文/王宇杰 杨志军

北京交通大学下一代校园网建设进入新阶段

文/王宇杰 杨志军

编者按：随着设备产业化专项教育科研基础设施IPv6技术的升级以及应用示范项目的开展，作为子项目的承担者，北京交通大学的下一代互联网建设进入了一个崭新的阶段，本文为《下一代校园网建设进入新阶段》后部分，介绍北京交大对下一代校园网建设的研究，以供参考。

网络升级方案

整个CNGI2的建设过程工作量非常大，基本涉及到全校所有网络设备的更换，一共涉及2台核心设备，40台汇聚设备，近500台接入设备。如何改造对用户影响最小、时间最短是一个难题。学校制定了自顶向下，逐步更换，先4后6的原则。

首先，将2台核心设备上线，接入现网环境中，运行ospfv2，实现核心和整个校园网的互通。

第二步，将全校所有楼宇的汇聚设备逐一更换并连接至新核心。为使影响最小，每一个新汇聚规划了完全不同的互联地址和网管地址。汇聚设备配置完毕后，再现场上电，然后通过备份链路将新汇聚和新核心调通。因新汇聚采用单独的地址和光纤链路，所以这个过程对用户没有影响。待新汇聚完全准备好，挑选用户最少的时间段，将旧的接入逐台接到新汇聚上，每次只断一台接入，这个过程不到1分钟。接到新汇聚上后，用户就可以恢复上网。

待全部的汇聚更换完毕，所有的汇聚就都接在新核心上时，将校园网v4出口线路切换至新核心上，旧核心就可以顺利下线。至此，双栈改造的硬件部分基本完成。

第三步，也是工作量最大的一步，但也是影响最小的一步，逐台更换接入设备。

第四步，待v4全部切换完毕，运行稳定后，全网部署OSPFv3，实现用户的双栈接入。

值得一提的是：在项目建设中，为了提高整个网络的可靠性，学校进行了大部分楼宇的光缆改造和部分楼宇的垂直布线改造。如前所述，学校的校园网建于90年代初期，当时的光纤基本是小对数，最多8芯，远远不能满足目前网络的应用要求。为了满足双上行的要求，对不满足要求的楼宇的光缆重新铺设大对数光缆。另外，原来学校有一大片学生宿舍接入交换机采用光纤堆叠技术，本次升级对这部分区域进行了楼内垂直布线改造，由光改为电，并取消堆叠。

截至目前为止，北京交通大学CNGI2建设的网络部分的改造已全部完成，用了大概半年时间。项目实施后IPv6流量已经达到1Gbps。

CNGI2项目实施后IPv6出口流量

纯IPv6网络建设

纯粹的IPv6节点网络的建设，可以为下一代互联网的建设和研究提供极有参考价值的帮助。在现有的网络上建设纯粹的IPv6网络，最理想的方案是利用支持IPv6 VPN的设备，在现有的物理网络上建设一个IPv6的vpn网络，也就是6VPE的解决方案。但在本次下一代互联网项目中，由于经费的限制，很多学校所选择的核心及汇聚层设备连IPv4的MPLS VPN特性都不支持，更不用说支持6VPE。北京交通大学也存在这种情况。

其次的方法就是建立跨越整个校园网的二层Vlan，在此基础上连接各处的纯IPv6节点。这个方法要解决广播域带来的广播问题。学校目前在测试该方案。

另外，学校的“下一代互联网中心”实验室通过OSPF v3将其大量的纯IPv6节点接入到现网中，进行现网中纯IPv6网络的科研和实验。

最后，学校利用建成的覆盖全校的无线网络，广播专门的纯IPv6 SSID，无线用户通过该SSID接入后只能使用IPv6，无法使用IPv4。通过这种方式，用户可以在全校任何一个地方接入纯IPv6网络进行纯粹的下一代互联网的体验和科研。

支撑体系研究

一个网络的正常运行，离不开网管、计费等支持系统。在北京交通大学下一代互联网建设过程中，除了等待随子项目一起部署的校园网的网络支撑系统外，学校对相关的支撑体系也做了一些有益的尝试。其中包括：

1）网管系统：除了CNGI一期建设中的基于开源的CACTI的网管系统外，学校还测试了北邮的综合网管系统。学校将所有的IPv6网络设备添加到系统中，该系统会定期（默认5分钟）轮询交换机，读出所有neighbor表项并归档。这个功能能准确定位用户，可以准确地反查某一时间某一个IPv6地址使用的mac地址及使用的交换机端口。同时该系统反应出学校的IPv6有效用户已经接近1万人。

2）IPv6的安全产品。在小范围尝试一些免费的开源安全软件的同时，学校和设备厂商也进行积极的交流。目前学校所使用的cisdo的FWSM防火墙模块已经在几年前就支持IPv6特性，而且改防火墙模块支持多达20个的虚拟防火墙。目前已经将其架设在学校的CERNET2出口上做IPv6的安全访问控制。

3）IPv6流控产品。针对目前主流的IPv6的应用，支持IPv6的流控产品的部署也是要考虑的问题。目前的IPv6的应用主要集中在BT和视频流方面，但到底应用的有效组成部分是什么，需要有专业的产品来定位。目前学校的IPv6出口流量1G带宽已经用满，学校计划在条件成熟的时候测试一些厂商的设备，如cisco的SCE 8000和Allot的10000。

4）计费产品。目前学校的IPv6出口1G带宽已经完全占满，主要原因是校内的IPv6流量免费。要想有效的控制带宽使用，除了用专门的流控设备加以整形外，通过合理的计费手段，让用户自我约束网络使用习惯是一个很好的方法。目前学校IPv4的计费采用Drcom的双机计费方案，该公司对IPv6的计费已经进入测试阶段，学校将会和该公司合作，开始进行IPv6的商业计费测试。

应用系统建设及迁移

网络升级的同时，学校也加大了应用系统建设的力度。除传统的应用系统的迁移之外，利用NGIX建立了反向代理，使更多的应用系统支持IPv6的访问。此外，学校重点建设了2个资源网站：交大晨光BT和交大IPv6实验站。

交大晨光BT是国内出现最早的高校校内BT站点之一，支持IPv6的种子，而且在不久的将来会只支持IPv6的访问。这个站点上有大量用户感兴趣的资源。

交大IPv6实验站是交大IPv6的门户网站。除了一些IPv6的介绍外，主要提供基于双栈的视频服务。

通过以上两个网站的改造，学校涌现出一大批IPv6的用户。

开展的科研

在下一代互联网建设的基础之上，学校结合试商用的要求，进行了一些科研尝试。

随着下一代互联网的建设，用户的双栈接入已不成问题，关键问题是如何对用户的IPv6接入做到可控，可管理。学校对入围CNGI二期的3个接入交换机厂家的产品做了全面的评测，从IPv6网管，IPv6 ACL，DHCPv6 snooping，ND snooping，IPv6 MAC绑定，IPv6端口绑定等几个涉及到用户IPv6安全接入的方面做了全面研究和测试。研究测试结果表明：厂商在安全接入控制上做了很多工作，有些厂商在上述几个方面考虑了相关的功能，但多数都做得不完善或有BUG，距离IPv4的安全接入的控制水平还有一定的差距。另外，对于IPV6用户的安全可控接入方式也远没有IPv4多，802.1x和portal目前都不支持IPv6的接入认证，这些方面还要等待厂商的完善。

另外，如何利用用户的IPv4信息来定位IPv6信息也是学校研究的一个重点。目前，纯粹的IPv6用户可能仅仅存在科研网络中，现网中的绝大多数用户使用的还是双栈。如何利用丰富的IPv4信息来定位IPv6用户，学校做了有益的尝试。从双栈汇聚上定时采集用户的mac表，arp表和IPv6的邻居关系表；将这些信息入库，另外结合计费上的用户信息，关联起来做一定的检索，可以方便的定位IPv6用户的IPv4信息和账号信息，进而可以准确定位用户。另外，结合portal认证的测试，可以不依赖于计费帐户的信息来定位用户。

用户的培养

下一代互联网的普及，不仅在于设备的支持，更在于用户的培养，只有用户量上去，才有可能进行商用的测试和科研。而用户的培养，关键是要有出色的IPv6应用来吸引用户使用下一代互联网。学校在这方面做了有益的尝试，目前最关键的下一代互联网的应用是BT。学校的BT在2008年就已经支持IPv6，经过2年的建设，加上下一代互联网建设后双栈网络环境的建立以及IPv6流量免费使用，目前BT上IPV6的种子数量已经超过IPv4的种子。而且目前交大晨光BT的IPv6平台允许校外用户访问，IPv4的平台则禁止校外用户访问。这些因素都加速用户要尽快安装并使用IPv6。下一步学校计划逐步取消BT平台IPv4的支持，要想使用BT，必须安装和使用IPV6协议。

后续工作

CNGI2北京交通大学升级子项目的网络改造目前虽已结束，但还有很多后续工作需要做：

1）进一步加强应用系统的迁移工作，使更多的系统为IPv6网络提供服务；已经迁移的系统，改造的更好；

2）进一步加强IPv6安全防御体系的研究，为IPv6网路的安全可靠运行提供保证。主要集中在两方面的研究：一方面是出口的安全，另一方面是接入安全。

3）配合项目总体规划，部署IPv6应用示范项目并试用。

4）进一步加强基于下一代互联网的校园无线网建设的研究。

随着国家2008年下一代互联网业务试商用及设备产业化专项教育科研基础设施IPv6技术升级和应用示范项目的开展，北京交通大学的下一代互联网建设迎来了新的建设阶段。目前学校CNGI2项目升级中的网络部分改造已基本完成，但相关的支撑系统的建设和应用系统的迁移才刚刚开始。同时，如何建设一个安全的下一代互联网是一个全新的课题。要想将下一代互联网建设到目前v4网络的阶段，还有比较长的一段路要走。

（作者单位为北京交通大学信息中心）