文/肖波 馬傳連 冉靜學(xué)

中央民族大學(xué)校園網(wǎng)設(shè)備IPv6升級(jí)

文/肖波 馬傳連 冉靜學(xué)

隨著校園信息化建設(shè)的深入和發(fā)展，校園網(wǎng)已經(jīng)成為高校信息化建設(shè)必不可缺的基礎(chǔ)設(shè)施，同時(shí)，校園網(wǎng)在學(xué)校的人才培養(yǎng)、學(xué)科建設(shè)以及科研等方面發(fā)揮了重大作用。隨著IPv4資源地不斷枯竭以及IPv6技術(shù)的成熟，由教育部組織的下一代互聯(lián)網(wǎng)業(yè)務(wù)試商用及設(shè)備產(chǎn)業(yè)化項(xiàng)目——教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級(jí)和應(yīng)用示范，已經(jīng)在全國(guó)100多所高校實(shí)施，爭(zhēng)取到2010年底前，在接入CERNET和CNGICERNET2的基礎(chǔ)上，將校園網(wǎng)升級(jí)到下一代互聯(lián)網(wǎng)，建立安全、可控、可管理和可運(yùn)營(yíng)的下一代校園網(wǎng)試商用環(huán)境，實(shí)現(xiàn)校園網(wǎng)用戶的IPv6普遍訪問和校園網(wǎng)信息資源的IPv6普遍服務(wù)，使其成為學(xué)校新一代教學(xué)和科研信息基礎(chǔ)設(shè)施，繼續(xù)支持下一代互聯(lián)網(wǎng)的技術(shù)試驗(yàn)和應(yīng)用示范，為我國(guó)下一代互聯(lián)網(wǎng)向深度和廣度發(fā)展做出貢獻(xiàn)。本文重點(diǎn)介紹了IPv6校園網(wǎng)升級(jí)改造項(xiàng)目在中央民族大學(xué)具體部署及實(shí)施情況，以及在IPv6校園網(wǎng)升級(jí)改造項(xiàng)目中涉及到的IPv6開放式最短路徑優(yōu)先協(xié)議版本3(OSPFv3)以及無狀態(tài)地址配置技術(shù)。

高校校園網(wǎng)IPv6升級(jí)項(xiàng)目的積極實(shí)施，使我國(guó)下一代互聯(lián)網(wǎng)的發(fā)展之路向深度和廣度延伸

過渡技術(shù)長(zhǎng)期應(yīng)用

現(xiàn)存的IPv4網(wǎng)絡(luò)潛伏著兩大危機(jī)：地址枯竭和路由表急劇膨脹。IPv6的出現(xiàn)將從根本上解決這些問題。IPv6繼承了IPv4的優(yōu)點(diǎn)，并且根據(jù)IPv4多年來運(yùn)行的經(jīng)驗(yàn)進(jìn)行了大幅度的修改和功能擴(kuò)充，比IPv4的處理性能更加強(qiáng)大、高效。

IPv6與IPv4相比主要有以下幾方面變化：擴(kuò)展的尋址能力、簡(jiǎn)化的報(bào)頭格式、對(duì)擴(kuò)展報(bào)頭和選項(xiàng)支持的改進(jìn)、標(biāo)識(shí)流的能力以及認(rèn)證和加密能力。同時(shí)，IPv4向IPv6過渡將是一個(gè)長(zhǎng)期的過程，為了提供一個(gè)穩(wěn)定的過渡，同時(shí)對(duì)用戶和應(yīng)用軟件的影響最小，在這個(gè)過程中出現(xiàn)的一些過渡技術(shù)。例如，雙棧、隧道以及地址/協(xié)議轉(zhuǎn)換等技術(shù)，也將長(zhǎng)期被應(yīng)用。

雙協(xié)議棧技術(shù)是指在一臺(tái)設(shè)備上同時(shí)運(yùn)行IPv4和IPv6協(xié)議棧，使得設(shè)備能夠處理兩種類型的協(xié)議，主機(jī)根據(jù)目的IP地址來決定采用IPv4還是IPv6協(xié)議發(fā)送或接收數(shù)據(jù)包。雙棧協(xié)議并不一定要和隧道技術(shù)一起使用，但創(chuàng)建隧道一定要有雙棧技術(shù)的支持。隧道技術(shù)提供了一種以現(xiàn)有IPv4路由體系來傳遞IPv6數(shù)據(jù)的方法，在兩者都具備雙棧的幾點(diǎn)間，將IPv6分組作為無結(jié)構(gòu)意義的數(shù)據(jù)，封裝在IPv4分組中，IPv4數(shù)據(jù)報(bào)頭的“協(xié)議”設(shè)置為“41”，指示這個(gè)分組是一個(gè)IPv6分組，IPv4數(shù)據(jù)報(bào)文的原地址和目的地址分別對(duì)應(yīng)隧道入口和出口的IPv4地址，到了隧道的出口處，再將IPv6報(bào)文取出轉(zhuǎn)發(fā)給目標(biāo)節(jié)點(diǎn)。IPv6相對(duì)于IPv4在路由協(xié)議方面只是發(fā)生了很小的變化，在本文中主要應(yīng)用的是OSPFv3。

改造部署

建設(shè)方針

通過分析國(guó)內(nèi)多所重點(diǎn)大學(xué)校園網(wǎng)的成功經(jīng)驗(yàn)，我們認(rèn)為下一代校園網(wǎng)的建設(shè)應(yīng)采用“整體規(guī)劃、分步實(shí)施”的方針。其中整體設(shè)計(jì)方案的確定，不僅要考慮近期目標(biāo)，還要為系統(tǒng)的擴(kuò)展留有余地。整個(gè)IPv6校園網(wǎng)絡(luò)的建設(shè)不是一朝一夕可以實(shí)現(xiàn)的，必須分步實(shí)施。在設(shè)計(jì)中，我們需要考慮各階段的情況，適應(yīng)長(zhǎng)遠(yuǎn)發(fā)展，進(jìn)行統(tǒng)一規(guī)劃和設(shè)計(jì)。

早在2005年，中央民族大學(xué)就進(jìn)行了一次大規(guī)模的網(wǎng)絡(luò)升級(jí)改造，當(dāng)時(shí)我們已經(jīng)考慮到IPv4向IPv6的升級(jí)改造，所以，建成了萬(wàn)兆核心、千兆樓宇以及百兆到桌面的校園網(wǎng)絡(luò)。學(xué)校布置了4臺(tái)85系列的華為核心交換機(jī)，鋪設(shè)20多公里的光纖，通過負(fù)載均衡和策略路由連接中國(guó)教育科研網(wǎng)以及電信網(wǎng)絡(luò)，實(shí)現(xiàn)與互聯(lián)網(wǎng)的鏈接，建成結(jié)構(gòu)合理、管理細(xì)化的校園網(wǎng)絡(luò)。借助這次的下一代互聯(lián)網(wǎng)升級(jí)改造項(xiàng)目，中央民族大學(xué)校園網(wǎng)絡(luò)進(jìn)行了大規(guī)模的調(diào)整，構(gòu)架高安全性、高性能和高穩(wěn)定性的IPv4網(wǎng)絡(luò)的同時(shí)，構(gòu)建穩(wěn)定的IPv6網(wǎng)絡(luò)，實(shí)現(xiàn)IPv6與IPv4雙協(xié)議網(wǎng)絡(luò)同時(shí)運(yùn)行，并加大無線網(wǎng)絡(luò)對(duì)IPv6的支撐。

組網(wǎng)方案

根據(jù)項(xiàng)目的建設(shè)目標(biāo)，學(xué)校建成雙核心、雙協(xié)議棧的校園網(wǎng)絡(luò)，如圖1所示。

校園網(wǎng)絡(luò)架構(gòu)分為核心層、匯聚層、接入層。核心層由網(wǎng)絡(luò)中心的2臺(tái)S8512和1臺(tái)S7510E、1號(hào)學(xué)生公寓的S8512、圖書館的S7503E，以及文科樓的1臺(tái)S8505共7臺(tái)設(shè)備組成。這些設(shè)備均采用萬(wàn)兆單模光纖雙上聯(lián)的方式進(jìn)行連接。

按核心設(shè)備的分布匯聚層劃分為5個(gè)區(qū)域，各區(qū)域的匯聚設(shè)備使用千兆光纖直接連接至本區(qū)域的核心設(shè)備，無線網(wǎng)絡(luò)設(shè)備則連接在不同樓宇內(nèi)的匯聚設(shè)備。

校園網(wǎng)內(nèi)所有設(shè)備都支持IPv6路由協(xié)議，為了實(shí)現(xiàn)校園網(wǎng)用戶訪問IPv6網(wǎng)絡(luò)的需求，我們?cè)谛@網(wǎng)絡(luò)中全面部署了IPv4和IPv6網(wǎng)絡(luò)。網(wǎng)絡(luò)中心的2臺(tái)S8512分別作為IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的出口交換機(jī)，分別通過出口路由器連接至C E R N E T和CERNET 2，滿足校園網(wǎng)絡(luò)用戶訪問Internet和CERNET 2的網(wǎng)絡(luò)需求。

OSPFv3

OSPFv3是OSPF版本3的簡(jiǎn)稱，主要提供對(duì)IPv6的支持，遵循的標(biāo)準(zhǔn)為RFC 2740（OSPF for IPv6）。

1.特點(diǎn)

OSPFv3和OSPFv2在很多方面是相同的：Router ID、Area ID仍然是32位的；相同類型的報(bào)文：Hello報(bào)文、DD（數(shù)據(jù)庫(kù)描述）報(bào)文、LSR（鏈路狀態(tài)請(qǐng)求）報(bào)文、LSU（鏈路狀態(tài)更新）報(bào)文和LSACK（鏈路狀態(tài)確認(rèn)）報(bào)文；相同的鄰居發(fā)現(xiàn)機(jī)制和鄰接形成機(jī)制；相同的LSA擴(kuò)散機(jī)制和老化機(jī)制。

OSPFv3和OSPFv2的不同主要有：OSPFv3是基于鏈路（Link）運(yùn)行，OSPFv2是基于網(wǎng)段運(yùn)行，OSPFv3在同一條鏈路上可以運(yùn)行多個(gè)實(shí)例；OSPFv3是通過Router ID來標(biāo)識(shí)鄰接的鄰居，OSPFv2則是通過IP地址來標(biāo)識(shí)鄰接的鄰居。

2.全網(wǎng)分區(qū)運(yùn)行

中央民族大學(xué)校園網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備均支持IPv6協(xié)議和OSPFv3路由協(xié)議，所以在本次網(wǎng)絡(luò)規(guī)劃中，所有使用OSPFv3路由協(xié)議的設(shè)備都可以實(shí)現(xiàn)全網(wǎng)的互聯(lián)互通。OSPFv3的協(xié)議部署如圖1。

全網(wǎng)核心層與匯聚層交換機(jī)均通過OSPFv3協(xié)議互聯(lián)，全網(wǎng)運(yùn)行OSPFv3協(xié)議，分成3個(gè)Area：

1.Area0：網(wǎng)絡(luò)中心的2臺(tái)核心設(shè)備S8512、文科樓的S8505、學(xué)生公寓的S8512、圖書館的S7503E以及理科樓的S7503E之間的互聯(lián)網(wǎng)段劃分至Area0，網(wǎng)絡(luò)中心的S8512及匯聚交換機(jī)之間的鏈路及匯聚交換機(jī)的業(yè)務(wù)網(wǎng)段劃分至Area0。

2.Area1：核心設(shè)備至各樓無線設(shè)備之間的鏈路劃分至Area1。

3.Area2：1號(hào)學(xué)生公寓核心交換機(jī)與匯聚交換機(jī)之間的鏈路及匯聚交換機(jī)的業(yè)務(wù)網(wǎng)段屬于Area2，5號(hào)樓大匯聚交換機(jī)與下聯(lián)匯聚交換機(jī)之間的鏈路及匯聚交換機(jī)的業(yè)務(wù)網(wǎng)段屬于Area2。

IPv6無狀態(tài)地址配置協(xié)議

IPv6的無狀態(tài)自動(dòng)配置協(xié)議在主機(jī)則無需進(jìn)行任何配置，在路由器上也只需要很少的配置，并且不需要額外的服務(wù)器。無狀態(tài)機(jī)制允許主機(jī)使用已知的信息和路由器通告來的信息共同生成自己的地址。路由器通告網(wǎng)絡(luò)前綴來定義子網(wǎng)；主機(jī)生成一個(gè)“接口標(biāo)識(shí)符”來標(biāo)識(shí)子網(wǎng)內(nèi)的一個(gè)接口。IPv6地址就由這兩部分組成。如果沒有路由器的參與，主機(jī)只能生成一個(gè)本地鏈路地址，這個(gè)地址對(duì)于本地網(wǎng)絡(luò)的通訊已經(jīng)足夠了。無狀態(tài)地址自動(dòng)配置只能用于主機(jī)，而不能用于路由器。

無狀態(tài)自動(dòng)配置只能發(fā)生在支持多播的鏈路上，支持多播的接口啟用時(shí)，自動(dòng)配置的過程就開始了。它會(huì)發(fā)送一個(gè)鄰居請(qǐng)求報(bào)文，攜帶上這個(gè)“探測(cè)”地址，如果其它節(jié)點(diǎn)已經(jīng)在使用這個(gè)“探測(cè)”地址，就會(huì)回應(yīng)一個(gè)鄰居通告報(bào)文。

如果節(jié)點(diǎn)發(fā)現(xiàn)它的“探測(cè)”地址已經(jīng)被使用，自動(dòng)配置就會(huì)中止，接下來就需要手工配置了。為了避免這種情況的發(fā)生，網(wǎng)絡(luò)管理員可以提供一個(gè)替代的接口標(biāo)識(shí)符來取代原有的接口標(biāo)識(shí)符，使得自動(dòng)配置過程得以繼續(xù)，否則，就需要手工配置接口的本地鏈路地址和其它地址。當(dāng)節(jié)點(diǎn)確定它的“探測(cè)”地址是惟一的，它就將這個(gè)地址應(yīng)用于接口。此時(shí)接口就具備了IP通信的能力。

接下來的自動(dòng)配置步驟是節(jié)點(diǎn)得到一個(gè)路由器通告報(bào)文或者感知到本地網(wǎng)絡(luò)中沒有路由器存在。如果本地網(wǎng)絡(luò)中存在路由器，它們將發(fā)送路由器通告報(bào)文，指導(dǎo)主機(jī)使用何種類型的自動(dòng)配置方式。

雖然路由器周期性地發(fā)送路由器通告報(bào)文，但是為了加快自動(dòng)配置的速度，主機(jī)會(huì)向“所有路由器”的多播地址發(fā)送一個(gè)或多個(gè)路由器請(qǐng)求報(bào)文，路由器收到這些報(bào)文后會(huì)回應(yīng)路由器通告報(bào)文。路由器通告報(bào)文可能包括一些用于無狀態(tài)自動(dòng)配置生成本地站點(diǎn)地址和全球單播地址的信息，比如地址前綴、有效時(shí)間等。由于路由器周期性地發(fā)送路由器通告報(bào)文，主機(jī)會(huì)連續(xù)收到新的通告消息，處理每一個(gè)通告消息，來進(jìn)行配置狀態(tài)的更改和刷新。

為了保證安全，所有的地址在分配給接口之前必須檢驗(yàn)其唯一性。在無狀態(tài)配置的情況下，地址的唯一性主要是通過接口標(biāo)識(shí)符來保證的。也就是說，如果接口的本地鏈路地址是惟一的，那么用同一標(biāo)識(shí)符生成的其它地址就不需要再進(jìn)行重復(fù)地址檢測(cè)了。為了加快自動(dòng)配置的速度，主機(jī)可以將生成本地鏈路地址和監(jiān)聽路由器通告報(bào)文并行處理，以抵消路由器收到請(qǐng)求報(bào)文和發(fā)送通告報(bào)文之間的延遲。IPv6無狀態(tài)地址自動(dòng)配置的過程見圖2。

由圖1可知，27號(hào)學(xué)生公寓的S5528通過光纖與學(xué)生公寓的S8512實(shí)現(xiàn)物理互聯(lián)，同時(shí)在27號(hào)學(xué)生公寓的S5528和學(xué)生公寓的S8512上應(yīng)用OSPFv3協(xié)議實(shí)現(xiàn)路由互連，27號(hào)學(xué)生公寓的用戶網(wǎng)關(guān)落在匯聚設(shè)備S5528上。用戶終端連接在接入交換機(jī)E126A，當(dāng)終端連接上時(shí)，可以通過無狀態(tài)地址自動(dòng)配置獲得地址。其中共有兩個(gè)用戶VLAN，分別為VLAN273、VLAN274，它們的IPv6地址分別為2001:DA8:219:1601::1/64和2001:DA8:219:1602::1/64。

設(shè)備配置

在設(shè)備配置中，中央民族大學(xué)校園網(wǎng)絡(luò)中心的2臺(tái)85系列核心交換機(jī)的OSPFv3的配置如下：

Area 0 的配置：

校園網(wǎng)匯聚交換機(jī)的IPv6無狀態(tài)地址配置協(xié)議的配置如下：

在接入層，為了防止遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴以及帶寬攻擊等病毒攻擊，對(duì)接入層交換機(jī)的接口進(jìn)行相應(yīng)的配置，配置如下：

目前，中央民族大學(xué)校園網(wǎng)絡(luò)升級(jí)改造中的硬件設(shè)備部署調(diào)試階段已經(jīng)完成，全校所有樓宇都可以應(yīng)用IPv6網(wǎng)絡(luò)接入服務(wù)，也可以應(yīng)用現(xiàn)有的CERNET2網(wǎng)絡(luò)服務(wù)。我們將繼續(xù)進(jìn)一步完善校園網(wǎng)絡(luò)IPv6的其它應(yīng)用及管理，不斷增加例如Web、視頻VOD、網(wǎng)絡(luò)電視等方面的服務(wù)，逐步引入IPv6/IPv4雙協(xié)議棧網(wǎng)管系統(tǒng)、流量控制統(tǒng)計(jì)等網(wǎng)絡(luò)管理手段，深入研究IPv6的計(jì)費(fèi)系統(tǒng)以及它的移動(dòng)性等，逐步完善校園網(wǎng)從IPv4向IPv6的過渡以及IPv6的網(wǎng)絡(luò)應(yīng)用。

(作者單位為中央民族大學(xué)現(xiàn)代教育技術(shù)部)

教育信息化頂層設(shè)計(jì)要超前

總體技術(shù)組第二次全體專家工作會(huì)議在清華大學(xué)舉行，與會(huì)專家指出

近日，清華大學(xué)計(jì)算中心（下文簡(jiǎn)稱計(jì)算中心）在北京承辦了教育部“教育服務(wù)與監(jiān)管體系信息化建設(shè)”項(xiàng)目（“金教工程”一期）總體技術(shù)組第二次全體專家工作會(huì)議。會(huì)議由計(jì)算中心主任、總體技術(shù)組組長(zhǎng)蔣東興主持，教育部科技司司長(zhǎng)謝煥忠、副司長(zhǎng)陳盈暉、辦公廳副主任王洪元、金教辦成員、總體技術(shù)組專家及業(yè)務(wù)代表近60人出席了會(huì)議。

“教育服務(wù)與監(jiān)管體系信息化建設(shè)”項(xiàng)目是教育部為建成數(shù)據(jù)集中、應(yīng)用集成、基礎(chǔ)設(shè)施整合、標(biāo)準(zhǔn)規(guī)范、安全高效的教育電子服務(wù)平臺(tái)，全面提高教育公共服務(wù)能力和教育管理水平而組織的重大信息化建設(shè)項(xiàng)目。為了確保項(xiàng)目順利實(shí)施，教育部專門成立了“教育服務(wù)與監(jiān)管體系信息化建設(shè)”項(xiàng)目專家組，成員由國(guó)內(nèi)信息化、財(cái)務(wù)、設(shè)備等領(lǐng)域的來自國(guó)內(nèi)重點(diǎn)大學(xué)的知名專家組成，全面負(fù)責(zé)總體建設(shè)方案、頂層設(shè)計(jì)方案和基礎(chǔ)設(shè)施與技術(shù)架構(gòu)方案的評(píng)審、項(xiàng)目總體驗(yàn)收評(píng)審和其他重大技術(shù)咨詢與指導(dǎo)工作。

會(huì)上，各職能域規(guī)劃工作小組的組長(zhǎng)和子項(xiàng)目負(fù)責(zé)專家匯報(bào)了近期工作進(jìn)展。在聽取匯報(bào)后，謝煥忠、陳盈暉、王洪元等金教辦領(lǐng)導(dǎo)都充分肯定了目前項(xiàng)目取得的進(jìn)展，并指出要加強(qiáng)研究，進(jìn)一步加強(qiáng)溝通和統(tǒng)籌，頂層設(shè)計(jì)要有超前性，適應(yīng)教育改革與發(fā)展的需要。

總體技術(shù)組專家還就跨職能域間的業(yè)務(wù)關(guān)聯(lián)、數(shù)據(jù)關(guān)聯(lián)等技術(shù)等問題進(jìn)行了專題研討，并對(duì)項(xiàng)目推進(jìn)中遇到的共性問題展開了熱烈的討論。本次會(huì)議推動(dòng)了頂層設(shè)計(jì)工作，在一些問題上達(dá)成了很多共識(shí)，對(duì)后期的工作開展起到積極的推動(dòng)作用。

（來源：清華大學(xué)新聞網(wǎng)）