高校IPv6校园网的规划设计

高校IPv6校园网的规划设计
姜 楠
（内蒙古民族大学 网络中心 内蒙古 通辽 028000）
摘 要： 在探讨IPv6的过渡技术原理和参考国内部分重点高校校园网的网络部署情况基础上，根据内蒙古民族大学校园网的网络状况，规划设计一个高校校园网的IPv6网络解决方案。

结合内蒙古民族大学IPv6网络的建设过程，从IPv6升级方案和实施方案等方面进行详细阐述，在校园主干网和接入网进行部署并连通CERNET2。

关键词： IPv6；校园网；隧道；路由
中图分类号：TP398 文献标识码：A 文章编号：1671－7597（2012）1120121－01
通信时，自动选择相对应的协议进行通信；
0 引言
4）纯IPv6节点和纯IPv4节点之间的互通，使用协议转换IETF（因特网工程委员会）于1994年正式提出了IPv6协
或者应用层网关技术。

此方案只做为核心节点之间的互通，由议。

该协议拥有了全新的协议头格式，巨大的地址空间，全新
于技术已经相对落后，在实施过程中尽量避免使用。

的地址配置方式，更好的QoS支持，内置的安全性，全新的邻
居发现协议，良好的扩展性和内置的移动性等特点，使其较原有的IPv4协议具有更大的优势。

本文结合我校IPv6校园网建设工程，提出了一种高校校园网中建设IPv6网络的设计方案，并对规划设计过程进行了详细的阐述。

1 IPv4到IPv6的过渡策略
过渡策略重点是研究如何将校园网网络协议从IPv4协议平滑过渡到IPv6协议。

在过渡策略的设计规划中应该分步并循序渐进的进行，校园网数十年来在IPv4网络上已经进行了大量的投资，应该尽量使原IPv4网络设备可以继续使用。

目前，已经成熟使用的过渡方案主要有如下几种：
1.1 协议翻译
IPv4节点主机与纯IPv6节点主机由于IP层协议的设计结构是不相同的，所以不能进行直接通信，若二者进行通信，则在两种网络边界需要使用网络转换设备，通过修改两种IP协议报文头来转换网络地址。

需要指出的是，协议转换方法缺乏端到端的安全性等问题，正逐步被淘汰。

1.2 双协议栈方式
网络中的节点同时支持IPv4和IPv6协议。

由于新的IPv6协议栈主要是针对原有的IPv4协议栈的网络层部分作了较大改动，而传输层协议TCP和UDP则无太大区别，所以双栈节点通常是采用一种双IP层结构来实现的，从而能够同时与两种网络进行通信，故此双协议栈方式是所有过渡协议技术的基础。

1.3 隧道技术
隧道协议是使用IPv4协议做为承载协议，要发送的IPv6数据包经过IPv4数据包的封装后又通过IPv4网络将这些封装了的数据包发送到目标IPv4节点，目标节点接收数据包后拆封数据包并剥离出被封装的IPv6数据包，传输到上层协议，以完成通信。

隧道技术是目前业界最具有普遍意义的过渡策略，它在技术上较为容易实现，在现实应用中更多被应用在纯IPv6网络孤岛之间的通信。

2 IPv4到IPv6过渡原则
内蒙古民族大学根据近年来应用IPv4/IPv6过渡技术的经验，结合我校网络现状和下一步的发展规划，制定了以下关于IPv6的组网方案：
1）更多地发展使用纯IPv6网络。

后期所有的公共计算机机房、实验室和自习教室，接入纯IPv6网络或纯IPv6无线网。

2）用IPv4协议做为承载协议，在无直连IPv6链路的情况下，IPv6节点之间使用隧道技术进行通信。

3）支持双协议栈的节点和纯IPv6节点或者纯IPv4的节点
3 IPv6校园网的规划
3.1 接入网的设计
在现有IPv4校园网络基础上部署IPv6接入网时，IPv4网络的结构不做任何改变，仍然使用原来的IPv4地址，只要求网络中的IPv4主机操作系统可以升级到支持IPv6协议，就可以访问IPv6网络中的资源。

后期建立的纯IPv6网络可随时接入IPv6校园网中，以实现最基本的接入服务。

双栈主机需要既接入原IPv4网络，又接入新建设的IPv6网络，需在核心路由器上启用ISATAP隧道接入服务，主机无需更改任何配置，可以访问IPv4网络，又可以通过获得ISATAP分配的IPv6地址访问IPv6网络。

接入网设计最终将实现所有使用了IPv6协议的新主机都可以随时加入到网络中来，不依赖于主机的接入位置。

3.2 核心网的结构与功能
校园网核心网功能的实现是此次IPv6校园网规划设计的关键，它对于能否实现IPv6网络、在今后很长一段时期内继续使用原IPv4网络设备和实现两种网络之间的平稳过渡等问题起着决定性作用。

我校IPv6校园网使用两台核心交换机或和一台核心路由器做为骨干网的三台核心设备，部署在三个校区的网络核心层，采用光纤直连的方式形成万兆骨干环网。

网络中心所在的北校区使用核心路由器，主要实现校园IPv6网络与CERNET2的隧道连接，其它两个校区的核心设备主要实现纯IPv6用户的接入和做为ISATAP隧道接入服务。

三台核心设备组成了IPv6校园网的骨干环网且均支持双协议栈，可以对IPv4协议和IPv6协议均能做到无缝的支持。

3.3 隧道技术的应用
内蒙古民族大学IPv6校园网接入CERNET2将采用“6to4”隧道的方式，在出口核心路由器上实现。

其它两台骨干设备在校园网内部做为“ISATAP”隧道用户的接入服务。

设备站间自动隧道寻址协议——ISATAP，是一种发送IPv4封装的IPv6数据包的转换技术，也是一种地址分配和点到点的自动隧道机制。

它适用于在IPv4网络中IPv6主机之间的通信或IPv4网络中IPv6主机接入到IPv6网络的通信。

在IPv6校园网内部之所以选择使用“ISATAP”隧道技术不仅终端节点用户配置和使用简单，无需改变终端主机的IP地址，而且能够实现IPv6地址的自动分配，对用户使用技术的要求较低。

3.4 路由协议的选择
对于校园网联网的路由器而言，选择路由协议时需精心考虑网络结构的设计。

考虑到学校校园网未来发展的要求，决定采用“OSPF”协议作为网络的路由协议。

“OSPF”路由协议能
（下转第138页）
有密码破解、利用已知漏洞或脆弱点；可以利用的工具有数据安全箱，在数据以密文形式传输；密钥管理技术，在网络john ，lc_messages 和sechole 等。

环境中安全的传递密钥；访问控制技术，由VPN 服务的提供者偷窃，在此进行信息攫取以确定可信系统的入侵机制和途和最终网络信息资源的提供者决定特定用户对特定资源的访问径。

主要使用的方法有搜索明文密码；主要使用的信息有用户权限。

数据，配置文件和注册表等。

4 计算机病毒
当目标系统已经全部控制之后，为了防止系统管理员发觉计算机病毒具有传染性、隐蔽性、潜伏性、破坏性、针对便应该进行掩踪灭迹。

可以借助rootkits ，zap 等工具进行清性、衍生性、寄生性和不可预见性。

常见的计算机病毒可以分除日志记录等操作来消除操作痕迹。

成以下几种：系统病毒，感染windows 操作系统的.exe 在系统的不同部分均布置陷阱和后门，方便攻击者需要时和.dll 文件；蠕虫病毒，通过网络或系统漏洞传播；木马病可以容易的获得攻击对象的特权访问权限。

创建系统后门的方毒，隐藏在系统内并向外界泄露用户信息；黑客病毒，可对用法很多如创建“无赖”账号，安排批处理作业，感染初启文户系统进行远程控制；脚本病毒，是指利用脚本语言编写并通件，安装监控机制和植置远程控制服务等，主要手段和使用攻过网页传播的病毒；还有宏病毒、后门病毒、玩笑病毒、破坏击有remote.exe ，VNC 和BO2K 等。

性程序病毒和病毒种植程序病毒等。

如果攻击着侵入不成功，那么攻击者可能会使用漏洞代码计算机病毒的防范是一个整体的防范体系和制度，可以分来使目标系统瘫痪这就是拒绝服务攻击。

拒绝服务攻击主要应为病毒的防范、病毒的检测、病毒的清除。

用的发放和技术有SYN flood ，ICMP 技术，同一Src/dst SYN 请计算机防范和检测的基本技术有：特征代码技术是一种较求和bugs 。

简单的方法，通过分析病毒的病毒码，建立病毒的特征库，对3.2 应对黑客攻击的策略
现有数据进行扫描若匹配则认为改数据被感染；校验和法技应对黑客攻击确保网络安全，目前比较成有的网络安全技术，计算计算机内数据的校验和并保存，使用数据前进行校验术有：防火墙技术、数据签名技术、入侵检测技术和虚拟专用和对比，若不一致则认为数据感染病毒；行为检测技术，分析网VPN 技术等。

病毒共性行为，运行系统时进行监视若发现病毒行为则认为有3.2.1 防火墙技术。

防火墙是在内部网和外部网之间、专数据感染病毒和软件模拟技术等。

用网与公共网之间的界面上构造的保护屏障。

防火墙可以分为病毒的清除方法可以分为两种：简单工具治疗如Debug 等软件防火墙和硬件防火墙。

防火墙主要有服务访问规则、验证工具和专用工具治疗。

工具、包过滤和应用网关四部分组成。

防火墙通过检测每个信 5 计算机网络安全问题总结和展望
息包判断是否接受该信息来限制网络外的访问，同时也可以限由于攻击手段和危害计算机网络安全行为的多样性，计算制内部网络未授权的访问。

防火墙同时具备代理服务器的功能机信息和网络的安全需要整体的防护，不可能由单一的防护措施和包过滤器功能。

防火墙在网络层的NAT 技术将私有地址转化完成。

计算机网络正融入人们生活，与人们的生活紧密的结合在成合法的IP 地址，隐藏了网络的内部机构。

一起，随之而来的是越来越多网络犯罪，通过窃取用户信息，妨3.2.2 数据签名技术。

数字签名技术主要是基于公钥密码碍网络正常服务，仿造用户信息等行为危害国家、社会和个人的体制。

对数据进行签名的用户通过自己的私钥进行加密，收到利益。

因此，维护计算机网络安全的技术将面临更多的挑战。

需数据的一方通过对方的公开的公钥进行解密，如果可以得到明要投入更多的人力、物力发展计算机网络安全技术。

文则说明数据的真实性。

数据签名具有抗抵赖性；在报文中加入时戳或流水号使具有防重放攻击性；在原文中加摘要可以实参考文献：
现数据的防篡改性和身份认证等特性。

[1]曾琪，江西省萍乡市住房公积金管理中心，计算机网络安全维护3.2.3 入侵检测技术。

入侵检测技术是一种动态的安全技策略，科技创新与应用，2012，10：68.
术，提供了对内部攻击、外部攻击和误操作的实施保护。

当攻[2]马军、王岩，洛阳大学，ARP协议攻击及其解决方案，微计算机击绕过防火墙进入内部时入侵检测技术可以看成防火墙技术的信息，2006.
补充。

入侵检测通过监视和分析用户、系统活动；审计系统构[3]Joel Scambray，Stuart McClure，黑客大曝光，清华大学出版社.造和弱点；识别进攻活动模式并报警；统计分析异常的行为模[4]刘岩松、王征、赵勃，营口职业技术学院，浅谈网络安全现状与式；评估系统数据完整性和审计跟踪管理系统并是被用户违反网络攻击行为，科技信息，2012，27：84.
安全策略的行为来保护系统。

作者简介：
3.2.4 虚拟专用网VPN 技术。

VPN 技术是利用公共网络实现曹庆钰（1978-），男，工程硕士学历，毕业于中国矿业大学，目类似私有专用网的数据传输功能的技术。

VPN 系统的关键技术前为开滦集团信息与控制中心通信主管工程师，现职称通信工程师，开有：隧道技术，一般分为两大类第二层隧道协议PPTP 、L2F 和滦（集团）有限责任公司信息与控制中心，从事矿山通信专业。

L2TP 等，第三层隧道协议GRE 和IPSec ；加密认证技术，为保证
够快速收敛，支持无类路由和可变长子网掩码，可划分区域，署IPv6时还应考虑IPv6网络安全和与下一代互联网、无线网、适合运行在大中型网络中。

校园网“OSPF”路由协议将采用多物联网和云计算等技术相结合。

区域的方式，同时运行OSPF v2和OSPF v3，以分别维护IPv4和IPv6两种网络的路由协议。

参考文献：
4 结语
[1]张国祥，基于隧道技术实现IPv4到IPv6的策略及问题[J].现代计算为全面部署IPv6校园网，可以采用分步骤进行实施，逐渐机，2004，10.
将用户从现有网络迁移到新的网络中来，最终实现全部使用[2]王晓峰、吴建平、崔勇，互联网IPv6过渡技术[J].小型微型计算机IPv6网络。

由于每个学校网络的规模和组网的结构各有不同，系统，2006（3）.
需要综合考虑校园网的实际情况和发展规划。

此外，校园网部
（上接第121页）。