摘要：近年来随着网络技术迅速发展，各类园区网对公网IP地址需求量急剧增大，大量地址翻译（NAT）技术的应用增加了设备的消耗。在充分考虑部分园区网原有网络架构的基础上，本文主要从IPv6与IPv4双协议栈网络设计、网络部署、网络安全防护三个方面开展基于IPv6与IPv4双协议栈的园区网络规划与设计，兼具一定的实用性、安全性。

关键词：园区网;IPv4;IPv6;双协议栈

中图分类号：TP393.04   文献标识码：A   文章编号：1672-9129（2020）16-0055-01

近年来随着互联网技术迅猛发展，各大园区网对公网IPv4地址需求量急剧增大，公网IPv4地址已于2019年11月26日宣告正式耗尽，这使得园区网中不得不大量使用NAT等技术以延缓IPv4地址匮乏的问题，这也无形中增加了园区网络的复杂性和管理难度，因此建设IPv6园区网并逐步取代IPv4已成为必然趋势。通过前期调研了本地部分园区网部署情况发现，园区内部汇聚层、接入层网络设备并不支持IPv6;而对于少数已部署IPv6环境的园区网络，IPv6网络多以孤岛形式存在。本文主要从IPv6与IPv4双协议栈网络设计、IPv6与IPv4双协议栈网络部署、IPv6与IPv4双协议栈网络安全防护等三个方面内容开展园区网络规划与设计。

1 IPv6与IPv4双协议栈网络设计

结合目前实际，如果直接从IPv4网络直接向纯IPv6的网络转变，将受到诸多方面因素限制，且成本较高。考虑以上因素，园区网核心设备采用双协议栈技术来部署。这使得在园区网全网在完全过渡到IPV6之前，使新興终端能够接入IPV6网络;而对于暂时无法换新的旧终端设备，仍然能使用IPv4网络，从而实现了IPv4和IPv6网络同时存在于园区网络，IPv4设备和IPv6设备均不会以孤岛形势存在。

在园区网中一些具有新兴终端需求的部门，如智能家电、智能终端、机器人的需求，增加部署支持IPv6的汇聚层交换机，使新终端能够使用IPv6网络进行通信;当此类终端需要与IPv4网络进行通信时，采用IPv6 to IPv4协议翻译技术[1]，使两者之间能够进行实时通信。在一些传统业务部门，限于网络终端比较老旧，仅支持IPv4网络，汇聚层网络设备仍然采用IPv4接入核心，同样配置协议翻译技术，使新老部门之间能够正常通信。原有新兴部门替换下的汇聚层网络设备，直接放入传统部门的网络汇聚层使用，一方面解决原先传统业务部门无冗余设备、冗余链路的问题，另一方面可节约一部分成本，符合国家节能减排的方针政策。

核心层设备通过虚拟化技术（典型的有华为CSS、华三IRF、思科VSS）将两台甚至更多台核心层设备组合在一起，逻辑成一台设备，可以实现网络高可靠性和高速数据量转发，同时简化网络管理，减少网络中次优路由的产生，扩展了端口数、带宽和容错能力。

2 IPv6与IPv4双协议栈网络部署

随着运营商IPv6网络的普及，使得园区核心层设备实现IPv6出口成为了必然趋势，可以将与运营商互联的出口设备升级为支持IPv6的BGP4+协议。

对于内部路由协议，支持IPv6的内部网关协议有：RIPng、OSPFv3、IS-ISv6协议[2]。在综合考虑大部分园区网原有路由协议为OSPFv2的基础上，确立使用OSPFv3作为域内路由协议。OSPFv3的设计思路可以沿用OSPFv2的思路。由于核心层设备使用了双协议栈技术，为使得IPv6网络与平滑对接，OSPFv2和OSPFv3两套协议同时部署在核心层和汇聚层，此时两套协议是互相独立的。OSPFv3的逻辑拓扑图（包括区域规划）和OSPFv2基本保持一致，简化网络的运维管理。

在IPv6网络中，涉及WEB和视频等服务器的部署。其中WEB服务器的过渡选择双栈共存模式，可使得对外提供的WEB服务得到平滑过渡。而鉴于园区网的组播业务与日俱增，若原来采用PIM-DM组播模式的园区网则改为采用PIM-SM方式，不同分部、不同业务根据网络结构、用户分布的情况选择RP节点，相比原先部署的PIM-DM效率明显提高。

3 IPv6与IPv4双协议栈网络安全防护

2016年国家发布了《国家网络空间安全战略》，足以见的国家对网络安全的重视。对于新组建的IPv6园区网，网络安全工作仍然不可忽视。IPv6本身不再具有广播功能，取而代之的是组播数据。虽然在核心层设备上部署了双协议栈，但是考虑到IPv4的攻击技术层出不穷，在核心层设备将对外提供服务以外的数据，均封装为IPv6的数据包。网络边界升级为两台支持双协议共存的防火墙，将对外服务器部署在DMZ（非军事化）区，防止因服务器被攻破导致的内部数据丢失、内部网络瘫痪。在内部部署一台流量清洗设备，用来应对突发的DDos（分布式拒绝服务）攻击。与此同时，在内部需部署一台支持双协议栈的流量审计设备，一方面对攻击行为进行及时记录、取证，另一方面对于网络攻击行为能起到一定的震慑作用。

4 结语

本文主要从IPv6与IPv4双协议栈网络设计、网络部署、网络安全防护三个方面开展了基于IPv6与IPv4双协议栈的园区网络规划与设计，随着IPv6网络和应用的普及，后续将逐步考虑使用纯IPv6网络取代双协议栈网络，形成更安全、更高效的园区网络。

参考文献：

[1]陈波.基于ThreadX操作系统的Ipv6隧道研究[D]. 上海：东华大学，2012.

[2]王宇杰.OSPFv3及其在高校下一代校园网建设中的应用[J]. 网络与信息， 2010，（06）：27-27.

作者简介：王魁（1990.6-），男，汉族，湖南怀化人，硕士，助理工程师。研究方向：网络规划设计与安全防护。