一个基于IPv6的新型校园组网策略
2012-10-21徐少小
徐少小
(浙江海洋学院东海科学技术学院,浙江舟山 316004)
随着计算机技术和网络技术的快速发展,信息化是不可逆转的发展趋势,计算机网络已经成为现代生活不可或缺的部分。作为科学研究和人才培养基地的校园在今后发展过程中必然要实现其高信息化、高智能化发展,应该充分利用成熟的计算机网络技术组建新型校园网络,将学校所有的电脑联合成为一个系统的数据库,并对各类数据进行统一规范管理。校园网从最初的网络简单接入到IPv4协议网络的普及应用,逐步实现了其智能化发展,但是我们也应该看到IPv4协议已经逐渐显现出应用的局限性,例如网络地址资源的有限性,网络存在安全隐患,服务质量不高,网络结构的划分和管理不科学等,IPv6协议网络技术的日趋成熟使得IPv6协议网络替代IPv4协议网络在校园网的应用成为一种必然。中国下一代互联网示范工程(CNGI工程)的启动标志着IPv6协议网络在学术互联网中正式应用,是实现校园信息化和教育信息化的重要途径。
1 IPv6网络协议概述
1.1 IPv6网络协议
IPv6网络协议,又称下一代互联网协议,是因特网络工程小组为解决现有的IPv4网络协议中存在的不足而设计的下一代IP协议。IPv6网络协议能从根本上解决IPv4网络协议的缺陷,其网络质量、安全和移动性能够满足下一代集语音、数据、视频融合于一身的通信网络的高要求。通过IPv6的应用,我们不但可以快速获取海量信息,还可以自由提供信息。与IPv4网络协议相比,IPv6网络协议有以下几个明显的优势:
①网络地址空间大,其IP地址的长度为128,就意味着有2^128-1个地址;②路由表长度小,能大大提高路由器转发数据包的速度;③支持自动配置,网络管理(尤其是局域网的管理)更方便、快捷;④增强版的组播支持和对流支持,提高了网络服务质量;⑤可对网络层的数据进行加密并对IP报文进行校验,网络安全性能更好。
1.2 IPv6工作的主要原理
(1)通过IPv6版的路由器搜索确定移动节点的转交地址,根据移动节点连接的位置不同具体又包括两种情形:①当移动节点连接到家乡链路上时,则与其他固定的主机和路由器一样确定转交地址。②当移动节点不是连接在其家乡链路上,而是其他外部链路上时则需通过IPv6路由器的自动配置方式确定转交地址。
(2)移动节点把已经获取的转交地址通知给家乡代理,在确保操作安全性的前提下,移动节点也会把转交的地址通知给通信节点。IPv6协议采用布告的方式把获取的转交地址通知给家乡代理或通信节点,在通知给其他节点时,IPv6是通过移动节点目的地址可选项实现的。
(3)数据包是通过隧道和源路由技术向链接在外地链路上的移动节点上传送的。
①得知转交地址的通信节点通过IPv6的选路报头可以直接将数据包传输给移动节点,而无需经过家乡代理器,减少数据包传输时间,从而提高网络速度。
②通信节点不知道转交地址时,它和其他固定节点一样将数据包发送到移动将节点,这时,通信节点将移动节点的家乡地址放入目的IPv6地址域中,并将数据包转发给合适的下一帧上。被发送到移动节点的家乡链路上的数据包则被家乡代理将截获,并通过隧道将其发送到移动节点的转交地址上。数据包被移动节点拆封并分析,如果分析出内层数据包的目的地址是它的家乡地址,则将其转交高层协议进行处理。
(4)在相反的方向上,移动节点通过采用特殊机制路由数据包到目的地。
2. 基于IPv6的新型校园组网方案设计
2.1 设计框架
基于IPv6的新型校园组网的设计应该遵循“整体规划,分布实施”的原则,因此,在具体讨论如何设计基于IPv6的新型校园组网方案前,应对方案进行整体规划。新型校园组网的设计即要考虑现实中需要的和近期达到的目标,还要为将来系统的进一步升级扩容留有余地。基于IPv6的新型校园组网的总体设计结构如图1所示。
基于IPv6的新型校园组网是由许多系统构建组成,通信基础设施保证了计算机网络承载平台和物理层,其次计算机网络为教育应用提供了信息传输与交换的平台,支撑网络与应用则是由运行管理体系和安全保障体系提供的。
2.2 网络层次分配
在现阶段的网络设计中,大多采用TCP/IP体系结构,其网络层次可以划分为核心层、汇聚层和接入层三个层次。①核心层,顾名思义是网络设计的中坚层次,是核心设备层。核心设备在设计时应具备全线速转发流量的功能,能够对网络起到负载分担、路由控制等功能,所以要求了核心设备需要有高带宽链路,多样的冗余特性和丰富的路由功能等特点,这是由核心层在校园网中的地位和功能决定的。②汇聚层,位于核心层与接入层之间,是三个层次的中间层次。汇聚层在校园网中的主要作用是承担汇聚并控制用户流量,ACL限制,负载均衡,路由策略的选择等,一般是主干网络的边缘。同时,汇聚层作为用户IP子网的缺省网关,负载比其他层次要重得多。③接入层,是网络的末端层,与用户的PC机直接相连,承担稳定转发用户流量的功能。
尽管目前许多学校的校园网使用的是典型的TCP/IP网络体系结构,但是其中很多一部分学校使用的汇聚设备都不支持IPv6协议,因此,IPv6协议不能通过路由到达核心转换机。这就需要在实践中实现IPv4协议向IPv6协议的过度,对此,我们可以考虑从以下几个方面着手:在原来的网络区域里通过透传模式把VLAN TRUNK接入到刚建成的IPv6协议网络里;在刚建成的网络区域中采用双栈模式用路由的方式接入核心IPv6协议网络;对于相对独立的教职工宿舍和学生寝室可以采用隧道模式接入IPv6协议网络,这样就实现了IPv6协议网络对整个校园网的控制和管理。2.3IPv6子网设计和路由设计
图1 基于IPv6的新型校园组网的总体设计结构图Fig.1 IPv6 block diagram of the overall new campus networking
(1)IPv6子网设计
为方便阐述基于IPv6的新型校园组网,本文在此设计一个比较简单的IPv6子网,该子网是在某教学大楼成立的能够支持超过2000个用户的IPv6子网。该教学大楼的IPv6子网与整个学校汇接中心由核心交换机RG8610连接,路由选择的是静态路由方式,采用有状态的IPv6 DHCP地址分配技术获取子网地址。图2所示为Pv6子网网络拓扑图。
(2)IPv6路由设计
IPv6协议网络有两种类型的路由,即单播IPv6路由和组播IPv6路由。基于IPv6的校园组网的路由的设计应该充分考虑其所面向的用户,即用户的使用习惯、方便校园网络中心统一管理、协议支持的广泛性以及现今主流的网络应用模式等相关因素。下面将对这两种路由的设计分别予以说明:
①单播IPv6路由设计。校园网IPv6单播的路由设计可以采用静态路由与OSPFv3相结合的方式,通过这种方式实现路由的冗余,以此简化校内网业务子网带来的管理程序,降低管理难度,也可以减少维护校园网的费用和开销。
②组播IPv6路由设计。IPv6协议网络配有大量的组播地址空间,因而能很好地支持组播。目前,许多学校都开始大规模的开展IPTV、视频点播活动,大大拓展了组播技术的应用空间,这也能在很大程度上推动IPv6协议网络技术在校园网上的应用。新型校园组网设备的核心、汇聚、接入都采用支持IPv6技术的设备,同时,通过IPv6组的形式发送组播源的组播数据,再根据校园网络规模大小采用不同的部署方式,例如在小范围内科采用IPv6 PIM-DM的部署方式,以便方便管理网络系统。
图2 IPv6子网网络拓扑图Fig.2 IPv6 subnet network topology diagram
3 IPv6校园网网络安全规划
随着校园网应用功能的增加,网络受到攻击的次数越来越多,因此,在建设IPv6校园网时,我们需要重点关注网络的安全问题。对此,我们可以通过CPP保护机制和网络访问控制两种方法予以解决网络安全问题。
(1)CPP保护机制。CPP保护机制是指通过流分类和优先级分级对传输给交换机CPU的数据进行处理,并限制CPU的宽带速度,确保CPU负载安全,从而为用户提供稳定的网络环境。另一方面,在CPP基础上,通过双重过滤机制来降低其管理板被攻击点几率,所谓的双重过滤机制,就是指交换机的线卡首先对数据进行一级过滤,然后再由管理板进行二级过滤,使其最大程度保护管理板的CPU资源,从而保障网络的安全。
(2)网络访问控制(NAC)。网络访问控制是指通过验证身份、保障主机健康性、保障网络安全性等多全方位安全保障,从而行之有效的管理校园网内的用户。这一系列措施的得以实施,可以合法化校园内网用户身份ID,健康化上网主机安全状况,安全化网络通信,以及规范化用户网络访问行为。
4 结束语
各地的IPv6驻地网建设正在如火如荼地进行着。尽管现在还是IPv4与IPv6共存的时代,但是随着IPv6技术理论的成熟,实践操作经验的丰富,作为下一代互联网采用的核心协议的IPv6协议网络最终将占领信息网络市场是必然的发展趋势。作为CERNET2的绝对主力,高校校园网是IPv6协议网络研究与应用的前沿阵地,校园网部署IPv6的成功经验将会对IPv6网络建设起到巨大示范和推动作用,同时为中国的下一代互联网产业带来更大领先机会。本文通过基于IPv6的新型校园组网策略的研究与分析,希望对校园网络建设提供粗浅的理论指导。
[1]罗辉琼,聂瑞华,郑 凯.基于IPv6的校园网升级研究[J].计算机技术与发展,2010,20(3):132-135.
[2]秦 艳,黄 萌.基于IPv6的下一代移动性网络关键技术[J].山东水利职业学院院刊,2006(1).
[3]王相林.IPv6技术新一代网络技术[M].北京:机械工业出版社,2008:12-56.
[4]张天云.IPv6技术及其在校园网的部署[J].信息技术,2007,35(1):25-26.
[5]张宏科,苏 伟.IPv6路由协议栈协议栈原理与技术[M].北京:北京邮电大学出版社,2006:50-125.
