论文部分内容阅读
摘 要:IPV4协议过渡到IPV6协议已经成为未来互联网发展非常可能甚至必然的趋势。本文对IPV4向IPV6过渡中的问题进行了综述,对各种过渡策略进行阐述,并结合校园网的现状,讨论研究出合适的过渡方案。
关键词:IPV4;IPV6;过渡策略;校园网;过渡方案
中图分类号:G48文献标识码:A
文章编号:1009-0118(2012)04-0224-02
一、引言
在校园网方面,基于IPV4的校园网建设和使用为我国高校的教育和科研的发展提供了一个广阔的资源平台。但随着互联网用户数量不断增加以及对互联网应用的要求的不断提高,基于IPV4网络的缺陷逐渐凸显出来。其中最尖锐的问题就是不断增长的对互联网地址资源的巨大需求与IPV4地址空间不足之间的矛盾。目前可用的IPV4地址已经分配了70%左右,而且B类地址已经基本耗尽。采用长度为128字节IP地址的IPV6协议,则彻底解决了IPV4地址不足的难题,并且在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进。
二、IPV6在校园网中的部署
针对现阶段我国高校发展的情况,校园网向IPV6过渡可分两种情况考虑:
(一)新建校园网
建议采用同时支持IPV4/IPV6的网络设备进行组网建设,使得校园网平台同时支持两种业务流的承载和互通。校园网核心采用支持双栈的三层交换机,汇聚接入使用普通IPV4交换机即可,所有关于IPV6的三层功能均交由核心处理,而不在汇聚层进行。也可考虑汇聚使用双栈三层交换机,形成层次化的IPV6网络。内部IPV6-IPV6、IPV4-IPV4业务通过双栈直接互通,无协议转换,与普通单网络业务转发模型类似;内部IPV6-IPV4业务通过双栈核心交换机进行NAT-PT,从而进行互通;内部IPV6-外部IPV4(或内部IPV4-外部IPV6)通过出口进行NAT-PT与外部互通;内部IPV6-外部IPV6,经核心设备通过CERNET2直接连通。
(二)老校园网升级
一般而言需要购买新的双栈设备,少数设备可以通过升级软件直接支持双栈。若核心设备可升级,则部署和业务互通方案类似前述新建校园网。若增加新的双栈设备,则新建IPV6网与原有IPV4网在各自网内分别互通,利用新增设备进行NAT-PT与原IPV4核心设备互通,与外部则分别经原核心连接的CERNET或新增设备所连接的CERNET2分别于外部IPV4和IPV6网络互通。校园网内部IPV4-IPV4、IPV6-IPV6业务分别利用新老校园网直接互通;校园网内部IPV6-IPV4业务通过新建IPV6校园网核心双栈交换机的NAT-PT与老校园核心连通;内部IPV6-外部IPV4,通过双栈边界路由器的NAT-PT与外部互通;内部IPV6-外部IPV6通过边界路由器直接互通或使用隧道与非直连IPV6孤岛互通。
三、校园网IPV6过渡方案研究
校园网过渡到IPV6网络,其中涉及了许多关键的技术。如IPV6地址分配方案、域名解析技术、路由机制与安全性等问题。以下对在过渡中遇到的这些关键技术作一个分析,让整个过渡方案更加具体可行。
(一)IPV6地址分配方案
IPV6地址的长度比IPV4大很多,如果采用手工配置的话,会给用户带来很大麻烦。所以IPV6协议定义了有状态和无状态两种地址自动配置机制。当站点不特别关注主机使用的确切地址,只要求该地址唯一,则使用无状态自动配置。而校园网是一个有组织有管理的局域网络系统,在网络地址方面最好能做到进行严格的控制与确切的分配,并且除了地址外,还有其他的一些配置信息与参数需要站点用户去自动获取,所以IPV6地址分配选择有状态自动配置方案。
有状态自动配置需要DHCPv6的支持。目前很多校园网的IPV4地址分配主案是采用DHCPv4服务器自动分配的。所以在过渡到IPV6后,可以升级该主机,使其升级为DHCPv6服务器,从而实现校园网内IPV6地址的自动分配。在客户端方面同样也需要全校各客户端PC逐步将网络协议升级到IPV6、DHCPv6以获取自动分配的IPV6地址以及配置信息与参数。
(二)域名解析技术
配置好IPV6地址后,进一步实IPV6部署还需要配置IPV6DNS。IPV6网络中的DNS与IPV4是的DNS在体系结构上是一致的,都是采用树型结构的域名空间。在IPV4到IPV6的过渡过程中,作为INTERNET基础架构的DNS服务器也要支持这种网络协议的升级和转换,当然这也要有一个过渡方法,而不是一下子全面改成IPV6的DNS。
IPV4和IPV6的DNS记录格式等方面有所不同,为了实现IPV4网络和IPV6网络之间的DNS查询和响应,可以采用应用层网关DNS-ALG结合NAT-PT的方法,在IPV4和IPV6网络之间起到一个翻译作用。例如,IPV4的地址域名映射使用“A”记录,而IPV6使用“AAAA”或“A6”记录。那么,IPV4结点发送到IPV6网络的DNS查询请求是“A”记录,DNS-ALG就把“A”改写成“AAAA”,并发送给IPV6网络中的DNS服务器。当服务器的回答到达DNS-ALG时,DNS-ALG修改回答,把“AAAA”改为“A”,把IPV6地址改成DNS-ALG地址池中的IPV4转换地址,把这个IPV4转换地址和IPV6地址之间的映射关系通知NAT-PT,并把这个IPV4转换地址作为解析结果返回IPV4主机。IPV4主机就以这个IPV4转换地址作为目的地址与实际的IPV6主机通过NAT-PT通信。
对于采用双栈技术的过渡方法,在DNS服务器中同时存在“A”记录和“AAAA”记录。由于结点可以处理IPV4与IPV6协议,因此无须类似DNS-ALG的转换设备。无论DNS服务器回答“A”记录还是“AAAA”记录,都可以进行通信。同样,DNS服务器也可以通过升级配置老DNS服务器,以达到支持两种协议的域名解析的目的。
(三)路由机制
在路由协议选择上要有扩展性,满足网络的短期和长期的发展,同时核心网应全面支持IPV6协议,并具有支持IPV6和IPV4协议的接入能力。在外联INTERNET的网关上,即核心交换机,可以使用BGP4路由协议,同时承载IPV4和IPV6。对于内网之间的路由则采用OSPFv2+OSPFv3的方法。OSPFv2+OSPFv3方法会在同一台三层设备中运行两个互相独立的进程,并生成两个独立的IPV4和IPV6路由表,IPV4和IPV6可以走不同的路由,从而在逻辑上可以形成不同的IPV4的网络拓扑和IPV6的网络拓朴。这样增加了路由的灵活性,并且如果IPV6路由协议崩溃,也不会导致到IPV4同时崩溃。当然采用这种路由方法,也存在着不便,就是在网络拓朴修改时,需要同时修改两个协议。但考虑到它带来的其它优点,而且校园网的网络拓朴一般相对稳定,并不会轻易改变网络拓朴,所以使用OSPFv2+OSPFv3方法是当前实现网内IPV4/IPV6路由的最好选择。
(四)安全问题
IETF在IPV6中提出了全新的网络安全体系结构,即IPSec标准。IPV6协议中的安全性是基于IPSec协议的。IPSec描述了新体系结构提供的安全服务及这些服务的实现机制。IPSec提供的安全服务包括:数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击以及一定程度上的数据流量私有性等。IPV6内置集成了IPSec,不同于IPV4的IPSec作为可选项,充分体现了网络安全与网络协议浑然一体的技术更新优势。但即使如此IPSec仍然没有能很好的解决IPV6存在的安全性问题,特别是在向IPV6过渡的过程中的一些过渡技术并不支持IPSec。如翻译技术与隧道技术中都不同程度的破坏了网络端到端的特性,所以也就使目前IPV6、过渡网络在使用IPSec上有一定的限制,同时基于IPSec提供的安全性也大大减弱。既然IPV6协议本身并不能满足我们对安全性的需求,所以,校园网必须部署基于IPV6的防火墙,以保障IPV6网络的安全。当前,基于IPV4的校园网正是通过防火墙来提供对内网的安全保护的。所以在过渡到IPV6网络后,必须同时升级防火墙的软硬件,使成为基于IPV4/IPV6的防火墙以保障内网安全。
四、结束语
基于IPV4的互联网在20多年的发展中取得了巨大的成功,但其本身地址空间不足的缺陷极大地限制了互联网进一步的发展。受现有互联网的规模影响,由IPV4向IPV6的过渡不可能一蹴而就。同时,由于目前还没有出现必须使用IPV6的杀手级应用,IPV6部署和实施缺乏足够的推动力。因此,向IPV6的过渡将是一个长期的过程。作为先进技术的开创者和先进技术的介绍和传播者,在高校校园网中推广IPV6网络有着极其重要的意义。
参考文献:
\[1\]张庆,鲁征山,沈国良.基于校园网IPV4到IPV6过渡机制的研究与实现\[J\].苏州大学学报(工科科版),2006,(12).
\[2\]许朝侠,焦阳.校园网由IPV4向IPV6过渡的技术实现\[J\].科技信息(学术研究),2007:178-179.
\[3\]李琦.校园网从IPV4到IPV6的演进策略和方案研究\[J\].四川理工学院学报(自然科学版),2005,(6).
\[4\]李华锋,梁石.从IPV4到IPV6:互联网技术的发展与应对策略\[J\].成都纺织高等专科学校学报,2006,(7).
关键词:IPV4;IPV6;过渡策略;校园网;过渡方案
中图分类号:G48文献标识码:A
文章编号:1009-0118(2012)04-0224-02
一、引言
在校园网方面,基于IPV4的校园网建设和使用为我国高校的教育和科研的发展提供了一个广阔的资源平台。但随着互联网用户数量不断增加以及对互联网应用的要求的不断提高,基于IPV4网络的缺陷逐渐凸显出来。其中最尖锐的问题就是不断增长的对互联网地址资源的巨大需求与IPV4地址空间不足之间的矛盾。目前可用的IPV4地址已经分配了70%左右,而且B类地址已经基本耗尽。采用长度为128字节IP地址的IPV6协议,则彻底解决了IPV4地址不足的难题,并且在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进。
二、IPV6在校园网中的部署
针对现阶段我国高校发展的情况,校园网向IPV6过渡可分两种情况考虑:
(一)新建校园网
建议采用同时支持IPV4/IPV6的网络设备进行组网建设,使得校园网平台同时支持两种业务流的承载和互通。校园网核心采用支持双栈的三层交换机,汇聚接入使用普通IPV4交换机即可,所有关于IPV6的三层功能均交由核心处理,而不在汇聚层进行。也可考虑汇聚使用双栈三层交换机,形成层次化的IPV6网络。内部IPV6-IPV6、IPV4-IPV4业务通过双栈直接互通,无协议转换,与普通单网络业务转发模型类似;内部IPV6-IPV4业务通过双栈核心交换机进行NAT-PT,从而进行互通;内部IPV6-外部IPV4(或内部IPV4-外部IPV6)通过出口进行NAT-PT与外部互通;内部IPV6-外部IPV6,经核心设备通过CERNET2直接连通。
(二)老校园网升级
一般而言需要购买新的双栈设备,少数设备可以通过升级软件直接支持双栈。若核心设备可升级,则部署和业务互通方案类似前述新建校园网。若增加新的双栈设备,则新建IPV6网与原有IPV4网在各自网内分别互通,利用新增设备进行NAT-PT与原IPV4核心设备互通,与外部则分别经原核心连接的CERNET或新增设备所连接的CERNET2分别于外部IPV4和IPV6网络互通。校园网内部IPV4-IPV4、IPV6-IPV6业务分别利用新老校园网直接互通;校园网内部IPV6-IPV4业务通过新建IPV6校园网核心双栈交换机的NAT-PT与老校园核心连通;内部IPV6-外部IPV4,通过双栈边界路由器的NAT-PT与外部互通;内部IPV6-外部IPV6通过边界路由器直接互通或使用隧道与非直连IPV6孤岛互通。
三、校园网IPV6过渡方案研究
校园网过渡到IPV6网络,其中涉及了许多关键的技术。如IPV6地址分配方案、域名解析技术、路由机制与安全性等问题。以下对在过渡中遇到的这些关键技术作一个分析,让整个过渡方案更加具体可行。
(一)IPV6地址分配方案
IPV6地址的长度比IPV4大很多,如果采用手工配置的话,会给用户带来很大麻烦。所以IPV6协议定义了有状态和无状态两种地址自动配置机制。当站点不特别关注主机使用的确切地址,只要求该地址唯一,则使用无状态自动配置。而校园网是一个有组织有管理的局域网络系统,在网络地址方面最好能做到进行严格的控制与确切的分配,并且除了地址外,还有其他的一些配置信息与参数需要站点用户去自动获取,所以IPV6地址分配选择有状态自动配置方案。
有状态自动配置需要DHCPv6的支持。目前很多校园网的IPV4地址分配主案是采用DHCPv4服务器自动分配的。所以在过渡到IPV6后,可以升级该主机,使其升级为DHCPv6服务器,从而实现校园网内IPV6地址的自动分配。在客户端方面同样也需要全校各客户端PC逐步将网络协议升级到IPV6、DHCPv6以获取自动分配的IPV6地址以及配置信息与参数。
(二)域名解析技术
配置好IPV6地址后,进一步实IPV6部署还需要配置IPV6DNS。IPV6网络中的DNS与IPV4是的DNS在体系结构上是一致的,都是采用树型结构的域名空间。在IPV4到IPV6的过渡过程中,作为INTERNET基础架构的DNS服务器也要支持这种网络协议的升级和转换,当然这也要有一个过渡方法,而不是一下子全面改成IPV6的DNS。
IPV4和IPV6的DNS记录格式等方面有所不同,为了实现IPV4网络和IPV6网络之间的DNS查询和响应,可以采用应用层网关DNS-ALG结合NAT-PT的方法,在IPV4和IPV6网络之间起到一个翻译作用。例如,IPV4的地址域名映射使用“A”记录,而IPV6使用“AAAA”或“A6”记录。那么,IPV4结点发送到IPV6网络的DNS查询请求是“A”记录,DNS-ALG就把“A”改写成“AAAA”,并发送给IPV6网络中的DNS服务器。当服务器的回答到达DNS-ALG时,DNS-ALG修改回答,把“AAAA”改为“A”,把IPV6地址改成DNS-ALG地址池中的IPV4转换地址,把这个IPV4转换地址和IPV6地址之间的映射关系通知NAT-PT,并把这个IPV4转换地址作为解析结果返回IPV4主机。IPV4主机就以这个IPV4转换地址作为目的地址与实际的IPV6主机通过NAT-PT通信。
对于采用双栈技术的过渡方法,在DNS服务器中同时存在“A”记录和“AAAA”记录。由于结点可以处理IPV4与IPV6协议,因此无须类似DNS-ALG的转换设备。无论DNS服务器回答“A”记录还是“AAAA”记录,都可以进行通信。同样,DNS服务器也可以通过升级配置老DNS服务器,以达到支持两种协议的域名解析的目的。
(三)路由机制
在路由协议选择上要有扩展性,满足网络的短期和长期的发展,同时核心网应全面支持IPV6协议,并具有支持IPV6和IPV4协议的接入能力。在外联INTERNET的网关上,即核心交换机,可以使用BGP4路由协议,同时承载IPV4和IPV6。对于内网之间的路由则采用OSPFv2+OSPFv3的方法。OSPFv2+OSPFv3方法会在同一台三层设备中运行两个互相独立的进程,并生成两个独立的IPV4和IPV6路由表,IPV4和IPV6可以走不同的路由,从而在逻辑上可以形成不同的IPV4的网络拓扑和IPV6的网络拓朴。这样增加了路由的灵活性,并且如果IPV6路由协议崩溃,也不会导致到IPV4同时崩溃。当然采用这种路由方法,也存在着不便,就是在网络拓朴修改时,需要同时修改两个协议。但考虑到它带来的其它优点,而且校园网的网络拓朴一般相对稳定,并不会轻易改变网络拓朴,所以使用OSPFv2+OSPFv3方法是当前实现网内IPV4/IPV6路由的最好选择。
(四)安全问题
IETF在IPV6中提出了全新的网络安全体系结构,即IPSec标准。IPV6协议中的安全性是基于IPSec协议的。IPSec描述了新体系结构提供的安全服务及这些服务的实现机制。IPSec提供的安全服务包括:数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击以及一定程度上的数据流量私有性等。IPV6内置集成了IPSec,不同于IPV4的IPSec作为可选项,充分体现了网络安全与网络协议浑然一体的技术更新优势。但即使如此IPSec仍然没有能很好的解决IPV6存在的安全性问题,特别是在向IPV6过渡的过程中的一些过渡技术并不支持IPSec。如翻译技术与隧道技术中都不同程度的破坏了网络端到端的特性,所以也就使目前IPV6、过渡网络在使用IPSec上有一定的限制,同时基于IPSec提供的安全性也大大减弱。既然IPV6协议本身并不能满足我们对安全性的需求,所以,校园网必须部署基于IPV6的防火墙,以保障IPV6网络的安全。当前,基于IPV4的校园网正是通过防火墙来提供对内网的安全保护的。所以在过渡到IPV6网络后,必须同时升级防火墙的软硬件,使成为基于IPV4/IPV6的防火墙以保障内网安全。
四、结束语
基于IPV4的互联网在20多年的发展中取得了巨大的成功,但其本身地址空间不足的缺陷极大地限制了互联网进一步的发展。受现有互联网的规模影响,由IPV4向IPV6的过渡不可能一蹴而就。同时,由于目前还没有出现必须使用IPV6的杀手级应用,IPV6部署和实施缺乏足够的推动力。因此,向IPV6的过渡将是一个长期的过程。作为先进技术的开创者和先进技术的介绍和传播者,在高校校园网中推广IPV6网络有着极其重要的意义。
参考文献:
\[1\]张庆,鲁征山,沈国良.基于校园网IPV4到IPV6过渡机制的研究与实现\[J\].苏州大学学报(工科科版),2006,(12).
\[2\]许朝侠,焦阳.校园网由IPV4向IPV6过渡的技术实现\[J\].科技信息(学术研究),2007:178-179.
\[3\]李琦.校园网从IPV4到IPV6的演进策略和方案研究\[J\].四川理工学院学报(自然科学版),2005,(6).
\[4\]李华锋,梁石.从IPV4到IPV6:互联网技术的发展与应对策略\[J\].成都纺织高等专科学校学报,2006,(7).