要顺利实现从IPv4网络过渡到IPv6,解决互通问题很重要。只有做到IPv4和IPv6共存、互通,才能确保其试商用的进度和规模达到理想状态。
目前有许多IPv4/IPv6的互通技术,每种技术各有千秋,学校一般都会根据自身的网络情况选择适合的技术,有时候是几种技术的混合。理想的互通的技术是能够使得用户方便地访问另外一个网络,能够尽可能地简化用户端的工作。
本文将介绍一部分互通的技术,并对山东大学所采用和部署的技术做详细介绍,希望能与其他高校一起探讨。
一、IPv4/IPv6互通技术比较
以下对我们所熟悉的互通技术做一个简单介绍。
SIIT技术:无状态IP/ICMP翻译技术(SIIT)是对IP/ICMP报文进行协议转换的技术,使用特定的地址空间来完成IPv4地址与IPv6地址的转换。SIIT不记录流的状态,在SIIT网络中,IPv6节点地址都需要配置成IPv4的翻译地址。由于无法进行地址复用,所以地址池的空间就限制了IPv6节点的数量。
NAT-PT技术:NAT-PT技术(RFC 2766)是IETF最先提出的解决IPv4/IPv6互通问题的解决方案,目前被绝大多数网络厂家的设备所支持。NAT-PT是附带协议转换的网络地址转换器,通过修改协议报头来转换网络地址,使IPv4节点和IPv6节点互通;利用SIIT技术的工作机制和传统的IPv4下的NAT技术,动态地为访问IPv4节点的IPv6节点分配IPv4地址,解决了SIIT技术中的全局IPv4地址池规模有限的问题;通过与应用层网关(ALG)相结合,实现了纯IPv6的主机和纯IPv4主机的大部分应用的相互通信。但是在NAT-PT技术中对于网关的性能要求很高,不适合在大规模IPv6网络中部署,但因其协议自身存在不少缺陷,带来很多的部署问题和安全漏洞,所以目前IETF已经不推荐使用NAT-PT。
IPv6 Web代理技术:IPv6 Web代理技术可以实现纯IPv6主机便捷的访问IPv4的Web站点,满足用户对于网页浏览的需要。但是Web代理技术也存在很大的局限性,只能对纯Web服务提供代理,对于E-mail、视频等应用就无能为力了,所以Web代理技术应该与其他互通技术协同使用。
IVI技术:IVI技术对SIIP和NAT- PT技术进行了改进。IVI通过用一段特殊的IPv6地址与IPv4地址进行惟一映射,可以实现这部分地址的无状态地址转换,能够同时支持IPv4和IPv6发起的通信;对于这段特殊地址之外的IPv6地址,支持1:N的有状态地址转换,可以实现IPv4地址的复用和IPv6对IPv4的单向互通;IVI网关不需要通过DNS来查找IPv4、IPv6的对应关系,而是能够通过一对一的映射直接找到对应的地址,从而大大减轻网关设备的负担和效率。另外,IVI技术可以直接支持指定源模式(PIM-SSM)的组播,支持逆向路径转发(RPF)机制,也支持PIM-SM的ALG,因此能够完全实现IPv6节点与IPv4节点间的组播应用。
根据对比,对于像山东大学校园网大型纯IPv6网络来说,IVI技术是一种比较适用的IPv4/IPv6互通技术,IPv6 Web代理技术作为补充。
二、实现向IPv6平滑过渡
山东大学校园网经过2008年技术升级改造,建设完成大规模、扁平化的路由器核心网络,核心网为多环状全路由结构,是一个连接六个校园,支撑多种业务,完全支持IPv4/和IPv6的万兆双栈业务承载网;各校园内部构成星型园区网,校园核心交换机通过千兆或双千兆互联各楼宇,6个园区网共覆盖了249栋楼宇。
三、纯IPv6网络设计
纯IPv6接入网将在现有校园网基础上,采用有线接入和无线接入等多种类型,在六个校园内分别建设具备一定规模、高带宽、高性能的纯IPv6网络。
有线接入分为两种方式,一种是增加纯IPv6机房的数量,提供大规模密集型的纯IPv6网络接入环境,另外一种是利用已有布线系统的空余信息点,在选定楼宇为办公和学生用户提供纯IPv6网络的接入接口,供校内师生分散接入纯IPv6网络。纯IPv6机房和纯IPv6楼宇的信息点都通过独立的接入交换机接入,然后经汇聚交换机使用万兆链路连接到校园核心设备上。扩容后的楼宇纯IPv6接入网将覆盖5000个信息点以上。
除了有线接入之外,还将依托学校现有的无线网络,建立纯IPv6无线接入网。山东大学目前的无线网络采用控制器+瘦AP模式,设备都支持IPv6数据的传输和IPv6下的网络管理,在此基础之上,拟采用802.11n无线接入点在校内选定公共区域建立纯IPv6无线试验网,在所覆盖区域提供300M带宽的纯IPv6接入,对纯IPv6无线接入点实行统一由无线控制器控制和管理的策略,并通过独立于学校原有无线网的上行链路连接到学校核心网。IPv6无线网将与IPv4/IPv6双栈无线网采用统一的Portal用户认证系统和统一的网络管理系统,并为基于IPv6无线网的视频监控,语音服务提供测试环境。
四、IPv4/ IPv6互通系统设计
为了满足校园网内大规模纯IPv6用户的IPv4/IPv6互通需求,选择建设基于IVI技术的IPv4/IPv6过渡系统。由于山东大学校园网的情况比较特殊,网络共覆盖了6个校园,另外还连接了威海分校,建设的纯IPv6接入网也分散在各个校园内,所以首先需要确定采用的IVI转换模式和设备部署方式。
IVI转换模式分为无状态的1:1转换和有状态的1:N转换两种。1:1转换效率高,但要求IPv6地址均为IVI地址,1:N转换与NAT-PT类似,适用于任意IPv6地址,但对设备性能要求更高。由于我们的目标是能够让用户方便、快速的使用纯IPv6网络,因此在实际部署过程中,既要考虑到转换的性能,又要考虑到用户的易用和易操作性,应该酌情将这两种方式结合使用。
山东大学在计划部署过渡系统的时候,把1:1模式用于纯IPv6机房、分布在各学院中的纯IPv6网以及纯IPv6学生宿舍网,这三类网络进行地址的固定分配相对较容易实现。我们在每个校园都预留出足够的IPv4地址用于地址转换,首先为接入机器都分配一个IPv4地址,并根据这个IPv4地址找到对应的IVI IPv6地址。然后要求机房的管理人员接入PC配置静态的IVI IPv6地址,为学生提供在各种系统上配置静态IPv6地址和路由的方法。虽然这种方式对于个人用户来说稍显复杂,但使用起来效率和性能更高,并且使用这种静态分配地址的方法也便于我们对接入机器进行管理。
纯IPv6无线网由于接入用户的流动性较大,而自动分配IVI地址较难实现,加之无线网的接入用户数量不大,所以现阶段准备采用1:N的转换模式。我们将拿出一段24位掩码的IPv4地址作为无线网的转换专用地址。
IVI系统设备的部署方式也有两种:一种是在核心网进行集中式部署,另外一种是在每个校园进行分布式部署,这两种方式各有利弊。
1.IVI系统设备集中部署
集中式部署设计将IVI网关设备放置在学校IPv6核心网内,与学校的两台核心路由器相连,网关设备作为地址转换设备和应用层ALG设备。网关与其中一台路由器建立IPv4的路由连接,与另外一台路由器建立IPv6 的路由连接。整个校园网计划拿出一段40位前缀的IPv6地址作为IPv4和IPv6的地址池,用于地址转换。同时新部署一台IVI DNS用于IPv4和IPv6之间的IVI地址解析。所有从IPv6主机发起的向IPv4服务器或主机的访问首先从IVI DNS获得一个对应的IVI IPv6地址,该段地址的路由指向IVI网关设备,IPv6数据包统一经过网关,源地址和目的地址均转换为IVI IPv4地址,在转发到IPv4校园网。
集中式部署的优势在于便于维护,但缺点是在网络规模较大时容易成为性能瓶颈。并且由于实现校园网核心位置进行转换,所以涉及到校园网的IPv4/IPv6互访,数据可能会在互联链路间重复一次,相当于浪费了部分带宽。
2.IVI系统设备分布式部署
分布式部署是在每个校园内都部署一套IVI 系统,包括IVI网关和IVI DNS,其中IVI 网关与校园的纯IPv6汇聚交换机和校园核心路由器连接,与汇聚交换机之间建立IPv6的路由关系,与路由器之间建立IPv4的路由关系。在分布式模式下,每个校园都需要划分出一段40位前缀的IPv6地址来作为转换地址。
IVI系统集中式部署示意图
IVI系统分布式部署示意图
分布式部署将任务进行了分担,因此最大的优点是性能和稳定性上更有保证,更适合大规模纯IPv6网应用,并且由于是在各校园内就完成了转换,也不会浪费互联带宽资源。但相应需要部署的设备数量也会大幅增加,投入和维护成本较高,另外需要占用更多的IPv6地址。
考虑到山东大学IPv6技术升级的目标是逐步建设大规模的纯IPv6网络,我们计划首先部署一个集中式过渡系统,主要承担先期建设的规模在1000用户的东区纯IPv6网络(包括有线和无线接入)的IPv4/IPv6互通任务,然后随着其他校园纯IPv6网络的逐步建设,根据对性能的观察,再由集中式系统逐步过渡到分布式系统。
五、问题及思考
纯IPv6网络的建设和IPv4/IPv6互通系统的部署目的都是为了推广IPv6的应用,实现IPv4向IPv6的平滑过渡。所以我们最为关心的还是这些措施是否能够通过对各种应用的良好支持、高性能和易用性来吸引更多的网络用户。目前仍需要探讨问题包括:
1.IVI的1:1转换对IPv6地址有特定的要求,需要解决的是如何为用户自动分配符合IVI要求的IPv6地址,从而实现网络更便捷的接入。是否能够采用改进DHCP的方式来解决这个问题。
2.在1:1转换的性能更高,但需要占用大量的IPv4地址,在IPv4地址不充足的情况下必然要更多的选择1:N的转换方式,同时用户规模的扩大和网络带宽的不断扩容也可能会导致IVI系统成为性能瓶颈。那么需要解决的就是性能与部署和维护成本之间的矛盾。
3.在1:N模式下,对于一些需要特殊协议的应用如FTP等,仍然需要通过结合应用层网关的方式加以解决,这也会增加IVI网关的负担。
我们希望通过山东大学的纯IPv6网络建设和IVI过渡系统的部署能够真正为纯IPv6网络的大规模应用提供一个良好的测试和试验平台,也希望能通过这个平台来发现问题并找到解决的办法,探索出大规模向IPv6过渡的可行方案。