校园网IPv6方案的分析与设计

IPv6方案设计及在我校校园网中的应用分析

【内容提要】本文首先阐述了IPv4所暴露出的问题， 对IPv4和Ipv6进行比较，并阐述

了Ipv6现行实现技术，同时结合学校校园网的ipv6实际解决方案，系统描述了Ipv6在网络出口设备Cisco6503上的配置和在Ipv6在网络核心设备Cisco6513上的配置，以及Ipv6在我校校园网中的实际应用。

【关键字】 IPv4/Ipv6；隧道技术；双协议栈技术；校园网

引言

目前，校园网主要以IPv4技术为核心，随着互联网的发展，基于IPv4的互联网在实际应用中越来越暴露出其先天不足，存在很多问题，很多学校的校园网络面临着IP地址盗用，IP地址冲突，移动性能差，安全性不好，配置复杂，端到端的业务模式缺少等问题。为了克服IPv4技术的不足，现阶段许多学校都提出了采用IPv6技术建设校园网络。

IPv6作为下一代的互联网协议，它的提出最初是因为随着互联网的迅速发展，除了可以克服IPv4定义的地址空间不足问题，还考虑了在IPv4中解决不好的其它问题，主要优势体现在以下几方面：扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。

1．IPv6和IPv4的区别

与IPv4相比，IPV6具有以下几个优势：

一，IPv6具有更大的地址空间。IPv4中规则IP地址长度为32，即有2^32-1（符号^表示升幂，下同）个地址；而IPv6中IP地址的长度为128，即有2^128-1个地址。

二，IPv6运用更小的路由表。IPv6的地址分配遵照聚类（Aggregation）的准则，这使得路由器能在路由表中用一条记载（Entry）表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。

三，IPv6添加了增强的组播（Multicast）支持以及对流的支持（Flow Control），这使得网络上的多媒体运用有了长足开展的时机，为服务质量（QoS，Quality of Service）控制提供了良好的网络平台。

四，IPv6参与了对自动配置（Auto Configuration）的支持。这是对DHCP协议的改良和扩展，使得网络（尤其是局域网）的管理愈加方便和快捷。

五，IPv6具有更高的安全性。安全协议（IPSEC）,在运用IPv6网络中用户可以对网络层的数据停止加密并对IP报文进行校验，极大的增强了网络的安全性。

2． ipv6实现技术概述

从IPv4到IPv6 的转换必须使IPv6能够支持和处理IPv4体系的遗留问题，同时还必须使新安装的IPv6系统能够向后兼容。这就是说，IPv6系统能够接收和转发IPv4分组，并且能够为IPv4分组选择路由。目前，IETF（ Internet Engineering Task Force）已经成立了专门的工作组，研究IPv4 到IPv6 的转换问题，并且已提出了很多方案，主要包括以下几个类型： 2.1 双协议栈技术

在开展双堆栈网络时，主机或路由同时运行两种协议，使应用一个一个地转向ipv6 进行传输。它主要用于与IPv4 和IPv6设备都进行通信的应用，即在与IPv6主机通信

共4页，第1页

时．双协议栈主机采用IPv6地址，在和IPv4主机通信时双协议栈主机采用IPv4地址。双协议栈主机可以通过对域名系统DNS的查询可以知道双协议栈主机中目的主机是采用哪一种地址。若DNS返回的是IPv4地址．双协议栈的源主机就使用IPv4地址；若DNS返回的是IPv6地址，则其源主机就使用IPv6地址。双堆栈将在Cisco Ios软件平台上使用，以支持应用和Telnet，Snmp，以及在IPv6传输上的其它协议等。 2.2 隧道技术

随着IPv6网络的发展，出现了许多局部的IPv6 网络，但是这些IPv6网络需要通过ipv4 骨干网络相连。将这些孤立的“IPv6岛”相互联通必须使用隧道技术。这种方法的要点就是在IPv6数据报要进入IPv4网络时，由实现了双协议栈的路由器将IPv6数据报封装成为IPv4数据报，使得整个IPv6数据报变成了IPv4数据报的数据部分。然后IPv6数据报就在IPv4网络的隧道中传输。当IPv4数据报离开IPv4网络中的隧道时，再由实现了双协议栈的路由器将其数据部分．即原来的IPv6数据报交给IPv6协议栈。

利用隧道技术可以通过现有的运行IPv4协议的Internet 骨干网络（ 即隧道）将局部的IPv6网络连接起来，因而是IPv4向IPv6 过渡初期最易于采用的技术。 路由器将IPv6 的数据分组封装入IPv4，IPv4分组的源地址和目的地址分别是隧道入口和出口的ipv4地址。在隧道的出口处，再将ipv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，因而非常容易实现。但是隧道技术不能实现IPv4主机与IPv6 主机的直接通信。目前，6tot4 机制便是较为流行的实现手段之一。

其中，标准的GRE隧道技术可在IPv4隧道上承载IPv6数据报文。GRE隧道是两点之间的链路，每条链路都是一条单独的隧道，实际接口（interface eth）的IPv4地址是隧道的源和目的，IPv6地址是配置在隧道逻辑接口上（interface tunnel）的。IPv6报文先封装为GRE报文，再封装为IPv4报文。IPv4报文中的源和目的地址是隧道起点和终点所依托物理端口的IPv4地址。 2.3 网络地址转换/ 协议转换技术

网络地址转换/ 协议转换技术NAT-PT（Network Address Translation-Protocal Translation）通过与S||T 协议转换和传统的ipv4 下的动态地址翻译NAT 以及适当的应用层网关（ALG）相结合，实现了只安装了ipv6 的主机和只安装了ipv4机器的大部分应用的相互通信。上述技术很大程度上依赖于从支持ipv4的互联网到支持ipv6 的互联网的转换，IPv4和IPv6可在这一转换过程中互相兼容。

3. 我校校园网ipv6解决方案

我校共有东西两个校区，针对两个校区的情况，之间通过东校区的Cisco6513和西校区Cisco6509万兆相连，Cisco6513又与边界出口Cisco6503相连。为了保持原有网络的稳定性，同时使原有网络能够正常使用，建议采用的是—老校园网升级、部分校园网新建的方案，IPv4网代表的是西（老）校园网，IPv6网代表的是新建校园网，东（新）校园网内主机之间的访问直接采用IPv6-IPv6的技术，西（老）校园网内主机之间的访问采用的是IPv4-IPv4的技术，而如果是西（老）校园网要访问东（新）校园网或是东（新）校园网要访问西（老）校园网则要经过双协议核心交换机和双协议边界路由器的转换，其中需要应用到双协议栈和NAT-PT的相关技术。

根据上面的分析，我们推荐先建IPv6实验网后改造整个园区网的建网思路。 这种实验网的主要目的是验证网络过渡中可能的几种应用，同时验证校园的各种业务移植是否有问题。应当首选以路由器为主要设备进行组网;一方面路由器以网络处理

共4页，第2页

器或通用CPU为硬件平台，具有灵活升级的能力，便于校园网业务的随时开发随时升级。另一方面，路由器功能齐全，接口丰富，便于验证各种应用。同时我们给出如下几种情况下的组网方案：

3.1西（老）校区改造解决方案

对于西（老）的校园网改造，在完成上述IPv6实验网的验证工作后，进行老校区校园网的改造;对于规模不大或比较有把握的用户，也可以直接进行原校园网络的改造，建议改造成双栈网络。由于现有网络为IPv4 网络且具备相当的用户规模，如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。

老校区改造建议建成双栈网络。对于尚未支持IPv6的应用，可以继续采用IPv4的方式接入；对于已支持IPv6的应用，可以以IPv6的方式直接接入；原来的一部分v4用户可以仍然采用v4的方式接入，也可以升级为双栈的方式接入；新加入的用户以v4/v6双栈的方式接入双栈网。为了增加网络的可靠性，核心交换机采用冗余双核心。接入外网的方式，建议采用出口路由器的方式，这样做的目的是可以增加内网的安全性，出口路由器以其强大的安全策落和防攻击能力，阻挡一部分外网的攻击。由于交换机的路由表普遍较小，用出口路由器完成访问外网的路由功能，可以有效减小内网的路由抖动。

3.2东（新）校区建设解决方案

鉴于目前IPv6的发展趋势，以及IPv6技术逐渐成熟，我们建议新校区建设一定要支持IPv6。推荐采用双栈的模式建设。

建网思路：

（1）核心层和汇聚层可选用双栈交换机，接入层可使用现有的二层接入交换机组网。根据用户带宽的需要，分别选用“百兆到桌面”或“千兆到桌面”的模式。

（2）为提高网络的可靠性，汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备，通过运行VRRP 协议实现网关冗余;核心节点采用双核心部署保证节点冗余。

（3）由于目前Windows，以及其他的一些操作系统都支持双栈，所以，对于新建校园网用户接入方式都建议采用双栈的方式接入。对于要求三层到桌面的用户，可以把接入层路由器2800换成3900A系列交换机。

（4）本方案采用传统的出口路由器+核心交换机的方式，核心交换机采用双核心的模式。汇聚层与核心层之间可以采用双归链路，运行STP/RSTP /MSTP协议，提供链路冗余设计；也可以采用中兴特有的以太网环技术ZESR，组成环网以提高网络的可靠性。如果2台交换机之间的光纤因故断损，仍然能够保证整个网络的正常运行。主要设置如下：

①新建核心层、汇聚层全双栈，全网运行OSPFv3/RIPng； ②汇聚层、核心层之间可采用10GE连接。

③汇聚层设备作为用户接入点网关设备，通过运行VRRP实现网关冗余。

④接入层与汇聚层、汇聚层与核心层间采用双上联实现链路冗余，汇聚层、核心层设备采用双节点实现节点冗余。

⑤支持穿透二层到桌面、百兆三层到桌面模型、千兆三层到桌面模型多种需求类型。

4．IPv6地址表示

IPv4的方式：IPv4映像地址和IPv4兼容地址。

共4页，第3页

IPv4映像地址有如下格式：::ffff:1IPv6地址为128位长，但通常写作8组，每组为四个十六进制数的形式,例如： 001:0db8:85a3:08d3:1319:8a2e:0370:7344是一个合法的IPv6地址。

如果四个数字都是零，可以被省略。例如：2001:0db8:85a3:0000:1319:8a2e:0370:7344等价于 2001:0db8:85a3::1319:8a2e:0370:7344遵从这些规则，如果因为省略而出现了两个以上的冒号的话，可以压缩为一个，但这种零压缩在地址中只能出现一次。因此：

2001:0DB8:0000:0000:0000:0000:1428:57ab 2001:0DB8:0000:0000:0000::1428:57ab 2001:0DB8:0:0:0:0:1428:57ab 2001:0DB8:0::0:1428:57ab

2001:0DB8::1428:57ab都使合法的地址，并且他们是等价的。但

2001::25de::cade是非法的。(因为这样会使得搞不清楚每个压缩中有几个全零的分组) 同时前导的零可以省略，因此：

2001:0DB8:02de::0e13等价于2001:DB8:2de::e13 一个IPv6地址可以将一个IPv4地址内嵌进去，并且写成IPv6形式和平常习惯的IPv4形式的混合体，IPv6有两种内嵌，92.168.89.9 这个地址仍然是一个IPv6地址，只是0000:0000:0000:0000:0000:ffff:c0a8:5909的另外一种写法罢了。

5．IPv6安装

本方案主要在Windows XP/Windows 2003 操作系统平台进行，分别有以下步骤： （1）IPv6 协议栈的安装:在 开始 --> 运行 处执行 ipv6 install （2）IPv6 地址设置

在 开始 --> 运行 处执行 netsh 进入系统网络参数设置环境，然后执行interface ipv6

画面显示：netsh interface ipv6>

然后再执行 add address “本地连接” 2001:da8:207::9402 (3）IPv6 默认网关设置

在上述系统网络参数设置环境中执行add route ::/0 “本地连接” 2001:da8:207::9401 publish=yes

(4）网络测试命令：ping6 和tracert6

虽然目前IPv6还不能完全取代IPv4，但是，从我校的实际良好应用，成本低，开发周期短，相信在不远的将来IPv6一定能够取代IPv4，从而实现全范围的纯粹的IPv6网络的运行。

【参考文献】

（1）蒋丽影，从IPv4向IPv6过渡的关键技术及迁移过程，计算机与信息技术，2005(12)

（2）贲春雨，李芳，马继汉，IPv4/IPv6共存与过渡策略的研究与实现[J]，计算机教育，2006(01) （3）李强，李振东，IPv4向IPv6过渡过程中相关问题探讨[J]，甘肃科技，2006(01) （4）张富辉,柳立，IPV4与IPV6的对比及发展现状[J]，西安文理学院学报(自然科学版)，2006

共4页，第4页