基于IPv6協(xié)議的校園網(wǎng)的構建和設計

1、電 子 科 技 大 學畢 業(yè) 設 計（論 文）論文題目：基于ipv6協(xié)議的校園網(wǎng)的構建和設計 學習中心（或辦學單位）：電子科技大學信息中心指導老師： 職 稱： 講師 學生姓名： 學 號: 專 業(yè)：網(wǎng)絡工程 電子科技大學繼續(xù)教育學院制網(wǎng)絡教育學院2010年 05月 28日電 子 科 技 大 學畢業(yè)設計（論文）任務書題目：基于ipv6協(xié)議的校園網(wǎng)的構建和設計任務與要求： 本文主要是研究ipv6網(wǎng)絡協(xié)議特性以及ipv4向ipv6的過渡技術，在 在沒有ipv6硬件路由設備的條件下，設法通過設置軟件路由來創(chuàng)建學校 的ipv6實驗平臺，在實驗平臺上展開關于ipv6的基礎實驗以及部署實驗。時間： 2010

2、年 3 月22 日 至 2010 年 5月28 日 共10 周學習中心（或辦學單位）： 電子科技大學信息中心學生姓名： 學 號：專業(yè)： 網(wǎng)絡工程指導單位或教研室： 電子科技大學信息中心指導教師： 職 稱： 講師電子科技大學繼續(xù)教育學院制網(wǎng)絡教育學院2010 年 05 月 28 日畢業(yè)設計(論文)進度計劃表日 期工 作 內(nèi) 容執(zhí) 行 情 況指導教師簽 字2010.3.22至2010.3.28準備論文提綱良好2010.3.29至2010.4.4查找相關文獻良好2010.4.5至2010.4.11創(chuàng)建實驗平臺良好2010.4.12至2010.4.18展開關于ipv6的基礎實驗良好2010.4.19至

3、2010.4.25展開ipv6網(wǎng)絡性能測試良好2010.4.26至2010.5.10畢業(yè)論文撰寫良好2010.5.11至2010.5.28準備答辯良好教師對進度計劃實施情況總評 簽名 年 月 日 本表作評定學生平時成績的依據(jù)之一。摘要ip地址空間不足等問題己成為互聯(lián)網(wǎng)發(fā)展的瓶頸，現(xiàn)有的互聯(lián)網(wǎng)協(xié)議ipv4無法滿足發(fā)展的需要。作為下一代的網(wǎng)絡協(xié)議，ipv6的新特性為下一代互聯(lián)網(wǎng)的應用和發(fā)展提供了廣闊的前景和完善的支持。ipv6校園網(wǎng)的建設是中國下一代互聯(lián)網(wǎng)(cngi)的重要組成部分。它是在ipv4校園網(wǎng)絡的基礎上進行的新的建設。因此，lpv6校園網(wǎng)的規(guī)劃、配置和建設方案就需要依據(jù)不同高校的網(wǎng)絡狀況

4、和不同的實現(xiàn)技術進行設計。本文對ipv6技術進行了深入廣泛的研究，探討了基于ipv6技術的校園網(wǎng)的設計和部署，并實現(xiàn)其應用。關鍵詞：ipv6 校園網(wǎng) 網(wǎng)絡管理abstractip address issues such as space development of the internet has become the bottleneck, the existing internet protocol ipv4 can not meet the needs of development. as a next generation network protocol, ipv6 new fea

5、tures for the next generation of internet applications and a broad prospect for development and improvement of support.ipv6 campus network construction is play an important part in the next generation internet (cngi). it is based on the campus of the new construction in the ipv4 network. therefore,

6、ipv6 campus network planning, configuration, and building programs based on different colleges and universities will need to network conditions and different techniques of the design. this paper on ipv6 technology in-depth extensive study of the campus network based on ipv6 technology design and dep

7、loyment, and to achieve its application.key word：ipv6 network management campus network目錄第一章 緒 言1第一節(jié) 研究背景1第二節(jié) 研究內(nèi)容1第三節(jié) 本文的工作2第二章ipv6網(wǎng)絡協(xié)議的研究3第一節(jié) ipv6網(wǎng)絡協(xié)議簡介3第二節(jié) ipv6的尋址和路由32.1 ipv6地址的表示32.2 ipv6地址的分類42.2 ipv6的路由5第三節(jié) ipv6的網(wǎng)絡安全6第三章ipv6校園網(wǎng)絡方案的設計8第一節(jié) 設計原則8第二節(jié) 總體框架8第三節(jié) 網(wǎng)絡設計93.1 網(wǎng)絡層次分配93.2 網(wǎng)絡地址規(guī)劃10第四章 ipv6校

8、園網(wǎng)絡的應用部署11第一節(jié) ipv6校園網(wǎng)建設的幾種模式111.1 雙棧模式111.2 隧道模式121.3 透傳模式13第二節(jié) ipv6校園網(wǎng)建設的具體部署142.1 校園網(wǎng)建設模式的部署142.2 校園網(wǎng)的網(wǎng)絡配置15第三節(jié) windows操作系統(tǒng)下ipv6協(xié)議的安裝與配置17第四節(jié) ipv6網(wǎng)絡性能測試18第五章 結束語21謝辭23參考文獻23第一章 緒 言第一節(jié) 研究背景internet是上個世紀九十年代逐漸發(fā)展應用的最重要技術之一，近年來互聯(lián)網(wǎng)技術更是以超出人們想象的速度迅猛發(fā)展。然而，隨著基于ipv4協(xié)議的計算機網(wǎng)絡特別是internet的快速發(fā)展，互聯(lián)網(wǎng)在產(chǎn)生了巨大的經(jīng)濟效益和社會

9、效益的同時也暴露出其本身一些固有的問題，如ipv4地址的匾乏、安全性不高、路由表過度膨脹，服務質量等。其中，最主要的有以下兩個問題：（1）ip地址即將耗盡?，F(xiàn)在廣泛采用的ipv4設計于1981年，使用32位二進制數(shù)。從1995年開始，全球的ip地址以平均每年6000萬8000萬的速度被消耗直到目前，隨著互聯(lián)網(wǎng)的進一步發(fā)展，特別是未來電子、電器設備和移動通信設備對ip地址的巨大需求，ipv4的約42億個地址空間是根本無法滿足要求的。（2）路由表的快速增長。有數(shù)據(jù)表明，1990年只有大約5000條路由被存放在路由表中，而在2000年則達到了120,000條，而且還保持著60100的增長率。這使得大

10、量的網(wǎng)絡設備由于處理速度跟不上而很快被淘汰。為了解決ipv4存在的問題，早在1995年，互聯(lián)網(wǎng)工程工作小組(ietf)就已經(jīng)開始著手開發(fā)下一代互聯(lián)網(wǎng)技術。ipv6(internet protocol version 6)成為代替ipv4的一種新的ip協(xié)議。ipv6協(xié)議擴展了地址空問，地址長度達到了128位；同時ipv6簡化了首部格式。對擴展項和選項進行改進；增加了流標識能力字段和對qos（服務質量）的支持，提高了安全能力。這些特點都是ipv6在未來的互聯(lián)網(wǎng)絡中發(fā)展的優(yōu)勢，滿足了未來網(wǎng)絡的發(fā)展要求。第二節(jié) 研究內(nèi)容中國下一代互聯(lián)網(wǎng)示范工程(cngi)的核心網(wǎng)cernet2是目前所知世界上規(guī)模最大

11、的采用純ipv6技術的下一代互聯(lián)網(wǎng)主干網(wǎng)。它以2.5gbps10gbps速率連接全國20個主要城市的25個cernet2主干核心節(jié)點，為全國200余所高校和科研單位提供1gbps10gbps的高速ipv6接入服務，開展科研應用和大規(guī)模ipv6網(wǎng)絡部署實施的探索1。雖然cernet2主干網(wǎng)采用的是純ipv6協(xié)議，但是各大高校的校園網(wǎng)建設基本上還是使用ipv4協(xié)議，隨著校園網(wǎng)絡的迅猛發(fā)展，以ipv4為主要協(xié)議的校園網(wǎng)絡也慢慢暴露諸多問題。其中，主要是ipv4有限的地址空間和結構，已經(jīng)不能滿足日益增長的用戶需求，所以采用ipv6才能從根本上解決校園網(wǎng)ip地址短缺的問題。因此，在高校中如何構建ipv6

12、校園網(wǎng)將成為大家非常關注的一個課題。ipv4的淘汰是信息時代發(fā)展的必然結果，本著與時俱進、開拓創(chuàng)新的原則，ipv6的研究和部署上都已有了可喜的成績和發(fā)展。綜合來看，目前高校設計ipv6校園網(wǎng)絡應具有如下幾個特點：（1）ipv6技術本身還不成熟，還在發(fā)展、還涉及很多實際部署和應用的問題，這方面高校有著自己的優(yōu)勢；（2）cernet2將成為真正意義上的“中國教育與科研計算機網(wǎng)”，作為下一代網(wǎng)絡的研究示范平臺，供各高校接入，以便有效開展ipv6的技術和應用研究；目前很多高校已經(jīng)或開始建設校園內(nèi)的ipv6網(wǎng)絡(局部)或者ipv6的城域網(wǎng)(覆蓋城域范圍內(nèi)的若干高校)，這些ipv6網(wǎng)絡都將接入cernet

13、2；（3）211高?；蛘哂兄攸c學科的大專院校，都已接入cernet2，目前己掀起建設ipv6校園網(wǎng)的熱潮。第三節(jié) 本文的工作隨著校園網(wǎng)規(guī)模的擴大，業(yè)務負載的不斷增加，保持網(wǎng)絡高利用率，防止關鍵業(yè)務受到擁塞影響以及各種網(wǎng)絡應用和資源的管理安全性變得越來越重要。因此，在校園網(wǎng)的進一步建設中應該充分考慮如何更好的利用pv6的技術2。而要具體掌握ipv4到ipv6網(wǎng)絡平穩(wěn)過渡、評估和改進ipv6協(xié)議、進行大規(guī)模ipv6網(wǎng)絡應用，就必須首先要建立ipv6實驗網(wǎng)，在實驗網(wǎng)上獲得足夠的經(jīng)驗，然后才能進行推廣。本文主要工作就是研究ipv6網(wǎng)絡協(xié)議特性以及ipv4向ipv6的過渡技術，在沒有ipv6硬件路由設備

14、的條件下，設法通過設置軟件路由來創(chuàng)建學校的ipv6實驗平臺，在實驗平臺上展開關于ipv6的基礎實驗以及部署實驗。然后在實驗基礎上最終建立學校的ipv6局域網(wǎng)，能夠對校內(nèi)用戶提供ipv6接入服務。第二章ipv6網(wǎng)絡協(xié)議的研究第一節(jié) ipv6網(wǎng)絡協(xié)議簡介ipv6是“internet protocol version 6”的縮寫，它是ietf(internet engineering task force，因特網(wǎng)工程工作小組)設計的用于替代現(xiàn)行版本ip協(xié)議(ipv4)的下一代ip協(xié)議。ipv6能滿足下一代語音、數(shù)據(jù)、視頻融合的通信網(wǎng)絡對網(wǎng)絡的安全、質量和移動性的要求。同時，ipv6應用使每個人、每個

15、終端都成為內(nèi)容提供者，人們不但能獲取信息，也能提供信息。并且，ipv6能達到永遠在線，使網(wǎng)民之間實現(xiàn)真正的交互這將改變現(xiàn)在的運營模式，打造更新的商業(yè)模式。ipv6設計了一種具有分級結構的地址，這種地址被稱為可聚合全局單點廣播地址(aggregatable global unicast address)，這使得路由器能在路由表中用一條記錄(entry)表示一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉發(fā)數(shù)據(jù)包的速度。ipv6同時改進提高了ip包的基本報頭格式。這種簡化的包結構是對ipv4的一個主要改進之處，它有助于彌補ipv6長地址占用的帶寬。ipv6的16字節(jié)地址長度是ipv4的4字

16、節(jié)地址長度的4倍，但ipv6報頭的總長度只有ipv4報頭總長度的2倍。ipv6報頭所含字段少，而且報頭長度固定。這些特點使路由器的硬件實現(xiàn)更加簡單。當主機ip地址需要經(jīng)常改動的時候，手工配置和管理靜態(tài)ip地址是一件非常煩瑣和困難的工作。在ipv4中，dhcp協(xié)議可以實現(xiàn)主機ip地址的自動設置。ipv6繼承了ipv4的這種自動配置服務，并將其稱為全狀態(tài)自動配置(stateful auto configuration)。除了全狀態(tài)自動配置，ipv6還采用了一種被稱為無狀態(tài)自動配置(stateless auto configuration)的自動配置服務。在無狀態(tài)自動配置過程中，主機首先通過將它的網(wǎng)

17、卡mac地址附加在鏈接本地地址前綴之后，產(chǎn)生一個鏈接本地單點廣播地址(ieee已經(jīng)將網(wǎng)卡mac地址由48位改為了64位,如果主機采用的網(wǎng)卡的mac地址依然是48位，那么ipv6網(wǎng)卡驅動程序會根據(jù)ieee的一個公式將48位mac地址轉換為64位mac地址)。使用無狀態(tài)自動配置，無需手動干預就能夠改變網(wǎng)絡中所有主機的ip地址。第二節(jié) ipv6的尋址和路由2.1 ipv6地址的表示ipv6采用了長度為128位的ip地址，而ipv4的ip地址僅有32位，因此ipv6的地址資源要比ipv4豐富得多。ipv6的地址格式與ipv4不同，一個ipv6的ip地址由8個地址節(jié)組成，每節(jié)包含16個地址位，以4個十六

18、進制數(shù)書寫，節(jié)與節(jié)之間用冒號分隔，其書寫格式為x:x:x:x:x:x:x:x，其中每一個x代表四位十六進制數(shù)，例如：1080:0000:0000:0000:0008: 0800:200c:4156。為了使地址變得簡潔，冗余的“0”可用雙冒號“:”表示，使得表達式變得更簡單，但是一個ipv6地址中只允許出現(xiàn)一個“:”，這樣前面的地址可簡化為：1080: 8:800:200c:4156。對于路由器來說，由于只關心地址的前面部分，為了地址表達式變得更簡單，可以采用斜杠線“/”來省略地址的后面部分，則地址：fedc: ba98: 1234: 5678: 9abc: def0: 1234: 5678可表

19、示成fedc: ba98: 1200/40，其中“/40”表示地址的前40位為有效的地址，它的作用像ipv4的網(wǎng)絡掩碼。2.2 ipv6地址的分類我們知道ipv4對地址的分類有a、b、c、d類，由于分類的不合理，浪費大量的可使用地址。而ipv6地址是獨立接口的標識符3，所有的ipv6地址都被分配到接口，ipv6主要通過其地址前綴來劃分其傳輸類型，定義了三種ipv6地址類型：單播(unicast)、組播(multicast)、任播(anycast)。（1）單播地址(unicast)4單一接口的標識符。發(fā)往單播地址的包被送給該地址標識的接口。對于有多個接口的節(jié)點，它的任何一個單播地址都可以用作該節(jié)

20、點的標識符。ipv6單播地址是用連續(xù)的位掩碼聚集的地址，類似于cidr(無類域路由)的ipv4地址。ipv6中的單播地址分配有多種形式，包括全部可聚集全球單播地址、nsap地址、ipx分級地址、站點本地地址、鏈路本地地址以及運行ipv4的主機地址。單播地址中有下列兩種特殊地址。不確定地址：單播地址0:0:0:0:0:0:0:0稱為不確定地址。它不能分配給任何節(jié)點。它的一個應用示例是初始化主機時，在主機未取得自己的地址以前，可在它發(fā)送的任何ipv6包的源地址字段放上不確定地址?；丨h(huán)地址：單播地址0:0:0:0:0:0:0:1稱為回環(huán)地址。節(jié)點用它來向自身發(fā)送ipv6包。它不能分配給任何物理接口。

21、（2）組播地址(multicast)一組接口(一般屬于不同節(jié)點)的標識符。發(fā)往多播地址的包被送給該地標識的所有接口。地址開始的11111111標識該地址為組播地址。ipv6中沒有廣播地址，它的功能正在被組播地址所代替。另外在ipv6中，何全“0”和全“l(fā)”的字段都是合法值，除非特殊地排除在外的。特別是前綴可以包含“0”值字段或以“0”為終結。一個單接口可以指定任何類型的多個ipv6地址(單播、任播、組播)或范圍。（3）任播地址(anycast)任播地址定義一組接口，它們的地址具有相同的前綴。例如，連續(xù)到同樣的的物理網(wǎng)絡的計算機共享相同的前綴地址，發(fā)送到任播地址的分組必須交付給這個組成員中的一個

22、，即根據(jù)選路協(xié)議最靠近的或最容易到達的。ipv6任意播地址存在下列限制：.任意播地址不能用作源地址，而只能作為目的地址；.任意播地址不能指定給ipv6主機，只能指定給ipv6路由器。2.2 ipv6的路由ipv6尋址繼承了ipv4中無類域間路由(cidr)的概念和方法。但它們有二個不同之處：第一，ipv4使用屏蔽碼確定32位地址的哪些位為子網(wǎng)號，而ipv6則使用地址前輟(address prefix)來確定128位中前面多少位為子網(wǎng)號。第二，ipv4的地址結構本身不反映域間路由的特點，域間路由是靠ip地址分配策略決定的，即將塊連續(xù)的c類地址分配給一個大部門的網(wǎng)絡或isp，以方便路由策略的實現(xiàn)。

23、ipv6沒有ipv4中的地址類別的概念5。出于路由目的，ipv6地址可以積累起來，理論上有很大潛力可以顯著地減少非默認路由表的大小。和ipv4一樣，lpv6的路由也分為靜態(tài)路由和動態(tài)路出。靜態(tài)路由是由手工配置的路由，它在兩個網(wǎng)絡設備之間定義了明確的路徑，如果網(wǎng)絡拓撲發(fā)生改變，需手動修改；動態(tài)路由是動態(tài)路由協(xié)議計算出來的，按照一定的路由算法，根據(jù)網(wǎng)絡拓撲結構的變化進行路由的計算和路由表的更新。表2-1所示為靜態(tài)路由的優(yōu)缺點比較。 表2-1 ipv6靜態(tài)路由的優(yōu)缺點ipv6靜態(tài)路由優(yōu)點ipv6靜態(tài)路由缺點簡單、高效、可靠不適合在大型網(wǎng)絡中使用減小路由器的日常開銷在網(wǎng)絡拓撲發(fā)生變化時不能自動調節(jié)可以

24、控制路由選擇的更新無法預防配置中可能存在的錯誤比動態(tài)路由協(xié)議需要更少的帶寬一般來說在小型網(wǎng)絡中可以充分利用靜態(tài)路由的優(yōu)點，而在大型網(wǎng)絡中，在某些特殊情況下，也會配置少量的靜態(tài)路由(比如在骨干網(wǎng)中配置默認路由)。ipv6地址的配置方法：ipv6 address ipv6-prefix/prefix-lengtheui-64如：ipv6 address 2001:0dbb: 1/64開啟ipv6路由功能方法：ipv6 unicast-routing靜態(tài)路由的配置方法為6：ipv6 routeipv6-prefix/prefix-length ipv6-address|interface-type

25、interface-number如：ipv6 route 2001:0dbb:/32 s0/0或ipv6 route 2001:0dbb:/32 2002:2002:lipv6路由協(xié)議實質上可以分為距離矢量協(xié)議和鏈路狀態(tài)協(xié)議兩類。典型的距離矢量路由協(xié)議有ripng，鏈路狀態(tài)協(xié)議有ospfv3和is-isv6。ripng是矢量距離協(xié)議，該協(xié)議很簡單，但它要求網(wǎng)絡中的每個路由器都要周期性地向網(wǎng)絡中所有其他路由器廣播自己的路由信息，網(wǎng)絡收斂時間不穩(wěn)定，故有一定的局限性。其次ripng定義限制它只能支持不超過16跳的互聯(lián)網(wǎng)絡。針對矢量距離方法的缺陷，開放最短路徑優(yōu)先(ospfv3)協(xié)議之類的鏈路狀態(tài)協(xié)

26、議得以引入。路由器只在連接改變或其他路由器詢問時才觸發(fā)通告。這樣會減少與選路相關的嗓聲，因而ospfv3能夠支持較大型網(wǎng)絡。但是ospfv3比ripng要復雜得多。對多層次和基于服務類型選路的支持也是ospfv3重要特性。動態(tài)路由ospfv3配置方法：ipv6 router ospf process-idrouter-id router-id address在端口啟動動態(tài)路由ospfv3配置方法：ipv6 ospf process-id area area-id第三節(jié) ipv6的網(wǎng)絡安全安全問題始終是與internet相關的重要話題，ipv6的安全機制主要表現(xiàn)在以下幾個方面：(1) 將原先獨立

27、于ipv4協(xié)議族之外的報頭認證和安全信息封裝作為ipv6的擴展頭置于lpv6基本協(xié)議之中，為ipv6網(wǎng)絡實現(xiàn)全網(wǎng)安全認證和加密封裝提供了協(xié)議上的保證。(2) 地址解析放在icmp(internet control message protocol)層中，這使得其與arp(address resolution protocol)相比，與介質的偶合性更小，而且可以使用標難的ip認證等安全機制。(3)對于協(xié)議中的一些可能會給網(wǎng)絡帶來安全隱患的操作，ipv6協(xié)議本身都做了較好的防護。例如：因為一條鏈路上多個接口同時啟動發(fā)送鄰居請求消息而帶來的鏈路擁塞隱患，ipv6采用在一定范圍內(nèi)的隨機延時發(fā)送方法來減

28、輕鏈路產(chǎn)生擁塞的可能，這同時也減少了多個節(jié)點在同一時問競爭同一個地址的可能。(4)除了ipsec和ipv6本身對安全所做的措施之外，其他的安全防護機制在ipv6上仍然有效。諸如：nat-pt(net address translate-protocol translate)可以提供和ipv4中的nat程同的防護功能；通過擴展的acl(access control list)在ipv6上可以實現(xiàn)ipv4acl所提供的所有安全防護。另外，基于vpls(virtual private lan segment)、vpws(virtual private wire service)的安全隧道和vpn(v

29、irtual private network)等技術，在ipv6上也可以完全實現(xiàn)7。ipv6的安全機制可在兩個主機、兩個防火墻之間、兩個路由器或移動主機和它的家鄉(xiāng)代理(home agent)之間連接。為加強internet安全性，ietf制定了用于保護ip通信的ip安全(ip security，ipsec)協(xié)議。ipsec是ipv6的一個組成部分，也是ipv4的一個可選擴展協(xié)議8。ipsec提供了兩種安全機制：認證和加密。認證機制使ip通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭到改動。加密機制通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被他人截獲而失密

30、。ipsec的認證擴展頭協(xié)議定義了認證的應用方法，加密安全載體協(xié)議定義了加密方法。當然ipsec的大規(guī)模使用不可避免地會對網(wǎng)絡設備的轉發(fā)性能產(chǎn)生影響，因此，需要更高性能的硬件加以保障?？偟膩碚f，ipv6極大地改善了網(wǎng)絡安全現(xiàn)狀。第三章ipv6校園網(wǎng)絡方案的設計第一節(jié) 設計原則校園網(wǎng)的建設要為學校的根本利益服務，要使校園網(wǎng)在學校的入才培養(yǎng)、學科建設和科研工作方面發(fā)揮最大作用，這是校園網(wǎng)成敗的關鍵。建設校園網(wǎng)的根本目的是為學校的教學、科研和管理提供先進實用的計算機網(wǎng)絡環(huán)境，為學校的發(fā)展和全球信息資源的共享而服務。校園網(wǎng)設計是否合理，對校園網(wǎng)的來來發(fā)展和效益起著極為重要的作用。通過分析借鑒國內(nèi)多所重

31、點大學建設校園網(wǎng)的成功經(jīng)驗，認為下一代校園網(wǎng)的建設應采用“整體規(guī)劃、分步實施”的方針，其總體設計方案的確定，不僅要考慮到近期目標，還要為系統(tǒng)的進一步發(fā)展和擴充留有余地。整個校園網(wǎng)絡建設不是一朝一夕可以實現(xiàn)的，必須分步實施，設計中需要考慮各階段的情況，適應長遠發(fā)展，進行統(tǒng)一規(guī)劃和設計。在制定網(wǎng)絡建設規(guī)劃時，應遵循如下原則：(1) 開放性滿足教學、科研和測試的需求，建成開放的公共試驗平臺；(2) 高起點堅持高起點，研究、開發(fā)采用下一代互聯(lián)網(wǎng)的體系結構和相應協(xié)議，推動下一代互聯(lián)網(wǎng)應用；(3) 充分利用已有資源避免重復建設，充分利用已有資源，結合日益進步的科技新技術，制定合乎經(jīng)濟效益的解決方案，在滿足

32、需求的基礎上，充分保障投資效益；(4) 高性能性和先進性網(wǎng)絡設備必須具備高速處理能力，保證網(wǎng)絡的高吞吐能力，系統(tǒng)應有可擴展性的，能夠根據(jù)實際要求升級；(5) 高可靠性網(wǎng)絡要求具有高可靠性、高穩(wěn)定性和足夠的冗余，提供拓撲結構及設備的冗余和備份。為防止局部故障引起整個網(wǎng)絡系統(tǒng)癱瘓，在網(wǎng)絡骨干上要提供備份鏈路和冗余；(6) 安全性保證網(wǎng)絡系統(tǒng)和各層應用系統(tǒng)安全運行。安全包括4個層面：網(wǎng)絡安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應用系統(tǒng)安全。設備必須支持防火墻、vlan、數(shù)據(jù)加密等技術，具有防止和控制病毒傳播的功能；(7) 可擴展性考慮到信息點數(shù)目相對穩(wěn)定，在網(wǎng)絡設備的性能升級時可進行擴展；(8) 可管理性支

33、持網(wǎng)絡管理和監(jiān)測軟件，可以實時遠程管理網(wǎng)絡設備，分析和排除故障，減少網(wǎng)絡運營時的管理和維護負擔。第二節(jié) 總體框架校園網(wǎng)網(wǎng)絡和信息項目的總體結構如圖3-1所示9。圖3-1 校園網(wǎng)網(wǎng)絡和信息項目的總體結構其中，通信基礎設施為計算機網(wǎng)絡提供了承載平臺和物理層的保證，計算機網(wǎng)絡為教育應用提供信息傳輸與交換平臺，安全保障體系和運行管理體系是支撐網(wǎng)絡與應用的重要支柱。第三節(jié) 網(wǎng)絡設計3.1 網(wǎng)絡層次分配在網(wǎng)絡設計中，通常采用tcpip網(wǎng)絡體系結構，網(wǎng)絡層次會劃分為三層：核心層、匯聚層和接入層，下面簡單描述這三層的功能：(1) 核心層核心設備由于其位置和性能要求決定了其具有全線速轉發(fā)設計，高帶寬鏈路，多種冗

34、余特性和豐富路由功能等特點。核心設備通常實現(xiàn)流量的線速轉發(fā)，負載分擔、路由控制等功能。(2) 匯聚層位于核心和接入層之間，匯聚層通常是主干網(wǎng)絡的邊緣，承擔匯聚用戶流量，實現(xiàn)流量控制，負載均衡，acl限制，路由策略等功能，匯聚層作為用戶ip子網(wǎng)的缺省網(wǎng)關，有較重的負載；匯聚層同時作為動態(tài)路由協(xié)議的邊緣。(3) 接入層接入層處于網(wǎng)絡的最末端，直接連接用戶的pc機，實現(xiàn)用戶流量的穩(wěn)定轉發(fā)。3.2 網(wǎng)絡地址規(guī)劃ip地址是組建網(wǎng)絡基本資源，需要根據(jù)網(wǎng)絡需求進行ip地址分配和子網(wǎng)劃分，確定地址分配的原則，進行統(tǒng)一的地址規(guī)劃、分配和管理。ip地址規(guī)劃主要涉及到網(wǎng)絡資源的利用的方便有效的管理網(wǎng)絡的問題，ipv

35、6地址有128位。按照最新的ipv6 rfc3513，ipv6地址分為全球可路由前綴和子網(wǎng)id兩部分，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)id各自占的位數(shù)，目前從apnic(亞太網(wǎng)絡信息中心，asia-pacific network information center)能夠申請到的ipv6地址空間為/32前綴的地址。ipv6的地址使用方式有兩類，一類是普通網(wǎng)絡申請使用的ip地址，這類地址完全遵從前綴+接口標識符的ip地址表示方法；另外一類就是取消接口標識符的方法，只使用前綴來表示ip地址10。ip地址規(guī)劃應該是網(wǎng)絡整體規(guī)劃的一部分，即ip地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等

36、結合起來考慮。ip地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應，應該是自項向下的一種規(guī)劃。ip地址的分配和網(wǎng)絡組織、路由策略以及網(wǎng)絡管理等都有密切的關系，ipv6地址規(guī)劃目前尚沒有主流的規(guī)則，具體的p地址分配通常在工程實施時統(tǒng)一規(guī)劃實施，可以遵循一些分配原則：(1) 網(wǎng)絡地址的可管理性，地址資源應全網(wǎng)統(tǒng)一分配；(2) 結合網(wǎng)絡拓撲層次結構、路由策略的特點，在有效地利用地址的同時，保證網(wǎng)絡的可擴展性、靈活性和層次性；(3) 注意ip地址的節(jié)省，以及未來的可擴充性；(4) 地址劃分應有層次性，便于網(wǎng)絡互聯(lián)，便于路由聚合，簡化路由表，縮短路由表長度；(5) ip地址分配要盡量給每個區(qū)域分配連續(xù)的ip地址空間：

37、相同的業(yè)務和功能盡量分配連續(xù)的ip地址空間，有利于路由聚合以及安全控制；(6) ip地址的規(guī)劃與劃分應該考慮到網(wǎng)絡的發(fā)展要求，為每個下級網(wǎng)絡分配一個具有可擴充性的ip地址段。地址使用兼顧到近期的需求與遠期的發(fā)展以及網(wǎng)絡的擴展，預留相應的地址段。ip地址的分配需要有足夠的靈活性，應考慮到現(xiàn)有業(yè)務、新型業(yè)務以及各種特殊的業(yè)務要求、滿足各種用戶接入的需要；(7) 充分合理利用已申請的地址空間，提高地址的利用效率。第四章 ipv6校園網(wǎng)絡的應用部署cernet2校園網(wǎng)建設的核心技術就是ipv6，通過校園網(wǎng)的建設，為我校提供了一個基于ipv6技術的互聯(lián)平臺，使得學校具備了下一代互聯(lián)網(wǎng)領域課題研究的先決條

38、件。校園網(wǎng)建設要求采用獨立光纖或獨立光波通道直接接入cernet2主干網(wǎng)，所以校園網(wǎng)和主干網(wǎng)之間的連接采用的是純ipv6協(xié)議，不需要通過雙?；蛩淼婪绞?。但由于校園網(wǎng)內(nèi)部現(xiàn)在均為ipv4網(wǎng)絡，現(xiàn)階段采用純ipv6協(xié)議部署既不可能也不現(xiàn)實。下面圍繞在目前的校園網(wǎng)討論如何構建ipv6網(wǎng)絡平臺，并給出多種構建模式，同時詳細闡述每種類型各自的特點適合什么樣的環(huán)境。第一節(jié) ipv6校園網(wǎng)建設的幾種模式1.1 雙棧模式圖4-1 雙棧模式拓撲圖1.拓撲簡述11所有校園網(wǎng)三層設備均為ipv4/v6雙棧設備。為了實施雙棧式的ipv6校園網(wǎng)建設，新增l臺ipv6出口路由器。ipv6出口路由器通過ge鏈路連接原有雙棧

39、核心交換機。2.實現(xiàn)原理校園網(wǎng)中部署雙協(xié)議棧網(wǎng)絡是最理想的方法，如圖4-1所示。其中ipv4網(wǎng)絡部分與原有校園網(wǎng)ipv4部分融合。這樣對于新建的校同網(wǎng))雙棧用戶可以同時訪問訪問ipv6和ipv4剛絡。對于雙棧終端，ipv4網(wǎng)關和ipv6網(wǎng)關均部署在匯聚三層交換機上。校園網(wǎng)內(nèi)所有三層設備由于均是雙棧設備，既可運行ipv4路由協(xié)議也運行l(wèi)pv6路由協(xié)議。不同協(xié)議的數(shù)據(jù)轉發(fā)路徑可能一致，也可以不同。3.雙棧模式優(yōu)點從技術角度這是最理想的方案，不必為不同類型的用戶單獨部署剛絡配置，開銷小，管理簡單、ipv4和ipv6的邏輯界面清晰。4.雙棧模式缺點由于校園網(wǎng)原有的網(wǎng)絡實際上都是ipv4網(wǎng)絡，要建設全雙

40、棧網(wǎng)絡，必須將原有網(wǎng)絡設備淘汰棄用，投資過大，并有不同程度的設備資源浪費。實際上這種模式只適含新建的網(wǎng)絡，并不適合所有的情況。1.2 隧道模式1.拓撲簡述12原有網(wǎng)絡建設已經(jīng)成熟穩(wěn)定，所有校園網(wǎng)原有的三層設備均為ipv4設備。為了實施隧道式的ipv6校園網(wǎng)建設，需要新增1臺ipv6出口路由器。ipv6出口路由器通過ge鏈路連接原有ipv4核心交換機。2.實現(xiàn)原理對于雙棧終端，ipv4網(wǎng)關部署在匯聚三層ipv4交換機上。校園網(wǎng)內(nèi)所有三層設備由于均是ipv4設備，不能完成對ipv6報文的轉發(fā)，所以需要部署客戶端到路由器的自動隧道6t04/isatap來完成。需要把ipv6客戶端的網(wǎng)關地址設置為6t

41、04/isatap路由器(新增ipv6路由器)的地址。在6t04/isatap路由器上需要配置ipv4 acl以避免校園網(wǎng)ipv4報文占用ipv6資源?？梢钥紤]ipv6路由器和原有ipv4路由器的ipv4互通，以便ipv6出口鏈路斷路時可以有6over4的備份路徑。其網(wǎng)絡拓撲圖如圖4-2所示。3.隧道模式優(yōu)點保護原有設備(不用把原有設備升級換代)，原有網(wǎng)絡拓撲和路由幾乎無需調整，客戶端只要簡單設置即可訪問全球ipv6資源。使用隧道完成的主機路由器隧道，在主機的配置比較簡便易行，只需要確定隧道對端路由器接口的ipv4地址即可，同時對于主機的要求是必須都要有ipv4地址。因此對于用戶端而言，配置方

42、面與原有的ipv4環(huán)境差異不大，不需為網(wǎng)絡中的所有成員重新做地址分配和規(guī)劃。這種技術非常適合于在一個企業(yè)網(wǎng)和校園網(wǎng)中使用，尤其在ipv4仍然是網(wǎng)絡主流的今天。4.隧道模式缺點隧道技術屬于過渡技術，不是最終的理想方案；隧道兩端點設備需要花費額外的系統(tǒng)開銷。但屬于在原有ipv4網(wǎng)絡平滑支撐ipv6業(yè)務的有效手段。圖4-2 隧道模式拓撲圖1.3 透傳模式1.拓撲簡述原有網(wǎng)絡建設已經(jīng)成熟穩(wěn)定，所有校園網(wǎng)原有的三層設備均為ipv4設備。為了實施透傳模式的ipv6校園網(wǎng)建設，需要新增1臺ipv6出口路由器。ipv6出口路由器通過ge鏈路連接原有ipv4核心交換機。2.實現(xiàn)原理對于雙棧終端，ipv4網(wǎng)關部署

43、在匯聚三層ipv4交換機上。校園網(wǎng)內(nèi)所有三層設備由于均是ipv4設備，不能完成對ipv6報文的轉發(fā)，所以需要把所有含有ipv6終端的vlan在接入交換機上行方向均設置為802lq trunk鏈路，并把這些vlan包含于trunk。這樣做的目的是為了讓原有ipv4三層設備將ipv6報文透傳到ipv6路由器上，ipv6客戶端的網(wǎng)關地址設置為新增ipv6路由器的地址。當為ipv4報文時正常轉發(fā)，ipv4網(wǎng)關將ipv4非廣播報文終結，當為ipv6報文時則當作vlan內(nèi)廣播報文透傳到上層交換機，直到出口路由器接收到這些ipv6報文，進行統(tǒng)一的全局轉發(fā)?？梢栽趇pv6路由器上啟用抑止廣播報文的功能或者刪除

44、ipv4協(xié)議棧，接收ipv4廣播后丟棄或不處理，部分解決由于trunk多個vlan導致路由器需要處理大量過多ipv4不相關報文的問題。透傳模式的網(wǎng)絡拓撲圖如圖4-3所示。3.透傳模式優(yōu)點保護原有設備(不用把原有設備升級換代)，變相實現(xiàn)類似雙棧模式的效果。4.透傳模式缺點對于存在ipv6終端的子網(wǎng)，幾乎所有ipv6報文都要類似廣播方式影響整個校園網(wǎng)，占用網(wǎng)絡資源、帶來一定的安全隱患，原有網(wǎng)絡的設置需要較大調整。圖4-3 透傳模式拓撲圖第二節(jié) ipv6校園網(wǎng)建設的具體部署2.1 校園網(wǎng)建設模式的部署我校校園網(wǎng)是一種典型的三層結構，即包含核心層、匯聚層和接入層三個層次。大部分樓棟的接入層交換機都是先

45、連到匯聚層交換機，匯聚層設備為第三層交換設備，其所屬樓棟的三層接口都在此匯聚，然后再通過路由的方式和核心設備相連。由于匯聚設備大部分都是不支持ipv6協(xié)議的老設備，ipv6協(xié)議不能通過路由到達核心交換機。部分新建樓棟采用的是支持ipv6協(xié)議的三層匯聚交換機，通過光纖直接接入核心交換機。通過對上述幾種建設模式的研究，結合我校校園網(wǎng)的具體情況，提出了以下幾種建設思路。1原有的教學辦公區(qū)采用透傳模式，以vlan trunk接入核心的ipv6網(wǎng)絡。2新建的教學辦公樓棟采用雙棧模式，以路由方式接入核心lpv6網(wǎng)絡。3學生宿舍、教工宿舍由于本身就是一個具有三層結構的相對獨立的網(wǎng)絡，以透傳模式接入需要對全網(wǎng)

46、作很大的改動，所以暫時使用隧道模式接入ipv6，以后在對設備進行升級改造時，更換為支持ipv6的三層設備，可以以雙棧模式接入ipv6網(wǎng)絡。2.2 校園網(wǎng)的網(wǎng)絡配置以校園網(wǎng)中采用的透傳模式為例，選擇其中的一個匯聚點來分析，其核心設備下聯(lián)接口的配置如下13： dis cur int g4/l/5interface gigabit ethemet4/l/5port link-type accessport access vlan 20l /只允許vlan 201設備互聯(lián)的路由接口所在虛網(wǎng)通過description to zhiyuanhuiju匯聚設備的相關配置如下：#定義計算機學院所在vlan的i

47、pv4接口interface vlan-interface44description ji suan ji xue yuanip address 202.197.125.254 255.255.255.0#定義上聯(lián)至核心的接口interface gigabit ethernet 1/1description to 8512port link-type accessport access vlan20l#定義下聯(lián)至計算機學院接入層交換機的接口interface gigabit ethernet 1/4description to ji suan ji xue yuanport link-type

48、 trunkport trunk permit vlan44 400 /允許用戶所在虛網(wǎng)vlan44和交換機網(wǎng)管地址所在虛網(wǎng)通過。核心交換機和匯聚交換機之間原來是采用路由的方式，兩個端口之間是access模式，即只允許設備互聯(lián)的路由接口所在vlan的數(shù)據(jù)包通過，而該匯聚設備不支持ipv6協(xié)議的路由。所以核心設備的ipv6協(xié)議不能到達匯聚設備，從而也不能到達其所屬的各個接入層設備。為實現(xiàn)vlan的透傳，我們修改了兩臺交換機的配置，即把核心交換機下聯(lián)至匯聚層的端口改為trunk模式，允許vlan44，也就是樓棟所在的虛網(wǎng)信息數(shù)據(jù)包能直接通過該端口到達核心設備，同時也修改了匯聚層設備的上聯(lián)端口模式為

49、trunk，同樣允許vlan44虛網(wǎng)通過。由于vlan44直接到達了核心設備，所以我們把vlan44的ipv4三層接口的定義也移到核心設備上。修改后的核心交換機中下聯(lián)接口的配置如下： dis cur int g4/l/5interface gigabit ethemet4/l/5port link-type trunkport trunk vlan 44 400description to zhiyuanhuiju核心交換機中，計算機學院所在的vlan44所在的ipv4接口的定義如下： dis cur int g4/l/5interface vlan-interface44descriptio

50、n ji suan ji xue yuanip address 202.197.125.254 255.255.255.0修改后的匯聚設備的相關配置如下：#定義上聯(lián)至核心的接口interface gigabit ethernet 1/1description to 8512port link-type trunkport trunk vlan 44 400核心設備與ipv6路由器之間也采用trunk模式，讓vlan44虛網(wǎng)信息透傳到ipv6路由器。同時在ipv6路由器上定義vlan44的ipv6接口。核心設備與ipv6路由器的接口配置： dis cur int g12/2/4interface

51、 gigabit ethemet12/2/4port link-type trunkport trunk permit vlan44description ipv6ipv6路由器下連至8512的端口的配置：s8606#sh run int g2/3interface gigabit ethernet 2/3switchport mode trunkswitchport trunmk allowed vlan 44description to-8512ipv6路由器vlan44的ipv6接口配置：s8606#sh run int vlan 44interface vlan 44ipv6 addr

52、ess 2001:da8:d001:1020:l/64ipv6 enableno ipv6 nd suppress-ra /關閉鄰居發(fā)現(xiàn)協(xié)議中的路由通告協(xié)議抑制開關description ji suan ji xue yuan至此，該匯聚點下所屬樓棟的vlan44虛網(wǎng)能夠一直透傳到ipv6的路由器。該虛網(wǎng)下的計算機如果支持ipv6協(xié)議，則可通過路由通告協(xié)議自動獲得一個ipv6地址。第三節(jié) windows操作系統(tǒng)下ipv6協(xié)議的安裝與配置windows2003和vista默認安裝時已經(jīng)可以直接支持ipv6協(xié)議，用戶所接入的ipv6網(wǎng)絡如果打開了ipv6的鄰居發(fā)現(xiàn)協(xié)議，并允許路由通告的話，可以直接

53、獲得ipv6地址。windows xp系統(tǒng)安裝了sp1補丁包后，已包含對ipv6協(xié)議的支持，但還需要手工安裝該協(xié)議。在開始菜單，運行cmd，在命令窗口使用ipv6 install命令，安裝完成后，重啟計算機，即可使用ipv6網(wǎng)絡。windows 2000對ipv6的支持不太好，需要單獨下載并安裝補丁包。第一步：下載補丁包下載補丁程序tcpipv6-001205.exe(第二步：安裝補丁文件將該tcpipv6-001205.exe文件，解壓到某個目錄下如c:proipv6set。第三步：運行配置程序點擊開始菜單運行輸入cmd命令，運行c:proipv6setsetup-x命令，同時選擇輸出目錄，

54、如c:ipv6。第四步：修改配置文件進入c:ipv6目錄，并修改其中的hotfix.ini文件，將其version段內(nèi)的nt service pack version值改為如下：sp1：256sp2：512sp3：768sp4：1024第五步：運行c:ipv6目錄下的hotfix.exe文件。第六步：添加ipv6協(xié)議在本地連接中，單擊鼠標右鍵選擇“屬性”，選擇安裝，選擇“網(wǎng)絡組件類型”，選擇“協(xié)議”，添加“選擇網(wǎng)絡協(xié)議”選擇“microsoft ipv6 protocol”第七步：重啟機器安裝完成后重啟則ipv6就已經(jīng)可以使用了。如果windows2000的系統(tǒng)已經(jīng)打好sp4的補丁，則只要解壓

55、下載的安裝包tcpipv6 -00l205-sp4-ie6.zip，進入setup目錄，雙擊運行hotfix.exe，等待ipv6驅動安裝完畢后重啟計算機后即可。第四節(jié) ipv6網(wǎng)絡性能測試網(wǎng)絡性能測試能讓網(wǎng)絡管理人員從網(wǎng)絡中獲取一些具體的指標性數(shù)據(jù)，用于分析網(wǎng)絡性能、了解網(wǎng)絡運行狀況或解決網(wǎng)絡故障。目前針對ipv6網(wǎng)絡的測試研究一般集中在協(xié)議一致性測試、設備測試和過渡技術功能性測試上。而針對ipv6的網(wǎng)絡性能測試，有條件的可以購置昂貴的專用測試工具，如思博倫smartbits系列產(chǎn)品進行測試。如果對測試結果要求不是太高的話，可以選擇使用支持ipv6的開源軟件，實現(xiàn)部分性能測試內(nèi)容。網(wǎng)絡性能測試的基本指標有14：吞吐量：主要測試網(wǎng)絡設備的包轉發(fā)能力，通常指在不丟包的情況，網(wǎng)絡中單位時間內(nèi)傳輸?shù)臄?shù)據(jù)包數(shù)量。時延：設備從收到包到轉發(fā)出該包的時間問隔。丟包率：網(wǎng)絡傳輸中，丟棄數(shù)據(jù)包占收到數(shù)據(jù)包的比例。我們在支持ipv6的linux平臺下實現(xiàn)了一個雙協(xié)議棧環(huán)境下的ipv6網(wǎng)絡性能測試系統(tǒng)，并且該系統(tǒng)同時兼容ipv4網(wǎng)絡的性能測試。系統(tǒng)主要由往返時延測試器、丟包率測試器組成。具體實現(xiàn)算法如下：1往返時延測試器往返時延測試器負責ipv4、ipv6網(wǎng)絡的往返時延測試，采用icmp和icmp6協(xié)議。測試結果為測試100個數(shù)據(jù)包往返時延的平均值，其算法流程描述如