黃戈文 黃何列

隨著物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等新興互聯(lián)網(wǎng)業(yè)務(wù)爆炸式的發(fā)展，IPv4地址短缺、路由表極具膨脹、網(wǎng)絡(luò)安全等問(wèn)題日益突出，IPv4已經(jīng)不能滿足網(wǎng)絡(luò)發(fā)展的需要。下一代IPv6協(xié)議具有地址資源充足、無(wú)路由問(wèn)題、即插即用、安全可靠等優(yōu)勢(shì)，因此，采用IPv6逐漸替代IPv4已成為計(jì)算機(jī)網(wǎng)絡(luò)未來(lái)發(fā)展的趨勢(shì)。目前大多數(shù)地方高校校園網(wǎng)仍是純IPv4網(wǎng)絡(luò)，為完成在地方高校中的IPv6規(guī)模部署和應(yīng)用的任務(wù)，對(duì)地方高校校園網(wǎng)進(jìn)行IPv6升級(jí)改造勢(shì)在必行。

嘉應(yīng)學(xué)院是一所省屬公辦普通本科院校，前身是創(chuàng)辦于1913年的梅縣縣立女子師范學(xué)校，有106年的辦學(xué)歷史。學(xué)校堅(jiān)持“立足梅州、面向基層、服務(wù)廣東、輻射全國(guó)、延伸海外”的辦學(xué)宗旨，確立“育人為本、服務(wù)為榮、特色為魂”的辦學(xué)理念。形成以本科教育為主體，兼有高職教育、留學(xué)生教育、成人教育等多層次、多類型的現(xiàn)代辦學(xué)體系，培養(yǎng)適應(yīng)地方經(jīng)濟(jì)社會(huì)發(fā)展需要、具有創(chuàng)新精神和實(shí)踐能力的應(yīng)用型人才。

目前，學(xué)校正以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo)，深入學(xué)習(xí)貫徹落實(shí)黨的十九大精神、習(xí)近平總書記視察廣東重要講話精神，以廣東省實(shí)施高等教育“沖一流、補(bǔ)短板、強(qiáng)特色”提升計(jì)劃、粵東西北高校振興計(jì)劃、省市共建、“新師范”建設(shè)、“新工科”建設(shè)為契機(jī)，積極推動(dòng)“放管服”改革、審核評(píng)估整改，不斷加強(qiáng)內(nèi)涵建設(shè)，努力提升學(xué)科專業(yè)水平、綜合辦學(xué)實(shí)力和服務(wù)地方能力，加強(qiáng)市校合作，推動(dòng)產(chǎn)學(xué)研融合，服務(wù)梅州“創(chuàng)新驅(qū)動(dòng)”發(fā)展，為實(shí)現(xiàn)轉(zhuǎn)型發(fā)展、建成高水平應(yīng)用型大學(xué)的目標(biāo)而努力奮斗。

學(xué)校校園網(wǎng)現(xiàn)狀

嘉應(yīng)學(xué)院江北校區(qū)整個(gè)校園網(wǎng)網(wǎng)絡(luò)主要分為服務(wù)器區(qū)、運(yùn)維區(qū)、生活區(qū)和教學(xué)行政區(qū)，通過(guò)華為核心交換機(jī)實(shí)現(xiàn)互聯(lián)互通，出口采用核心路由器和防火墻分別接入ISP和教科網(wǎng)。該校區(qū)用戶數(shù)達(dá)到2萬(wàn)多人，主要采用portal認(rèn)證方式接入網(wǎng)絡(luò)。目前，因IPv4地址短缺，學(xué)院校園網(wǎng)主要使用IPv4私有地址結(jié)合地址翻譯的方式訪問(wèn)互聯(lián)網(wǎng)和教科網(wǎng)，為用戶提供基于IPv4的網(wǎng)絡(luò)服務(wù)。學(xué)院已向教科網(wǎng)申請(qǐng)了IPv6地址段，下一步將在全校推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署。

校園網(wǎng)IPv6規(guī)模化部署和應(yīng)用存在問(wèn)題

為完成校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用工作目標(biāo)，需要考慮以下問(wèn)題。

1.為了實(shí)現(xiàn)IPv4和IPv6的互聯(lián)互通，需要制定符合學(xué)院實(shí)際的IPv4、IPv6共存的詳細(xì)建設(shè)方案，需要進(jìn)行IPv4/IPv6雙協(xié)議共存環(huán)境下的網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)、網(wǎng)絡(luò)和安全設(shè)備的更新、網(wǎng)絡(luò)配置和調(diào)試、域名和應(yīng)用系統(tǒng)的更新，需要學(xué)校的統(tǒng)一領(lǐng)導(dǎo)和人財(cái)物方面的保障。

2.校園網(wǎng)用戶量大，類別多，包含辦公人員、教師、實(shí)驗(yàn)室用戶、家庭用戶等，需要針對(duì)每種用戶設(shè)計(jì)訪問(wèn)校內(nèi)外IPv6資源的方案，對(duì)不支持IPv6的存量終端有條件地引導(dǎo)其逐步退網(wǎng)，但仍然要為不支持IPv6的用戶在短期內(nèi)提供IPv6過(guò)渡方案。

3.校內(nèi)信息系統(tǒng)較多，建設(shè)時(shí)間不一，建設(shè)技術(shù)路線多種多樣，統(tǒng)一轉(zhuǎn)換為IPv6方式訪問(wèn)的技術(shù)障礙多，需要一個(gè)統(tǒng)一的解決方案。

4.學(xué)院網(wǎng)絡(luò)安全硬件大部分支持IPv6協(xié)議或升級(jí)后支持IPv6，但有一些設(shè)備過(guò)于老舊，無(wú)法支持IPv6，需要更新設(shè)備。

IPv4到IPv6過(guò)渡技術(shù)

在校園網(wǎng)IPv6改造中要考慮客戶需求、設(shè)備利用和經(jīng)濟(jì)費(fèi)用等問(wèn)題，IPv4和IPv6網(wǎng)絡(luò)將在一定時(shí)間內(nèi)共存，過(guò)渡技術(shù)將重點(diǎn)解決IPv4和IPv6網(wǎng)絡(luò)的互聯(lián)互通問(wèn)題以及平滑過(guò)渡的問(wèn)題。目前，成熟的過(guò)渡技術(shù)包括雙協(xié)議棧技術(shù)、網(wǎng)絡(luò)地址/協(xié)議轉(zhuǎn)換技術(shù)和隧道技術(shù)。

雙協(xié)議棧技術(shù)。雙協(xié)議棧技術(shù)就是同一設(shè)備上同時(shí)維護(hù)IPv4與Ipv6協(xié)議，使之同時(shí)具有IPv4和IPv6地址，在收發(fā)數(shù)據(jù)時(shí)，自動(dòng)決定使用哪種協(xié)議通信。雙協(xié)議棧技術(shù)能夠保持原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具有通用性好、配置原理簡(jiǎn)單的優(yōu)點(diǎn);但每臺(tái)設(shè)備需要同時(shí)運(yùn)行IPv4和IPv6兩套協(xié)議，對(duì)設(shè)備的性能要求較高。

網(wǎng)絡(luò)地址/協(xié)議轉(zhuǎn)換技術(shù)。網(wǎng)絡(luò)地址/協(xié)議（NAT-PT）轉(zhuǎn)換技術(shù)主要思想是在NAT設(shè)備中建立IPv4地址與IPv6地址的映射表，在IPv4節(jié)點(diǎn)與IPv6通信時(shí)，通過(guò)NAT設(shè)備進(jìn)行地址和協(xié)議的轉(zhuǎn)換。該技術(shù)的優(yōu)點(diǎn)是原理簡(jiǎn)單、實(shí)施成本低，不需要IPv6升級(jí)改造;不足之處是網(wǎng)絡(luò)地址、協(xié)議轉(zhuǎn)換的開銷較大。

隧道技術(shù)。隧道技術(shù)主要思想是使用IPv4協(xié)議做為承載協(xié)議，將IPv6報(bào)文封裝到IPv4報(bào)文中，通過(guò)IPv4網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)，從而實(shí)現(xiàn)不同協(xié)議之間的通信。

校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用技術(shù)方案

綜合考慮現(xiàn)有設(shè)備的利用率和網(wǎng)絡(luò)改造成本以及CNGI-CERNET2、移動(dòng)、聯(lián)通和電信都能提供IPv6出口鏈路情況下，雙棧+NAT-PT方案是非常符合地方高校實(shí)際情況的過(guò)渡方案。該方案能夠充分利用原有的網(wǎng)絡(luò)設(shè)備，通過(guò)升級(jí)方式或新購(gòu)設(shè)備來(lái)支持IPv6業(yè)務(wù)，使得校園網(wǎng)平臺(tái)同時(shí)支持兩種業(yè)務(wù)流的承載和互通。利用支持雙棧的三層華為交換機(jī)和萬(wàn)兆路由器作為校園網(wǎng)核心設(shè)備;校園網(wǎng)與互聯(lián)網(wǎng)邊界采用支持雙棧技術(shù)的防火墻實(shí)現(xiàn)校園網(wǎng)用戶同時(shí)可以訪問(wèn)IPv6網(wǎng)和IPv4網(wǎng)的外部資源：由于教工宿舍的路由器不支持IPv6，所以需要將教工宿舍單獨(dú)劃分成一個(gè)IPv4局域網(wǎng)，教工生活區(qū)IPv4與IPv6業(yè)務(wù)互通問(wèn)題，在教工生活區(qū)更換三層匯聚交換機(jī)以支持NAT-PT協(xié)議，實(shí)現(xiàn)教工宿舍IPv4電腦無(wú)障礙訪問(wèn)IPv6資源。

校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用行動(dòng)要點(diǎn)

1.對(duì)學(xué)校核心網(wǎng)絡(luò)、接入網(wǎng)絡(luò)、數(shù)據(jù)中心設(shè)備、基礎(chǔ)軟件平臺(tái)、業(yè)務(wù)系統(tǒng)、實(shí)驗(yàn)室局域網(wǎng)進(jìn)行IPv6兼容性摸查，統(tǒng)計(jì)設(shè)備升級(jí)更新需求。

2.調(diào)查統(tǒng)計(jì)全校各棟樓的電腦數(shù)量和IPv6地址需求，進(jìn)行全校IPv6地址規(guī)劃、路由規(guī)劃、安全規(guī)劃和運(yùn)維管理規(guī)劃。

3.對(duì)基礎(chǔ)設(shè)施進(jìn)行改造，主要包括：對(duì)華為核心交換機(jī)、路由器、出口防火墻等設(shè)備進(jìn)行升級(jí)或替換，使之支持雙棧技術(shù);教工生活區(qū)新增支持NAT-PT技術(shù)的三層華為交換機(jī)，實(shí)現(xiàn)地址和協(xié)議轉(zhuǎn)換。

4.服務(wù)器區(qū)升級(jí)負(fù)載均衡設(shè)備，對(duì)開發(fā)時(shí)間較早，不能支持IPv6的業(yè)務(wù)系統(tǒng)采用基于IPv6協(xié)議的L4/L7負(fù)載均衡服務(wù)器進(jìn)行服務(wù)發(fā)布。

5.升級(jí)校園網(wǎng)安全體系，包括：升級(jí)Web應(yīng)用防護(hù)系統(tǒng)、VPN系統(tǒng)、入侵防御系統(tǒng)等系統(tǒng)，加強(qiáng)對(duì)IPv6用戶的接入認(rèn)證、策略控制、邊界攻擊防范及IPv6終端用戶的溯源。

6.升級(jí)域名解析系統(tǒng)，采用IPv6、國(guó)際化域名IDNs等新技術(shù)，實(shí)現(xiàn)域名系統(tǒng)IPv4和IPv6雙棧運(yùn)行。

7.升級(jí)認(rèn)證計(jì)費(fèi)系統(tǒng)，增強(qiáng)IPv6終端的認(rèn)證和計(jì)費(fèi)能力。

8.做好全校PC和移動(dòng)終端IPv6協(xié)議配置指導(dǎo)和IPv6地址發(fā)布。

隨著互聯(lián)網(wǎng)技術(shù)的不斷創(chuàng)新，現(xiàn)有的IPv4網(wǎng)絡(luò)已經(jīng)嚴(yán)重制約了物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的發(fā)展，IPv6的應(yīng)用勢(shì)在必行。為積極參與下一代互聯(lián)網(wǎng)的技術(shù)創(chuàng)新，讓IPv6成為高校發(fā)展和創(chuàng)新的基礎(chǔ)環(huán)境，對(duì)校園網(wǎng)進(jìn)行IPv6規(guī)模化部署和應(yīng)用十分必要。為全面部署IPv6，從學(xué)校網(wǎng)絡(luò)的實(shí)際情況出發(fā)，綜合考慮客戶需求、設(shè)備利用和經(jīng)濟(jì)費(fèi)用等問(wèn)題，提出了校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用的建設(shè)思路和相應(yīng)的行動(dòng)要點(diǎn)，為地方高校實(shí)施校園網(wǎng)IPv6規(guī)?；渴鸷蛻?yīng)用提供參考，推進(jìn)我國(guó)IPv6規(guī)模化應(yīng)用。