基于IPv6技术的高职院校校园网升级与建设分析
2024-06-01刘斌
刘斌
摘要:“十四五”时期,我国将加快数字化发展进程,大力推进数字化建设。作为数字政府建设的重要组成部分,全国各地教育行政部门也在积极推进数字化改革。高校作为国家人才培养的重要基地和科学技术创新的重要源泉,在教育改革与发展中扮演着举足轻重的角色。当前,校园网主要采用IPv4协议,然而,随着互联网技术的不断發展,IPv4地址短缺的问题日益凸显。IPv6协议因地址资源丰富、扩展性良好、安全性高而在应对业务挑战时展现出明显优势。随着IPv6产业链的逐渐成熟,从IPv4向IPv6的迁移已成为校园网规划建设的必然选择。
关键词:IPv6协议;校园网;双栈技术;隧道技术
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2024)10-0097-03
1 IPv6 的优势和现状
IPv6被誉为下一代互联网的协议,针对IPv4地址逐渐耗尽的问题,IETF设计了IPv6协议以替代IPv4 协议[1]。IPv4地址与IPv6地址在多个方面存在显著差异:(1) 相较于32位的IPv4地址,128位的IPv6地址拥有更庞大的地址空间。尽管不需要为每一粒沙子分配一个IP地址,但这足以说明IPv6地址空间的巨大容量。(2) IPv6地址取消了IPv4地址报头中的偏移和填充等字段,简化后的报头格式提高了数据传输的效率。(3) IPv4地址在进行路由聚合时,通常根据前缀进行单一聚合;而IPv6地址由于其分级寻址结构,使得聚合过程更为灵活和高效。(4) IPv4在设计初期并未充分考虑安全性问题,导致网络数据包易受攻击者劫持、篡改和重放等威胁,影响网络稳定性与安全性。为提高安全性,应用层协议不得不引入复杂的安全机制,但这往往会影响系统的传输效率和用户体验。相反,IPv6内置安全机制,提供数据源认证、完整性和保密性功能,并能有效防范重放攻击。(5) IPv4的数据包最大长度限制为1 500字节,而IPv6的数据包最大长度可达65 535字节。此外,IPv6还拥有更多的QoS 字段,从而提供更优质的服务质量和更精确的流量控制。(6) IPv6支持自动配置功能,并扩展了DHCP,极大地简化了网络运维管理的难度。(7) IPv6与当前热门的网络技术SR(Segment Routing,分段路由)相结合,形成的SRv6具备多项强大能力:加速了云网融合进程,为用户带来更佳体验;同时,具备强大的可编程能力,能够实现网络路径、业务、转发行为三层可编程空间,满足不同业务的多样化需求;此外,基于SDN架构,SRv6能够将应用程序信息融入网络,基于全局信息进行网络调度和优化。
2 IPv4 到IPv6过渡技术
虽然IPv6相比IPv4拥有诸多优势,但在过去的几十年中,IPv4地址得到了广泛应用,许多现有的网络和设备都是基于IPv4运行的。为了实现平稳过渡,许多过渡机制被开发出来,以便IPv4和IPv6之间顺畅通信。
在保证现有网络正常运行的前提下,常用的过渡技术主要有3种:(1) 双栈技术。双栈技术是IPv4到IPv6过渡的基础。双协议栈技术指在同一台设备上同时支持IPv4和IPv6协议栈,从而分别实现与IPv4或IPv6节点间的信息互通。双栈节点使用IPv6地址与IPv6网络通信,同时使用IPv4地址与IPv4网络通信[2]。节点上的IPv4与IPv6可以完全独立,也可以有所关联。在DNS解析操作中,增加了AAAA记录,专门用于提供域名和IPv6地址的解析。如果双栈主机收到DNS返回的AAAA记录,就使用IPv6地址;如果收到A 记录,则使用IPv4地址。(2) 隧道技术。在IPv6彻底取代IPv4之前,需要有接入网技术率先部署IPv6协议栈,而这些网络就会成为IPv4海洋中的IPv6孤岛。隧道技术可以利用现有的IPv4设备为IPv6主机提供服务,使这些IPv6孤岛可以通过IPv4网络进行通信。在进行数据包传输时,发送端的隧道端点将IPv6数据包作为IPv4的负载数据封装进IPv4数据包中,然后在IPv4网络中进行传送[3]。当接收端收到IPv4封装包后,拆掉IPv4的报头,取出IPv6的数据包继续处理。(3) 地址转换技术。地址转换技术是一种实现由IPv4 到IPv6节点互通的方式。通过在网络中增加转换器,由转换器完成地址和协议的转换。
3 校园网现状分析
本文以克拉玛依职业技术学院为例进行分析,学院现有的计算中心网络分为两个区域:校园内网区和互联网区。教学楼、办公楼、体育馆、图书馆等通过内网访问计算中心服务器。在访问外网业务时,首先经过核心交换机到防火墙,之后通过出口路由器访问外网业务。
学院以建筑为基础构造网络拓扑结构,根据实际需求划分区域并对IP地址进行规划。在充分考虑了现有网络需求和未来网络规划的基础上,学院选择合适的网络设备,以保证各区域网络的正常运行。在网络规划时,学院首先要考虑的是满足学习和教学需要,因此将图书馆、体育馆、教学楼、办公楼等划分到网络中枢,这样数据转发的安全性和可靠性可以得到保障。而学生宿舍楼上网用户较多,网络容易产生拥塞,因此需要进行流量的控制,并保证网络的开放性和可靠性。目前,学院现有网络均采用IPv4协议部署,中心机房设备支持IPv6功能,但网络架构不合理,需要在进行IPv6改造的同时进行网络优化。现有网络拓扑如图1所示。
4 校园网亟须满足的优化要求
1) 为了满足教学秩序的正常运行和教师、学生对互联网资源的访问需求,文章结合校区现有的网络环境,整合现有网络资源,以先进适用的技术为基础,旨在建立一个安全、可控、可管理且能正常运行的全面支持IPv4/IPv6的网络环境。
2) 在进行网络升级优化时,必须构建统一的网络防护体系和信任体系,以保障校园网网络传输的顺畅,支撑各类校园网业务,确保数据安全。同时,为各级分院开展业务应用提供高速、安全的网络支持及相关应用服务保障。设备选型和网络设计应充分考虑可靠性,包括引擎、风扇、单板等网元级以及路由、交换、汇聚等网络级的可靠性设计。此外,应具备故障检测和恢复能力,确保在故障发生时能够迅速恢复网络和数据,保障业务的正常运行。网络的性能也应足够强大,满足学校各种应用需求,包括数据处理、存储、传输等。在应对自然环境因素,如气候条件、电磁干扰时,应具备较高的抗干扰能力,以确保网络在各种环境下的稳定运行。
3) 目前,学校的数据共享平台尚不完善,存在数据格式不兼容、数据质量不高、数据更新不及时等问题。不同部门间的数据标准不统一,导致数据难以相互识别和交流。此外,数据共享过程中还涉及个人隐私和敏感信息的保护问题,现有网络对数据安全和隐私保护的考虑尚显不足。为解决上述问题,升级和改造后的网络须满足以下需求:(1) 建设高速、稳定、安全的校园网络,在规划和管理网络拓扑结构、网络设备和网络安全时充分考虑数据共享的需求。(2) 支持学院各部门数据共享与业务联动,构建全校范围内的数据共享平台,消除业务系统间的“数据孤岛”。(3) 建立学校数据中心,集中存储和管理全校数据,实现数据的统一管理和维护,确保数据的完整性和安全性。(4) 构建数据共享平台,提供数据存储、数据处理、数据交换等功能,促进全校范围内数据的共享和流通。(5) 制定统一的数据标准,包括数据格式、数据编码等,确保不同部门间的数据能够相互识别和交流。(6) 开发数据共享接口,便于不同部门间的数据交互和共享,同时保障数据的安全性和隐私保护。(7) 制定数据共享管理制度,明确数据共享的范围、权限、责任等,确保数据共享的规范性和安全性。(8) 采取加密、身份验证、访问控制等多种安全措施,确保数据在共享过程中的安全性,防止数据泄露和被攻击。
4) 目前,学院已全面实行线上线下混合式教学,校园网须处理大量数据和流量,包括视频、音频、图片、文字等。这种教学模式对网络的互动性、延迟和响应速度提出了更高要求,以确保师生间的互动交流和在线测试等操作的顺畅进行。同时,考虑到高峰时段可能出现的网络访问量激增,学院的网络设备须具备足够的负载能力,以保障网络的稳定运行。此外,线上线下混合式教学还应具备一定的存储和数据处理能力,以便存储和加工教学资源,如视频、音频、PPT 等。对于需要长期保存的数据,还要制定可靠的备份和存储方案。因此,在升级建设时,学院应优化网络设备,提升网络带宽和数据处理能力,确保网络的高效运行。
5) 校园网应具有高可靠性、安全性、可扩展性和易用性等特点,以满足学校各项业务的需求。具体而言:(1) 校园网的核心设备和关键部件应采用高可靠性设计,具备冗余和容错能力,确保在设备故障时能自动切换到备用设备,避免网络中断。(2) 建立完善的安全防御体系,包括防火墙、入侵检测系统、病毒防护等,有效防范外部攻击和内部破坏,保障网络的稳定和安全。(3) 提供数据备份和恢复机制,确保重要数据的安全可靠,并制定长期数据的可靠存储方案。(4) 采用不间断电源(UPS) 或双路供电等措施,确保网络设备电源供应的稳定性。(5) 建立完善的备份和恢复机制,定期备份关键网络设备和数据,确保在需要时能够快速恢复。(6) 采用智能化的网络管理系统,实时监控网络设备的运行状态和网络流量,及时发现并排除故障,保障网络的稳定运行[4]。(7) 提供完善的用户支持服务,包括技术支持、售后服务等,帮助用户解决问题,提高用户满意度。
5 校园网规划设计路径
5.1 校園网升级改造总体要求
1) 完成端到端的IPv6承载改造,确保改造后全网具备IPv4和IPv6业务承载能力。在推进本次IPv6升级改造时,应着眼长远,统筹规划,确保升级后的网络具备可扩展能力。同时保障平稳过渡,以维持业务的连续性。
2) 提升全网承载能力,使其具备万兆互联的承载能力。
3) 提升全网安全性,确保校园网外网符合三级等保要求。在从IPv4向IPv6的升级过程中,应特别注意IPv6引入所带来的安全风险,并制定相应的安全防护策略和安全技术部署方案。
5.2 校园网升级改造具体要求
1) 针对互联网区设备进行IPv6改造,新的互联网出口区规划应包括:出口交换机、负载均衡器、防火墙和上网行为管理设备,整体要求支持IPv6,且设备应能达到1.5G吞吐。设备应双机部署,以保障骨干设备的冗余性,并增加互联网带宽。
2) 对骨干设备和链路进行升级改造,其中出口路由器、汇聚交换机应支持IPv4、IPv6协议,无须更换设备,只需进行软件升级。骨干链路应增加到2G,须在出口路由器、汇聚交换机增加万兆板卡,以扩充链路。
3) 对于不支持IPv6的设备,须逐步替换或升级软件以支持IPv6。在此过程中,应确保新设备或升级后的软件能与现有系统良好配合。在进行IPv6地址分配时,对于支持IPv6的终端,应为其分配IPv4公有地址和IPv6地址。可使用DHCPv4和DHCPv6服务进行地址分配,也可手动配置。对于不支持IPv6的终端,应逐步替换。
4) 核心交换机在全局模式下启动IPv6协议栈,同时运行IPv4 和IPv6 功能,对需要的LoopBack 配置IPv6地址,上行接口配置IPv6地址[5]。
5) 将现有防火墙部署在服务器区,作为服务器区的边界防护设备。同时确保防火墙能支持IPv6,并能根据安全策略对IPv4 和IPv6 业务流量进行过滤和控制。
6) 设备互联地址规划为/64前缀长度,设备管理地址使用LoopBack地址,使用/128前缀长度。主机使用静态IPv6地址,DNS、网关等均由人工配置。
7) 对现有数据中心的服务器、存储设备、网络设备进行升级。服务器应采用高性能服务器,支持虚拟化功能,并将多台服务器组成服务器集群。存储设备应采用磁盘阵列搭配NAS设备的方式,实现静态数据和动态数据分开存放。服务器和存储设备间应采用以太网光纤通道(FCOE) 连接。
5.3 校园网升级改造实施步骤
第一阶段:完成对外网骨干网络的IPv6升级改造,防火墙采用翻译技术,将IPv6地址转换成IPv4地址。各楼宇终端访问互联网和内网业务时,将IPv6地址转换成IPv4地址。第二阶段:在外网骨干网络IPv6 改造完成后,逐步对各楼宇进行IPv6改造,将IPv4地址统一修改为IPv6地址,对不支持IPv6的设备进行替换,同时升级数据中心设备,共享数据。第三阶段:经过前两个阶段的设计和建设,逐步取消IPv4协议的应用,使用纯IPv6的网络和客户端。
6 结束语
随着下一代互联网的快速发展,部署IPv6地址已经迫在眉睫。为了保证现有IPv4业务能够正常访问,研究应充分调研现有设备对IPv6地址的支持情况,制定详细的规划方案。在规划中,应根据不同的场景使用不同的地址过渡方式,实现校内IPv6地址之间的互访以及对业务应用的访问。
参考文献:
[1] 刘喆.IPv6浅析 ——搭建双栈地址访问网站[J].信息技术与信息化,2022(6):134-137.
[2] 姚坤.高校校园网建设方案的设计与研究[D].银川:北方民族大学,2013.
[3] 董一芬.IPv6的实现技术与基础应用研究[D].济南:山东大学,2007.
[4] 许佳伟.基于校园网环境下IPv6过渡解决方案的设计与实现[D].武汉:华中科技大学,2011.
[5] 董超.蚌埠市政务外网IPv6改造方案设计[J].电脑知识与技术,2021,17(17):255-256.
【通联编辑:代影】