孙光懿

（天津音乐学院 网络安全和信息化办公室，天津 300171）

自2017 年11 月国家相关部门印发《推进互联网协议第六版（IPv6）规模部署行动计划》以来，国内高校积极响应，结合自身实际制定具体落地实施方案和推进计划。经过不懈努力，国内高校IPv6 规模部署工作取得了实质性进展。一方面，IPv6基础路网建设工作圆满完成，实现了校园IPv6“通路”；另一方面，IPv6应用生态建设初见成效，相关网站、APP和应用系统IPv6浓度稳步提升。总体上看，国内高校IPv6规模部署工作已初步形成高效协同、多方参与，网络承载力和应用生态共同推进的良性发展格局。工作重心从IPv6“网络就绪”“端到端贯通”阶段转变为“流量提升”阶段，工作目标从实现“通路”转为实现“通车”，从实现“能用”转为实现“好用”［1］。当前和今后一段时间内，如何提升校园IPv6 网络流量？如何实现校园IPv6“通车”？如何实现校园IPv6“好用”？已成为国内高校必须面对和解决的首要问题。

校园基础网络IPv6承载能力和应用生态浓度的高低，对于进一步提升校园IPv6流量至关重要［2］。二者犹如鸟之双翼，车之两轮，既相辅相成，又相互促进。一方面，IPv6 应用生态浓度决定了IPv6 网络能否实现“通车”；另一方面，基础网络IPv6承载能力又决定了IPv6网络能否实现“好用”。众所周知，只有校园IPv6网络实现“通车”“好用”，IPv6流量才能得到有效提升。因此，国内高校在开展校园IPv6流量提升行动时，有必要坚持“两手抓、两手都要硬”的原则，从上述两个维度同向、同时发力，脚踏实地，为全面提升校园IPv6流量做好基础支撑。

1 加强校园基础网络IPv6承载能力

国内高校加强校园基础网络IPv6 承载能力，需进一步优化现有校园IPv6 网络，确保其关键技术指标和服务能力与校园IPv4 网络相一致。在具体实践过程中可考虑从以下几方面入手［3-5］：一是提高支持IPv6 终端设备占比，增强校园网用户IPv6访问活力，减少传统IPv4家用路由器的使用。二是优化DNS服务器，使其具备多出口链路下IPv6 域名智能解析能力。DNS 作为校园网络的重要支点，为各院校提供基础网络服务，其重要性不言而喻。对DNS 服务器进行优化，一方面，可提高校园基础网络IPv6 承载能力；另一方面，还可引导校园网用户实现对IPv6 资源的访问（校园网用户访问IPv6 域名时，需通过DNS 将其解析为该域名对应的IPv6 地址），进而有效提高校园IPv6 流量。三是为校园IPv6 网络引入多出口链路，一方面，可进一步扩大校园IPv6 出口带宽，通过目的路由、策略路由、NAT66 等技术手段，实现校园IPv6 网络多出口链路和流量负载均衡，即当校园IPv6 用户访问Cernet2 资源时，数据包从Cernet2 出口链路去往目标资源IPv6 地址，当校园IPv6 用户访问其他IPv6 资源时，数据包从非Cernet2 出口链路去往目标资源IPv6 地址，从而确保网络延迟、速率、播放卡顿率等关键技术指标与校园IPv4网络相一致；另一方面，可有效提高校园IPv6网络出口链路的可靠性，提高用户用网体验，即当某条IPv6出口链路发生故障时，校园IPv6用户还可通过其他IPv6出口链路访问互联网资源。

1.1 努力提高校园IPv6终端设备占比

截止到2021 年8月，德国、美国、比利时、法国等发达国家高校支持IPv6 协议的终端设备占所有终端设备的比例为80%，国内高校IPv6终端设备占比只有65%［6］.导致国内高校IPv6终端设备占比落后的原因是多方面的：首先，国内高校对IPv4私有地址的依赖程度较高，认为即使没有IPv6网络也可满足当前校园网用户的日常需求，忽视了下一代互联网IPv6 不可替代的战略作用。其次，国内高校校园网中存在大量不支持IPv6协议的传统家用无线路由器，这无疑已成为大规模普及校园IPv6网络的瓶颈。随着IPv6“流量提升”时代的到来，国内高校应着重从限制IPv4私有地址使用和逐步替换传统家用无线路由器两方面双向发力来进一步提高校园IPv6终端设备占比。

1.2 优化DNS服务器

校园网用户访问下一代互联网IPv6 资源，首先需进行DNS 域名解析。对于大型复杂网站来说，其解析用时大约占用户登录初始页面总时长的30%.不难发现，DNS服务器域名解析性能的高低直接影响校园IPv6用户的用网体验。总体来说，DNS 服务器支持多出口链路下IPv6 域名智能解析能力［7］，必须满足如下条件：第一，能够处理来自校园IPv6用户的DNS解析请求。各院校可通过在现有DNS服务器中部署IPv6地址并启用该地址DNS查询服务来实现，或通过在校园网中部署纯IPv6 DNS服务器来实现。当前绝大多数主流DNS服务器，如Windows、Linux 等系统自带的DNS 服务器以及开源Bind 都已支持配置IPv6 地址。第二，支持AAAA资源记录类型［8］，该记录类型主要用来将合法的域名解析为IPv6地址。第三，权威DNS服务器在父域完成登记（国内高校通常需在中国教育科研网edu.cn域名服务器中对自身权威DNS进行登记）［9-11］。这样做的目的是：一是可确保其成为公网中合法的权威DNS 服务器。二是可确保在校园IPv6 网络环境下，权威DNS 服务器能够对合法域名进行正常解析。第四，可根据DNS 解析请求者的IP 地址，对域名做出相应的解析。例如，当DNS 解析请求者的IP 地址为中国联通地址，那么域名就会被解析为该域名所对应的中国联通IP地址，从而提高用户用网体验。

1.3 引入多条IPv6互联网运营商出口链路

当前，多数国内高校校园IPv4 网络普遍引入了多条互联网运营商出口链路且拥有较大出口带宽（出口带宽的高低直接影响着用户用网体验），而校园IPv6网络则往往只引入了中国教育科研网Cernet2 一条出口链路［12］。对比后发现：一是校园IPv6网络在出口链路可靠性、网络速率、播放卡顿率等关键技术指标上远逊于校园IPv4网络。二是由于存在互联网运营商骨干网之间慢速互联的问题，因此单一IPv6出口链路极易导致路由跳数过多、网络延迟较大的情况（例如，当校园网IPv6 用户访问非教育网资源时，数据包会先到达中国教育科研网Cernet2 骨干，而后经互联网运营商骨干网之间慢速互联，到达目标地址所属互联网运营商骨干，最后再经数跳路由到达目标地址）［13］。为有效解决上述问题，提高IPv6 用户用网体验，促进校园IPv6 网络良性发展，各院校有必要引入多条互联网运营商IPv6出口链路，在具体实施过程中，有以下两种实施方案可供选择。

方案一：首先，通过DHCPv6 或无状态自动配置机制，为校园网IPv6 用户分配某一个互联网运营商IPv6地址。其次，在校园网出口防火墙中配置IPv6 目的路由，用户根据目的地址选择互联网运营商出口。需要注意的是：如果目的IPv6 地址与源IPv6 地址为不同互联网运营商所属地址，那么需对源IPv6 地址进行NAT66转换。

方案二：首先，通过DHCPv6 或无状态自动配置机制，为校园网IPv6 用户分配引入每个互联网运营商IPv6 地址。校园网IPv6 用户获取地址后，会依据目的地址最长匹配原则选择源IPv6 地址。其次，在校园网出口防火墙中配置基于源地址的IPv6策略路由，拟计划实现中国教育科研网源IPv6地址，通过Cernet2出口链路去往目的地址；其他互联网运营商源IPv6 地址，则通过与源IPv6 地址相同互联网运营商出口链路去往目的地址。最后，在校园网出口防火墙中分别配置基于中国教育科研网出口链路和其他互联网运营出口链路的IPv6 默认路由。这样一来，即使校园网某条IPv6 出口链路出现故障，用户还可通过引入的其他IPv6 出口链路访问互联网资源。例如，当Cernet2 出口链路出现故障时，用户源IPv6 地址在经过NAT66 转换后，就可通过其他IPv6出口链路访问互联网资源。

2 提升IPv6应用生态浓度

虽然国内高校IPv6规模部署工作取得了显著进展，但校园IPv6网络流量与校园IPv4网络流量相比占比依然偏低［14］。一方面说明现有大部分应用尚未支持IPv6 用户访问；另一方面也说明，校园IPv6 网络距离实现真正意义上的“通车”还有相当长的一段路要走。面对上述问题，各院校要坚持问题导向，结合实际，找准关键环节，精准发力，进一步提升IPv6应用生态浓度，从而确保校园IPv6网络早日“通车”。在具体实践过程中，可考虑从以下几方面入手：

一是升级改造现有网站群系统，使其支持IPv4/IPv6双栈［15］。如今，网站群系统已成为国内高校最重要、使用频率最高的校园WEB 应用系统，多数门户及各二级网站均通过其开发建设。这样做的目的：一是为实现门户及各二级网络数据的统一管理和共享，最大限度地避免信息孤岛的出现。二是为实现对门户及各二级网站进行统一规划、统一建设、统一管理、统一维护，有效节约建设和运维成本。三是为实现相关功能一次建设各网站共同使用，有效避免重复建设。四是为实现网站技术架构的统一。由此可见，对网站群系统进行IPv6升级改造，对于提升校园IPv6应用生态浓度意义重大。

二是对现有校园电子邮件系统进行升级改造，使其支持IPv6用户访问。电子邮件系统是国内各高校网络基础设施不可缺少的一部分，关系到校园学习、生活中的各个方面。校园网用户不仅使用率较高，而且还可为校园网带来持续的流量。确保校园电子邮件系统支持IPv6用户访问，对于进一步提升校园IPv6网络流量具有引领示范作用。

2.1 升级改造网站群系统

国内各高校对网站群系统进行升级改造，有两条路径可供选择。其一是从Web 服务器入手（当前常见的主流Web 服务器，如IIS、Apache、Jboss 以及Weblogic 等均已支持IPv6 协议），对相关IPv6 模块进行编译和为服务部署IPv6地址。此路径虽简单便捷，但在实际应用中少有国内高校采用此路径对网站群系统进行升级，这主要是从实施成本、安全性以及后期运维等角度考虑的。其二是通过架设反向代理服务器［15-17］（俗称反向代理模式），实现全校的统一Web入口，这也是当前最为流行的升级改造方式。

在具体实践过程中，只需在统一Web入口处配置IPv6地址即可。由于反向代理服务器位于用户和Web服务器之间，对用户来说目标地址为反向代理服务器地址，不是真实的Web服务器地址。因此，采用此种升级改造方式，一方面可有效保护后端真实Web服务器，提高网站群系统的安全性；另一方面还可有效降低后端Web服务器的负载，提高访问效率。但需注意的是：其一，要避免反向代理服务器被Web服务器误认为是DDos攻击源（当前某些Web服务器自带防DDos攻击功能，由于网络层面只有反向代理服务器在与其进行通信，因此极易被认为是DDos攻击源），从而发生被拒绝通信的现象。其二，要实现用户地址透传。Web服务器往往需要与用户进行直接通信来获取用户相应信息。部署反向代理服务器后，Web服务器只能与反向代理服务器进行直接通信，因此需要采用技术手段来实现用户地址透传。其三，要注意单点故障问题。架设反向代理服务器实现全校统一的Web入口，意味着全校所有的Web流量均需通过其来进行处理。一旦反向代理服务器出现故障，将会导致全校各类应用系统不可达的情况出现。鉴于上述情况，国内高校在部署反向代理服务器时，应考虑采用HA（高可用）架构进行部署。

2.2 升级改造电子邮件系统

实现电子邮件系统支持IPv6，过程较为复杂。这是因为电子邮件系统通常包含SMTP、POP3、IMAP4、WebMail 等服务模块，只有上述服务模块均支持IPv6，电子邮件系统才可算作真正意义上支持IPv6，这也是国内某些高校电子邮件系统至今不支持IPv6的主要原因。

当前，国内高校如采用开源或商业电子邮件系统，那么实现支持IPv6 只需完成如下三个步骤：首先，为服务器端部署IPv6地址。其次，为上述服务模块启动IPv6地址监听服务。最后，配置SPF记录（用来辨别邮件是否为垃圾邮件）与PTR 记录（用来做反向地址解析）。这样做的目的：一是使邮件信头包含发件人IPv6地址，防止出现伪造电子邮件地址的情况。二是为实现反向地址解析，最大限度减少被退信情况的发生。对于WebMail，国内高校可采用反向代理模式，或在Web 应用中直接启用IPv6 服务来实现对IPv6 的支持。需要注意的是：如采用反向代理模式，一定要做好地址透传。否则，电子邮件系统会认为所有发件人地址均为反向代理服务器地址，从而触发电子邮件系统启动使用频率限制功能（造成通过WebMail登录的用户，无法正常对外发信）。

3 结语

IPv6技术虽有较大的优势，但IPv6的实现是一个可持续发展的、长远的战略目标，绝不可一蹴而就。面对IPv6的机遇与挑战，一方面，国内高校需保持战略定力，坚持目标不变、方向不变，压实工作责任，以“钉钉子”精神抓实IPv6 流量提升工作。另一方面，国内高校在推进IPv6 流量提升过程中绝不可以牺牲网络安全为代价，要切实增强网络安全红线意识，强化底线思维，统筹协调，落实关键举措，坚持发展与安全并重，以发展促安全，以安全促发展，积极加强与上级单位和兄弟院校之间的合作，充分利用各方力量和各类资源，拧成“一股绳”，形成“一盘棋”，织成“一张网”，努力形成纵向贯通、横向联动、外向借力的工作格局，从而确保IPv6流量提升工作取得最大成效。