基于IPv4/IPv6双栈机制的高校网络改造研究

周凯 褚宁琳

摘   要：在国家战略的推动下，高校都展开了IPv6网络的建设工作，但从IPv4网络向IPv6网络的过渡是一个漫长的过程，面对当下各高校现网的实际情况，需要制定一个系统的、科学的、可行性高的IPv6建设方案，进行有步骤、分层次的建设。文章将从高校IPv4网络建设的实际情况出发，分析IPv6与IPv4特性上的优势差异及IPv6组网规划设计中应重点考虑的若干问题，给出基于双栈协议的3层组网架构和大二层扁平化组网架构的IPv6校园建设实例。

关键词：第6版互联网协议;规划设计;部署方案

现今高校网络建设由于资金投入不足、运营模式多样、校区扩建、新旧设备共存等诸多问题，导致校园网络向互联网协议第6版（Internet Protocol Version 6，IPv6）升级改造具有一定的复杂性及难度。如何顺利平稳过渡这一时期是当下需要思考的问题，本文将综合考虑高校网络的现状，通过对IPv6与IPv4的特性分析，升级改造初期的部署规划和设计，给出高校IPv6改造部署的可行性方案。

1    IPv6特性

1.1  地址空间

IPv6相比IPv4最显著的优势就是使用了128位地址长度来代替了原协议的32位地址长度，并支持多层子网划分及地址分配，这些IP地址满足了Internet中更多用户、应用的使用。实现了端到端的完整通信，避免了网络地址转换（Network Address Translation，NAT）。

1.2  数据报头格式

全新的IPv6报头格式设计，把一些不重要的字段和扩展字段移到了IPv6头部之后的扩展头部，简化了IPv6的头部信息，提高路由处理信息的效率。虽然基本头部是IPv4的两倍，但提供了IPv4地址的4倍位数。

1.3  状态和无状态的地址配置

IPv6同时支持状态地址和无状态地址配置，并可以同时使用。无状态地址配置，链路上的主机可以使用IPv6本地链路地址、过渡地址、前缀生成地址来自动配置。如没有路由器，则两台主机可以通过本地链路地址自动配置与链路上相邻节点进行通信，相比IPv4简化了配置。

1.4  IPSec

IPSec头部对IPv4支持为可选，对IPv6的支持为必选。这样的必选不仅提供了标准化的安全解决方案，还为不同IPv6协议程序之间的互联操作提供了方便。IPSec主要由认证头部（Authentication Header，AH）和封装安全负载（Encapsulated Security Payload，ESP）协议组成，AH负责保护IPv6数据包，并确保数据的完整性及消息认证，ESP头部和尾部负责确保数据的完整性和机密性，并对数据进行认证，同时，保护ESP封装的负载[1]。

1.5  优先级传输

可扩展对于如何处理和识别数据流IPv6头部给出了新的字段，数据流通过Traffic Class字段进行排序，路由通过Flow Label字段识别和处理每个流的数据包。当数据包有效负载由IPSec和ESP加密时，仍然可以有序地发送由IPv6报头信息识别的流量。

1.6  可扩展

可扩展可以在头部后面通过添加扩展头部进行扩展IPv6，扩展头部的大小只受限于IPv6数据包大小，而不像IPv4头部可选字段只支持40字节。

2    高校IP6网络部署规划

高校IPv6建设的驱动力决定IPv6网络建设的必须性，但IPv4向纯IPv6网络过渡是一个漫长而复杂的过程。不可否认，这个过渡期将长期处于IPv4和IPv6共存的状态。怎样科学、稳步地对高校网络升级改造，避免资源浪费、重复性建设值得思考。笔者认为，在升级改造前依据学校实际信息化建设及发展现状，科学地制定详细的IPv6网络部署规划是必需的，这个部署规划过程如下。

2.1  评估

部署之前应对当前的网络基础设施进行细致的评估，它可以给出初步的参考依据。评估的内容主要包括以下几点：

（1）网络，调查当前的网络基础架构，包括网络类型、设备类型、设备性能和功能以及记录相关数据，以确认这些设备是否满足相关IPv6技术改造的要求。

（2）地址分配，确认现行地址分配方案，力求与IPv6地址规划与分配方案之间建立相关的联系。

（3）网络服务，确定现网中运行的网络服务，如DNS，NTP，DHCP等。

（4）网络管理，确认现有网络的网络管理工具是否可以管理IPv6网络;若不能管理，将采用何种工具。

（5）网络应用，梳理現网中所有业务系统、数据库、操作系统等并记录，而后确认这些网络应用与IPv6的交互方式。

2.2  设计

总体设计要从前期评估摸底的实际情况出发，高校IPv6网络建设主要从编址设计、过渡方案的选择、网络服务、安全性、稳定性5个层面设计。

2.2.1  IPv6编址方案设计

编址方案的设计不仅要满足当前的编址需要，还要充分考虑到未来学校信息化持续发展的需求。公网地址由IANA负责分配，IANA会委派区域性的互联网注册机构（Regional Internet Registry，RIR）分配地址块。目前，高校IPv6地址主要由中国教育和科研计算机网分配。基本分配原则会遵循RIR的地址分配指引，得到单个/48子网，可以获得65 536个/64网络。对于高校而言，虽然地址量很大，但也要合理分配，以达到高效路由选择和路由聚合的效果。

编址方针为有效区分各网络类型。高校网络类型从属性上分为管理地址和业务地址两类;从场景上分为教学生活网、数据中心网、业务网3大块。细分的话，教学生活网包含生活网和教学网;数据中心网分为常规管理网、私有云平台管理网、其他各专网等;业务网分为非托管业务、托管业务、物联网业务等。面对这样一套复杂的网络分类，应首先满足每个LAN子网都是/64位网络，确定网络标识符所需的地址空间，RFC 3627推荐0子网空间的/126网络专用于链路子网的地址分配。

地址分配要兼顾路由选择，基本前提是不能影响现有IPv4路由选择，对于两种协议路由选择，应尽可能结合使用。主机获取地址时，无论是采用无状态地址自动分配特征，还是使用状态化地址配置特征，都是建立高效、稳定路由选择的关键。对于一些特殊需求主机，也可以使用IP地址隐私扩展功能，使主机可以基于时间段自动更换IPv6地址。

2.2.2  过渡机制选择

纯IPv6网络的实现将是个长期过程，这个过程属于IPv4与IPv6共存阶段。选择何种机制主要从当前网络环境、网络设备的支持、应用的支持及未来IPv6的流量方面来考虑。笔者在《高校IPv6网络部署的关键性技术研究》一文中对多种过渡机制的优劣作了详细的阐述。

2.2.3  网络服务与安全性

（1）网络服务：主要包括DNS，AAA，DHCP等，给予用户等价于IPv4网络的服务也是改造的关键。如实施双栈DNS，提供IPv4/IPv6地址解析、是否对主机提供自动配置特性或DHCPv6等。

（2）安全性：处于过渡期的网络，不仅要防御IPv4网络中存在的安全威胁，还要防御IPv6网络带来的新的安全威胁。如攻击者通过隧道方式封装IPv6流量，鬼使神差地通过安全设备进行攻击。所以在IPv6网络建设时，要对现网中不支持IPv6安全防御的设备进行升级或采购。在防火墙、IPS等设备上部署相应的安全防御策略、IPsec。

3    高校IPv6部署方案设计

高校IPv6网络部署，基本都会基于现有IPv4网络进行升级改造，组网架构可分为大二层架构（见图1）与传统3层网络架构（见图2）两种。本文将根据这两种架构阐述IPv4/IPv6双栈部署实例，以面向教学生活网与数据中心业务网两种环境。

大二层扁平化架构常用于教学生活网架构采用收缩核心的设计思想，忽略汇聚层直接至接入层，通过控制层面设备有效减少网络层的物理和逻辑级联级数，架构清晰便于精细化管理维护[2]。如图1所示的多业务控制网关（Broadband Remote Access Server，BRAS）是整网的核心。这种大二层扁平化架构向IPv6网络改造时，保持现有IPv4网路拓扑不变，开启全网所有网络设备和主机相关接口的IPv4/IPv6双栈功能，在核心BRAS上配置IPv6上联口和下联口的静态路由或OSPv3路由，并通过BRAS的DHCP功能，按照预先制定好的地址编制、规划自动分配动态地址即可。需要认证计费的场景开启BRAS的AAA认证功能并与三方的认证计费系统配合实现用户准入、准出的认证、计费和管理。出口防火墙负责与ISP的接入及相关IPv6网络的安全策略部署，原IPv4配置保持不变。

3层网络架构采用层次化设计，分为核心层、汇聚层、接入层，每一层都有各自特定的功能。这种架构也是传统校园网（含数据中心）组网方案。（1）接入层：主要负责物理或虚拟主机的接入。（2）汇聚层：汇聚一组接入层交换机，并提供应用的负责均衡、安全性服务等，如防火墙服务、IPS服务、深度包检测、网络监控等。（3）核心层：网络的高速交换主干。核心层的稳定、高速、可控、可扩展是基础[3]。数据中心网络向IPv6网络改造时，原IPv4拓扑结构不变，开启全网所有网络设备和主机的相关接口的IPv4/IPv6双栈功能，手动按照预先规划好的地址在主机上配置静态地址即可。对于数据中心服务器地址的分配也可采用基于RFC 5006草案SLAAC部署，以扩展路由器通告消息，令其包含DNS信息。开启IPv6协议栈的网络适配器激活后，网络适配器会根据自己的MAC地址和已知的IPv6前缀，自动分配一个IPv6地址，配置核心交换机上联口和下联口的相关IPv6路由。出口防火墙配置ISP的接入及相关IPv6网络的安全策略，DNS啟用AAAA记录进行解析，原IPv4配置保持不变。对采用3层架构的教学生活网，主要不同在于地址的分配形式及其他相关网络服务上，如增加DHCP、认证计费系统等。

4    结语

本文主要阐述了高校IPv6网络规划设计中应具体考虑的若干问题及基于双栈协议、基础组网架构的IPv6校园网络建设实例。给出了一套系统的IPv4向IPv6过渡的组网方案。但面对复杂多变的网络环境如混合模式IPv6的实施、SAN网络中的IPv6实施、虚拟化技术的IPv6实施、IPv6网络安全、IPv6网络管理等，都应在IPv6网络部署的基础上，因地制宜地给出具体的适应实际环境的解决方案，以达到最佳过渡效果。

[参考文献]

[1]潘平江.基于IPv6的IPSec与防火墙协同策略的研究与设计[D].广州：华南理工大学，2015.

[2]郭立志.高校扁平化园区网的架构设计[J].科技经济导刊，2016（29）：22-23.

[3]曾华燊.园区网建设技术纵横[J].计算机应用，1995（5）：1-4.