文/李子木 傅怡琦 潘丽 孟斌

无线局域网部署纯IPv6的两种模式

文/李子木 傅怡琦 潘丽 孟斌

在校园无线网络中部署纯IPv6有两种模式：只能访问IPv6网络的native-stack模式和能够同时访问IPv4/IPv6网络的IVI模式。通过实践证明，这两种部署模式运行效果良好，为IPv6推广和校园网用户接入下一代互联网积累了经验。

随着笔记本电脑和智能移动终端的普及，无线局域网（WLAN，Wireless Local Area Network）已经逐渐成为重要的互联网接入手段。与此同时，随着IPv4地址枯竭，IPv6正在逐渐进入实用阶段。

由于IPv6和WLAN都是近几年快速发展的新技术，因此，目前很多WLAN设备都不能够直接全面地支持IPv6，那么如何在WLAN现有条件下部署IPv6，满足广大IPv6用户方便接入下一代互联网的迫切需求，已经成为网络管理者必须面对的工程研究课题。

本文以清华大学无线校园网为基础，描述了在其上部署纯IPv6技术的两种模式：只能够访问IPv6网络的native-stack技术和能够同时访问IPv4/IPv6网络的IVI技术，通过描述这两种模式的工程实现原理和参数细节，为探索IPv6在各种场景下的部署应用积累了经验。

在WLAN中部署纯IPv6

在工程实践中，我们采用了两种纯IPv6部署模式：

native-stack模式

该模式基于纯IPv6协议栈，客户端采用类似于IPv4网络中的DHCP方式，通过DHCPv6服务器自动获取IPv6地址和基于IPv6的DNS服务器地址，在不需要用户手工配置的情况下即可实现真正意义上的纯IPv6接入。该模式的特点是：即插即用，且与IPv4网络完全独立。这意味着该模式既可以独立工作，为用户提供纯IPv6接入服务，也可以与IPv4网络共同组成双栈网络，为用户同时提供IPv4和IPv6接入服务。由于该模式可以对客户端IPv6地址和DNS地址进行集中管理和统一下发，因此是一种很有前景的部署方式。

IVI模式

该模式基于IETF最新批准通过的RFC6219，使用无状态翻译技术，使得纯IPv6客户端不仅能够访问IPv6网络，同时还能够访问IPv4网络。目前已知有很多过渡技术，如ISATAP、TEREDO、6to4等。但是在IPv4地址已经枯竭的今天，新入网终端已经没有IPv4地址可用，只能使用IPv6地址，IVI技术很好地解决了纯IPv6客户端无法访问IPv4资源这一难题。本文将对该技术在清华大学WLAN中的部署方式进行详细描述。

无线控制器

出于管理上的考虑，目前WLAN已经由原来的FAT-AP架构向FIT-AP架构转变，通过无线控制器（Wireless LAN Controller，WLC）对所有AP进行集中管理和数据转发，WLC已经成为WLAN的核心设备。在这种架构下，为了对IPv6流量进行转发，首先需要了解WLC的相关实现原理。

WLC是一个具有IP层管理功能的二层设备，一般通过与三层交换机直接互联的方式接入网络，如图1所示。WLC一般通过端口捆绑（port-channel）技术与三层交换机互联，每个WLC中划分出多个VLAN，每个VLAN接口（interface）地址为该VLAN的DHCP Proxy地址，VLAN网关（gateway）则位于三层交换机。

在WLC中，与IP地址相关的参数一般有以下三个：

管理地址：用于对WLC的远程管理，以及漫游组通信；

接口地址：用于VLAN标识，并作为DHCP Proxy与DHCP Server进行交互；

网关地址：VLAN网关位于三层交换机，但是需要在WLC中对网关地址进行设置，以便用户流量能够被WLC正确地转发到对应的VLAN网关。

图1 WLAN控制器典型连接

由于很多厂商的WLC未实现独立完整的IPv6功能，因此为了使WLAN支持纯IPv6接入，WLC需要通过“IPv6透传”技术实现无线客户端和三层交换机的互通。而IPv6是工作于组播机制的，这要求WLC既要能够阻止IPv4组播报文向交换机侧转发，又要能够让IPv6组播报文正常通过。因此，位于数据链路层的WLC需要能够识别出哪些MAC层组播对应的是IPv4报文，哪些对应的是IPv6报文，以便有针对性地实现报文阻断或转发。图2和图3分别是IPv4和IPv6组播报文在MAC层的地址映射关系图。

从图2和图3可以看到，若要判断组播报文性质，需要针对MAC层报文前缀进行识别，而传统二层设备是不能识别MAC层IPv6组播报文的。在这种情况下，二层设备要么丢弃这些不能识别的报文，要么通过“泛洪（Flooding）”方式向其他所有端口转发。这两种处理方式要么会造成IPv6组播机制无法正常工作，要么会导致WLC处理能力过载。因此，作为“IPv6透传”设备的WLC，必须能够识别IPv6二层组播报文并对其进行专门处理，以便IPv6组播报文既不被WLC丢弃，也不会在WLC的所有接口上“泛洪”。

目前大部分WLC虽然尚未完整支持IPv6特性，但是对于IPv6组播报文却是可以识别和处理的。在此基础上，通过在WLC和三层交换机上同时配置相关参数,可以实现WLAN对纯IPv6用户的接入。

Native-stack部署方式

IPv4地址已经枯竭，纯IPv6是下一代互联网的主要应用模式。为了在WLAN中实现纯IPv6接入，需要同时在WLC中和三层交换机上配置相应参数，配合DHCPv6服务器（以ISC DHCP4.1.1-P1为例）进行地址分配，三方共同实现nativestack方式下的客户端零配置纯IPv6接入，如表1所示。

图2 IPv4组播报文的MAC层地址映射关系

图3 IPv6组播报文的MAC层地址映射关系

表1 native-stack模式参数

从表1中可以看出，控制器不需要配置DHCP参数，这是因为所有DCHPv6报文都被“透传”到了三层交换机，由交换机作为DHCP Relay交给DHCPv6服务器进行处理。

在FIT-AP架构中，AP和WLC之间是通过CAPWAP隧道进行通信的。由于AP和WLC目前还不支持直接通过IPv6隧道通信。因此，WLC中仍然需要配置IPv4地址和网关地址。

在表1所示的三层交换机参数中，除了需要配置支持CAPWAP通信的IPv4接口地址和网关地址，以及DHCPv6服务器地址外，还特别使用了3条特殊命令（下划线标识）强制无线客户端按照DHCPv6有状态（Stateful Address Autoconfiguration）方式获取IPv6地址、DNS等参数。这是因为，在RA报文中有三个特殊标志位用于控制客户端获取地址的行为，这三个标志位分别是 “无状态/有状态配置位（A位）、地址管理信息配置位（M位）、其他信息配置位（O位）”。这三个标志位的组合决定了客户端获取地址的工作方式。

默认情况下，A位和M位都为1，表示客户端需要工作在SLAAC模式，此时，客户端会根据三层交换机广播的地址前缀和自身网卡MAC地址，按照RFC4291标准自行计算出客户端的IPv6地址。

若A位被“no-autoconfig”命令置为0，则表示客户端需要使用有状态方式获取地址，此时需要根据M位和O位确定客户端的具体操作。表2给出了A位=0的情况下，M位和O位对客户端操作的影响。在本节所述的纯IPv6接入模式中，客户端即是工作在A位=0，M位=1和O位=1的组合模式下。

表2 RA标志位对有地址配置的影响（A位=0）

图4 native-stack模式下客户端地址获取情况

图4显示了Windows7客户端通过有状态方式获取IPv6地址参数的情况，其中，DHCPv6服务器给客户端分配了2402开头的IPv6地址，DNS服务器地址为2001:da8:200:100::28，网关地址为FE80开头的本地链路地址。以169.254开头的IPv4地址表示这是一个纯IPv6客户端。

IVI部署方式

IVI是一套可路由的、无状态的、可实现IPv4/IPv6互访的地址映射机制，该互访机制通过IVI翻译器（由于该翻译器具有路由功能，因此也称为“IVI路由器”）进行实现。IVI路由器主要实现两个功能：一个是地址映射，即通过统一的规则实现IPv4地址与IPv6地址的一一映射，以进行地址的翻译；另一个是协议翻译，即根据标准规定，实现IPv4/ICMPv4协议和IPv6/ICMPv6协议各字段的对译，同时更新TCP/UDP协议的相关字段，完成完整的数据包翻译操作。通过IVI路由器的地址映射和协议翻译过程，IPv4节点和IPv6节点即可不需要任何自身的改动而实现端到端互访。

图5 IVI基本工作原理

图6 IVI地址映射机制示意

图7 IVI在WLAN中的部署拓扑示意

图8 IVI DNS工作原理

图5展示了IVI工作的基本原理。IVI翻译器位于IPv4网络和IPv6网络之间，利用IVI地址映射规则（图6所示），将一部分IPv4地址（命名为IVI4）分配给IPv6主机使用（命名为IVI6）。互联网上的IPv4主机可以通过IVI4地址和这些拥有IVI6地址的IPv6主机通信。这种方式支持IVI6主机向IPv4/IPv6发起的通信，也支持IPv4/IPv6向IVI6主机发起的通信。

IVI地址是一套由IPv4地址映射而来的纯IPv6地址，这套地址既可以访问IPv6网络，也可以通过IVI翻译器访问IPv4网络。图6给出了IVI的地址映射机制，其中0-31位为ISP的/32地址前缀（例如APNIC分配给CERNET的地址前缀为2001:da8::/32），32-39位为FF，表示这是一个IVI地址（因此，CERNET的IVI地址块为2001:da8:ff00::/40）。40-71位为嵌入的全球可路由IPv4地址（称为IVI4地址），72-127全部用0填充，这样得到的地址为一个IVI6地址。该地址与嵌入其中的IPv4地址（IVI4地址）可以在IVI翻译器上进行快速的无状态地址转换。

为了在WLAN中实现IVI过渡系统，需要使用一段未分配的IPv4地址作为IVI4地址。在图7中，分配给WLAN的IVI4地址块为58.200.129.0/24，与其对应的IVI6地址块为2001:da8:ff3a:c881::/64。同时，需要在IVI路由器上进行路由配置，以实现IPv4/IPv6互访时数据包能够通过IVI路由器进行地址翻译和协议翻译：

IVI路由器为一台双栈路由器，它向IPv4校园网广播一条静态路由：目标地址为58.200.129.0/24的IPv4数据包的下一跳为IPv6校园网边界设备R6；

同时，IVI路由器向IPv6校园网广播一条静态路由：目标地址前缀为2001:da8:ff00::/40的IPv6数据包的下一跳为IPv4校园网边界设备R4。

表3 IVI模式参数

为了最大限度地方便IPv4/IPv6主机互访，需要在IPv4校园网和IPv6校园网之间部署IVI DNS服务器，进行IPv4 DNS记录（A记录）和IPv6 DNS记录（AAAA记录）的翻译工作。图8显示了IVI DNS服务器的工作原理。当IVI客户端（具有IVI6地址的纯IPv6客户端）发起IPv4访问时，IVI DNS服务器会将用户的AAAA请求转换为A请求发给上级DNS服务器，在得到上级服务器返回的A记录响应后，再将其转换为AAAA响应发给IVI客户端（为了提高相应效率，IVI DNS服务器同样会进行本地缓存的优化工作）。

图9 IVI模式下客户端地址获取情况

图10 IVI DNS翻译情况

由于只有IVI6地址可以在IPv4和IPv6间实现互访，因此需要使用有状态自动配置方式从DHCPv6 服务器为无线客户端分配IVI6地址和IVI DNS服务器地址。表3给出了实现IVI地址分配所需的控制器、三层交换机和DHCPv6 服务器配置参数。

图9显示了无线客户端获取IVI6地址的情况，可以看到，DHCPv6服务器给客户端分配了一个IVI6地址(2001:da8:ff3a:c881:600::)和IVI DNS地址（2001:250:aaa0:100:1::2）。这样，客户端可直接通过IVI6地址访问IPv6网络；如果客户端访问IPv4网络，则数据包会通过路由方式到达IVI路由器，此时IVI路由器将该数据包源地址翻译为对应的IPv4地址（58.200.129.6），并将其继续转发到IPv4网络。当数据包从IPv4网络返回时，同样会通过路由方式到达IVI路由器，此时IVI路由器会再将其中的IPv4地址翻译为对应的IVI6地址，从而实现IPv4和IPv6网络的互通。

图10显示了IVI6客户端访问IPv4网站时IVI DNS的翻译情况。可以看到IVI DNS按照地址转换规则将news.sina.com.cn的IPv4地址（121.194.0.206）解析为一个对应的IVI6地址（2001:da8:ff79:c200:ce00::），从而实现IPv6客户端对IPv4网站的访问。

随着IPv4地址的枯竭，IPv6正在逐渐进入初级商用阶段。在WLAN领域，主流厂商目前的主要精力仍集中在如何提高无线接入速率，提高设备安全性和可管理性等方面，对IPv6的支持尚不是很完善。以上两种纯IPv6接入模式在清华大学校园无线网已经部署完成，实际运行效果稳定良好，达到了预期设计目标，为校园无线网络全面顺利过渡到IPv6积累了工程经验。

（作者单位为清华大学信息网络工程研究中心）

Intel助力个性化课堂教学发展

本刊讯 近日，“数字化环境下的课堂教学变革创新实验项目”启动会在沪顺利召开。上海市基础教育领域专家和领导，以及英特尔中国相关项目负责人出席了此次会议，大会同时邀请了来自上海市多个区县的学校代表参会。该项目旨在探索如何通过创新技术，对优质教学资源进行汇集、开发、整合和应用，实现在移动终端上进行个性化教学的新途径，使数字化教学从展示性应用向常规教学转轨。作为此次活动的积极倡导者和支持方，英特尔（中国）有限公司将通过提供基于HTML5技术的交互式数字教材制作工具集等一系列创新技术和服务，为上海市数字化教学环境的构建提供支持。

为突破瓶颈应对挑战，“数字化环境下的课堂教学变革创新实验项目”从优质教学资源的汇集、开发、整合和创造性应用着手，一方面，开发和部署基于HTML5技术的交互式数字教材制作工具集，在项目学校开展个性化与交互式数字教材开发和应用实验，丰富教学资源；另一方面，开发与上海中小学科教学进程同步的数字化学习导航社区，引进并实验代表国际先进水平的英语、科学和数学学科网络学习系统，实现数字化学习由示范性教学向常规教学拓展。