摘 要:现阶段随着5G和物联网技术的发展,万物互联的时代即将到来,由于IPv4网络地址紧缺,IPv6网络逐步替代IPv4网络是时代所趋。文章对IPv6网络相关技术进行了研究和实践,并从绍兴职业技术学院IPv4/IPv6共存的网络建设技术方案出发,从IPv6升级改造技术选型、网络拓扑结构设计、IPv6网络地址规划、IPv6网络路由设计、应用业务改造这几个方面提出了高校IPv6改造思路和技术解决方案。
关键词:IPv4/IPv6;校园网;网络拓扑结构设计
中图分类号:TP393.04 文献标识码:A 文章编号:2096-4706(2020)23-0103-03
Exploration on Upgrading IPv6 of Campus Network in Colleges and Universities
——Take Shaoxing Vocational & Technical College for Example
XIE Hulin
(Shaoxing Vocational & Technical College,Shaoxing 312000,China)
Abstract:At present,with the development of 5G and internet of things technology,the era of internet of everything is coming. Due to the shortage of IPv4 network addresses,it is the trend of the times for IPv6 networks to gradually replace IPv4 networks. This paper studies and practices IPv6 network related technologies,and from the network construction technical scheme of the coexistence of IPv4 and IPv6 in Shaoxing Vocational & Technical College,this paper puts forward the IPv6 transformation ideas and technical solutions for colleges and universities from the aspects of IPv6 upgrading technology selection,network topology design,IPv6 network address planning,IPv6 network routing design and application business transformation.
Keywords:IPv4/IPv6;campus network;network topology design
0 引 言
IPv6是Internet工程任务组(Internet Engineering Task Force,IETF)为替代IPv4而设计的下一代IP协议。IPv6地址号声称能够为世界上每一粒沙子编码一个地址。IPv4最大的问题是网络地址资源有限,严重制约了互联网的应用和发展,而IPv6的使用不仅可以解决网络地址资源的数量问题,而且可以解决各种接入设备接入Internet的障碍[1]。IPv6作为互联网的新版本,其根本目的是继承和取代IPv4,但由于历史原因,目前很多互联网站点和应用对IPv6网络的支持还没有普及,IPv4和IPv6的不兼容,使一个协议的设备不能与另一个协议的设备进行通信,作者在单位负责学校的信息化推进工作,因我校信息化建设面临着IPv4基础网络升级到IPv6网络的问题,本文作者就如何进行校园网IPv6升级改造,在技术层面进行了一定的研究并将研究所得运用到了实际工作中。
1 IPv6升级改造技术选型
目前,由于IPv6网络资源不如IPv4网络,将IPv4网络升级为IPv6的主要过渡技术包括翻译技术、隧道技术和双协议栈技术:
(1)翻译技术,基于能够使IPv4和IPv6互联互通的无状态翻译技术和双重翻译技术的协议翻译器,能保证IPv4和IPv6网络的互通。
(2)隧道技术,是在现有IPv4路由系统的基础上传输IPv6数据的技术,是过渡阶段最容易采用的技术,适用于IPv6主机/网络之间的互通。
(3)双协议栈技术,是同时运行IPv4和IPv6两套协议栈,完全兼容IPv4和IPv6,适用于任何IPv4、IPv6网络。
从尽量不改变现有网络拓扑,不影响用户的上网体验,平稳演进到纯IPv6网络,IPv6升级应尽量使用户无感知,IPv6升级应充分考虑可持续发展性和可管理性。我校采用的是基于双栈协议,IPv4/IPv6共存的网络建设技术方案。
网站升级IPv4/IPv6双栈协议不是简单的升级,而是一个系统的全面升级。双栈协议策略的特点是:所有软硬件设备同时运行IPv4和IPv6协议栈,可以同时处理IPv4和IPv6数据包,同时支持IPv6和IPv4接入。
双栈升级包括以下几个方面:
(1)网络层改造:制定IPv6网络升级方案,开放网络设备IPv6协议,接入ISP运营商(我校以电信出口为例)IPv6带宽,获取IPv6地址,做IPv6地址DHCP策略。
(2)设备层改造:所有硬件设备都需要支持IPv6,全部开放IPv6协议栈。
(3)业务系统改造:所有前后业务管理系统、数据库系统、网络安全系统、应用系统,全部启用IPv6协议,支持同时运行IPv4/IPv6协议[2]。
2 网络拓扑结构
我校采用三层网络组网架构,外网防火墙作为出口路由实现电信500 Mbps出口、移动500 Mbps出口的“两网接入”,并为不同网络业务做不同策略路由,外网防火墙旁侧设置DMZ区,防火墙同时对内网和DMZ区起到第一层安全防护。下串联深信服上网行为管理设备AC,实现对通过的流量进行控制和日志审计功能。AC下串联和城市热点上网认证设备,采用Web Portal认证实现对上网用户的入网认证,之后连入核心层交换机S7606E。核心交换机完成数据高速转发,并定义部分VLAN接口。再做链路聚合下联三个汇聚层交换机:教师线汇聚交换机,机房线汇聚交换机,数据中心交换机,其中核心交换机和数据中心交换机之间接入内网防火墙,保障服务器区的安全。各汇聚层交换机主要实现VLAN定义,VLAN接口IP配置,配置静态路由完成到核心交换机的路由可达。各汇聚交换机下联接入层交换机,接入层交换机直连设备终端。在服务器区,由我校自行搭建Web、DHCP、DNS等服务器,核心层和汇聚层设备使用DHCP中继模式使各管理VLAN获取服务器分配IPv4地址信息,采用策略路由在核心层选择不同下一跳路由。电信500 Mbps出口同时为我校提供IPv4和IPv6业务,通过相同的物理链路,完成IPv6数据传输。学校网络拓扑图结构如图1所示。
3 IPv6网络地址规划
学校在部署IPv6时,先明确学校基础设备可用性,明确学校主干网络上的设备是否支持IPv6(尤其是出口设备、核心设备、汇聚设备);计费、审计和行为管理等设备是否支持IPv6。只有各网络设备很好的支持IPv6地址,基于双栈协议IPv4/IPv6共存的网络建设方案才能在学校很好的落实。IPv6是由128位二进制数构成,即32位十六进制数。电信500 Mbps出口给学校提供的IPv6地址段240E:F3: C000:300::/56,出口互联地址240E:F3:C000:300::1/126(电信侧),240E:F3:C000:300::2/126(学校侧),电信侧已将
“/56”地址段用静态路由指向240E:F3:C000:300::2,绍兴职业技术学院侧默认路由请指向240E:F3:C000:300::1,IPv6 DNS地址:240E:1C:200::1、240E:1C:200::2。
基于电信给学校提供的IPv6地址段,学校在进行部署规划前,我们应先规划出特定IPv6地址段作为今后学校网络规划中管理地址段以及为互联地址段做提前规划,方便今后校园网日后的规划性拓展做铺垫。在现已申请的IPv6地址240E:F3:C000:300::/56中,我们设想设备管理地址使用240E:F3:C000:300:250::/80;设备互联地址使用240E:F3:C000: 300:192::/80,出口互联地址使用240E:F3:C000: 300::1/126(电信侧)、240E:F3:C000:300::2/126(学校侧)。网络设备管理可以利用原有的交换机管理VLAN创建IPv6地址进行管理,并分配校园网中每个设备的管理地址。在划分IPv6子网时,80位前缀用作网络地址,65~80位地址是IPv4 VLAN号。格式为:240E:F3:C000:300:1001::1/80,最后48位地址为用户的主机号,将相应的IPv6地址分配给相应的IPv4 VLAN,建立DHCP服务器,通过DHCPv6(有状态)将IPv6地址和IPv6 DNS地址分配给主机,如表1中分配的地址所示。
4 IPv6网络路由设计
网络升级完成后,全网核心层、汇聚层交换机均同时支持IPv4和IPv6。对IPv4/IPv6双栈网络设备,核心层、汇聚层IPv6路由采用静态或动态路由协议接入核心层。按照规划好的IPv6地址分别配置在各端口上,配置相应的路由,需将默认路由指向外网出口端,然后出口端防护墙配置回指路由。由于IPv6出口链路目前只有一条,所以不需要考虑多出口路由负载均衡等问题,因此在配置好出口静态路由及回程路由之后,开启对应IPv6安全域的防护即可。用户入网认证方式仍旧采用城市热点Web Portal三层认证,用户尽量对网络升级无感知,降低影响面。核心交换机VLAN接口配置案例如图2所示,核心交换机VLAN接口配置案例如图3所示。
5 应用业务改造
目前,我校校园网有两台内网DNS服务器(一台为主服务器,一台为备用)。对于此IPv6升级,需要将IPv6地址和IPv6 DNS信息添加到DNS服务器。在学校内部运营网站的域名中添加新的AAAA记录。在地址分配方面选择中继服务,需要DHCPv6同步更新内网中DNS服务器的地址信息[3]。在Web服务器升级方面,互联网站点和应用对IPv6网络的支持还没有普及,“天窗”问题突出。当我们要利用双栈协议技术对现有的作业场所进行技术改造升级时,无论是设备的优化升级还是程序代码的修改,如果站点包含指向其他站点的链接(链外),但链外站点尚未升级IPv6转换,用户在访问网站时,会出现各种问题,如响应速度慢、内容标识丢失、应用场景功能失效等,导致用户体验差,没有以前那么友好。如果资金允许,可以使用IPv6协议翻译设备来缓解这一问题。
6 结 论
在推进IPv6网络改造升级时,必须首先考虑各级网络支撑设备对IPv6的技术支撑,因当前大多数应用系统资源还是面向IPv4结构搭建的,所以呼吁网络建设者在规划升级改造方案时,也势必要做好对现有IPv4应用的可访。网络建设者从规划上就应明确认识到,升级不是一蹴而就的,需要多方考量,在保障现有应用的有效支撑下进行改造。
IPv6的全面普及是必然的发展趋势,但要让IPv6完成全面取代现有的IPv4还是需要很漫长的过渡期。从网络建设者角度来看,势必要结合当前现有环境,在推进IPv6的开展时,必须要考虑相对平稳的过渡方案,不可一味追求技术的革新,而忽视IPv4对现有场景的支撑依靠。
参考文献:
[1] 陈波,王莉,肖璐,等.校园网IPv6部署与实践初探 [J].电脑知识与技术,2018,14(21):33-35.
[2] 姚娟,闻琛阳.门户网站IPv6改造的技术路线选择 [J].通信电源技术,2019,36(2):197-198.
[3] 周强.高校IPv6网络升级改造探讨 [J].网络安全技术与应用,2020(4):107-109.
作者简介:谢胡林(1979.08—),男,汉族,浙江绍兴人,讲师,硕士,研究方向:网络和大数据。
