)技術[M].王玲芳，等，譯.1版.北京：人民郵電出版社，2004：172-174.

[6]史彥奎，劉凱，任金霞.寧夏醫(yī)科大學IPv6的規(guī)劃與應用[J].華章，2011（27）：323.

[7]李璐，陳國華，黃濤.中國海洋大學IPv6校園網絡的部署和實現(xiàn)[J].中國海洋大學學報，2008，38（S1）：25-27.

[8]禹龍，吳向前.新疆大學IPv6校園網升級建設[J].中國教育信息化，2010（21）：28-30.

[9]蘇云成，宋如敏.實現(xiàn)IPv4向IPv6過渡的雙協(xié)議棧技術和隧道技術[J].電腦知識與技術，2009，5（20）：5394-5395.