高校校园网IPv6升级方案的分析研究

1 引言

第二代中国教育和科研计算机网CERNET2是“中国下一代互联网示范工程CNGI”中最大的核心网和唯一学术网, 它以2.5Gbps～10Gbps速率连接全国20个主要城市的CERNET2主干网的核心节点, 实现了全国200余所著名高校的高速接入, 未来还将进一步扩展接入的院校, 为全国几百所高校和科研单位就近提供1～10Gbps的高速IPv6接入服务, 现已成为我国研究下一代互联网技术、开发重大应用、推动下一代互联网产业发展的重要基础设施。

目前除了在这些核心节点内部可以实现基于纯IPv6的各类业务和应用研究外, 现阶段在C E R N E T内部的主要业务仍然是基于IPv4的各类应用, 因此, 如何在IPv6和IPv4共存的阶段, 使用各种过渡技术对校园网进行IPv6的升级部署已经成为各高校校园网发展的方向。

2 IPv6过渡技术

INTERNET工程组IETF研究了IPv4向IPv6过渡的策略, 而且保证了IPv4与IPv6互连互通, 并有针对性地提出了解决方案, 目前公认的过渡解决方案有如下3种:

2.1 双协议栈技术

双协议栈是指在同一个网络结点同时支持IPv4和IPv6两种协议栈。由于IPv4和IPv6都属于网络层协议, 都基于相同的物理平台, 而且加载于其上的传输层协议T C P和UDP也没有太大的区别, 所以, 在理论和实践上, 支持双协议栈的结点既能与支持IPv4协议的结点通信, 又能与支持IPv6协议的结点通信, 因此双栈协议是其它过渡技术的基础, 仍然是目前最为流行的IPv4向IPv6过渡的基本策略之一。

2.2 隧道技术

隧道方式是目前具有普遍意义的过渡策略。隧道 (tunnel) 是指将一种协议 (IPv6) 封装到另一种协议 (IPv4) 中。在隧道入口处, 将被封装协议封装入封装协议, 在隧道出口处再将被封装协议报文取出。在整个隧道的传输过程中, 被封装协议是作为封装协议的负载。

隧道技术只需要在隧道的出入口进行修改, 而对中间部分没有特殊要求, 较为容易实现。但需要注意的是, 隧道技术不能实现IPv4主机与IPv6主机的直接通信。

2.3 协议翻译 (NAT-PT)

NAT-PT (RFC2766) 是附带协议转换器的网络地址转换, 用于IPv6网络和IPv4网络之间, 通过修改协议报文头来转换网络地址, 使他们能够互通。N A T技术主要是通过将IPv6到IPv4的地址映射由静态变为动态, 来缓解IPv4地址短缺所带来的问题, 但由于这种过渡方式存在破坏网络端到端传输的特性等问题, 正逐步被业界所淘汰。

3 IPv6升级技术方案的选择与对比

3.1 全双栈模式

校园网中部署双协议栈网络是IPv6升级最理想的方法, 校园网内所有三层设备由于均是双栈设备, 既运行I P v 4路由协议也运行IPv6路由协议, 对于双栈终端, IPv4网关和IPv6网关均部署在汇聚3层交换机上。这样对于新建的校园网中双栈用户可以同时访问IPv6和IPv4网络, 不同协议的数据转发路径可能一致, 也可以不同。

从技术角度这是最理想的方案, 不必为不同类型的用户单独部署网络配置, 开销小, 管理简单、IPv4和IPv6的逻辑界面清晰。

但由于校园网原有的网络实际上都是IPv4网络, 要建设全双栈网络, 必须将原有网络设备淘汰弃用, 投资过大, 并有不同程度的设备资源浪费。实际上这种模式只适合新建的网络, 并不适合所有的情况。

3.2 隧道模式

由于校园网原有网络建设已经成熟稳定, 校园网内所有三层设备由于均是IPv4设备, 不能完成对IPv6报文的转发, 所以需要部署客户端到路由器的自动隧道6to4/ISATAP来完成。可以考虑新增IPv6路由器和原有IPv4路由器下的IPv4网络互通。

隧道模式优点:保护原有投资 (不用把原有设备升级换代) , 原有网络拓扑和路由几乎无需调整, 客户端只要简单设置即可访问全球IPv6资源。使用隧道完成的主机—路由器隧道, 在主机的配置比较简便易行, 只需要确定隧道对端路由器接口的IPv4地址即可。因此对于用户端而言, 配置方面与原有的IPv4环境差异不大, 不需为网络中的所有成员重新做地址分配和规划。这种技术非常适合于在校园网中使用, 尤其在IPv4仍然是网络主宰的今天。

隧道技术属于过渡技术, 另外隧道两端点设备也需要花费额外的系统开销, 因此并不是最终的理想方案, 但对于原有IPv4网络平滑支撑IPv6业务不失为一种有效的手段。

3.3 IPv6透传模式

校园网内所有三层设备由于均是IPv4设备, 不能完成对IPv6报文的转发, 所以需要把所有含有IPv6终端的VLAN在接入交换机上行方向均设置为802.1q Trunk链路, 并把这些VLAN包含于Trunk。这样做的目的是为了让原有IPv4三层设备将IPv6报文透传到IPv6路由器上。当传输IPv4报文时正常转发, IPv4网关将IPv4非广播报文终结, 当传输IPv6报文时则当作VLAN内广播报文透传到上层交换机, 直到出口路由器接收到这些IPv6报文, 进行统一的全局转发。

透传模式优点:保护原有投资 (不用把原有设备升级换代) 变向实现类似双栈网络的效果, 但对于存在IPv6终端的子网, 几乎所有IPv6报文都要类似广播方式影响整个校园网, 占用网络资源、带来一定的安全隐患。

4 IPv6升级部署方案

为了保护已有的网络设备投资并充分利用现有网络设备, 在实现IPv4向IPv6过渡的过程中, 应尽量使用IPv4/IPv6兼容的过渡技术。首先在软件上进行更新, 然后逐步在硬件上进行升级, 稳妥可靠地从纯IPv4网络向纯IPv6网络过渡。

高校在IPv6网络建设初期考虑到用户及业务较少, 并希望减少设备投资, 可以使用服务器模拟路由器作为边界的双栈设备, 一般而言最好增加新的较低端的双栈设备来满足建设初期的使用需求;若希望尽量避免对原有网络线路改造或增加, 又希望原有用户可以方便的接入IPv6网络, 可以考虑直接将核心三层交换机升级替换为双栈设备;

如果建设新的IPv6网络, 则需部署新的双栈设备, 保证新建IPv6网络与原有IPv4网络在各自网内分别互通, 并利用新增设备进行N A T-P T与校园网原I P v 4网络核心设备互通。

校园网内部IPv4网络间的业务可以利用原来的校园网实现转发, 而IPv6网络间的业务可以通过新部署的IPv6网络互通;

校园网内部IPv6网络与IPv4网络的业务互通, 可通过在双栈核心设备上启用N A T-PT功能, 实现通过校园网核心实现互访;校园网内部的IPv6与IPv4业务可通过在双栈出口路由器上启用N A T-P T、I S A T A P隧道或6to4隧道等技术实现与外部IPv6和IPv4网络业务的互访。

根据以上各类情况的详细分析并综合宁夏大学现有校园网状况, 将宁夏大学IPv6升级部署分两个阶段进行。

4.1 实验阶段部署

利用支持IPv6协议的低端路由器或使用L I N U X服务器做为隧道接入设备与CERNET2连接, 同时向校内部分用户提供隧道接入等服务, 为后期校园网IPv6全面部署提供测试及实验环境 (见图1) 。

(1) CISCO2811做为隧道接入设备, 就近向西北地区网络中心申请隧道接入, 通过隧道与CERNET2连接, 并为校内用户提供6to4、ISATA P等隧道服务;

(2) 在LINUX服务器下提供Tunnel Broker Server/Agent (隧道代理) 服务, 通过WEB方式向用户提供隧道的自动配置与接入工作。

(3) 在WINDOWS2003和LINUX服务器下构建基于IPv6的WWW、FTP、DNS等网络应用。

(4) 用CISCO2811组建IPv6网络实验室, 开展IPv6身份验证、IPSEC等相关内容的研究。

4.2 全面部署

考虑到校园网内物理链路资源比较丰富, 带宽资源容易增加, 用一台高性能核心路由交换机完成校园网内部IPv6路由, 通过数据链路层连接到各校区核心交换机, 实现所有接入点的双栈连接 (见图2) 。

(1) CISCO6509做为IPv6核心路由交换设备, 为各校区的IPv6接入提供接口。

(2) 校区核心设备选取上连接口, 利用备份光纤链路接入CISCO6509。

(3) CISCO6509上建立各校区及院系对应V L A N, 配置相应V L A N的I P v 6网关地址。

(4) 接入交换机上连端口开启TRUNK模式以支持IPv6透传。

(5) 构建OpenVpn服务器向校外用户提供隧道接入申请, 依托银川市教育城域网开展基于城域网的IPv6应用及性能分析研究。

5 结语

由于各高校网络规模以及网络拓扑的情况不一, 为全面部署IPv6网络, 可以通过以上的一些分析采用不同的方法和步骤进行过渡, 如逐层用双栈路由器替换现有网络设施, 或新建双栈网络, 将IPv4网络用户逐渐迁移到新网等等, 但无论哪种方式, 都要综合考虑校园网的发展规划和实际情况。

另外对于在校园网全面部署IPv6网络还需要关注如下一些问题:

(1) IPv6的路由:由于高校网络规模较大, 子网众多, 建议采用IPv6动态路由协议进行路由分发。IGP协议建议采用OSPFv3, 和其它IPv6路由协议相比, OSPFv3即具有适应大型网络, 收敛速度快的特点, 也是各大IT产商支持比较广泛的协议。

(2) IPv4和IPv6的控制和数据平面的互相影响:双栈设备同时运行IPv4和IPv6, 理论上两个协议栈的路由协议更新, 数据转发应该互不干扰, 但在实际应用中, 很难保证二者完全的隔离。因此在网络的关键位置, 需要慎重考虑双栈设备中两个协议的互相影响。可以采用IPv4和IPv6网关分离的方式或冗余设备方式减少其相互影响。

(3) 校园网部署IPv6时还应考虑IPv6网络安全及无线应用等问题。

摘要：中国下一代互联网示范工程CNGI的不断发展以及CERNET2的建成为国内高校的IPv6研究提供了良好的实验环境, 如何使用各种过渡技术在现有基于IPV4的校园网环境下进行IPv6的升级部署已经成为各高校校园网发展的方向。本文从IPV6升级技术方案选择、实施方案等方面对宁夏大学校园网的IPv6升级部署进行了详细的阐述。

关键词：IPv6,过渡技术,隧道技术

参考文献

[1] 过晓明.IPv6协议下高校校园网的接入技术研究[J].C M E E中国现代教育装备, 2005, 12.

[2] 柯晓华.高校校园网过渡到IPv6的策略及问题[J].现代计算机, 2004, 10.

[3] 张国祥.基于隧道技术实现IPv4到IPv6的演进[J].湖北师范学院学报, 2006, 1.

[4] 师仁松.基于VPN的IPv6隧道代理的设计与实现[J].计算机技术与发展, 2006, 7.