关键技术应用

　　目前由IPv4网络向IPv6网络发展的技术演进有多种选择，例如隧道技术、双栈技术、NATPT技术。经过比较，新疆大学校园网升级采用了双栈技术进行建设，采用同时支持IPv6/IPv4的网络设备进行组网建设，使得校园网平台同时支持两种业务流的承载和互通。

新疆大学IPv6校园网

　　NATPT技术主要实现IPv4/IPv6协议的转换，用于IPv4终端访问IPv6资源或是IPv6终端访问IPv4资源。在新疆大学的部分区域目前无法覆盖IPv6, 对于这些区域的用户可以通过NATPT技术，使其能访问IPv6下的资源。

　　IRF2是智能弹性架构，当两台核心交换机利用IRF2技术被成功虚拟成一台设备后，在端口容量扩大一倍的同时，实现了通过一个管理界面进行统一管理，同时，对整个网络的架构产生了极大的简化，原本需要通过MSTP或者路由等技术隔离的环网变成点到点的链接，相应的网络故障收敛时间也由原来的秒级降低为毫秒级。通过对校本部两台核心交换机S9500E配置了IRF2，使校园骨干网的可靠性得到提升，保障了业务的连续性。

　　校园网用户在自行连接线路时，很可能产生网络环路，这些都会引发广播风暴，使网络不能正常应用。因此，就必须要求有效监测手段能够快速地发现环路，通知网管对其采取措施。端口环回检测则可以用于发现交换机任一个端口下的环路，有效并及时地解决用户环路故障。需要注意的是，和stp不同，loopback-detection主要用于发现交换机一个端口下的环路,比如下接hub或者自环的情况, 而stp主要用于避免不同端口之间相连形成的环路。

　　在校园网中，ARP攻击是目前最为常见的一种攻击手段。攻击者可以发送伪造ARP 报文进行欺骗，导致网络中的其他主机(包括网关)维护的IP-MAC地址转换映射表被恶意篡改，由于所有的网络通信最终都需要使用IP-MAC地址转换映射表，因此ARP 欺骗可以造成内部网络的混乱,让被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。

　　新疆大学在此次网络升级中采用的ARP攻击防御手段是：在接入交换机上实现ARP入侵检测，即对ARP报文进行内容有效性检查，对于没有通过检查的报文进行丢弃处理。在网络核心交换机上部署ARP欺骗防御策略，避免网关设备的ARP表被污染。这种方法依靠接入交换机的ARP入侵检测功能和核心交换机的ARP欺骗防御策略来全面防御ARP欺骗攻击，防御效果较好。

　　新疆大学将充分利用CNGI-CERNET2已取得的重大成果，建立安全、可控、可管和可运营的下一代校园网试商用环境，将IPv6技术的应用在校园网中进一步推广，扩大IPv6用户群和应用的范围，推动IPv6试商用的快速发展。同时新疆大学将充分发挥CERNET新疆主节点的作用，为新疆院校提供IPv6接入的硬件设施以及技术指导，带动新疆院校IPv6技术的应用，为我国下一代互联网向深度和广度发展作出贡献。

　　(作者单位为新疆大学网络中心)

文章来源：《中国教育网络》杂志2010年8月刊