构建企业IPv4IPv6双协议栈热备冗余核心网络

1、构建企业IPv4/IPv6双协议栈热备冗余核心网络     摘要：随着IPV4协议地址的日益枯竭，IPV6协议技术的日益成熟，除了各研究机构和高校在构建IPV6网络外，各大企业也根据国家相关政策开始了IPV6网络的建设，为了使网络具有承上启下的功能，实现IPV4到IPV6平滑过渡的愿景，该文在这里介绍一种同时运行IPV4、IPV6且具热备冗余的企业网络，并讨论双协议栈、HSRP等主要协议及其实现的方法。 关键词：IPv4；IPv6；HSRP；双协议栈；平滑过渡 中图分类号： TP368.6 文献标识码：A文章编号：1009-3044(2011)22-53

2、40-03 1 IPv4/IPv6双协议栈热备冗余网络在企业的应用前景 随着1998年IETF正式公布了RFC2460标准，IPv6协议就正式诞生了。IPv6具有2的128次方个IP地址，是IPv4地址的2的96次方倍，解决了IPv4地址空间的枯竭的问题。 IPv6具有极强的安全性和可靠性，在扩展头中增加了身份验证头AH和封装安全性数据头(ESP)，大大降低了数据被篡改的可能；IPv6增强了对流的支持，流标签的引入为整合、优化语音、视频和数据网络提供了更好的条件,同时高QoS特性使得数据传输质量更加高效； IPv6还增强了对移动性主机的内在支持等功能。 将IPv6协议优秀的新特性和功能及早应用

3、于企业，同时又能很好地兼容IPv4应用，增强企业核心网络性能，采用IPv4/IPv6双协议栈热冗余模式建设企业核心网络对企业计算机应用就有着非常重要的意义。 2 IPv6的新特性 2.1 全新的地址管理方案 地址管理方案中，首先改变了地址拥有方式，IPv4中，地址是用户拥有，IPv6成了ISP拥有。其次IPv6还包括IPv4中没有统一解决方案的地址解析协议(ABP)和可达性检测等等。 IPv6还提供了地址自动配置机制，实现了主机的即插即用功能。为了保证主机地址的唯一性，IPv6定义了重复地址检测过程，每当生成地址时，均反复执行生成和检测过程，直到得到唯一的地址。 2.2 报文的安全传送 IPv

4、6继承了IPv4的报文传送技术，在IPv6地址设计中增强了接口ID设置，这种ID设置提供了确认对方物理终端的技术条件，同时在其扩展头中增加了身份验证头AH和封装安全性数据头(ESP)。 身份验证头AH首先为IP数据报提供强大的完整性服务和身份验证，为IP数据报承载内容验证数据和将实体与数据报内容相链接；其次在完整性服务中使用公共密钥数字签名算法，AH还可以为IP数据报提供不可抵赖服务以及通过使用顺序号字段来防止重放攻击。再有，AH还可以在隧道模式或透明模式下使用，既可用于为两个节点间的简单直接的数据报传送提供身份验证和保护，也可用于对发给安全性网关或由安全性网关发出的整个数据报流进行封装。 封

5、装安全性数据头通过加密提供数据报的机密性,通过使用公共密钥加密对数据来源进行身份验证,通过由AH提供的序列号机制提供对抗重放服务,以及通过使用安全性网关来提供有限的业务流机密性。 2.3 对流的支持 IPv6在设计时就充分考虑了对流的支持，改变了IPv4对流的处理即需要路由器判断源和目的IP地址，又需要判断传输控制协议或用户数据报协议的端口号的复杂操作过程。在IP6的IP头的格式里，有专门的20bit流标签域。主机发送报文时，流标签里填入相应的流编号，路由器收到流的第一个报文时，以流编号为索引建立处理上下文，流中的后续报文都按上下文处理，因此IPv6对流的处理方式要高效得多。 同时IPv6定义

6、了流的优先级，分别支持不同的业务需求。通过对语音、视频、数据等不同类型的数据流进行合理、有效的优先级设置，为企业建设和优化语音、视频、数据三网合一网络平台提供了远优于IPv4网络的解决方案。 3 IPv6采用的关键技术 3.1 应用支持IPv6的技术 IPv6继承了IPv4网络中大量应用协议，比如：FTP、Telnet、SMTP、HTTP、NFS、DNS等，它们会在IPv6中继续使用。只有少部分如：IPv4 socket接口需要改为IPv6 socket接口，而协议本身机制可以基本不做改动。 3.2 IPv6过度技术 为了保护在IPv4上的大量投资，IPv6应该能与IPv4的主机和路由器共存。

7、逐步演进、逐步部署、地址兼容、降低费用等内容便成了IPv6设计时的指导思想。为了实现这一目标，IPv6主要过度技术有十多种，而基本的过度技术就是双协议栈和隧道。 1）双协议栈技术 IPv4/IPv6双协议栈技术，就是使IPv6网络节点具有一个IPv4栈和一个IPv6栈，同时支持IPv4和IPv6协议。两者都应用于相同的物理平台，以及承载相同的传输层协议TCP或UDP。 2）隧道技术 隧道(Tunnel)是指将一种协议报头封装在另一种协议报头中，这样一种协议就可以通过另一种协议的封装进行通信。IPv6隧道是将IPv6报头封装在IPv4报头中，这样IPv6协议包就可以穿越IPv4网络进行通信。 4

8、 组建具有热备冗余功能的IPv4/IPv6双协议栈网络 4.1 IPv6网络建设策略 IPv4到IPv6的升级切换不可能一蹴而就，必须循序渐进。因此在基于IPv6的特点以及公司目前IPv4网络的应用情况，在建设IPv6网络时做了以下几点：不影响现有基于IPv4协议的所有网络应用；保持现有网络的层次结构；确保计算机终端同时对IPv4和IPv6网络的访问能力；满足今后平滑实现IPv4网络到IPv6网络的过渡；通过IPv6网络的建设，进一步提高企业核心网络的性能。因此，IPv6网络建设中采用了热备冗余功能和IPv4/IPv6双协议栈技术。 4.2 网络拓扑 IPv6网络核心建设完成后形成图1所示的结

9、构示意图，核心交换机A与核心交换机B用两对光纤连接实现热备份互联基础，两台交换机与下一层交换机分别互联，形成双链路，在启用HSRP及相关配置后实现双机热备路由功能。 配置IPv4/IPv6网络需要完成如图2所示步骤。 4.3 双协议栈的启用 为了实现IPv4/IPv6双协议栈功能，在网络接口设置中必须同时启用两种协议。现有交换机IPv4已经启用，启用IPv6协议及配置节点地址步骤如下： interface fastethernet 1/1 IPv6 enable /启用IPv6协议 IPv6 address 2001:400:25:1:1/64/配置IPv6节点地址 4.4 路由实现 全局模式

10、下IPv4使用IP routing启用路由功能，IPv6则使用IPv6 unicast-routing启用路由功能。IPv6是对IPv4的革新，尽管大多数IPv6的路由协议都需要重新设计或者开发，但IPv6路由协议相对IPv4只有很小的变化。在静态路由方面与IPv4也基本相同，只需为节点配置地址并作为客户机网关，即可实现网段间的路由。 全局模式下启用IPv6路由及相关配置 IPv6 unicast-routing /打开ipv6单播路由功能 IPv6 dhcp pool test /新建一个IPv6的dhcp地址池test，供客户机自动获取使用 prefix-delegation pool t

11、est1 lifetime 1800 600 dns-server 2001:400:4:1:101/指定IPv6 dns服务器地址 4.5 Windows2003中IPv6 DNS配置 安装DNS服务及IPv6 DNS插件； 配置IPv6 DNS a、打开了DNS配置向导； b、在导航窗格中, 单击用于你的服务器在DNS服务器对象，用鼠标右键单击服务器对象，然后单击 配置DNS服务器以启动配置DNS服务器向导，步骤见图3。 4.6 IPv6客户机配置 通常情况下IPv6客户机在启用IPv6协议后，地址会从最近的网络节点自动获取，无需用户手动配置，但是对于像服务器这类需固定IP地址的则需手动配

12、置，以便于访问。以Windows Server 2003为例，步骤如下： 1）IPv6 协议栈的安装 在“开始”>“运行”处执行IPv6 install命令 2）IPv6 地址设置 在“开始”>“运行”处执行netsh命令，进入系统网络参数设置环境netsh>，执行interface ipv6 add address “本地连接” 2001:d0a8:3207:e002命令设置地址；或者在 开始 ->“运行”处执行 ipv6 adu 4/2001:d0a8:3207:e002。 3）IPv6 默认网关设置，在netsh>标识后输入 interface ipv6 a

13、dd route :/0 “本地连接” 2001:d0a8:3207:e001 publish=yes命令即可；或者在在“开始”->“运行”处执行 IPv6 rtu :/0 4/2001:d0a8:3207:e001。 4.7 IPv6网站的访问 用户在实际使用中，IPv4和IPv6同样使用域名网址http:/www.yunnan-进行访问，使用IP地址访问时有所不同，IPv6协议需要使用带中括弧方式来访问,例如：http:/ 2001:d0a8:3207:e001。 4.8 热备份路由器协议配置 网络核心采用热备份路由器协议技术（HSRP：Hot Standby Router Prot

14、ocol），系统中使用两台路由交换机满足HSRP多台路由器的条件，组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。配置步骤如图4。 1）热备份交换机通道配置 交换机A interface Port-channel1 /创建一个捆绑通道组1 description HSRP_packet /描述该通道是传递hsrp包用 interface Gigabi

15、tEthernet5/1 channel-group 1 mode on /将端口划入捆绑接口Port-channel1 在交换机B中进行同理配置。 2）VLAN冗余组配置 交换机A interface Vlan1/配置vlan 1接口 ip address 2 /配置本地Vlan1接口Ipv4地址 IPv6 enable standby version 2/启用版本2 standby 1 ip /设置vlan 1到热备组1，同时设置vlan 1的ipv4网关 standby 1 priority 110 /在本交换机的优先级110（

16、默认100，优先级高的为主用） standby 1 preempt/打开热备组1抢占功能 standby 1 track Port-channel1 /热备组1通过捆绑接口Port-channel1实现双机信息告知 standby 1 ipv6 2001:400:1:1:100/64 /启用IPv6 HSRP协议 在交换机B中进行同理配置。 5 结束语 1）通过双机热备份路由器协议的使用，公司网络稳定性能得到很大提高，更好地满足了目前公司数十套业务系统全天候不间断的运行要求，很好地支持了公司的发展； 2）为公司正进行的全面信息化及电子商务的建设提供了高效、安全、可靠和无阻塞的信息处理网络平台； 3）通过对IPv6技术的应用，它拥有的全新网络安全架构技术使企业业务数据的传输安全得到了进一步保证； 4）IPv6对流的充分支持，加快了企业对流业务应用系统的开发，为建设高效的企业语音、视频、数据三网合一网络平台起到了重要作用； 5）该系统的成功实施为公司业务系统今后及早融入IPv6网络环境打下了基础，为公司ERP