基于IPv6與IPv4雙協議棧的園區網絡規劃與設計

摘要：近年來隨著網絡技術迅速發展，各類園區網對公網IP地址需求量急劇增大，大量地址翻譯（NAT）技術的應用增加了設備的消耗。在充分考慮部分園區網原有網絡架構的基礎上，本文主要從IPv6與IPv4雙協議棧網絡設計、網絡部署、網絡安全防護三個方面開展基于IPv6與IPv4雙協議棧的園區網絡規劃與設計，兼具一定的實用性、安全性。

關鍵詞：園區網;IPv4;IPv6;雙協議棧

中圖分類號：TP393.04?? 文獻標識碼：A?? 文章編號：1672-9129（2020）16-0055-01

近年來隨著互聯網技術迅猛發展，各大園區網對公網IPv4地址需求量急劇增大，公網IPv4地址已于2019年11月26日宣告正式耗盡，這使得園區網中不得不大量使用NAT等技術以延緩IPv4地址匱乏的問題，這也無形中增加了園區網絡的復雜性和管理難度，因此建設IPv6園區網并逐步取代IPv4已成為必然趨勢。通過前期調研了本地部分園區網部署情況發現，園區內部匯聚層、接入層網絡設備并不支持IPv6;而對于少數已部署IPv6環境的園區網絡，IPv6網絡多以孤島形式存在。本文主要從IPv6與IPv4雙協議棧網絡設計、IPv6與IPv4雙協議棧網絡部署、IPv6與IPv4雙協議棧網絡安全防護等三個方面內容開展園區網絡規劃與設計。

1 IPv6與IPv4雙協議棧網絡設計

結合目前實際，如果直接從IPv4網絡直接向純IPv6的網絡轉變，將受到諸多方面因素限制，且成本較高?？紤]以上因素，園區網核心設備采用雙協議棧技術來部署。這使得在園區網全網在完全過渡到IPV6之前，使新興終端能夠接入IPV6網絡;而對于暫時無法換新的舊終端設備，仍然能使用IPv4網絡，從而實現了IPv4和IPv6網絡同時存在于園區網絡，IPv4設備和IPv6設備均不會以孤島形勢存在。

在園區網中一些具有新興終端需求的部門，如智能家電、智能終端、機器人的需求，增加部署支持IPv6的匯聚層交換機，使新終端能夠使用IPv6網絡進行通信;當此類終端需要與IPv4網絡進行通信時，采用IPv6 to IPv4協議翻譯技術[1]，使兩者之間能夠進行實時通信。在一些傳統業務部門，限于網絡終端比較老舊，僅支持IPv4網絡，匯聚層網絡設備仍然采用IPv4接入核心，同樣配置協議翻譯技術，使新老部門之間能夠正常通信。原有新興部門替換下的匯聚層網絡設備，直接放入傳統部門的網絡匯聚層使用，一方面解決原先傳統業務部門無冗余設備、冗余鏈路的問題，另一方面可節約一部分成本，符合國家節能減排的方針政策。

核心層設備通過虛擬化技術（典型的有華為CSS、華三IRF、思科VSS）將兩臺甚至更多臺核心層設備組合在一起，邏輯成一臺設備，可以實現網絡高可靠性和高速數據量轉發，同時簡化網絡管理，減少網絡中次優路由的產生，擴展了端口數、帶寬和容錯能力。

2 IPv6與IPv4雙協議棧網絡部署

隨著運營商IPv6網絡的普及，使得園區核心層設備實現IPv6出口成為了必然趨勢，可以將與運營商互聯的出口設備升級為支持IPv6的BGP4+協議。

對于內部路由協議，支持IPv6的內部網關協議有：RIPng、OSPFv3、IS-ISv6協議[2]。在綜合考慮大部分園區網原有路由協議為OSPFv2的基礎上，確立使用OSPFv3作為域內路由協議。OSPFv3的設計思路可以沿用OSPFv2的思路。由于核心層設備使用了雙協議棧技術，為使得IPv6網絡與平滑對接，OSPFv2和OSPFv3兩套協議同時部署在核心層和匯聚層，此時兩套協議是互相獨立的。OSPFv3的邏輯拓撲圖（包括區域規劃）和OSPFv2基本保持一致，簡化網絡的運維管理。

在IPv6網絡中，涉及WEB和視頻等服務器的部署。其中WEB服務器的過渡選擇雙棧共存模式，可使得對外提供的WEB服務得到平滑過渡。而鑒于園區網的組播業務與日俱增，若原來采用PIM-DM組播模式的園區網則改為采用PIM-SM方式，不同分部、不同業務根據網絡結構、用戶分布的情況選擇RP節點，相比原先部署的PIM-DM效率明顯提高。

3 IPv6與IPv4雙協議棧網絡安全防護

2016年國家發布了《國家網絡空間安全戰略》，足以見的國家對網絡安全的重視。對于新組建的IPv6園區網，網絡安全工作仍然不可忽視。IPv6本身不再具有廣播功能，取而代之的是組播數據。雖然在核心層設備上部署了雙協議棧，但是考慮到IPv4的攻擊技術層出不窮，在核心層設備將對外提供服務以外的數據，均封裝為IPv6的數據包。網絡邊界升級為兩臺支持雙協議共存的防火墻，將對外服務器部署在DMZ（非軍事化）區，防止因服務器被攻破導致的內部數據丟失、內部網絡癱瘓。在內部部署一臺流量清洗設備，用來應對突發的DDos（分布式拒絕服務）攻擊。與此同時，在內部需部署一臺支持雙協議棧的流量審計設備，一方面對攻擊行為進行及時記錄、取證，另一方面對于網絡攻擊行為能起到一定的震懾作用。

4 結語

本文主要從IPv6與IPv4雙協議棧網絡設計、網絡部署、網絡安全防護三個方面開展了基于IPv6與IPv4雙協議棧的園區網絡規劃與設計，隨著IPv6網絡和應用的普及，后續將逐步考慮使用純IPv6網絡取代雙協議棧網絡，形成更安全、更高效的園區網絡。

參考文獻：

[1]陳波.基于ThreadX操作系統的Ipv6隧道研究[D]. 上海：東華大學，2012.

[2]王宇杰.OSPFv3及其在高校下一代校園網建設中的應用[J]. 網絡與信息， 2010，（06）：27-27.

作者簡介：王魁（1990.6-），男，漢族，湖南懷化人，碩士，助理工程師。研究方向：網絡規劃設計與安全防護。