（青海交通職業(yè)技術(shù)學(xué)院，810003）

IPv6校園網(wǎng)絡(luò)建設(shè)探究

李 敏

（青海交通職業(yè)技術(shù)學(xué)院，810003）

伴隨著IPV4協(xié)議地址庫的枯竭和諸多問題，基于IPv4協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)難以滿足持續(xù)發(fā)展的校園網(wǎng)絡(luò)。同時(shí)，基于IPv6協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)因?yàn)樵诘刂房臻g資源、穩(wěn)定性、網(wǎng)絡(luò)安全等方面的優(yōu)勢(shì)而被推廣應(yīng)用，建設(shè)IPv6校園網(wǎng)絡(luò)大勢(shì)所趨。

IPv6；校園網(wǎng)絡(luò)；建設(shè)

1 IPv6校園網(wǎng)絡(luò)建設(shè)的現(xiàn)狀分析

1.1 建設(shè)IPv6校園網(wǎng)絡(luò)的必要性

1.1.1 校園網(wǎng)絡(luò)發(fā)展的需求

截止2013年底，中國網(wǎng)民總數(shù)突破6億人，其中網(wǎng)絡(luò)教育用戶已達(dá)4500萬，學(xué)生用戶成為教育用戶中的主要網(wǎng)民主體。校園網(wǎng)的發(fā)展空間在持續(xù)增大，發(fā)展需求更高。傳統(tǒng)的IPv4環(huán)境下的校園網(wǎng)絡(luò)已經(jīng)難以負(fù)荷師生教、學(xué)網(wǎng)絡(luò)需求和實(shí)現(xiàn)校園網(wǎng)、教育網(wǎng)、互聯(lián)網(wǎng)所追求的教育網(wǎng)絡(luò)一體化需求，因此，建設(shè)更高層次的下一代協(xié)議IPv6校園網(wǎng)蓄勢(shì)待發(fā)。

1.1.2 IPv4網(wǎng)絡(luò)問題叢生

IPv4作為被全球廣泛使用構(gòu)成現(xiàn)今互聯(lián)網(wǎng)整體的奠基協(xié)議，它的出現(xiàn)和發(fā)展都具有劃時(shí)代的意義，但是任何事物都有發(fā)展和消亡的過程，這個(gè)互聯(lián)網(wǎng)時(shí)代的佼佼者也不例外。目前看來，IPv4協(xié)議存在著幾點(diǎn)重要問題：

1）基于IPv4協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)IP地址空間已近枯竭，而網(wǎng)絡(luò)規(guī)模膨脹對(duì)IP地址的需求卻供不應(yīng)求，這在根本上限制了包括校園網(wǎng)絡(luò)在內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展空間。

2）大量基于IPv4協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)信息設(shè)備因難以滿足龐大的信息處理量和高要求的處理速度而被放棄。今后，校園網(wǎng)絡(luò)需要處理的信息量將越來越大，IPv4下的信息設(shè)備將無法正常處理教育網(wǎng)絡(luò)的信息量。

3）安全性不足、管理效率不高等問題在IPv4協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)中明顯暴露，難以滿足人們?cè)谛畔r(shí)代的安全需求。以校園網(wǎng)絡(luò)建設(shè)為例，未來高校網(wǎng)絡(luò)實(shí)名制支付學(xué)費(fèi)將成為可能，建立更安全的IPv6校園網(wǎng)絡(luò)成為必然。

1.1.3 政府對(duì)校園網(wǎng)絡(luò)建設(shè)的實(shí)踐

IPv4所引起的多種并發(fā)癥，引起了全球關(guān)注，對(duì)此，我國政府已經(jīng)采取了重要舉措，以逐步完成高校校園網(wǎng)絡(luò)由IPv4協(xié)議向IPv6協(xié)議的平穩(wěn)過渡。由教育部組織的教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級(jí)和應(yīng)用示范，已在全國100多所高校實(shí)施，這一舉措可將校園網(wǎng)升級(jí)到下一代互聯(lián)網(wǎng)建立安全可控可管理和可運(yùn)營的下一代校園網(wǎng)試商用環(huán)境，為一百萬以上用戶提供已有重要教育科研信息資源和應(yīng)用的IPv6試商用服務(wù)。不可否認(rèn)的是，這次實(shí)踐對(duì)教育信息化工程產(chǎn)生了及其重大的作用，為今后校園網(wǎng)絡(luò)建設(shè)提供了豐富的轉(zhuǎn)型經(jīng)驗(yàn)。

1.2 國外IPv6校園網(wǎng)絡(luò)建設(shè)現(xiàn)狀

1.2.1 北美洲地區(qū)

以美國為例，由于美國占有較為豐富的IPv4地址空間資源，美國首先把對(duì)IPv6網(wǎng)絡(luò)的理論研究和實(shí)驗(yàn)作為著手點(diǎn)。從上世紀(jì)90年代末開始，美國就對(duì)下一代互聯(lián)網(wǎng)絡(luò)展開了深入的研究，通過成立美國大學(xué)先進(jìn)網(wǎng)絡(luò)聯(lián)盟（UCAID），利用高校在資源技術(shù)上的獨(dú)特優(yōu)勢(shì)實(shí)施了Internet2的下一代大學(xué)網(wǎng)計(jì)劃，這也是在全球范圍對(duì)校園網(wǎng)絡(luò)升級(jí)的首先嘗試?？傊绹?jīng)過長(zhǎng)期對(duì)IPv6計(jì)算機(jī)網(wǎng)絡(luò)的理論研究和實(shí)驗(yàn)，攻克了大量關(guān)鍵問題，必然使美國在IPv6網(wǎng)絡(luò)建設(shè)上具有更多優(yōu)越性和可操控性。

1.2.2 歐洲地區(qū)

歐洲對(duì)IPv6的研究較美國晚一些，在2001年才開始?xì)W盟國家之間的下一代互聯(lián)網(wǎng)絡(luò)的 Géant網(wǎng)絡(luò)的研究，同樣也是結(jié)合高校和研究機(jī)構(gòu)的資源技術(shù)優(yōu)勢(shì)。不同的是，歐洲在研究IPv6網(wǎng)絡(luò)時(shí)更注重結(jié)合移動(dòng)通信方面的優(yōu)勢(shì)，并把研究重點(diǎn)放在基于IPv6協(xié)議的移動(dòng)互聯(lián)網(wǎng)工作上，率先在3G網(wǎng)中引進(jìn)了IPv6。歐洲在基于IPv6協(xié)議的信息設(shè)備的研發(fā)及網(wǎng)絡(luò)應(yīng)用的開發(fā)也成果顯著。

1.2.3 亞洲地區(qū)

在亞洲IPv6研究中，由于日本和韓國經(jīng)濟(jì)技術(shù)水平較為領(lǐng)先、IP地址短缺問題嚴(yán)重，他們?cè)贗Pv6研究中的成果更顯著，這些成果主要集中在IPv6的商用化上。日本在1997年提出在全國范圍內(nèi)進(jìn)行IPv6網(wǎng)絡(luò)研究和商用化運(yùn)作，隨后將21世紀(jì)前10年作為現(xiàn)有網(wǎng)絡(luò)向IPv6的過渡期。這期間，日本建成了世界上最大的IPv6網(wǎng)絡(luò)之一。韓國通過IPv6試驗(yàn)網(wǎng)絡(luò)的研究和建設(shè)以及IPv6和原有的IPv4網(wǎng)絡(luò)之間的平穩(wěn)過渡兩個(gè)方面完成對(duì)IPv6網(wǎng)絡(luò)的研究。

1.3 國內(nèi)IPv6校園網(wǎng)絡(luò)建設(shè)現(xiàn)狀

國內(nèi)對(duì)IPv6校園網(wǎng)絡(luò)的研究和建設(shè)也取得了顯著的成績(jī)。國內(nèi)高校IPv6校園網(wǎng)絡(luò)建設(shè)主要是針對(duì)基于IPv4校園網(wǎng)絡(luò)的問題，利用CERNET2成果設(shè)計(jì)本校的IPv6的校園網(wǎng)絡(luò)?？偟膩碚f，建立IPv6校園網(wǎng)絡(luò)目前多在教學(xué)實(shí)力雄厚和著名院校進(jìn)行試驗(yàn)。清華大學(xué)主導(dǎo)實(shí)施的CNGI－6IX建設(shè)，實(shí)現(xiàn)了國內(nèi)CNGI主干網(wǎng)之間的互聯(lián)以及與國外IPv6網(wǎng)絡(luò)的互聯(lián)。我國基于下一代互聯(lián)網(wǎng)CNGI的主干網(wǎng)絡(luò) CERNET2發(fā)展迅速，已經(jīng)通過全國范圍內(nèi)的25節(jié)點(diǎn)成功的實(shí)現(xiàn)了全國20城市之間高速連接。2006年全年，國內(nèi)IPv6網(wǎng)絡(luò)研究在全球互聯(lián)工作中實(shí)現(xiàn)了高層次突破。分別實(shí)現(xiàn)了與美國Internet2的155M高速互聯(lián)和歐洲Géant2的622M高速互聯(lián)。隨著我國在IPv6研究上不斷取得成果，IPv6校園網(wǎng)絡(luò)將在全國范圍內(nèi)建設(shè)和升級(jí)。

2 IPv6校園網(wǎng)絡(luò)建設(shè)如何實(shí)踐

2.1 做好建設(shè)規(guī)劃

IPv6網(wǎng)絡(luò)建設(shè)與實(shí)地建設(shè)類似，首先考慮的必須是整體規(guī)劃，只有規(guī)劃好，才能實(shí)現(xiàn)建設(shè)的有效性和實(shí)用性。

2.1.1 確切定位

IPv6的校園網(wǎng)建設(shè)是高要求的網(wǎng)絡(luò)建設(shè)工程，它立足于下一代互聯(lián)網(wǎng)建設(shè)研究工作上。在滿足校園網(wǎng)絡(luò)基本需要時(shí)，更應(yīng)該為我國下一代互聯(lián)網(wǎng)建設(shè)提供試驗(yàn)，進(jìn)而進(jìn)行前沿性的體系和技術(shù)研究。

2.1.2 確保實(shí)操性

IPv6校園網(wǎng)絡(luò)建設(shè)的最終目的，是通過新的網(wǎng)絡(luò)協(xié)議滿足不斷發(fā)展的網(wǎng)絡(luò)需求，因此，在建設(shè)過程中，要保證信息網(wǎng)絡(luò)設(shè)備的處理能力和可擴(kuò)展能力，同時(shí)要充分考慮復(fù)雜的網(wǎng)絡(luò)環(huán)境下的各種要求，確保突發(fā)情況下的網(wǎng)絡(luò)能夠正常運(yùn)行。

2.1.3 安全管理性

IPv4網(wǎng)絡(luò)之所以被淘汰，很大程度上也是基于安全管理的考慮，對(duì)于IPv6校園網(wǎng)絡(luò)的建設(shè)，就更加要從安全性和管理性下功夫。在安全性上，必須保證網(wǎng)絡(luò)信息設(shè)備支持防火墻和數(shù)據(jù)加密，還要確保網(wǎng)絡(luò)傳輸和各種網(wǎng)絡(luò)應(yīng)用的安全；在管理性上，要有相應(yīng)的網(wǎng)絡(luò)管理監(jiān)控軟件實(shí)施監(jiān)控和管理，從而維護(hù)整個(gè)校園網(wǎng)絡(luò)的正常運(yùn)作。

2.2 實(shí)現(xiàn)IPV4到IPv6的平穩(wěn)過渡

目前，大多數(shù)高校已經(jīng)完成了校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)，從IPv6校園網(wǎng)絡(luò)建設(shè)的經(jīng)濟(jì)性出發(fā)，充分的利用已有的軟硬件資源，完成IPV4到IPv6的過渡成了當(dāng)前工作的重要研究重心。在研究過程中，必須結(jié)合高校自身特點(diǎn)和校園網(wǎng)建設(shè)的實(shí)際情況進(jìn)行，主要有三種可行性方案：

2.2.1 隧道模式改造

多數(shù)高校原有校園網(wǎng)絡(luò)基本成熟穩(wěn)定，在三層交換設(shè)備的采用上均為IPv4設(shè)備。對(duì)此，可以采用隧道模式，增加1臺(tái)支持IPv6的出口路由器，該路由器通過GE鏈路連接原有基于IPv4的核心交換機(jī)，改造成IPv6駐地網(wǎng)，實(shí)現(xiàn)原有基礎(chǔ)改造IPv6網(wǎng)絡(luò)的目的。

2.2.2 雙棧模式改造

通過在原有網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行擴(kuò)建，擴(kuò)建部分采用雙棧模式的方式更能體現(xiàn)網(wǎng)絡(luò)設(shè)備的功能性，在所有三層設(shè)備的采用上均為IPv4/IPv6雙棧設(shè)備。增加1臺(tái)IPv6出口路由器，該路由器通過GE鏈路連接原有支持IPv4和IPv6的雙棧核心交換機(jī)，從而建成IPv6駐地網(wǎng)。這種方案需要接入網(wǎng)絡(luò)的IPv6終端較多，因此對(duì)接入設(shè)備的要求比較高，要同時(shí)滿足IPv6業(yè)務(wù)的需要和滿足靈活、易擴(kuò)充的接入方案。

2.2.3 轉(zhuǎn)換模式

實(shí)現(xiàn)IPv4到IPv6的平穩(wěn)過渡還有一種只需在不同協(xié)議的設(shè)備上啟用的更為便捷有效的方式，即實(shí)現(xiàn)網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換。這種過渡方式是利用傳輸數(shù)據(jù)所攜帶的網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換信息來完成其網(wǎng)絡(luò)地址的轉(zhuǎn)化，整個(gè)過程主要是通過對(duì)數(shù)據(jù)包的報(bào)頭結(jié)構(gòu)操作完成。這種網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換方式還可以與 ALG 的結(jié)合實(shí)現(xiàn)不同協(xié)議主機(jī)之間的互聯(lián)，雖然這種互聯(lián)有一定的限制。

結(jié)合國內(nèi)高校目前的實(shí)際網(wǎng)絡(luò)情況，建議各學(xué)校進(jìn)行IPv6校園網(wǎng)絡(luò)建設(shè)時(shí)有步驟有計(jì)劃的分布實(shí)施三種方案，達(dá)到減少投資、縮短周期、整合業(yè)務(wù)的目的。

3 IPv6校園網(wǎng)絡(luò)建設(shè)的安全考慮

IPv6協(xié)議取代IPv4協(xié)議是互聯(lián)網(wǎng)發(fā)展的趨勢(shì)，對(duì)校園網(wǎng)絡(luò)建設(shè)發(fā)展起到了至關(guān)重要的作用。但并非一定的先進(jìn)就能帶來一定的安全，IPv6雖然在設(shè)計(jì)之初就借助IPSec對(duì)安全性方面有所改善但I(xiàn)PSec并不能保證IPv6絕對(duì)安全。隨著IPv6網(wǎng)絡(luò)環(huán)境的復(fù)雜性增加，由此伴生的安全問題也無法預(yù)料。

3.1 IPv6協(xié)議自身的安全性問題

針對(duì)IPv6的網(wǎng)絡(luò)特性，IPv6的基本報(bào)頭字段被攻擊的可能性最大。其中包括版本字段、下一包頭字段、IP地址字段、跳數(shù)限制字段。攻擊者主要通過令字段非法或不相符等手段，騙取安全防護(hù)設(shè)備禁止服務(wù)，從而實(shí)現(xiàn)攻擊目的。雖然實(shí)現(xiàn)了IPv4到IPv6協(xié)議的過渡，但是IPv4網(wǎng)絡(luò)中上層協(xié)議的安全威脅依然存在，這是因?yàn)镮PSec機(jī)制無法消除網(wǎng)絡(luò)層以上的安全威脅。堆棧溢出的木馬、蠕蟲病毒和惡意代碼等常見的安全威脅還是會(huì)影響網(wǎng)絡(luò)安全。

3.2 過渡模式的殘留問題

IPv4到IPv6的三種過渡模式雖然完成了網(wǎng)絡(luò)協(xié)議的平穩(wěn)過渡，但其殘留的問題依然存在。隧道模式便捷的使用同時(shí)也隱藏了巨大的風(fēng)險(xiǎn)。隧道體系對(duì)于認(rèn)證要求嚴(yán)格，同時(shí)它易產(chǎn)生自動(dòng)切斷的問題。常見的還有DoS攻擊、欺騙IP地址等問題。而在雙棧模式下，兩種協(xié)議中的任一安全漏洞都會(huì)影響相互的正常運(yùn)行，從而威脅到主機(jī)。同時(shí)雙棧模式容易使攻擊者通過非法數(shù)據(jù)包注入內(nèi)網(wǎng)隧道的加密技術(shù)，使防火墻等安全防護(hù)設(shè)備失去保護(hù)能力。在轉(zhuǎn)換模式下，IPv6協(xié)議要求強(qiáng)制執(zhí)行IPSec機(jī)制，這就導(dǎo)致了NAT-PT節(jié)點(diǎn)在NAT-PT在轉(zhuǎn)換IPSec數(shù)據(jù)包過程中的易被攻擊性，最終中斷雙協(xié)議網(wǎng)絡(luò)的互通。

4 結(jié)語

當(dāng)前，教育信息化工程備受重視，基于下一代IPv6協(xié)議的高校校園網(wǎng)絡(luò)建設(shè)就顯得尤為重要。本文希望引起各高校對(duì)IPv6校園網(wǎng)絡(luò)建設(shè)的重視，切實(shí)結(jié)合自身實(shí)際情況，獲取國內(nèi)外重大成果，選擇更優(yōu)的IPv4向IPv6過渡的網(wǎng)絡(luò)改造方案，在建設(shè)過程中，要多考慮IPv6校園網(wǎng)絡(luò)隱藏的安全問題，以實(shí)現(xiàn)建設(shè)安全綠色穩(wěn)定的校園網(wǎng)絡(luò)的目標(biāo)。

[1] 陳亮,季克亮.高職院校IPv6網(wǎng)絡(luò)建設(shè)——以南通紡織職業(yè)技術(shù)學(xué)院為例[J].南通紡織職業(yè)技術(shù)學(xué)院學(xué)報(bào)綜合版,2013,13（1）

[2] 鄧小盾.基于IPv6的校園網(wǎng)絡(luò)建設(shè)模式的研究與設(shè)計(jì)[D].西安.西安科技大學(xué),2013

[3] 吳月紅.高職院校IPv6網(wǎng)絡(luò)建設(shè)研究[J].網(wǎng)絡(luò)技術(shù)，2011（6）

[4] 劉曄,彭澤武.IPv6網(wǎng)絡(luò)安全問題分析[J].現(xiàn)代計(jì)算機(jī),2013,10（下）

IPv6campus network construction research

Li Min
(Qinghai Communications Technical College，810003)

Library withIPv4address depletion and problems,based on computer network ofIPv4are very difficult to satisfy the sustainable development of the campus network.At the same time,the computer network based onIPv6protocol because in the address space resources,stability,network security and other advantages and has been applied,buildingIPv6campus network is the trend of The Times.

The construction of campus network;IPv6