IPv6 双栈技术在校园网中的应用研究
——以北华航天工业学院校园网为例

耿娟平 郭冬滨 李 倩

（1、北华航天工业学院信息技术中心,河北 廊坊065000 2、北华航天工业学院国资处,河北 廊坊065000）

随着IPv4 地址的枯竭,固有缺陷的突出,运维的困难,与此同时IPv6 技术的日益成熟,服务质量和安全性能上都有了很大程度的提高。IPv6 自2003 年,8 个部委联合启动中国下一代互联网示范工程CNGI[1]以来经历了“白银时代”、“青铜时代”到现在突飞猛进的“黄金时代”。集政府部门、中央企业、基础电信企业、互联网企业、通信设备制造企业、科研机构等迅速行动,出台详实的部署方案和工作计划,推进IPv6 的升级改造工程的进展。2020年7 月份于广州南沙举行的“2020 全球IPv6 下一代互联网峰会”上,刘东等国内外专家在中国发布了全球首份“推进IPv6 规模部署向纯IPv6 发展联合倡议”。高校校园网由IPv4 向IPv6 过渡势必成为必然,刻不容缓。我校于2017、2018 年借助中央财政资金专项信道升级、万兆升级及千兆到桌面工作,保障校园网基础设施及骨干网络的建设。虽然目前应用仅限于运行在IPv4 网络,但为IPv6 网络提供了支持和储备。我校网络通过200M链路接入中国教育和科研计算机网（CERNET）[2],通过1900M链路（100 M联通链路+1800 M电信链路）接入国际互联网,为快速地接入教育网和Internet 提供了保障。我校校园网采用环形+星型拓扑结构,西校区核心交换机（Cisco WS-C6509-E）分别通过20G 信道与东校区综合实验楼核心交换机（Cisco WS-C6509-T）、图书馆核心交换机（Cisco WS-C4500X）和教8 楼核心交换机（Cisco WS-C4500X）相连,综合实验楼、图书馆、教8 楼核心交换机分别由10G 信道连接。接入层交换机（Cisco WS-C3560X）与核心交换机由10G 信道连通,与终端用户通过1000 M信道相连,形成了“万兆主干、千兆桌面”的网络格局。

1 校园网IPv6 双栈技术部署方案设计

基于我校现有IPv4 网络环境,在IPv6 双栈技术改造方案中,必须遵循兼顾现网、保障业务、降低成本[2]的原则。我校IPv6双栈技术具体实施从以下几个方面开展,从而实现双栈网络环境的平稳过渡。部署方案主要围绕以下几点开展。

1.1 网络核心增加IPv6 路由。为同时实现对IPv4 和IPv6 两种业务流的支持和通信,学校对现在IPv4 网进行了升级改造和重新组网建设。校园网核心采用支持双栈的三层交换机,所有与IPv6 相关的三层交换处理都由该交换机完成。汇聚层分布在教8楼、综合实验楼和图书馆,接入层则主要分布在不同楼宇的楼层中,用于各个单位的端口接入,从而连接用户终端。

1.2 校园网出口增加IPv6 出口。在现在的核心出口路由器Cisco7604 上开启IPv6路由协议,实现IPv4 和IPv6 两种协议同时运行,同时,保障对外用户提供IPv4 和IPv6 网络访问服务。在物理接口下需要启用IPv6 服务,IPv6 enable。

图1 双栈网络

1.3 办公教学区、宿舍区域、无线网络提供IPv6 接入。校园网用户只需要接入设备开启IPv6 协议, 便可实现无感知接入IPv6 网络。

2 校园网IPv6 具体实现

2.1 IPv6 子网地址规划

IP 地址规划影响网络的管理性,在部署IPv6 地址时应该考虑到目标。在地址分配规划的每一层都使用共同的分配技术,但在地址规划层次结构的不同水平阶段可以应用不同的技术。我们定义了3 个层级,开始是源IPv6 地址段2001:250:805::/48,为核心分配/52 前缀,/56 前缀分配给汇聚,最后/64 分配给单个子网。对核心层使用稀疏技术,对区域使用最合适,对站点使用随机,对子网使用单调的分配技术。校内子网,根据校区接入位置和分布聚类具体规划为：学校IPv6 地址范围2001:250:805::/48 学校按照三层设备分布及vlan 分配构造子网,如：2001:250:805:0XXX::1/64,2001:250:805:1XXX::1/64,2001:250:805:2XXX::1/64,2001:

250:805:3XXX::1/64 其中0XXX、1XXX、2XXX、3XXX 是中的0、1、2、3 分别代表教七楼、综合实验楼、教8 楼和图书馆的三层设备,XXX 代表vlan 号。

2.2 IPv6 路由协议选择和配置。IPv6 采用无状态地址配置和DHCPv6 地址配置,两者之间的工作过程和特点都不尽相同。无状态地址配置（Stateless Address Autoconfiguration）SLAAC 工作过程:第一步,由路由器广播地址前缀信息；第二步,通过路由器广播的地址前缀和PC 端的MAC 地址或PC 端操作系统随机生成的数值创建IPv6 地址,挑选IP 地址；第三步,经过重复检测后,最终确定PC 机的IPv6 地址并使用。它的主要特点：操作简单,几乎所有终端都支持,终端用什么地址完全自主,也可以提供DNS服务器信息。通过IPv6 unicast-routing 命令即可实现。DHCPv6地址配置的工作过程是,PC 终端向DHCPv6 服务器请求IPv6 地址；DHCPv6 服务器分配IPv6 地址；经过重复检测后使用。这种地址配置的特点是,安卓手机不支持此协议；终端地址由DHCPv6服务器集中分配；可以提供更多信息。IPv6 路由协议选择和配置上,内部路由协议采用OSPFv3,但如果网络规模大时,可以采用BGP 协议。如果对外有多条链路且上游支持,采用BGP 动态路由协议否则采用静态路由即可。对外路由配置：与上游路由器使用BGP 传递路由,向上游路由器发送自己的地址段,上游路由器发送默认路由。内部路由配置：校内使用OSPFv3 路由协议,出口路由器发送默认路由。

有线网络vlan 接口配置如下：

图2 有线Vlan 接口配置

在IPv4 的基础上增加了IPv6 地址及地址验证。

2.3 服务器双栈支持。服务器增加IPv6 配置,简单配置IPv6地址、前缀长度、网关信息即可。设置IPv6 地址的同时要设置防火墙。在DNS 服务器上,通过IIS 上添加AAAA 记录绑定IPv6 地址及对应域名即可。

2.4 计费系统与网络安全设备设置。我校IPv4 认证与计费主要采用接入认证和出口portal 协议,时长计费,因此在现IPv6 时只需接入认证协议即可。网络安全设备的IPv6 支持：防火墙、操作系统防火墙、WEB 应用防火墙（WAF）支持IPv6 协议。WAF 地址及网关：2001:250:805:e000:210:31:XXX:fe/120。

2.5 网络应用的IPv6 支持。目前运行在网络上的应用对IPv6支持主要由直接支持、网络层转换、反向代理三种方式。直接支持常用于DNS、BBS 等服务,通过直接增加IPv6 地址,提供IPv6 服务。网络层转换主要通过使用IVI 转换设备,提供IPv6 服务。反向代理则主要是通过设置Nginx 反向代理服务器,可实现对650多个网站集中提供IPv6/IPv4 的http/https/http2 服务。我校主要通过第一种方式实现网络上的应用。

2.6 用户IPv6 接入。用户接入IPv6 可通过直接接入、子网桥接接入和子网路由接入三种方式。用户直接接入指连接校园网的用户,直接获取IPv6 地址,访问IPv6 服务。用户机只需要勾选上“Internet 协议版本6（TCP/IPv6）”即可。子网桥接接入是指IPv6桥接接入校园网,直接获取IPv6 地址,访问IPv6 服务。子网路由接入是指网络信息中心统一分配IPv6 地址前缀,校园网路由设备上增加静态路由子网用户分配子网的IPv6 地址,路由接入校园网,访问IPv6 服务。目前,我校校园网用户主要采用前两种方式接入,使用户无感知接入IPv6 网络。

2.7 IPv6 运维。通过show ipv6 route;show ipv6 neighbor;show mac-add；可以查看到路由表、邻居缓存及查看交换机的某个接口连接的设备的MAC 地址。这些信息记录下来跟踪用户、统计校园网IPv6 接入设备的情况。

3 实际运行效果

图3 终端用户IPv6 接入

IPv6 项目部署后校园网对所有开通双协议栈的校园网用户提供IPv6 接入服务,IPv6 升级运行效果达到了预期效果,运行平稳,主要表现在:

3.1 满足了校园网用户增长的需求。IPv6 地址充裕,使得校园网用户都能拥有独立的IPv6 地址。现阶段IPv6 资源绝大多集中在CERNET 网范围内,为在校师生通过网络进行学习和开展科研提供了一个很好的平台。

3.2 网速快。由于IPv6 采用端到端服务,访问速度得到很大的提升,提升了IPv6 用户网络服务体验。

3.3 服务质量高[3]。IPv6 通过在网络层对数据进行加密校验,并且具有数据报头结构方面的特性,从而保障高质量的网络服务。

结束语

IPv4 地址块耗尽极大地限制了互联网络的进一步发展,IPv6的出现则填补了这一短板[4]。但是,纯IPv6 互联网取代纯IPv4 时代则是需要一个漫长的过渡阶段。我校校园网IPv6 实施部署至今,实现有线网IPv4/IPv6 双栈测试平台上线运行,用户可以访问IPv4 和IPv6 两类资源,目前平台运行稳定。在终端接入、服务发布、网信安全方面做了大量工作,实现了IPv6 系统的实名接入、访问资源的事后审计等技术措施；学校网站群的双栈发布；以及关键站点的Https 发布测试,确保其可正常工作。

下一步的完善计划:（1）扩大IPv6 覆盖范围。确保新购网络设备和应用系统全部支持IPv6,学校网站群全部站点支持IPv6。（2）加强网络安全防护[5]。落实国家网络安全等级保护制度,增强IPv6 环境下的个人信息的安全性、降低风险、开展灾难备份及恢复等工作。本文介绍了北华航天工业学院网络基本状态,在此基础上介绍了规划和实施IPv6 校园网的具体步骤。虽然此升级改造仍存在不足,但为今后过渡到纯IPv6 时代和其他院校IPv6 校园网的实施提供了理论参考和实践经验。