高校校園網(wǎng)的IPv6過渡策略研究

◆常偉鵬 袁 泉

?

高校校園網(wǎng)的IPv6過渡策略研究

◆常偉鵬 袁 泉

（中國(guó)藥科大學(xué)圖書與信息中心 江蘇 211198）

與IPv4協(xié)議相比，IPv6具有地址資源數(shù)量、路由轉(zhuǎn)發(fā)速度、安全性和服務(wù)質(zhì)量等方面的優(yōu)勢(shì)。通過對(duì)IPv6在校園網(wǎng)部署進(jìn)展緩慢現(xiàn)狀及原因的分析，梳理了常見的IPv4向IPv6的過渡技術(shù)，探討了校園網(wǎng)由IPv4向IPv6過渡的三個(gè)階段，歸納提煉了校園網(wǎng)進(jìn)行IPv6過渡的指導(dǎo)思想和原則，以期對(duì)高校新一代校園網(wǎng)建設(shè)與管理提供參考思路。

高校校園網(wǎng)；IPv6過渡；過渡策略

1 IPv6及其特點(diǎn)

IPv6即IP協(xié)議第六版，是國(guó)際互聯(lián)網(wǎng)工程任務(wù)組IETF為解決現(xiàn)行的IPv4協(xié)議諸多不足而設(shè)計(jì)的下一代IP協(xié)議，是IPv4協(xié)議的替代版本。應(yīng)用IPv6能夠使IPv4網(wǎng)絡(luò)地址數(shù)量不足的問題得到徹底解決，同時(shí)IPv6還具有很多方面的優(yōu)勢(shì)，諸如報(bào)文結(jié)構(gòu)高效、支持地址自動(dòng)化配置、QoS支持性好、擴(kuò)展能力強(qiáng)、內(nèi)置移動(dòng)性等，能夠有效地提高網(wǎng)絡(luò)的應(yīng)用性能。具體來說，IPv6有以下特點(diǎn)：

（1）地址資源豐富。IPv6的地址長(zhǎng)度為128位，地址容量是IPv4的約8*1028倍，有著能“給地球上的每一粒沙子都編上一個(gè)IP地址”的量級(jí)，有效解決了網(wǎng)絡(luò)地址資源不足的問題。

（2）更快的路由轉(zhuǎn)發(fā)速度。IPv6地址在分配之初就遵循聚類（Aggregation）的原則，在路由表中可用一條記錄來標(biāo)識(shí)物理和邏輯上相近的一片子網(wǎng)，大大縮短了路由表的長(zhǎng)度，縮短了路由條目的查找時(shí)間，提高了數(shù)據(jù)包的路由轉(zhuǎn)發(fā)的速率。

（3）更高的安全性和服務(wù)質(zhì)量。IPv6內(nèi)部設(shè)置的安全協(xié)議，采用數(shù)據(jù)校驗(yàn)的方式來保證數(shù)據(jù)的完整性，并利用加密措施為數(shù)據(jù)進(jìn)行加密處理，可保證數(shù)據(jù)在端端傳輸過程中的安全性[1]。此外IPv6 還會(huì)改變報(bào)頭結(jié)構(gòu)，增加通訊流類型與數(shù)據(jù)流標(biāo)簽，有效提高數(shù)據(jù)傳輸效率[2]。

2 校園網(wǎng)的IPv6部署現(xiàn)狀

IPv4是現(xiàn)階段主流采用的網(wǎng)絡(luò)層協(xié)議，其廣泛而深刻影響到校園網(wǎng)的各個(gè)層面，大至校園網(wǎng)核心路由器，小至用戶個(gè)人終端，均采用的IPv4協(xié)議。IPv6雖然在不少高校的校園網(wǎng)中已經(jīng)部署，校園網(wǎng)全部或部分用戶可以接入IPv6網(wǎng)絡(luò)，甚至部分學(xué)校的主要網(wǎng)站和信息系統(tǒng)也支持IPv6訪問，但與IPv4相比，IPv6部署的廣度和深度都遠(yuǎn)遠(yuǎn)不夠，IPv6在校園網(wǎng)應(yīng)用的工作仍然任重道遠(yuǎn)。目前在校園網(wǎng)中部署IPv6的難度主要表現(xiàn)在以下幾個(gè)方面：

（1）設(shè)備數(shù)量多且類型復(fù)雜，部分設(shè)備不支持IPv6。高校校園網(wǎng)中存在大量的聯(lián)網(wǎng)設(shè)備，除交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備外，還擁有大量的服務(wù)器設(shè)備、網(wǎng)絡(luò)安全設(shè)備、物聯(lián)網(wǎng)設(shè)備，以及數(shù)量最為龐大的用戶終端設(shè)備，設(shè)備的種類復(fù)雜，并且存在部分設(shè)備因采購(gòu)較早或類型特殊而不支持IPv6的狀況。

（2）網(wǎng)站和業(yè)務(wù)系統(tǒng)數(shù)量眾多，但I(xiàn)Pv6的應(yīng)用范圍小。目前高校校園網(wǎng)中部署IPv6主要方式為所有或部分區(qū)域用戶支持IPv6網(wǎng)絡(luò)接入，數(shù)據(jù)中心網(wǎng)站和業(yè)務(wù)系統(tǒng)沒有或只有一小部分支持IPv6訪問。由于并非所有業(yè)務(wù)系統(tǒng)都支持IPv6，而業(yè)務(wù)系統(tǒng)內(nèi)部的強(qiáng)關(guān)聯(lián)性，導(dǎo)致數(shù)據(jù)中心全面升級(jí)至IPv6困難重重。

（3）校園網(wǎng)安全性、穩(wěn)定性要求高，但升級(jí)過程中和升級(jí)后對(duì)安全性和穩(wěn)定性造成的影響不容小視。高校校園網(wǎng)承擔(dān)全校的教學(xué)、科研、管理、服務(wù)等多種職能，其安全、穩(wěn)定運(yùn)行，對(duì)高校各種業(yè)務(wù)的開展具有重要的支撐和保障作用?；贗Pv4有一套成熟、完善的安全體系，對(duì)網(wǎng)絡(luò)安全有明確、具體的操作要求和實(shí)施方案，而基于IPv6的網(wǎng)絡(luò)安全體系仍未健全和成熟。此外，基于IPv4的校園網(wǎng)已經(jīng)運(yùn)行多年，已經(jīng)具有很強(qiáng)的穩(wěn)定性，其升級(jí)至IPv6的過程中和升級(jí)后的穩(wěn)定性無法保證。

3 IPv4過渡至IPv6的技術(shù)

IPv6與IPv4報(bào)頭結(jié)構(gòu)的巨大差異，導(dǎo)致兩者無法兼容，從而使得兩者之間無法直接通信。而IPv4的巨大影響力和互聯(lián)網(wǎng)的超級(jí)龐大體系結(jié)構(gòu)決定了互聯(lián)網(wǎng)無法全部迅速升級(jí)至IPv6，那么IPv6替代IPv4（IPv4向IPv6過渡）將會(huì)是一個(gè)相當(dāng)長(zhǎng)期而復(fù)雜的過程，也就是說在相當(dāng)長(zhǎng)的一段時(shí)間里，IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)將共存，在此過程中IPv6網(wǎng)絡(luò)不可避免的需要與IPv4網(wǎng)絡(luò)通信，甚至IPv6網(wǎng)絡(luò)之間的通信還需要依賴IPv4網(wǎng)絡(luò)。關(guān)于IPv4向IPv6過渡，IETF提出了雙協(xié)議棧（雙棧）、隧道和協(xié)議轉(zhuǎn)換三種過渡技術(shù)。

（1）雙棧技術(shù)。雙棧技術(shù)是指網(wǎng)絡(luò)中的節(jié)點(diǎn)同時(shí)支持IPv4和IPv6兩種協(xié)議棧，從而實(shí)現(xiàn)與IPv4/IPv6網(wǎng)絡(luò)的通信，當(dāng)目標(biāo)地址是IPv4網(wǎng)絡(luò)時(shí)，使用IPv4協(xié)議棧，當(dāng)目標(biāo)主機(jī)為IPv6網(wǎng)絡(luò)時(shí)，使用IPv6協(xié)議棧，雙棧節(jié)點(diǎn)可以看成IPv4和IPv6兩個(gè)單棧節(jié)點(diǎn)的結(jié)合。雙棧技術(shù)是最早的、最簡(jiǎn)單的過渡技術(shù)，還是其他IPv6過渡技術(shù)的基礎(chǔ)。采用雙棧技術(shù)需要網(wǎng)絡(luò)中的節(jié)點(diǎn)都同時(shí)支持并配置IPv4和IPv6協(xié)議，相當(dāng)于維護(hù)一套IPv4網(wǎng)絡(luò)的同時(shí)還維護(hù)一套IPv6網(wǎng)絡(luò)，這種情況會(huì)增加網(wǎng)絡(luò)管理維護(hù)的復(fù)雜度，此外雙棧技術(shù)并未解決IPv4地址短缺的問題[3]。

（2）隧道技術(shù)。隧道技術(shù)實(shí)現(xiàn)了兩個(gè)孤立的IPv6網(wǎng)絡(luò)通過IPv4網(wǎng)絡(luò)進(jìn)行通信，實(shí)質(zhì)上是一種封裝技術(shù)。將IPv4網(wǎng)絡(luò)作為隧道，隧道出入口節(jié)點(diǎn)均為雙棧節(jié)點(diǎn)，在隧道入口路由器將IPv6數(shù)據(jù)包封裝在IPv4包之中，在隧道出口路由器將IPv4數(shù)據(jù)包進(jìn)行解封再轉(zhuǎn)發(fā)給IPv6目的節(jié)點(diǎn)，通過該方式將兩個(gè)互相孤立的IPv6網(wǎng)絡(luò)連起來。隧道技術(shù)具有透明性強(qiáng)、操作簡(jiǎn)便的特點(diǎn)，將孤立的網(wǎng)絡(luò)通過隧道進(jìn)行連通，不僅適用于過渡初期階段IPv4網(wǎng)絡(luò)連接孤立的IPv6網(wǎng)絡(luò)，也適用于過渡后期階段用IPv6網(wǎng)絡(luò)連接孤立的IPv4網(wǎng)絡(luò)。但隧道技術(shù)中的隧道封裝增加了報(bào)文的長(zhǎng)度，增加了網(wǎng)絡(luò)維護(hù)的復(fù)雜度，并且無法實(shí)現(xiàn)IPv4節(jié)點(diǎn)和IPv6節(jié)點(diǎn)之間的直接通信。

（3）協(xié)議轉(zhuǎn)換技術(shù)。協(xié)議轉(zhuǎn)換技術(shù)即網(wǎng)絡(luò)地址-協(xié)議轉(zhuǎn)換技術(shù)，通過連接在IPv4和IPv6網(wǎng)絡(luò)中間的轉(zhuǎn)換器修改IP數(shù)據(jù)包報(bào)文頭部信息，實(shí)現(xiàn)協(xié)議轉(zhuǎn)化，從而實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互通。協(xié)議轉(zhuǎn)換技術(shù)在不對(duì)原有IPv4和IPv6節(jié)點(diǎn)進(jìn)行改造升級(jí)的情況下，即可實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)節(jié)點(diǎn)之間的直接通信，對(duì)原有網(wǎng)絡(luò)改造影響小，另外該模式對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)具有一定的安全防護(hù)功能。但該模式實(shí)現(xiàn)方式較為復(fù)雜，地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換產(chǎn)生的開銷大，對(duì)網(wǎng)絡(luò)時(shí)延有一定影響，當(dāng)存在大量轉(zhuǎn)換時(shí)，容易產(chǎn)生網(wǎng)絡(luò)瓶頸，制約網(wǎng)絡(luò)性能，因此不適合在較大規(guī)模網(wǎng)絡(luò)中采用。

4 校園網(wǎng)IPv6過渡的過程

全面建立基于IPv6協(xié)議的網(wǎng)絡(luò)需要滿足兩點(diǎn)，一是網(wǎng)絡(luò)全面啟用IPv6，二是關(guān)閉IPv4 協(xié)議[4]。高校校園網(wǎng)的復(fù)雜性，決定了校園網(wǎng)由IPv4全面過渡至IPv6是一個(gè)復(fù)雜而緩慢的過程，這個(gè)過程大致可分為以下三個(gè)階段：

（1）初期階段。在這個(gè)階段IPv4是校園網(wǎng)的主體，IPv6在校園網(wǎng)核心骨干區(qū)域和部分支持IPv6協(xié)議的接入?yún)^(qū)域以雙協(xié)議棧的方式部署，校園網(wǎng)中存在一定數(shù)量不支持或未部署IPv6的區(qū)域，這些區(qū)域使用IPv4協(xié)議訪問網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)如需訪問這些區(qū)域，或者這些區(qū)域如需訪問IPv6網(wǎng)絡(luò)，可通過協(xié)議轉(zhuǎn)換的方式進(jìn)行[5]。此外還有可能存在部分區(qū)域或節(jié)點(diǎn)支持IPv6部署，但與核心網(wǎng)絡(luò)相連中間部分鏈路不支持IPv6協(xié)議，對(duì)此可采用隧道技術(shù)與核心區(qū)域的IPv6網(wǎng)絡(luò)互通。

（2）中期階段。在這個(gè)階段校園網(wǎng)所有區(qū)域都完成了IPv6的部署，數(shù)據(jù)中心完成IPv6改造，所有信息系統(tǒng)都支持IPv6的直接訪問。校園網(wǎng)全面采用雙棧方式，IPv6和IPv4網(wǎng)絡(luò)共存，訪問IPv4資源使用IPv4網(wǎng)絡(luò)，訪問IPv6資源則使用IPv6網(wǎng)絡(luò)。

（3）后期階段。這個(gè)階段IPv6成為校園網(wǎng)的主體，新建設(shè)的網(wǎng)絡(luò)和部署上線的信息系統(tǒng)所分配的地址以IPv6地址為主，IPv4地址不再下發(fā)，并逐漸對(duì)已分配的IPv4地址進(jìn)行收回。在這一過程中會(huì)出現(xiàn)“純IPv6”的節(jié)點(diǎn)或網(wǎng)絡(luò)，如IPv4網(wǎng)絡(luò)需訪問這些區(qū)域，可通過協(xié)議轉(zhuǎn)換的方式進(jìn)行。隨著校園網(wǎng)中分配IPv4地址的區(qū)域越來越少，逐漸消失，校園網(wǎng)的IPv6過渡才算全部完成。

5 校園網(wǎng)IPv6過渡的指導(dǎo)思想與原則

校園網(wǎng)由IPv4全面過渡到IPv6是一個(gè)漫長(zhǎng)的過程，在這個(gè)過程中應(yīng)當(dāng)結(jié)合高校校園網(wǎng)的自身定位和實(shí)際需求，應(yīng)當(dāng)循序漸進(jìn)、有章可循，切忌盲目建設(shè)、一蹴而就，應(yīng)當(dāng)遵循一定的指導(dǎo)思想和原則。

5.1 指導(dǎo)思想

（1）整體規(guī)劃。校園網(wǎng)的IPv6部署，不論是采用過渡方式，還是純新建網(wǎng)絡(luò)，都需要基于一個(gè)校園網(wǎng)整體層面的長(zhǎng)遠(yuǎn)規(guī)劃。未來的校園網(wǎng)將會(huì)是一個(gè)基于IPv6網(wǎng)絡(luò)協(xié)議的集成多種業(yè)務(wù)的智慧網(wǎng)絡(luò)，除傳統(tǒng)的上網(wǎng)業(yè)務(wù)外，還將會(huì)容納監(jiān)控、門禁、校園卡、多種物聯(lián)網(wǎng)傳感器等多種業(yè)務(wù)。校園網(wǎng)由IPv4過渡至IPv6只有遵從整體規(guī)劃，才能有序推進(jìn)，避免片面和重復(fù)建設(shè)。

（2）資源驅(qū)動(dòng)。資源驅(qū)動(dòng)是保持網(wǎng)絡(luò)長(zhǎng)效發(fā)展的持續(xù)動(dòng)力，IPv4向IPv6演進(jìn)不僅僅是為了解決IP地址資源匱乏的問題，還應(yīng)著眼于向用戶提供全方位、多元化的應(yīng)用服務(wù)[4]。要加強(qiáng)對(duì)IPv6網(wǎng)絡(luò)資源的建設(shè)，一方面需要盡快完成現(xiàn)有IPv4網(wǎng)絡(luò)資源的雙棧支持，另一方面要開發(fā)多種多樣的IPv6資源，這包括在IPv6支持更好的高清視頻會(huì)議資源、視頻點(diǎn)播資源，以及智慧校園中各種常用的業(yè)務(wù)資源。

（3）平穩(wěn)過渡。校園網(wǎng)上承載著的大量業(yè)務(wù)，是高校各項(xiàng)工作開展的重要保障，網(wǎng)絡(luò)的穩(wěn)定、可靠運(yùn)行是校園網(wǎng)的最基本要求。由于IPv6對(duì)IPv4的不兼容，這要求校園網(wǎng)從IPv4向IPv6過渡中，一方面要保證IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)互訪的穩(wěn)定，另一方面要保證IPv6網(wǎng)絡(luò)內(nèi)部的穩(wěn)定。

（4）注重安全。雖然安全性較IPv4有了提升，但I(xiàn)Pv6并不是絕對(duì)安全的。在IPv6網(wǎng)絡(luò)中蠕蟲病毒、CC攻擊、DDos攻擊等網(wǎng)絡(luò)攻擊依然存在。由于IPv6大量用到組播并且無太多限制，該特點(diǎn)很容易被利用并進(jìn)行傳播。在IPv4向IPv6過渡的過程中，也容易產(chǎn)生新的網(wǎng)絡(luò)漏洞，要從整體層面上對(duì)過渡時(shí)期的網(wǎng)絡(luò)安全進(jìn)行規(guī)劃并部署實(shí)施。

（5）考慮成本。校園網(wǎng)的過渡方案，要綜合考慮成本投入和新業(yè)務(wù)達(dá)到的效果，注重保護(hù)現(xiàn)網(wǎng)投資，過渡是一個(gè)長(zhǎng)期的過程，要根據(jù)現(xiàn)實(shí)需要逐步推進(jìn)校園網(wǎng)向IPv6的過渡，切忌“一蹴而就”、“貪多求大”心態(tài)，注重網(wǎng)絡(luò)建設(shè)和資源建設(shè)之間的平衡。

5.2 指導(dǎo)原則

（1）循序漸進(jìn)。過渡方案的制定要依據(jù)整體規(guī)劃，分階段、有計(jì)劃的逐步開展，依據(jù)整個(gè)互聯(lián)網(wǎng)層面的IPv6建設(shè)進(jìn)程，在校園網(wǎng)中擴(kuò)大IPv6的部署，逐步縮小IPv4的應(yīng)用范疇。

（2）綜合可用。要明確在過渡時(shí)期IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)長(zhǎng)期共存的事實(shí)，過渡方案設(shè)計(jì)時(shí)，務(wù)必確保所建網(wǎng)絡(luò)和資源對(duì)IPv6和IPv4網(wǎng)絡(luò)均可使用。

（3）穩(wěn)定性、可靠性。方案的設(shè)計(jì)要以不影響現(xiàn)有業(yè)務(wù)運(yùn)行為指導(dǎo)原則，同時(shí)新建內(nèi)容須待測(cè)試通過，確保穩(wěn)定可靠后，方可部署上線。

（4）靈活性、可擴(kuò)展性。信息技術(shù)是不斷發(fā)展的，校園網(wǎng)是不斷增長(zhǎng)的，過渡方案設(shè)計(jì)要依據(jù)現(xiàn)狀并對(duì)復(fù)雜狀況做出充分的預(yù)留、對(duì)未來發(fā)展做充分的預(yù)留，確保校園網(wǎng)有充分的擴(kuò)展能力。

[1]廖姍姍.校園網(wǎng)用戶管理在大數(shù)據(jù)時(shí)代下的應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用, 2011,07(5):89.

[2]畢軍,王優(yōu),冷曉翔.IPv6過渡研究綜述[J].電信科學(xué).2008(10):12-22.

[3]吳海博,韓康.隧道技術(shù)與協(xié)議轉(zhuǎn)換相融合的IPv6過渡技術(shù)研究[J].科研信息化技術(shù)與應(yīng)用.2018,9(1):30-37.

[4]陶晶.淺談高校校園網(wǎng)IPv4向IPv6過渡問題及對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2015(10):41,43.

[5]馬軍鋒.網(wǎng)絡(luò)向IPv6演進(jìn)的過渡技術(shù)方案綜述[J].有線電視技術(shù).2018(6):33-37.

2019年中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金資助項(xiàng)目（2632019PY16）。