第一篇：構建企業(yè)IPv4IPv6雙協議棧熱備冗余核心網絡

構建企業(yè)IPv4IPv6雙協議棧熱備冗余核心網絡

摘要：隨著IPV4協議地址的日益枯竭，IPV6協議技術的日益成熟，除了各研究機構和高校在構建IPV6網絡外，各大企業(yè)也根據國家相關政策開始了IPV6網絡的建設，為了使網絡具有承上啟下的功能，實現IPV4到IPV6平滑過渡的愿景，該文在這里介紹一種同時運行IPV4、IPV6且具熱備冗余的企業(yè)網絡，并討論雙協議棧、HSRP等主要協議及其實現的方法。

關鍵詞：IPv4；IPv6；HSRP；雙協議棧；平滑過渡

中圖分類號： TP368.6 文獻標識碼：A文章編號：1009-3044(2011)22-5340-03 IPv4/IPv6雙協議棧熱備冗余網絡在企業(yè)的應用前景

隨著1998年IETF正式公布了RFC2460標準，IPv6協議就正式誕生了。IPv6具有2的128次方個IP地址，是IPv4地址的2的96次方倍，解決了IPv4地址空間的枯竭的問題。

IPv6具有極強的安全性和可靠性，在擴展頭中增加了身份驗證頭AH和封裝安全性數據頭(ESP)，大大降低了數據被篡改的可能；IPv6增強了對流的支持，流標簽的引入為整合、優(yōu)化語音、視頻和數據網絡提供了更好的條件,同時高QoS特性使得數據傳輸質量更加高效； IPv6還增強了對移動性主機的內在支持等功能。

將IPv6協議優(yōu)秀的新特性和功能及早應用于企業(yè)，同時又能很好地兼容IPv4應用，增強企業(yè)核心網絡性能，采用IPv4/IPv6雙協議棧熱冗余模式建設企業(yè)核心網絡對企業(yè)計算機應用就有著非常重要的意義。IPv6的新特性

2.1 全新的地址管理方案

地址管理方案中，首先改變了地址擁有方式，IPv4中，地址是用戶擁有，IPv6成了ISP擁有。其次IPv6還包括IPv4中沒有統一解決方案的地址解析協議(ABP)和可達性檢測等等。

IPv6還提供了地址自動配置機制，實現了主機的即插即用功能。為了保證主機地址的唯一性，IPv6定義了重復地址檢測過程，每當生成地址時，均反復執(zhí)行生成和檢測過程，直到得到唯一的地址。

2.2 報文的安全傳送

IPv6繼承了IPv4的報文傳送技術，在IPv6地址設計中增強了接口ID設置，這種ID設置提供了確認對方物理終端的技術條件，同時在其擴展頭中增加了身份驗證頭AH和封裝安全性數據頭(ESP)。

身份驗證頭AH首先為IP數據報提供強大的完整性服務和身份驗證，為IP數據報承載內容驗證數據和將實體與數據報內容相鏈接；其次在完整性服務中使用公共密鑰數字簽名算法，AH還可以為IP數據報提供不可抵賴服務以及通過使用順序號字段來防止重放攻擊。再有，AH還可以在隧道模式或透明模式下使用，既可用于為兩個節(jié)點間的簡單直接的數據報傳送提供身份驗證和保護，也可用于對發(fā)給安全性網關或由安全性網關發(fā)出的整個數據報流進行封裝。

封裝安全性數據頭通過加密提供數據報的機密性,通過使用公共密鑰加密對數據來源進行身份驗證,通過由AH提供的序列號機制提供對抗重放服務,以及通過使用安全性網關來提供有限的業(yè)務流機密性。

2.3 對流的支持

IPv6在設計時就充分考慮了對流的支持，改變了IPv4對流的處理即需要路由器判斷源和目的IP地址，又需要判斷傳輸控制協議或用戶數據報協議的端口號的復雜操作過程。在IP6的IP頭的格式里，有專門的20bit流標簽域。主機發(fā)送報文時，流標簽里填入相應的流編號，路由器收到流的第一個報文時，以流編號為索引建立處理上下文，流中的后續(xù)報文都按上下文處理，因此IPv6對流的處理方式要高效得多。

同時IPv6定義了流的優(yōu)先級，分別支持不同的業(yè)務需求。通過對語音、視頻、數據等不同類型的數據流進行合理、有效的優(yōu)先級設置，為企業(yè)建設和優(yōu)化語音、視頻、數據三網合一網絡平臺提供了遠優(yōu)于IPv4網絡的解決方案。IPv6采用的關鍵技術

3.1 應用支持IPv6的技術

IPv6繼承了IPv4網絡中大量應用協議，比如：FTP、Telnet、SMTP、HTTP、NFS、DNS等，它們會在IPv6中繼續(xù)使用。只有少部分如：IPv4 socket接口需要改為IPv6 socket接口，而協議本身機制可以基本不做改動。

3.2 IPv6過度技術

為了保護在IPv4上的大量投資，IPv6應該能與IPv4的主機和路由器共存。逐步演進、逐步部署、地址兼容、降低費用等內容便成了IPv6設計時的指導思想。為了實現這一目標，IPv6主要過度技術有十多種，而基本的過度技術就是雙協議棧和隧道。

1）雙協議棧技術

IPv4/IPv6雙協議棧技術，就是使IPv6網絡節(jié)點具有一個IPv4棧和一個IPv6棧，同時支持IPv4和IPv6協議。兩者都應用于相同的物理平臺，以及承載相同的傳輸層協議TCP或UDP。

2）隧道技術

隧道(Tunnel)是指將一種協議報頭封裝在另一種協議報頭中，這樣一種協議就可以通過另一種協議的封裝進行通信。IPv6隧道是將IPv6報頭封裝在IPv4報頭中，這樣IPv6協議包就可以穿越IPv4網絡進行通信。組建具有熱備冗余功能的IPv4/IPv6雙協議棧網絡

4.1 IPv6網絡建設策略

IPv4到IPv6的升級切換不可能一蹴而就，必須循序漸進。因此在基于IPv6的特點以及公司目前IPv4網絡的應用情況，在建設IPv6網絡時做了以下幾點：不影響現有基于IPv4協議的所有網絡應用；保持現有網絡的層次結構；確保計算機終端同時對IPv4和IPv6網絡的訪問能力；滿足今后平滑實現IPv4網絡到IPv6網絡的過渡；通過IPv6網絡的建設，進一步提高企業(yè)核心網絡的性能。因此，IPv6網絡建設中采用了熱備冗余功能和IPv4/IPv6雙協議棧技術。

4.2 網絡拓撲

IPv6網絡核心建設完成后形成圖1所示的結構示意圖，核心交換機A與核心交換機B用兩對光纖連接實現熱備份互聯基礎，兩臺交換機與下一層交換機分別互聯，形成雙鏈路，在啟用HSRP及相關配置后實現雙機熱備路由功能。

配置IPv4/IPv6網絡需要完成如圖2所示步驟。

4.3 雙協議棧的啟用

為了實現IPv4/IPv6雙協議棧功能，在網絡接口設置中必須同時啟用兩種協議。現有交換機IPv4已經啟用，啟用IPv6協議及配置節(jié)點地址步驟如下：

interface fastethernet 1/1

IPv6 enable //啟用IPv6協議

IPv6 address 2001:400:25:1::1/64//配置IPv6節(jié)點地址

4.4 路由實現

全局模式下IPv4使用IP routing啟用路由功能，IPv6則使用IPv6 unicast-routing啟用路由功能。IPv6是對IPv4的革新，盡管大多數IPv6的路由協議都需要重新設計或者開發(fā)，但IPv6路由協議相對IPv4只有很小的變化。在靜態(tài)路由方面與IPv4也基本相同，只需為節(jié)點配置地址并作為客戶機網關，即可實現網段間的路由。

全局模式下啟用IPv6路由及相關配置

IPv6 unicast-routing //打開ipv6單播路由功能

IPv6 dhcp pool test //新建一個IPv6的dhcp地址池test，供客戶機自動獲取使用

prefix-delegation pool test1 lifetime 1800 600

dns-server 2001:400:4:1::101//指定IPv6 dns服務器地址

4.5 Windows2003中IPv6 DNS配置

①安裝DNS服務及IPv6 DNS插件；

②配置IPv6 DNS

a、打開了DNS配置向導；

b、在導航窗格中, 單擊用于你的服務器在DNS服務器對象，用鼠標右鍵單擊服務器對象，然后單擊 配置DNS服務器以啟動配置DNS服務器向導，步驟見圖3。

4.6 IPv6客戶機配置

通常情況下IPv6客戶機在啟用IPv6協議后，地址會從最近的網絡節(jié)點自動獲取，無需用戶手動配置，但是對于像服務器這類需固定IP地址的則需手動配置，以便于訪問。以Windows Server 2003為例，步驟如下：

1）IPv6 協議棧的安裝

在“開始”―>“運行”處執(zhí)行IPv6 install命令

2）IPv6 地址設置

在“開始”―>“運行”處執(zhí)行netsh命令，進入系統網絡參數設置環(huán)境netsh>，執(zhí)行interface ipv6 add address “本地連接” 2001:d0a8:3207::e002命令設置地址；或者在 開始-->“運行”處執(zhí)行 ipv6 adu 4/2001:d0a8:3207::e002。

3）IPv6 默認網關設置，在netsh>標識后輸入

interface ipv6 add route ::/0 “本地連接”

2001:d0a8:3207::e001 publish=yes命令即可；或者在在“開始”-->“運行”處執(zhí)行 IPv6 rtu ::/0 4/2001:d0a8:3207::e001。

4.7 IPv6網站的訪問

用戶在實際使用中，IPv4和IPv6同樣使用域名網址http://004km.cn,2006-11-28.注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文