电子科大IPv6校园网的组网与应用

IPv6校园网的组网与应用CERNET西南地区网络中心电子科技大学信息中心2004年12月26日CNGI与CERNET2CNGI是中国下一代互联网示范工程的缩写。CNGI是在2003年由包括信息产业部、国家科技部、国家发改委、教育部、中国工程院、中国科学院、国家自然基金会、国务院信息化办公室在内的8个部委联合发起并经国务院批准启动的。计划2005年底建成一个覆盖全国的IPv6网。CERNET2是CNGI中最大的一个骨干网，也是唯一的学术性主干网。高校与CERNET2按照CNGI项目规划，CERNET2将接入100所以上的著名高校，开展科研应用和大规模IPv6网络建设和部署实施的探索。因此，高校如何部署IPv6将成为近期大家非常关注的一个课题。IPv6的一般演进过程•IPv6发展初级阶段该阶段，IPv4仍然占有主导地位，v6网络是一些孤岛，绝大部分应用仍基于IPv4。此时，大量采用隧道技术将各IPv6孤岛互联。•IPv6与IPv4共存阶段IPv6得到大规模应用，出现骨干IPv6网络，IPv6上引入大量业务。可以进行贯穿Internet的纯IPv6通信，充分利用IPv6的优势，如QoS保证。此时，仍将有大量IPv4业务存在，因此IPv6overIPv4隧道技术仍然需要，同时还需要IPv4overIPv6隧道技术或者协议转换技术。CERNET2的建成将推动我国进入IPv6与IPv4共存阶段。IPv6的一般演进过程•IPv6占主导地位阶段Internet骨干网全部为IPv6，IPv4网络将成为孤岛，与初级阶段类似，使用隧道技术将IPv4网络连通，此时的隧道技术将主要是IPv4overIPv6。IPv6的一般演进过程IPv6过渡技术•双协议栈技术设备同时启用IPv4和IPv6协议栈。因为两种IP协议的下层物理平台和上层传输协议均相同，这使双栈成为可能。双栈协议是其它过渡技术的基础。IPv6过渡技术•双协议栈结构图应用层协议TCP/UDP协议IPv6协议IPv4协议物理网络•隧道技术隧道（tunnel）是指将一种协议封装到另一种协议中。在隧道入口处，将被封装协议封装入封装协议，在隧道出口处再将被封装协议报文取出。在整个隧道的传输过程中，被封装协议是作为封装协议的负载。隧道技术只需要在隧道的出入口进行修改，而对中间部分没有特殊要求，较为容易实现。IPv6过渡技术隧道技术示意图IPv4CloudIPv6CloudIPv6CloudIPv6headerIPv6dataIPv6headerIPv6dataIPv4headerIPv6headerIPv6dataDual-StackRouterDual-StackRouter隧道的类型•IPv6-over-IPv4GRE隧道•IPv6-over-IPv4手动隧道•IPv4兼容IPv6自动隧道•6to4隧道•ISATAP隧道•6PE•6over4•Teredo•隧道代理（TunnelBroker）GRE隧道标准的GRE隧道技术可在IPv4隧道上承载IPv6数据报文。GRE隧道是两点之间的链路，每条链路都是一条单独的隧道。特点，实际接口（interfaceeth）的IPv4地址是隧道的源和目的，IPv6地址是配置在隧道逻辑接口上（interfacetunnel）的。GRE隧道•GRE报文封装格式IPv6报文先封装为GRE报文，再封装为IPv4报文。IPv4报文中的源和目的地址是隧道起点和终点所依托物理端口的IPv4地址。IPv4报头GRE报头IPv6报头IPv6有效数据手动隧道•基本与GRE隧道相同，区别在于少了GRE封装过程。IPv4报头IPv6报头IPv6有效数据自动隧道•自动隧道的特点是能够完成点到多点的连接，手动隧道仅仅是点到点的连接。IPv4兼容IPv6技术能够使隧道自动生成。IPv4兼容IPv6隧道只需要告诉设备隧道的起点，终点由设备自动生成——隧道的端口使用IPv4兼容IPv6地址。格式如下：000……000IPv4address96bit32bit自动隧道•隧道根据报文随机的建立。•因为使用了特殊的地址，所以IPv6地址前缀只能是0:0:0:0:0，即所有节点必须在同一IPv6网段中，所以只能进行隧道两端点的通信，不能通过隧道进行报文转发。IPv4报头IPv6报头IPv6有效数据源：1.1.1.1源：::1.1.1.1目的：2.2.2.2目的：::2.2.2.26to4隧道•6to4隧道可将多个IPv6域通过IPv4网络连接到IPv6网络。它的隧道端口也使用一种特殊地址，称为6to4地址。6to4地址格式如下：即地址为2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx313321664FPTLAIPv4SLA接口0010x0002addressIDIDipv4addr6to4隧道•IPv6报文头源：2002:c0a8:6401:2::2目的：2002:c0a8:3201:2::2IPv4隧道的报文头：源：192.168.100.1（c0a8:6401）目的：192.168.50.1（c0a8:3201）6to4要与纯IPv6网络互通需要6to4中继（RFC3068）6to4中继示意图6to4网络IPv4网络隧道纯IPv6网络IPv6主机IPv6主机6to4边缘6to4中继ISATAP隧道•站内自动隧道寻址协议(ISATAP:IntraSiteAutomaticTunnelAddressingProtocol)过渡技术就是采用了双栈和隧道技术，并基于企业网和主机的一种过渡技术。•ISATAP隧道不仅完成隧道功能，还可以进行地址自动分配。它使用特殊的地址格式：::0:5efe:a.b.c.d前64bit通过向ISATAP发送请求获得，后64比特中5efe为固定，a.b.c.d为接口的IPv4地址。ISATAP隧道ISATAP隧道•ISATAP隧道可以通过IPv4网络承载IPv6网络的ND协议，从而使跨IPv4网络的设备仍然可以进行IPv6设备的自动配置。分散在IPv4网络中的各个IPv6孤岛主机通过ISATAP技术自动获得地址并连接起来。其它隧道技术•6PE(IPv6ProviderEdgeRouter)，主要用于MPLS/VPN网络中。•6over4，通过IPv4网络的组播功能连接IPv4网络中的隔离IPv6主机。•Teredo，一种IPv6overUDP隧道。可以使NAT内网的IPv6节点获得全球性IPv6连接。•隧道代理（TunnelBroker，RFC3053），通过web方式为用户分配IPv6地址，建立隧道。IPv6过渡技术•IPv6与IPv4互通隧道技术使IPv6孤岛互通，但不能使IPv6用户与IPv4用户互通。下面的技术使IPv6网络与IPv4网络可以互通。包括：双栈技术SIITNAT-PTDSTMSOCKs64传输层中继BISBIA双栈技术•通信节点为双协议栈，与IPv4网通信使用IPv4协议，与IPv6网互通则使用IPv6协议。•关键：DNS提供对IPv4“A”、IPv6“A6/AAAA”类记录的解析库。并根据需要对返回的地址类型做出决定。SIIT（StatelessIP/ICMPtranslation）•SIIT，无状态IP/ICMP翻译技术(RFC2765)是对IP和ICMP报文进行协议转换。在SIIT网络中，IPv6节点的地址必须为::FFFF:0:a.b.c.d的IPv4翻译地址，SIIT将a.b.c.d当作IPv6节点的IPv4地址。IPv6节点访问IPv4时SIIT则将IPv4地址映射成::FFFF:0:a.b.c.d。•地址的相互映射过程通过一台SIIT协议转换器实现。SIITIPv6nodeIPv4nodeSIITIPv6网络IPv6网络•网络地址转换（NAT-PT）NAT-PT（RFC2766）是附带协议转换器的网络地址转换，通过修改协议报文头来转换网络地址，使他们能够互通。NAT-PT用于IPv6网络和IPv4网络之间。NAT-PT是SIIT技术和IPv4网络中NAT技术的结合。它是将SIIT中地址映射，主要是IPv6到IPv4的地址映射由静态变为动态，解决了IPv4地址不足的问题。NAT-PTNAT-PT•NAT-PT不必修改已存在的IPv4网就可以访问外部IPv6网，且通过上层协议映射使大量的IPv6主机使用同一个IPv4地址，节约IPv4地址。但是属于同一会话的请求和响应必须通过同一个NAT-PT路由器，否则无法正确通信。其它互通技术•其它的几种互通技术也是通过地址映射使IPv6和IPv4主机能够通信，只是映射的层次、映射过程发生的位置、映射的机制不尽相同。基于SOCKS的IPv4向IPv6过渡技术RFC3338中描述了采用BIA机制的双栈主机与IPv6主机之间相互通信的过程。基于SOCKS的IPv4向IPv6过渡技术SOCKS64技术SOCKS64技术是原有SOCKS协议(IETFRFC1928)的扩展。SOCKS64技术校园网IPv6的部署•新建校园网建议采用同时支持IPv6/IPv4的网络设备进行组网建设，使得校园网平台同时支持两种业务流的承载和互通。校园网核心采用支持双栈的三层交换机，汇聚接入使用普通IPv4交换机即可，所有关于IPv6的三层功能均交由核心处理，而不在汇聚层进行。也可考虑汇聚使用双栈三层交换机，形成层次化的IPv6网络。新建校园网SiSiIPv6网IPv4网双栈边界路由器双栈核心交换机IPv4/IPv6双栈网IPv4userIPv4userIPv4/IPv6user•新建校园网的业务互通-内部v6-v6，v4-v4业务通过双栈直接互通，无协议转换，与普通单网络业务转发模型类似。-内部v6-v4业务通过双栈核心交换机进行NAT-PT，从而进行互通。-内部v6-外部v4（或内部v4-外部v6）通过出口进行NAT-PT与外部互通。-内部v6-外部v6，经核心设备通过CERNET2直接连通。校园网IPv6的部署•老校园网升级一般而言需要购买新的双栈设备，少数设备可以通过升级软件直接支持双栈。若核心设备可升级，则部署和业务互通方案类似前述新建校园网。若增加新的双栈设备，则新建v6网与原有v4网在各自网内分别互通，利用新增设备进行NAT-PT与原v4核心设备互通，与外部则分别经原核心连接的CERNET或新增设备所连接的CERNET2分别于外部v4和v6网络互通。校园网IPv6的部署老校园网升级—部分新建SiSiSiSiSiSiIPv6网IPv4网SiSi原有校园网汇聚交换机核心交换机双栈边界路由器双栈核心交换机新建IPv6校园网接入层老校园网升级—部分新建•校园网内部v4-v4、v6-v6业务分别利用新老校园网直接互通。•校园网内部v6-v4业务通过新建v6校园网核心双栈交换机的NAT-PT与老校园核心连通。•内部v6-外部v4，通过双栈边界路由器的NAT-PT与外部互通。•内部v6-外部v6通过边界路由器直接互通或使用隧道与非直连v6孤岛互通。•老校园网升级的一些建议若希望尽量避免对原有网络线路改造或增加，又希望原有用户可以方便的接入IPv6网络，可以考虑直接将核心三层交换机替换为双栈设备，则其形式将类似于新建IPv6校园网。若IPv6建设初期用户较少，又希望减少设备投资，可以考虑使用服务器模拟路由器作为边界的双栈设备。(参考)校园网IPv6的部署老校园网升级-替换核心SiSiIPv6网IPv4网双栈边界路由器双栈核心交换机IPv4网（隧道技术）IPv4userIPv4userIPv4/IPv6user校园网IPv6的部署•其它必要的工作-申请IPv6地址及域名参考的应用与研究•为什么要使用和研究IPv6？IPv4先