隨著互聯網用戶規模不斷擴大，互聯網承載的應用服務日益增多，IPv4地址空間不足，在2012年IPv4地址已基本分配完畢，IPv6開始大規模啟用，因此IPv6發展勢在必行。2017年底，中共中央辦公廳、國務院辦公廳印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》，2018年8月，教育部辦公廳下發了"教育部辦公廳關于貫徹落實《推進互聯網協議第六版（IPv6）規模部署行動計劃》。衡水學院作為地方高校，充分認識到IPv6在智慧校園建設中的突出作用，迅速開展且完成了IPv6在學校網絡的部署工作，2019年10月25日，河北省教育系統IPv6規模部署暨網絡安全技術交流會在衡水學院召開。

學?，F狀

　　衡水學院現有54個本科專業，分屬文學、理學、工學、教育學、經濟學、管理學、藝術學、法學、農學等9個學科門類。有全日制在校生1.48萬人，生源來自全國30個省、市、自治區。衡水學院校園網始建于1998年，經歷了多次升級改造，目前校園網接入聯通0.2Gbps，接入移動1Gbps，接入電信3Gbps,接入教育網0.2Gbps，其中IPv6帶寬達0.1Gbps,采用萬兆路由交換機作為核心設備，校園網骨干網鏈路達到萬兆，千兆鏈路作為終端連接，校園內所有教學辦公區域光纖全覆蓋。堅持網絡安全與信息化建設統一規劃、同步建設的原則，為廣大師生提供安全、穩定、暢通的網絡環境。目前提供域名解析、DHCP動態分配IP地址、數字圖書館、網上教學、辦公、統一認證等應用服務系統，整體網絡采用扁平化大二層的管理架構，其網絡結構圖如1－1所示。

圖1-1 衡水學院校園網絡結構示意圖

　　在2014年衡水學院校園網大規模升級改造之時已考慮到IPv6在校園網的應用，當前所運行的網絡設備均支持IPv6，且IPv6地址和學校IPv6域名均已申請完畢，為IPv6的部署工作奠定了基礎。

目標與原則

　　2012年，IPv4地址基本分配完畢，IPv6開始正式大規模啟用，但目前IPv4仍然在全球廣泛通用，因此保持現有的IPv4網絡結構不變，利用現有的網絡資源構建IPv4／IPv6雙協議棧網絡，實現兩者的互訪。依據以上目標，在構建過程中遵循以下原則：

　　a.最大程度保障IPv4網絡的穩定性。

　　b.保持現有網絡結構，網絡設備IPv4地址保持不變。

　　c.盡可能的利用現有的軟件資源和相關網絡設備來實現IPv6的組網設計。

　　d.實現IPv4與IPv6主機的互通。

　　e.根據網絡傳輸的路徑，從外到內分步實施。

網絡結構設計

　　1、校園網IPv6網絡結構

　　根據我院的實際情況，在本次IPv6部署工作中，采用同時支持IPv4和IPv6雙協議棧網絡的技術路線，即采取利用校園網現有的組網模式，用雙棧技術實現進行全校網絡的IPv6部署，實現兩者的共存與互訪，進而為全校用戶提供IPv4／IPv6的雙棧服務，并默認為IPv6訪問優先的形式。秉承"發展與安全并舉，同步推進網絡安全系統的規劃、建設、運行"的原則，對學校的IPv6網絡結構進行了規劃，如圖2-1所示。

圖2-1 衡水學院IPv6校園網絡結構示意圖

　　2.IP地址與VLAN規劃

　　我校申請到一／48的IPv6地址塊，共2⁸⁰個地址，與省教育網節點對接地址為2001:DA8:BACD::BAC/126與2001:DA8:BACD::FBD/126，以IPv4／IPv6雙棧接入技術予以實施。為了節省資源，提高方案的可行性，結合之前的IPv4地址，完成了IPv6的網絡結構設計。

　　我校的IPv4地址總體規劃原則，不僅根據其業務分類同時又根據相應的物理區域和邏輯部門對之進行分段，盡量確保同一部門使用同一地址段。如此不僅便于路由聚類減少路由條目，還可極大程度的簡化后續的管理工作。同時再劃分各個功能區地址時，要在滿足當下需求的基礎上，預留出足夠多的發展空間。IP地址一般按以下原則進行規劃：

　　a．服務器地址段

　　為了提高網絡的安全性與服務質量，便于網絡后期的擴容擴建，如WEB、DNS、DHCP及各應用系統服務器均采用彼此相獨立的地址段，并預留冗余空間。

　　b．網絡設備互聯與管理地址段

　　該地址段較為特殊，不僅需單獨劃分而且需集中進行管理，對于網絡的安全控制及后續管理均有著至關重要的作用。

　　c. 用戶終端地址段

　　對于用戶最后所接入的地址，不僅可依據其接入網絡的物理區域和業務分類進行劃分，還可依據其歸屬具體部門進行劃分。

　　在校園網中，IPv6網絡VLAN的劃分與IPv4網絡完全一致，盡可能的將網絡的廣播域限制在有限范圍，以此提高整個網絡的工作效率。同時網絡設備及終端所對應的VLAN與IP地址要保持相一致。由于東校區校園網絡建成多年，所有鏈路出口都在東校區，西校區是新建校園網絡，東西兩校區的網絡結構不同，主校區用戶IP地址由DHCP服務器分配，西校區用戶IP由校區的匯聚交換機實現DHCP功能進行IP地址的分配，因此東西兩校區地址段不一樣。如表3－1所示IPv6與現有VLAN規劃對照表：

表3－1 IPv6與現有VLAN規劃對照表

IPv6路由與DNS配置

　　經過核對檢查，現運行的核心網絡設備均支持IPv6，核心交換機是華為敏捷12700系列，需要先獲得IPv6的License文件授權并加載激活后，再進行下配置。

　　1、配置接口地址和路由

　　[sw]#Interface vlanif 1006        --與防火墻對接Vlan

　　[sw]#ipv6 address 2001:DA8:8B0:::a                --接口地址

　　[sw]#Interface vlanif 4        --與西校區對接Vlan

　　[sw]#ipv6 address 2001:DA8:8B0:::19                --接口地址

　　[sw]#ipv6 route-static :: 0 2001:DA8:8B0:::9 --默認路由

　　[sw]#ipv6 route-static 2001:DA8:8B0:1003:: 64 2001:DA8:8B0::1a

　　2、核心交換機配置Vlan網關，以Vlan35配置為例

　　[sw]#Interface Vlanif35

　　[sw]#ipv6 enable

　　[sw]#ipv6 address 2001:DA8:8B0:350::1/60

　　[sw]#undo ipv6 nd ra halt

　　3、DNS配置

　　采用智能DNS將域名拆分為A記錄和AAAA記錄進行解析，滿足IPv4/IPv6雙棧解析需求。支持AAAA記錄發布,提供v4/v6權威解析服務以及遞歸解析服務，支持自定義解析策略，同時提供多種適用于IPv6網絡的特色功能，有效配合反向代理系統實現網站應用的IPv6發布。選取相應的控制面板進行配置即可。

IPv6網絡管理

　　在IPv6的部署過程中，加強IPv6地址的管理，推進IPv6網絡用戶的實名制是重中之重。

　　1、統一身份認證系統

　　采用本地Web認證方式，通過BRAS采集的MAC地址進行后端雙棧聯動,BRAS會通過accounting報文上報v6地址或是前綴,在不改變用戶體驗的前提下實現IPv4/IPv6雙棧無感知認證。探針在線用戶日志，通過多種數據融合，實現用戶全面v6審計。

　　 2、DHCP服務（以西校區DHCP服務為例）

　　 校園網用戶通過無狀態分配獲取IPv6地址，以在西校區匯聚交換機DHCP服務實現IPv6地址無狀態分配為例配置如下：

　　interface VLAN 400

　　 description Wu zhuang tai kou

　　 ip address 192.168.44.1 255.255.255.0

　　 ipv6 address 2001:DA8:243:FF0C::1/64

　　 ipv6 enable        --端口下開啟IPv6功能

　　 no ipv6 nd suppress-ra -關閉RA消息抑制

　　 ip helper-address 192.168.22.3

IPv6安全建設

　　在IPv6建設工作的同時，優化IPv6網絡安全環境也同步推進，主要升級改造了以下網絡安全設備：

　　1、出口防火墻配置

　　出口防火墻有多條鏈路出口，在教育網出口部署IPv6相關策略，采用的是可視化管理界面，在相應界面選項卡輸入測試。比如配置教育網IPv6接口地址、配置默認路由和內網路由和配置IPv6訪問策略、IPv6NAT等等。

　　2、WAF防護

　　采用WAF防護IPv6 Web資源安全，支持基于全局規則和自定義規則，使用正則匹配方式有效過濾異常請求，以ModSecurity為基礎，可對單個資源設置安全規則，自由配置與應用安全策略模板，實現SQL注入防護、XSS跨站攻擊防護和DDos防御；同時可基于用戶行為的入侵檢測分析發現用戶異常行為，生成動態黑名單，實時保護內網資源安全。提供資源內容檢測功能，實現網頁防篡改。

Ipv6建設成果

　　經過升級改造，目前衡水學院門戶網站集群系統采用IPv4/IPv6雙棧協議技術已完成IPv6改造。IPv6支持情況如圖4-1所示：

圖4-1 衡水學院門戶網站IPv6支持情況

　　當然，校園網絡采用IPv4/IPv6雙棧技術是IPv4向IPv6的一種過渡，建設具有網絡安全體系保障的純IPv6校園網是下一階段的發展目標。

　　經過多年的建設發展，地方院校的校園網已具備開通IPv6的基本條件，并且教育網在政策和技術等各方面給予大力支持，希望越來越多的地方院校積極推進IPv6規模部署，盡快參與到IPv6的實踐中來，為下一代互聯網的發展做出積極的貢獻。

　　來源：中國教育和科研計算機網