基于DHCPv6的高校IPv6网络双栈部署实践
作者: 顾怀广 王高才
摘要:高校IPv6网络部署过程中存在部分路由交换设备不支持IPv6协议、IPv6用户地址配置管理困难和如何选择适用的过渡技术等问题。针对部署过程中遇到的困难和问题,文章通过更换部分老旧网络设备、合理规划校园网络IPv6用户地址分配表、精简IPv6路由条目,基于DHCPv6地址自动下发机制,采用双协议栈过渡技术,实现校园网络IPv4/IPv6双栈运行,全面完成校园网络IPv6网络双栈规模部署。
关键词: DHCPv6;IPv6;双栈技术;地址规划;实践
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2022)13-0031-03
1引言
由于Internet的快速普及和广泛应用,IPv4地址资源已经枯竭,加上IPv4协议自身存在安全缺陷、路由表庞大难以管理、局域网私有地址通过NAT后才能访问外网等问题,已经不能满足当前急速扩张的网络发展需求。IPv6协议具有拥有长度达128位的巨大地址空间、遵循聚类原则拥有更小的路由表、报头新增流标签字段和优先级字段以支持实时业务和QoS等优点,弥补了IPv4协议自身存在的缺点[1]。IPv6协议具有的诸多优势使其逐渐替代IPv4协议成为网络技术未来发展的新趋势,成为下一代互联网技术标准。
2017年,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》并发出通知,要求各地区各部门结合实际认真贯彻落实。2018年,教育部印发《关于贯彻落实推进IPv6规模部署行动计划的通知》,要求教育系统加快推进IPv6基础网络设施规模部署和应用系统升级,促进下一代互联网与教育的融合创新。黔南民族师范学院作为地方高等院校,紧跟IPv6应用技术前沿,结合实际科学分析、详细制订IPv6规模部署方案,主动融入IPv6信息资源网络,为智慧校园建设提供基础支撑。
2部署方案规划设计
学校现运行的IPv4校园网络采用接入、汇聚和核心的三层网络结构,主要路由交换设备品牌包括华为、华三和锐捷等,为全校教职工、学生和后勤人员万余人提供网络服务,具有网络覆盖范围大、设备类型复杂和用户规模大等特点。已经向中国教育网CERNET申请到2001:250:2c13::/48段地址,在出口路由器上配置完成相应的路由条目,连接到CERNET2,实现IPv6外网访问;对校园门户网站、校内DNS服务器等应用服务器配置静态IPv6地址,在DNS服务器IIS上添加AAAA记录绑定IPv6地址和对应域名,已实现支持门户网站IPv6外网访问。为全面完成全校IPv6网络规模部署,实现校内用户访问IPv6信息资源,结合网络运行现状,以保持网络拓扑结构不变、保障用户网络质量和降低部署成本为前提,对IPv6用户地址获取方法、IPv4/IPv6过渡技术进行科学分析比较,对IPv6路由表和IPv6用户VLAN地址表进行详细规划设计,制定切实可行的部署方案,实现网络平稳过渡。
2.1 IPv6用户地址获取方法
IPv6用户地址配置有静态地址配置和动态地址配置两种方式[2]。静态地址配置要求用户在PC端手动设置包括IPv6地址、前缀长度、默认网关和DNS地址等信息,缺点是需要设置信息条目多、灵活性差、纠错困难以及增加网络运维成本等,不适用于用户量大、用户变化快的应用场景。IPv6的动态地址配置方式分为SLAAC和DHCPv6两种方式。SLAAC规定主机的IPv6地址由前缀和接口ID组成。IPv6前缀用来标识主机与路由器之间的网络;接口ID固定长度64位,可通过MAC地址自动生成运算生成。SLAAC存在自动配置的IPv6地址不可控且该地址与主机的MAC地址相关的问题。另外,SLAAC可自动配置的信息有限,部分特殊信息无法通过SLAAC配置,只能完成简单的IP地址配置DHCPv6[3](Dynamic Host Configuration Protocol for IPv6)可自动为主机分配IPv6前缀、IPv6地址和DNS服务器地址等网络配置参数,便于用户地址配置和后续网络运维管理,能够更好地控制地址的分配,减轻网络运维压力。
黔南民族师范学院现行网络具有覆盖范围面积大、用户地理位置分散、用户数量庞大、用户信息变更快等特点,并且由于IPv6自身具有地址较长难以记忆、配置信息复杂等特性,结合学校网络现状,综合分析IPv6静态地址配置、SLAAC配置和DHCPv6配置三种配置方法优缺点,为提高校园网络用户的接入便利性、可用性和可维护性,决定采用DHCPv6用户端地址信息自动配置机制。
2.2 IPv4向IPv6的过渡技术选择
IPv6协议作为下一代互联网协议的标准,尚未广泛应用,且与IPv4协议不兼容。为保证IPv6网络能够与IPv4网络互联通信,IETF提出系列过渡技术和互联方案,解决IPv6“信息孤岛”问题。当前常用的三种过渡技术分别是隧道技术、协议翻译技术和双协议栈技术[4]。隧道技术是将IPv6报文封装在IPv4报文中,利用现有的IPv4网络互相通信,隧道两端节点必须同时支持IPv4协议栈和支持IPv6协议栈。由于在隧道的入口会出现负载协议数据包的拆分,在隧道出口会出现负载协议数据包的重组,将增加隧道出入口的实现复杂度,不利于大规模的推广应用。协议翻译技术是指为使纯IPv6主机与纯IPv4主机之间能够正常通信,借助中间协议转换服务器将网络层中的IPv4/IPv6协议头相互转换,适应对端协议类型实现两种协议之间的通信,缺点是不能支持所有的应用,需购置专门的协议转换设备,价格高昂。双协议栈技术是指在主机、路由交换等设备上同时启用IPv4和IPv6协议,DNS服务器同时提供IPv4和IPv6两种地址,主机根据实际需要使用适当协议建立连接,具有互通性好、易于理解的优点,缺点是要求网络中的设备都支持双协议栈。
通过更换部分老旧设备,经过全面梳理测试,现有网络设备均支持IPv4和IPv6协议。用户终端操作系统版本均为Windows 7以上,已安装启用IPv4和IPv6协议。本文为降低升级改造中的技术难度、IPv6规模部署的成本、网络升级改造对用户的影响,从技术可行性、经济可行性和网络运行稳定性多角度综合分析,采用双协议栈技术达到改造成本低、网络改动小、技术实现简单的目的,为后续纯IPv6网络的构建奠定良好基础。
2.3 VLAN及用户地址表规划
由于采用双协议栈过渡技术,为便于网络用户地址的维护、识别、记忆和修改,简化网络规划、管理,参照现运行的IPv4网络VLAN及用户地址规划表,注重IPv4地址与IPv6地址字段内在含义的关联,对IPv6网络地址进行规划[5]。
如表1所示,IPv6地址2001:250:2C13:22:yy:zzz::254/112,yy代表汇聚层楼宇编号,zzz代表IPv4的VLAN,实现IPv4和IPv6地址含义关联,便于运维过程中识别用户地址、管理用户群体,进行流量监控和路由聚合。文章设置IPv4用户地址段和IPv6用户地址段在相同的VLAN下,为后续双栈部署中DHCPv6信息的配置提供便利。
2.4 路由规划
现运行的校园IPv4网络采用静态路由和默认路由两种路由策略。为保证路由策略简单高效、易于维护,IPv6网络采用相同的路由配置策略,在汇聚交换机和核心交换机的全局模式和接口模式下启用IPv6功能,在IPv4网络互联Vlanif接口下配置相应的IPv6互联地址,在交换机全局模式下设置IPv6默认路由和静态路由,实现同一条物理链路传递IPv4和IPv6两种协议数据。
3配置实现
黔南民族师范学院现在运行的汇聚交换机是华为S5732,核心交换机是H3C S12508。配置前均需在设备系统视图模式下全局开启IPv6功能。具体配置如下。
3.1 华为S5732汇聚交换机DHCPv6配置
dhcpv6 pool 110 //创建名为110的IPv6地址池,同时进入IPv6地址池视图
address prefix 2001:250:2C13:22:1:110::/112 //IPv6地址池视图下配置网络前缀 excluded-address 2001:250:2C13:22:1:110:0:254 //配置IPv6地址池中不参与自动分配的IPv6地址
dns-server 2001:250:2C13::33 //配置IPv6 DNS服务器地址
interface Vlanif110 //进入用户地址所在的Vlanif110接口视图
ipv6 enable //在接口下开启IPv6功能
ip address 172.22.1.254 255.255.255.0 //配置IPv4接口地址
ipv6 address 2001:250:2C13:22:1:110:0:254/112 //配置IPv6接口地址
undo ipv6 ndra halt //使能系统发布RA报文功能
ipv6 ndautoconfig managed-address-flag //设置RA报文中的有状态自动配置地址的标志位
ipv6 ndautoconfig other-flag //设置RA报文中的有状态自动配置其他信息的标志位
dhcp select interface //开启接口采用接口地址池的IPv4 DHCP Server功能
dhcpv6 server 110 //选择dhcpv6地址池
dhcp server dns-list 218.194.224.33 8.8.8.8 //配置IPv4 DNS服务器地址
interface Vlanif1001 //进入互联地址所在的Vlanif1001接口视图
ipv6 enable //在接口下开启IPv6功能
ip address 172.17.1.10 255.255.255.252//配置IPv4接口互联地址
ipv6 address 4000::12/124 //配置IPv6接口互联地址
3.2 路由配置
以第一教室汇聚到核心交换路由配置为例进行路由配置:
ipv6 route-static :: 0 4000::11 description TO-S12508 //汇聚交换机到核心交换机采用默认路由策略
ipv6 route-static 2001:250:2C13:22:1:: 80 4000::12 description TO-1Jiao-s5732//核心交换机到汇聚交换机采用静态路由策略