论文部分内容阅读
【摘要】本方案从总体上规划了高校校园网IPv6网络接入,实现IPv4、IPv6全网兼容,保障校园网用户访问IPv4、IPv6网络资源,提高师生教学科研效率和水平:同时也将高校部分网络应用做IPv6迁移,使用户可以通过IPv6网络访问高校资源,避免高校成为IPv4网络孤岛,为物联网、云计算奠定了网络基础。
【关键词】IPv6;过渡方案;路由:NAT64;DNS64
【基金项目】天津科技大学科学研究基金资助项目(20070222),天津市高等学校科技发展基金计划项目(20121101)
1、高校部署I Pv6的必要性以及国内外现状
当前部署Wv6不再是选择,已成为一种要求。1.随着互联网lPv4地址用完,互联网IP地址分配机构(IANA)只能分配IPv6地址,随着发展,IPv6用户越来越多;2.随着4G、物联网、云计算等技术的发展,网络对lP地址需求也越来越多,IPv4地址已经不能满足需求;3.大多数高校网络目前是纯IPv4接入,为了适应IPv6应用深入发展,利用各种IPv4/IPv6过渡技术,尽快接人下一代互联网,避免将来成为IPv4网络孤岛。
CERNET于2003年参与了中国下一代互联网示范工程CNGI项目,至今已有100多所高校接人IPv6网络,建成了世界规模最大的纯IPv6互联网,我国下一代互联网研究获得了突破性成就。截至2012年底,我国拥有IPv6地址数为12535块/32,全球排第3位,仅次于巴西和美国。
在国外,政府积极支持IPv6网络发展,好多发达国家把IPv6列入国家战略,详细制定了IPv6落地时间表和路线图。根据lPv6LaunchDay官网统计,截至2012年6月4日,美国参加IPv6Launch的网站已有71%可用IPv6访问,中国则为65%左右。
2、高校IPv6过渡方案设计
高校校园网从规模上属于大型网络,应该采用分层的网络体系结构,由核心层、汇聚层和接入层构成。核心层主要负责业务流量的转发和出网流量的疏导;汇聚层负责业务流量的转发;接入层主要负责用户的接入。示意网络拓扑图如下:
2.1 设备基本配置
过渡方案在施工阶段,只部署基本安全措施,主要用于保护设备。全网要求各设备配置加密的特权密码,全部采用用户模式登录,每台设备必须配置下面用户类型:(1)全权用户:登录后是特权用户;(2)可配置用户:登录后需二次认证成为特权用户;(3)监测用户:能查看各类设备信息。全网端口不配置安全策略,全部手工关闭不使用的端口。全网采用用户模式使用SSHv2远程登录设备,配置加密特权密码,并对登陆IP地址限制范围。
2.2 DNS部署
下面从DNS正向解析和反向解析两方面进行分析。
2.2.1 正向解析
IPv4地址正向解析的资源记录是“A”记录。IPv6地址正向解析的资源记录是“AAAA”记录。由于IP地址由32位扩展到128位,扩大4倍,所以资源记录由“A”扩大成4个“A”。“AAAA”用来表示域名和IPv6地址的对应关系。例如host.example.com正向解析配置如下:
$ORIGIN example.com.
host 3600 IN AAAA 200hdb8::l
2.2.2 反向解析
IPv6反向解析记录和IPv4一样,是“PTR”,地址表示形式是用“.”分隔的半字节16进制数字格式,低位地址在前,高位地址在后,域后缀是“IP6.ARPA.”。半字节16进制数字格式与“AAAA”对应,是对IPv4的简单扩展。例如主机IPv6地址是2001:db8::1的反向解析配置如下:
$ORIGIN 0.0.0.0.0.0.0.0.8.b.d.0.1.0.O.2.ip6.arpa.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 14400 IN PTR(host.example.com.)
DNS服务器规划在遵循以上约束的基础上,作为网络核心基础设备,需要具有高可靠性,所以采用双机部署。DNS服务器的部署还需要和上级域名管理机构联系,修改高校域名、IPv6地址对应的正反向注册信息。
2.3 DHCPv6
在IPv6协议设计时通过无状态自动配置机制解决了在巨大地址空间下如何快速配置主机地址的问题。IPv6的默认模式是无状态地址自动配置,普遍认为这种模式可以实现网络设备真正的即插即用。但这种机制对网络主管来说不怎么有吸引力,越来越多IPv6专家表示,单位也许会不用其地址自动配置机制而继续采用DHCP,因为DHCPv6现在可以支持IPv6。在DHCPv6模式下,服务器将lP地址和服务信息发送到客户端,服务器和客户端会保留这些信息。因此,DHCPv6可以让网络管理人员知道那些设备连接到网络上以及它们的IP地址,所以在本方案中采用DHCPv6方式给用户提供IPv6地址。
2.4 WebIPv6的发布
作为互联网最普遍的内容载体,Web已成为使用者习惯的方式,所以在IPv4/IPv6环境中Web能否平滑过渡,成为了至关重要的问题。特别是Web 2.0的到来,网页几乎成为人们获取信息的主要途径。这也要求Web服务器在切换到IPv6协议上时必须实现平滑过渡。当下主流Web服务软件基本上都已支持IPv6并可以很好地工作。
在过渡期间,通过几种方式实现Web服务器的平滑过渡:
2.4.1 双栈共存方式
要实现服务器IPv4和IPv6访问,可将服务器升级为支持双栈协议的操作系统和服务软件,网络接口分别配置各协议栈地址,并分别指定IPv4、IPv6域名到不同的接口地址,配置不同的接口地址到不同的虚拟主机中,使两套网络都能够正常地访问该服务器。 2.4.2 NAT64与DNS64方式
NAT64是一种有状态的协议与网络地址转换技术,一般只支持IPv6网络用户发起连接访问IPv4网络资源。但NAT64也支持通过手工配置静态映射,实现IPv4网络用户主动发起连接访问IPv6网络资源。NAT64可实现ICMP、TCP、UDP协议下的IPv6与IPv4网络地址和协议转换。
DNS64主要是配合NAT64,将DNS查询信息中的IPv4地址A记录合成到IPv6地址AAAA记录中,给IPv6网络用户返回合成的AAAA记录。DNS64解决了NAT-PT中的DNS-ALG缺陷。
一般NAT64与DNS64协同工作,而不需在IPv6网络用户或IPv4服务器端做任何修改。NAT64解决了NAT-PT大部分缺陷,同时与DNS64协同工作,避免了NAT-PT DNS-ALG等问题。
2.5 IP地址分配原则
2.5.1 IPv6地址分配
分配原则:IPv6地址需要全网保持唯一;由于IPv6地址数目巨大,所以IPv6地址分配中最优先考虑的目标是路由聚合;HD、聚合度和前瞻性是衡量地址分配方案优劣的尺度;每个区域网络应具有本地聚合能力;AS边界聚合,聚合所有域内路由,包括IGP和静态路由;每个边界聚合都应尽量聚合到最简路由表。
例如高校申请到的IPv6地址段为:2001:DA8:A005::/48,按照整体规划,IPv6地址可分为以下几类:
2.5.1.1 骨干网内部地址
这类地址分为设备互连地址和Loopback地址,此类地址从可用地址段的前部开始,选取/64的地址段,即2001:DA8:A005::/64,其中设备Loopback地址和设备互连地址各选取其中一个/80的地址段,如下所示:
(1)设备Loopback地址:2001:DA8:A005::/80,分配规则:考虑到后期扩容,每节点分配16个opback地址;二层设备的管理地址也从此地址段分配。
(2)二层设备管理IP地址:2001:DA8:A005:0000:8000::/96;分配规则:考虑到后期扩容,每节点分配32个二层设备地址。网关地址为所在网段第一个地址。
(3)设备互连地址:2001:DA8:A005:0001::/80。
2.5.1.2 用户地址
用户地址段按照初步预期给每个接入节点分配一个/64位地址段,考虑到可扩展性和持续性,每个接入节点预留3个/64位地址段。
每个节点接入的用户地址段大体使用原则如下:
(1)个人用户分配若干个/80位地址段;(2)DHCPv6分配若干个/80位的地址段作为地址池;(3)对于物联网、云计算等应用可采用/80或者/64位的地址段。
2.5.2 IPv4地址分配
IPv4地址分配直接利用现有IPv4地址规划和配置,这里不再赘述。
2.6 网络路由设计
高校IPv6建成后,主要有以下流量模型:(1)网络内部用户的IPv4dPv6互通;(2)网络内部用户与其他运营商网络IPv4flPv6的互通。
(1)针对流量模型(1),全网使用OSPFv2/OSPFv3,IPv4/IPv6用户通过汇聚层、核心层利用隧道技术实现互访;(2)针对流量模型(2),利用IPv4、IPv6网络出口和NAT64、DNS64技术,IPv4数据经过现有IPv4出口流向Internet,IPv6数据经过CERNET2出口流向下一代互联网。
本次工程IGP协议选择OSPFv2/OSPFv3,EGP协议选择静态路由、默认路由、负载均衡路由等,这里不做细述。
2.6.1 IGP部署规则概要
过渡方案采用OSPF作为IGP承载协议,其中包括IPv4网络的OSPFv2和IPv6网络的OSPFv3。本方案需要完成OSPF全网连通性工作,从而实现由其承载的设备和Loopback地址之间的互通。在部署完毕后进行全网IGP收敛测试,根据测试结果对IGP配置做相应调整。
2.6.2 IGP METRIC取值及其选路原则
过渡方案全网采用OSPF METRIC调整流量走向来选路,由于各点间链路带宽资源相同,故本方案采取按照链路带宽设置相应Metric的方式,使流量按照最近路径转发,即选取最大带宽为参考。
3、结论
本方案没有从技术实现细节上做IPv6接入阐述,但总体规划了高校校园网IPv4、IPv6网络接入并实现全网兼容,保障了用户可以访问IPv6网络资源,为高校师生教学科研提供便利条件,提高教学科研效率和水平。同时也将部分网络应用做IPv6迁移,使用户可以通过IPv6网络访问高校资源,从而避免高校成为IPv4网络孤岛,同时为物联网、云计算奠定了网络基础。在今后设计中,应加强IPv6组播服务研究,使其在校园网中得到充分应用。
【关键词】IPv6;过渡方案;路由:NAT64;DNS64
【基金项目】天津科技大学科学研究基金资助项目(20070222),天津市高等学校科技发展基金计划项目(20121101)
1、高校部署I Pv6的必要性以及国内外现状
当前部署Wv6不再是选择,已成为一种要求。1.随着互联网lPv4地址用完,互联网IP地址分配机构(IANA)只能分配IPv6地址,随着发展,IPv6用户越来越多;2.随着4G、物联网、云计算等技术的发展,网络对lP地址需求也越来越多,IPv4地址已经不能满足需求;3.大多数高校网络目前是纯IPv4接入,为了适应IPv6应用深入发展,利用各种IPv4/IPv6过渡技术,尽快接人下一代互联网,避免将来成为IPv4网络孤岛。
CERNET于2003年参与了中国下一代互联网示范工程CNGI项目,至今已有100多所高校接人IPv6网络,建成了世界规模最大的纯IPv6互联网,我国下一代互联网研究获得了突破性成就。截至2012年底,我国拥有IPv6地址数为12535块/32,全球排第3位,仅次于巴西和美国。
在国外,政府积极支持IPv6网络发展,好多发达国家把IPv6列入国家战略,详细制定了IPv6落地时间表和路线图。根据lPv6LaunchDay官网统计,截至2012年6月4日,美国参加IPv6Launch的网站已有71%可用IPv6访问,中国则为65%左右。
2、高校IPv6过渡方案设计
高校校园网从规模上属于大型网络,应该采用分层的网络体系结构,由核心层、汇聚层和接入层构成。核心层主要负责业务流量的转发和出网流量的疏导;汇聚层负责业务流量的转发;接入层主要负责用户的接入。示意网络拓扑图如下:
2.1 设备基本配置
过渡方案在施工阶段,只部署基本安全措施,主要用于保护设备。全网要求各设备配置加密的特权密码,全部采用用户模式登录,每台设备必须配置下面用户类型:(1)全权用户:登录后是特权用户;(2)可配置用户:登录后需二次认证成为特权用户;(3)监测用户:能查看各类设备信息。全网端口不配置安全策略,全部手工关闭不使用的端口。全网采用用户模式使用SSHv2远程登录设备,配置加密特权密码,并对登陆IP地址限制范围。
2.2 DNS部署
下面从DNS正向解析和反向解析两方面进行分析。
2.2.1 正向解析
IPv4地址正向解析的资源记录是“A”记录。IPv6地址正向解析的资源记录是“AAAA”记录。由于IP地址由32位扩展到128位,扩大4倍,所以资源记录由“A”扩大成4个“A”。“AAAA”用来表示域名和IPv6地址的对应关系。例如host.example.com正向解析配置如下:
$ORIGIN example.com.
host 3600 IN AAAA 200hdb8::l
2.2.2 反向解析
IPv6反向解析记录和IPv4一样,是“PTR”,地址表示形式是用“.”分隔的半字节16进制数字格式,低位地址在前,高位地址在后,域后缀是“IP6.ARPA.”。半字节16进制数字格式与“AAAA”对应,是对IPv4的简单扩展。例如主机IPv6地址是2001:db8::1的反向解析配置如下:
$ORIGIN 0.0.0.0.0.0.0.0.8.b.d.0.1.0.O.2.ip6.arpa.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 14400 IN PTR(host.example.com.)
DNS服务器规划在遵循以上约束的基础上,作为网络核心基础设备,需要具有高可靠性,所以采用双机部署。DNS服务器的部署还需要和上级域名管理机构联系,修改高校域名、IPv6地址对应的正反向注册信息。
2.3 DHCPv6
在IPv6协议设计时通过无状态自动配置机制解决了在巨大地址空间下如何快速配置主机地址的问题。IPv6的默认模式是无状态地址自动配置,普遍认为这种模式可以实现网络设备真正的即插即用。但这种机制对网络主管来说不怎么有吸引力,越来越多IPv6专家表示,单位也许会不用其地址自动配置机制而继续采用DHCP,因为DHCPv6现在可以支持IPv6。在DHCPv6模式下,服务器将lP地址和服务信息发送到客户端,服务器和客户端会保留这些信息。因此,DHCPv6可以让网络管理人员知道那些设备连接到网络上以及它们的IP地址,所以在本方案中采用DHCPv6方式给用户提供IPv6地址。
2.4 WebIPv6的发布
作为互联网最普遍的内容载体,Web已成为使用者习惯的方式,所以在IPv4/IPv6环境中Web能否平滑过渡,成为了至关重要的问题。特别是Web 2.0的到来,网页几乎成为人们获取信息的主要途径。这也要求Web服务器在切换到IPv6协议上时必须实现平滑过渡。当下主流Web服务软件基本上都已支持IPv6并可以很好地工作。
在过渡期间,通过几种方式实现Web服务器的平滑过渡:
2.4.1 双栈共存方式
要实现服务器IPv4和IPv6访问,可将服务器升级为支持双栈协议的操作系统和服务软件,网络接口分别配置各协议栈地址,并分别指定IPv4、IPv6域名到不同的接口地址,配置不同的接口地址到不同的虚拟主机中,使两套网络都能够正常地访问该服务器。 2.4.2 NAT64与DNS64方式
NAT64是一种有状态的协议与网络地址转换技术,一般只支持IPv6网络用户发起连接访问IPv4网络资源。但NAT64也支持通过手工配置静态映射,实现IPv4网络用户主动发起连接访问IPv6网络资源。NAT64可实现ICMP、TCP、UDP协议下的IPv6与IPv4网络地址和协议转换。
DNS64主要是配合NAT64,将DNS查询信息中的IPv4地址A记录合成到IPv6地址AAAA记录中,给IPv6网络用户返回合成的AAAA记录。DNS64解决了NAT-PT中的DNS-ALG缺陷。
一般NAT64与DNS64协同工作,而不需在IPv6网络用户或IPv4服务器端做任何修改。NAT64解决了NAT-PT大部分缺陷,同时与DNS64协同工作,避免了NAT-PT DNS-ALG等问题。
2.5 IP地址分配原则
2.5.1 IPv6地址分配
分配原则:IPv6地址需要全网保持唯一;由于IPv6地址数目巨大,所以IPv6地址分配中最优先考虑的目标是路由聚合;HD、聚合度和前瞻性是衡量地址分配方案优劣的尺度;每个区域网络应具有本地聚合能力;AS边界聚合,聚合所有域内路由,包括IGP和静态路由;每个边界聚合都应尽量聚合到最简路由表。
例如高校申请到的IPv6地址段为:2001:DA8:A005::/48,按照整体规划,IPv6地址可分为以下几类:
2.5.1.1 骨干网内部地址
这类地址分为设备互连地址和Loopback地址,此类地址从可用地址段的前部开始,选取/64的地址段,即2001:DA8:A005::/64,其中设备Loopback地址和设备互连地址各选取其中一个/80的地址段,如下所示:
(1)设备Loopback地址:2001:DA8:A005::/80,分配规则:考虑到后期扩容,每节点分配16个opback地址;二层设备的管理地址也从此地址段分配。
(2)二层设备管理IP地址:2001:DA8:A005:0000:8000::/96;分配规则:考虑到后期扩容,每节点分配32个二层设备地址。网关地址为所在网段第一个地址。
(3)设备互连地址:2001:DA8:A005:0001::/80。
2.5.1.2 用户地址
用户地址段按照初步预期给每个接入节点分配一个/64位地址段,考虑到可扩展性和持续性,每个接入节点预留3个/64位地址段。
每个节点接入的用户地址段大体使用原则如下:
(1)个人用户分配若干个/80位地址段;(2)DHCPv6分配若干个/80位的地址段作为地址池;(3)对于物联网、云计算等应用可采用/80或者/64位的地址段。
2.5.2 IPv4地址分配
IPv4地址分配直接利用现有IPv4地址规划和配置,这里不再赘述。
2.6 网络路由设计
高校IPv6建成后,主要有以下流量模型:(1)网络内部用户的IPv4dPv6互通;(2)网络内部用户与其他运营商网络IPv4flPv6的互通。
(1)针对流量模型(1),全网使用OSPFv2/OSPFv3,IPv4/IPv6用户通过汇聚层、核心层利用隧道技术实现互访;(2)针对流量模型(2),利用IPv4、IPv6网络出口和NAT64、DNS64技术,IPv4数据经过现有IPv4出口流向Internet,IPv6数据经过CERNET2出口流向下一代互联网。
本次工程IGP协议选择OSPFv2/OSPFv3,EGP协议选择静态路由、默认路由、负载均衡路由等,这里不做细述。
2.6.1 IGP部署规则概要
过渡方案采用OSPF作为IGP承载协议,其中包括IPv4网络的OSPFv2和IPv6网络的OSPFv3。本方案需要完成OSPF全网连通性工作,从而实现由其承载的设备和Loopback地址之间的互通。在部署完毕后进行全网IGP收敛测试,根据测试结果对IGP配置做相应调整。
2.6.2 IGP METRIC取值及其选路原则
过渡方案全网采用OSPF METRIC调整流量走向来选路,由于各点间链路带宽资源相同,故本方案采取按照链路带宽设置相应Metric的方式,使流量按照最近路径转发,即选取最大带宽为参考。
3、结论
本方案没有从技术实现细节上做IPv6接入阐述,但总体规划了高校校园网IPv4、IPv6网络接入并实现全网兼容,保障了用户可以访问IPv6网络资源,为高校师生教学科研提供便利条件,提高教学科研效率和水平。同时也将部分网络应用做IPv6迁移,使用户可以通过IPv6网络访问高校资源,从而避免高校成为IPv4网络孤岛,同时为物联网、云计算奠定了网络基础。在今后设计中,应加强IPv6组播服务研究,使其在校园网中得到充分应用。