CNGI2建设的研究

　　虽然经过CNGI一期的建设，但无论是网络设备还是应用系统对下一代互联网的支持均存在很多问题，主要表现在：
　　1)网络核心层设备均不支持IPv4/IPv6双栈，没有可扩展到万兆主干的业务板卡和模块，而且核心数量过多，结构复杂。
　　2)全校所有楼宇40台汇聚层设备中的35台均不支持IPv4/IPv6双栈，不能提供用户的IPv6高性能接入，不支持万兆扩展或扩展能力不足。
　　3)接入交换机均不支持IPv6网管、IPv6 ACL、IPv6 QoS等安全特性。
　　4)缺少专用的高性能IPv6服务器提供IPv6服务。
　　6)缺少基于IPv4/IPv6双栈的网络管理系统和IPv6下的认证、计费、安全系统。

　　随着国家2008年下一代互联网业务试商用及设备产业化专项教育科研基础设施IPv6技术升级和应用示范项目的开展，为北京交通大学的下一代互联网建设提供了一个新的契机。学校积极申请并参与了该项目的建设。该项目投资经费充裕，经过CNGI2的建设，学校目前已实现全网高性能硬件转发的双栈覆盖。

　　目前，在IPv4网络的基础上建设IPv6网络，做到双网共存互访，主要的技术路线有以下3种： IPv4/IPv6双栈技术、IPv4/IPv6隧道技术、IPv4/IPv6协议翻译技术。

　　双协议栈技术是指在设备上同时启用IPv4和IPv6协议栈。IPv6和IPv4是功能相近的网络层协议，两者都基于相同的下层平台。如果一台主机同时支持IPv6和IPv4两种协议，那么该主机既能与支持IPv4协议的主机通信，又能与支持IPv6协议的主机通信，这就是双协议栈技术的工作原理。双栈技术的特点是部署简单。

　　在IPv4/IPv6网络中，为了实现IPv6/IPv4网络之间的互通，隧道机制是最常采用的一种手段。隧道技术通常部署在IPv6网络与IPv4网络边界的隧道入口处，经由边界双栈路由器将IPv6/IPv4的数据分组封装入隧道分组，并基于封装协议即IPv4/IPv6目的地址转发报文到隧道终点。在隧道的出口处拆封隧道分组并剥离出IPv6数据包。具体的隧道分组形式依据隧道的实际实现方式，如IPv4隧道或MPLS隧道的不同，而采用不同的封装格式。

　　隧道技术按配置分为手工隧道和自动隧道。手工隧道包括GRE(RFC2784)、IPv6 in IPv4(RFC2893)、 IPv4 in IPv6(清华草案)；自动隧道包括6to4隧道(RFC3056、RFC3068)、ISATAP隧道(RFC4214->RFC5214)、IPv4兼容IPv6自动隧道(RFC2893)、6over4隧道(RFC2529)、隧道代理(RFC3053)、Teredo(RFC4380)、L2TP(RFC3931)、Softwire(草案)。隧道技术优点是减少协议翻译工作，网关工作减轻，但其MTU需要特别处理。

　　协议翻译可分发有状态协议翻译和无状态协议翻译。SIIT(RFC2765)为无状态翻译，即设备简单的进行一对一的地址翻译和报文格式翻译，设备不记录对应关系，不存在资源占用情况，但也限制了地址空间的使用。无状态协议翻译无法处理地址敏感协议，有状态协议翻译可以解决这个问题，即通过应用协议网关。NAT-PT (RFC2766)在SIIT基础上，通过前缀-地址池配置进行协议翻译。

　　技术路线

　　结合学校的实际情况，本次CNGI2下一代互联网子项目采用了IPv4/IPv6双栈部署技术，同时建设极个别纯IPv6网络以供科研。

　　校园网主核心由原来的5台网状核心改为2台H3C的IPv4/IPv6双栈万兆核心交换机7510E，各楼宇采用IPv4/IPv6双栈汇聚交换机分别双上行至2个核心，主要采用了H3C的5500EI，部分区域采用了锐捷的5750G。改造之后，全网的核心汇聚层全部支持双栈的高性能硬件转发，这样全网任何一个信息点都具备客户端双栈接入的能力。接入设备受预算所限，对于宿舍网络，仅更换了2003年之前建设的急需更换的接入设备，采用了H3c的E126A和锐捷的2628，并且通过布线改造和高密度的汇聚交换机的采用，实现了所有接入交换机全部千兆上行至汇聚设备；对于教学区网络，主要使用H3C的E126A替换了部分2001年前的接入设备，另外全面取消了百兆光电转换器，进而用千兆光纤线路代替；全面替换了不可网管交换机。对于重点区域，更换了锐捷的千兆接入交换机，做到了全千兆的接入。经过改造，实现了所有接入的千兆上联，所有网络设备可以管理。图2是CNGI2建设之后的学校的新拓扑：

图2  CNGI2建设之后的学校的新拓扑

　　可以看到，经过CNGI2的建设，网络结构简化，所有汇聚双链路上行，全网实现硬件高性能双栈接入，整个网络更加稳定可靠。

　　路由规划

　　北京交通大学校园网IPv4网络中采用ospfv2，IPv6网络中全面部署了OSPFv3。OSPFv3域的设计沿用OSPFv2的思路。所有核心和汇聚设备上同时运行OSPFv2和OSPFv3两套协议。尽管运行在同一个设备上，但是这两套协议互相独立，即使AREA规划和OSPFv2完全相同也没有关系。同时，整个IPv6的出口路由没有变化。

　　可见，两套OSPF的area完全一样，互联vlan完全一致。v4和v6的互联是使用同样的2条双上行物理线路，在同样的vlan上配置了v4和v6的互联地址，只是其中一条链路主要用于跑v4，另一条线路跑v6。这样的配置便于记忆，而且v4和v6用不同的链路，保证了链路的充分利用。

　　核心和汇聚设备上的OSPFv3的配置很简单，类似OSPFv2,配置如下：
　　interface Vlan-interface111
　　IPv6 address 2001:250:202:111::2/64
　　ospfv3 1 area 0.0.0.111
　　ospfv3 network-type p2p
　　ip address 10.10.111.2 255.255.255.248
　　ospf authentication-mode md5 1 cipher =/&NX(_1RZ7Q=^Q`MAF4<1!!
　　ospf network-type p2p
　　全局配置：
　　ospfv3 1
　　router-id 6.6.11.1
　　area 0.0.0.111
　　stub no-summary

　　地址规划

　　IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前学校申请到的IPv6地址空间为/48的地址。

　　IP地址的分配和网络组织、路由策略以及网络管理等都有密切关系，具体的IP地址分配通常可以遵循一些分配原则：地址资源应全网统一分配；地址划分应有层次性，便于网络互联，简化路由表；IP地址的规划与划分应该考虑到网络的发展要求；充分合理利用已申请的地址空间，提高地址的利用效率。

　　IPv6的地址规划时考虑三大类地址：
　　1、公共服务器地址，如DNS，EMAIL等。
　　2、网络设备互联地址和网络设备的LOOPBACK地址。
　　根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。
　　3、用户终端的业务地址。

　　此外由于目前网络设备的IPv6 MIB信息的获取和OSPFv3中ROUTER ID等均要求为IPv4地址，所以即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。

　　学校申请到的IPv6地址：2001:DA8:205::/48，再加上在2004年申请到2001:250:202::/48，大致规划如下：
　　网络设备互联使用2001：250：202::/48地址段，每个汇聚分配/60的地址，这样每个汇聚下可给24=16个vlan进一步划分地址，同时共有212=4096个汇聚(部门)段。这样既考虑了地址的汇聚，又考虑了地址的扩充性。部分区域的地址规划如下：
　　由于IPv6的地址全部为动态分配，只要互联地址基本保持不变的前提下，用户地址段可以根据需要随时调整。

　　用户地址分配方式

　　目前IPv6的地址分配方式有两种：有状态的和无状态的。有状态的分配方式为DHCPv6地址分配方式；无状态的分配方式为地址前缀广播的方式。有状态方式的好处是可控性好，有专门的服务器进行地址统一配置，统一分配，统一管理，统一查询；缺点是：目前的使用最广泛的xp不支持DHCPv6方式，需要Vista以上的系统才能支持，而且DHCPv6的服务器端也使用较少。

　　目前Linux自带的DHCP服务器已经支持dhcpV6功能，但缺乏大面积使用的经验。无状态方式的优点是：分配方式成熟，自2004年以来就一直使用，配置简单，客户端支持性较好；缺点是：缺乏统一的配置和维护管理，用户的分配情况需要到不同的汇聚上查询。

　　鉴于目前的终端支持情况，目前只能采用路由器广播前缀的方式来为用户分配地址。待将来DHCPv6服务器端大规模使用，客户端全部支持DHCPv6时，再逐步切换至类似于目前使用的IPv4下的DHCP这种方式，以利用集中的服务器来统一配置管理维护用户地址。
　　(作者单位为北京交通大学信息中心)

　　来源：《中国教育网络》2010年5月刊