基于ipv6的中小型企业网的设计和实现

题目：基于ipv6的中小型企业网的设计和实现专业：学生姓名：班级学号：指导教师：指导单位：日期：2016年03月18日至2016年06月07日摘要2011年宣布IPv4地址空间的耗尽后，现有的网络面临许多问题，网络规模越来越庞大，管理维护越来越复杂，网络设备的配置越来越多。这些问题与挑战对企业而言是个巨大的负担，也正是因此企业迫切需要一个新的网络协议来从根本上解决这些目前存在的问题。所以IPv6协议诞生了，IPv6是继IPv4以后的下一代互联网协议。

对于中小型企业而言，IPv6的部署既是挑战也是机遇，对于IPv6网络的需求也十分强烈。本文首先对IPv6协议进行了深入的研究，简要分析了IPv6协议的主要功能，并且将IPv6协议和IPv4协议进行比较，分析他们的不同之处，找出IPv6协议的优缺点。并且根据3种典型方案对IPv4和IPv6过渡阶段的兼容性进行了分析。在此基础上构建了一个中小型企业网的IPv6网络架构解决IPv6与IPv4兼容性，并通过GNS3软件进行仿真模拟。在模拟实验中完成预期目标，用ICMP协议测试网络连通性。关键词：IPv6；企业网；网络规划；IPv6与IPv4兼容性第一章绪论本章节主要介绍了研究背景及意义，说明IPv6在国内外部署的现状。阐述本次研究的内容，并将论文的总体结构进行说明。1.1研究背景及意义在2015年，我国互联网产业规模平稳增长、行业应用持续深化和不断创新、对国民经济的影响逐步加强。预计2016年，中国互联网将更加迅速发展。不但电子政务云平台实施效果将会进一步体现，公共服务信息平台和城市管理信息化将会在新型城市建设中承担更重要的职责。而且在人们日常生活衣食住行等方方面面都有网络的介入，例如网上购物平台，网络视频，微博，网络游戏等。因此在互联网领域中，中小型企业的发展成为产业重心。也正是因为互联网的急速发展，网络规模也越来越大。IPv4网络中的缺陷问题日益凸显，制约了当前网络发展的道路。目前主要是存在以下几个问题：1.IPv4地址资源的限制。截止于2015年12月，我国IP地址数量为3.37亿个，远远小于中国网民6.68亿的需求。IP地址的匮乏严重影响我国互联网的发展。2.骨干路由表过于庞大。有相关机构统计，仅在2000年就大约有120,000条路由存放在路由器中，而且还保持着60%~100%的增长率。这使得网络设备由于处理速度的限制，经常性未到使用年限就遭到淘汰。所以建设IPv6网络的需求迫切。主要是因为IPv6网络能够解决目前IPv4网络所存在的两大基本问题。也就是能解决IP地址匮乏和减小骨干路由表大小。IPv6协议使用128位的地址替代32位的IPv4地址，这样大约可以产生3.4×1038个可用地址。在可预见的未来，这个地址数目将可以满足人们生产生活中的需求，而且也为将来的纳米机器人联网提供了基础。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,使得IPv6能够用一条路由表示一整片子网，从而减小了路由表的长度。企业对于网络升级的需求增大，而针对于中小型企业的升级换代并没有十分完美的设计方案。根据调查，为企业进行网络升级的网络公司，大部分只为大型企业提供网络升级服务。目前在中小型企业网络升级上存在盲区。基本是在为大型网络公司的设计方案上更改，没有实际考虑中小型企业网络构架和企业承载能力。本文所要研究的就是在中小型企业网络构架的基础上，考虑实际生产、投资、环境等因素，设计构建出一个在骨干网络仍为IPV4时，企业网平滑过渡为IPv6的升级规划方案。1.2国内外研究部署现状在国外IPv6业务已经进入到了实际部署阶段。从IPv6渗透率来看，部分国家已超过15%，比如比利时为32%，德国14%，卢森堡12%，瑞士10%，而中国仍不到1%。从Google公司的访问统计来年，目前通过IPv6来访问谷歌的流量超过了4%，基本上是每半年翻一番，照此速度发展下去，到2017年，将有50%的用户是通过IPv6来访问Google的。在国内IPv6尚未开始大规模商业化部署，IPv6资源十分稀少大部分集中于科研教育机构。目前，至少我国有100所大学的校园网基础设施、门户网站和主要信息系统已经完成业务转化，能够允许IPv6协议运行。根据网络建设的“十二五”计划，现在我国东部地区的政府机构已经能够支持IPv6业务访问，并且中西部地区的政府网络升级改造计划也在稳步实施，预计在2016年中期将完成改造。然而排除科研机构和政府机关，我国的IPv6资源十分匮乏。仅有排位前100的部分商业网站完成了IPv6的升级，能够支持IPv6地址访问。但是工信部于2014年曾发布过我国将于2016年全面推行IPv6建设的意见。并且我国的三大电信运营商也在积极推进IPv6进程，已经完成了IPv6商业化部署的前期准备，IPv6的大规模商业化部署正在稳步建设。1.3研究内容随着IPv6网络的普及，以及企业网络规模扩大，业务负载的不断增加。IPv6的商业化进程开始不断的加快。为了提高网络利用率，防止关键业务受阻，作为互联网领域中的发展亮点，IPv6协议越来越被企业所重视。正是因为业务的拓展和网络整体的升级，企业需要进行IPv4网络向IPv6网络的升级换代。本文主要研究内容为了解什么是IPv6协议，IPv6协议的功能。并且通过和IPv4协议进行对比，分析出IPv6协议的优缺点。在通过文献资料了解当下解决IPv6和IPv4协议兼容性问题的解决方案。通过案例分析出各类解决方案优缺点。在上述理论知识为基础的条件下，为中小型企业设计一个基于IPv6的网络构架，并针对于IPv4协议和IPv6协议的兼容性问题作出解决方案。通过GNS3软件搭建实验平台，模拟真实企业网的构架，用来开展基础实验和验证基于IPv6的中小型企业网的规划方案。能够实现在运营商是IPv4网络时，IPv6企业网不但能够和IPv4用户进行正常业务，而且能够和异地子公司进行数据交流。除此之外，IPv6企业网还能够正常访问IPv6公网数据，处理IPv6网络业务。最后进行试验测试，用来测试此网络构架能否达到预期目的。1.4论文整体结构本文正文部分分为四个章节，各部分内容如下：第一章绪论主要描述本文研究的背景，说明研究的意义。简要的叙述出国内外IPv6部署的现状。然后概述了本文的具体内容和文章的整体结构。第二章IPv6协议的研究主要描述IPv6协议的特征，并与原有的IPv4协议相比较，分析IPv6协议的优缺点。并简要分析现有的三种能够解决IPv6与IPv4协议兼容性问题的解决方案，他们分别为IPv6/IPv4双协议栈技术，隧道技术，NAT-PT技术。通过用同一个例子进行对比，总结出各自方案的优劣性。第三章方案的总体设计主要是说明本文中设计的基于IPv6的中小型企业网的整体构架。首先提出了这个方案的总体需求，然后根据总体需求进行网络规划，设计二层和三层网络拓扑。在搭建实验环境，在仿真软件上进行模拟实验。针对试验中的关键点和可能出现的问题，提出解决方案。第四章测试主要内容为两项。第一项是需求测试，按照方案的总体需求来进行网络功能测试。第二项是性能测试，利用ICMP协议中的PING命令发送多个数据包，通过发送的成功率计算丢包率，从而判断网络通信性能。第二章IPv6协议研究本章节主要是研究IPv6协议特性，分析IPv6协议的优缺点。通过研究三种解决IPv6和IPv4兼容性问题的解决方案，总结出各自优缺点。2.1IPv6协议的简介IPv6是InternetProtocolVersion6的缩写，其中InternetProtocol译为“互联网协议”。IPv6是IETF（互联网工程任务组，InternetEngineeringTaskForce）设计的用于替代现行版本IP协议（IPv4）的下一代IP协议。目前使用最为广泛IP协议的版本号是4号（简称为IPv4），下一个版本就是IPv6。IPv6协议能够使每个人、每个终端都成为内容提供者，也就是说人们不但能获取信息，也能提供信息。与此同时，IPv6协议不但能满足下一代网络中对于多媒体数据例如：语音、图片、视频等资源的通信要求，而且能够保护信息通信安全，保障通信质量，为移动设备提供了良好的支持。IPv6地址长度为128位，地址空间增加了2的128次方，极大的扩展了地址空间，解决了IPv4协议资源不足的问题。IPv6简化了包头头部格式，加快了数据包的转发速度，并且存在可拓展头部。能够较为灵活的合并和扩展部分包头字段。IPv6还有更好的安全性，与IPsec的功能融合。将IPsec整合在IPv6的内部安全协议内，而不是类似IPv4那样使用叠加的方式进行数据通信的加密。IPv6的支持能够支持自动配置功能，不但能够支持DHCP的地址下发，而且能够自动生成主机默认路由。简化了网络配置，利于企业的管理运维。2.2IPv6协议的优缺点与IPV4相比，IPV6具有以下几个优势：1.IPv6协议拥有更加庞大的地址池。因为在IPv4网络中的IP地址位的长度是32位，因此IPv4地址池的大小为2的32次方。然而在IPv6中IP地址的长度为128位，也就是说最大地址个数为2的128次方。与32位地址空间相比，其地址空间增加了2^128-2^32个。2.IPv6极大的缩减路由表的大小。因为IPv6的地址分配遵循聚类（Aggregation）的原则，所以路由器能在路由表中用一条记录（Entry）表示一片子网，从而大大减小了路由器中路由表的长度，进而提高了路由器转发数据的速度。3.IPv6增加了增强的组播（Multicast）支持以及对流的控制（FlowControl），这不但使得网络上的多媒体应用有能后长远发展的机会，也为服务质量（QoS，QualityofService）控制提供了良好的平台。4.IPv6协议能够支持自动配置（AutoConfiguration）。这个功能是DHCP协议功能的进一步开发，不但扩展了很多新功能，而且改进了原协议的缺陷之处。因此在实际生产生活中，IPv6的自动配置功能对于企业而言，减小了对于网络的管理和维护成本。5.IPv6协议与IPv4协议相比，它拥有更好数据报头格式。他的格式使其选项和基本模块分开，并且按照实际需要，能够将可选项插入基本报文头部与上层通信数据间隔中。也因此简化和加速了路由选择过程。6.IPv6拥有新的选项。IPV6可扩展的选项来实现附加的功能。虽然IPv6有很多优点，但是目前主要所使用的还是IPv4，而这种和IPv6共存的情况会出现不少的安全隐患，这些问题只有在IPv6大规模推广应用后，才会充分暴露出来：1.虽然IPv4地址资源紧缺，但到目前为止，IPv6网络的发展还是缺少商业需求，可以预见在很长一段时间内，IPv4与IPv6将同时存在。同时，由于IPv6地址的扩展、IPv4与IPv6间的非对称性、过渡形式的多样性等系列问题，过渡期间安全防护将面临更为复杂的形势。2.再IPv4向IPv6逐渐过渡期间，主要以双栈和隧道机制两种技术手段，解决兼容性问题。但黑客可以利用双栈机制中两种协议间存在的安全漏洞或过渡协议的问题来逃避安全监测乃至实施攻击行为。

对于隧道机制而言，它只是对任何来源的数据包只进行简单的封装和解封，并不对IPv4和IPv6地址的关系做严格的检查。因此，造成防火墙可能轻易被“穿透”。3.因为IPv6协议尚未开始大规模商业化运作，因此十分缺乏大规模部署运行的数据。虽然目前已经检测出了IPv6的部分缺陷，并且用科学分析法预测了一些可能出现的问题。但是并不能保证不会有新的问题出现，从而影响到整个网络安全。4.IPv6因为嵌入的IPSec机制，所以提供了一种更好的端到终端之间通信的隐私保护能力。但是由于是基于OSI七层模型中的网络层的安全措施，所以对于其他层次的安全问题，例如：位于应用层的安全漏洞，IPv6协议自身的脆弱性，数据包的源地址伪造等，无法得到解决。5.IPv6本身存在缺陷。IPv6传输数据的最基本的传输机制并没有发生变化，仍然与IPv4网络的传输机制一样。因此原来存在于IPv4网络中的攻击方式，在IPv6网络中将依旧存在。而且因为IPv6庞大的地址池的原因，针对于大量地址的查询将变得更加繁琐。6.IPv6协议新特性会被黑客利用。黑客可能利用IPv6报文的扩展报头(可选且有多种扩展报头)

，通过自制畸形(违背IPv6标准报文格式)或者特定格式的恶意数据包来攻击路由器和主机。也可能通过邻居发现协议的特点向路由器宣告错误的地址消息，或者发送非法重定向信息，使黑客能够拦截窃听数据包，修改数据内容，封锁数据和拒绝服务。2.3IPv6和IPv4协议兼容性对于此次设计中的关键内容，也就是对于IPV4网络和IPV6网络的兼容性问题，共有3种方法：IPv6/IPv4双栈技术，隧道技术，NAT-PT（NetworkAddressTranslation-ProtocolTranslation）技术【1】【8】。根据实际生产条件可以有多种方案。2.3.1IPv6/IPv4双协议栈技术：仅从技术的角度来讲，能够完美解决IPv4网络和IPv6网络兼容性的方法是采用IPv6/IPv4双协议栈技术。也就是说，令整个网络同时运行IPv4网络和IPv6网络，数据包根据本身协议选择不同的网络传输，互不影响实现兼容。双栈协议方案，从小到单一设备的运行，大到整个骨干核心网络，都实施运行。唯一的要求是所用的设备能够同时支持两种协议运行，并且在设备的使用接口上都配有两种协议的地址。图2.1双栈节点示意图双栈节点具有三种工作模式：只运行IPv6协议，表现为IPv6节点；只运行IPv4协议，表现为IPv4节点；双栈模式，同时打开IPv6和IPv4协议。双栈技术是IPv4向IPv6过渡的基础，所有其它的过渡技术都以此为基础【2】【7】。D.Ferguson【5】【10】提出了以双栈技术为基础，对于IPv6企业网的方案如下：图2.2双栈模式结构1.拓扑简述在此网络中，所有网络三层设备均为IPv4/v6双栈设备。为了实施双栈方案模式的IPv6网络建设，新增l台IPv6出口路由器。IPv6出口路由器连接原有双栈核心交换机。2.双栈模式优点这是在技术层面上最理想的解决兼容性的办法，能够较为完美的解决两种不同协议的兼容性问题。不必针对于每台设备进行更改。3.双栈模式缺点首先它不能实现IPv4和IPv6之间直接通信，虽然互相分离，但是无法相互通信，数据包只能根据自身的协议来寻址。其次若要使用此项技术，整个网络中的所有设备必须满足支持双栈协议的基本条件。对于正要对网络进行升级的企业来说一次性投入成本过大，需要更换全部设备以便于支持双栈协议的运行。【4】【5】。综上所述，这种方法仅仅适合那些新建网络的情况。2.3.2隧道技术隧道（tunnel）是指将一种协议的数据包封装到另外一种协议数据包中的技术。隧道技术只要求隧道两端（也就是两种协议边界的相交点）的物理机支持两种协议，也就是它是在双栈技术的基础上成立的。在tunnel隧道技术中，存在有6to4隧道模式，该模式的原理就是先将底层通道建立，也就是在IPv4协议下先连接两端，使两端设备能够正常通信。在此基础上通过隧道机制，将原来的IPv6的包头数据整体当做数据内容开始依次封装在IPv4的包头中。成为一个新的IPv4的包头数据，通过IPv4网络传递到另一端，再分布解封装还原成原来的IPv6包头数据。从而实现跨越IPv4传递IPv6数据的目的。IPv6网络边缘设备收到IPv6网络的IPv6报文后，将IPv6报文封装在IPv4报文中，成为一个IPv4报文，在IPv4网络中传输到目的IPv6网络的边缘设备后，解封装去掉外部IPv4头，恢复原来的IPv6报文，进行IPv6转发【3】【7】。图2.3IPv6穿越IPv4隧道用于IPv6穿越IPv4网络的隧道技术主要有【6】：IPv6手工配置隧道6to4自动隧道ISATAP自动隧道IPv6overIPv4GRE隧道6PE隧道A.Conta和S.Deering【8】提出了以隧道模式为基础的网络方案如下：图2.4隧道模式结构1.拓扑简述原有网络建设已经成熟稳定，所有原有的三层设备均为IPv4设备。为了实施隧道式的IPv6企业网建设，需要新增1台IPv6出口路由器。IPv6出口路由器通过GE链路连接原有IPv4核心交换机。2.隧道模式优点升级后的新网络不用把所有的原有设备进行升级换代，而且原有网络拓扑结构能够基本保持不变，仅在关键点部位进行改动，在个别网关路由器上进行tunnel隧道模式的设置和调整，就可以正常访问IPv6公网资源。而且在边界网关路由器上的配置比较简便，只需要了解tunnel隧道的另一端的设备接口处的IPv4地址。同时要保证低层通信正常，这个对端接口的IPv4地址必须是本地可以到达的。因此对于网络而言，配置方面与原有的IPv4环境基本没有存在很大的差别，不需为网络中的所有节点重新分配网段。3.隧道模式缺点隧道模式属于过渡技术，并不是最终理想方案：隧道两段设备需要花费额外的开销。但属于在原有IPv4网络平滑支撑IPv6业务，平稳过渡的最佳手段【3】。2.3.3NAT-PTNAT-PT（NetworkAddressTranslation-ProtocolTranslation），允许只支持IPv6协议的主机与只支持IPv4协议的主机进行互联，一个位于IPv4和IPv6网络边界的设备负责在IPv4报文与IPv6报文之间进行翻译转换。NAT-PT把SIIT协议转换技术和IPv4网络中动态地址转换技术（NAT）结合在一起，它利用了SIIT技术的工作机制，同时又5利用传统的IPv4下的NAT技术来动态地给访问IPv4节点的IPv6节点分配IPv4地址，很好地解决了SIIT技术中全局IPv4地址池规模有限的问题。同时，通过传输层端口转换技术使多个IPv6主机共用一个IPv4地址。NAT-PT设备上需要设置IPv4主机的转换规则、IPv6主机的转换规则、IPv6主机使用的IPv4地址。报文经过NAT-PT设备时，根据NAT-PT的转换规则对报文进行协议转换。转换规则分为如下几种：IPv4主机的静态规则：一个IPv4主机对应一个虚拟的IPv6地址。IPv4主机的动态规则：一组IPv4主机的地址如何映射成IPv6地址。通常是指定一个96位的前缀添加在原IPv4地址前面组成一个IPv6地址。IPv6主机的静态转换规则：一个IPv6主机对应一个虚拟IPv4地址。IPv6主机的动态转换规则：一组IPv6主机与IPv4地址的对应关系，IPv4地址是多个IPv6主机共享的资源。如下图所示，IPv4侧主机采用了静态映射，而IPv6侧主机采用动态映射。当IPv6主机PC1向IPv4主机PC2发送报文时，其源地址为1::3，目的地址1234::9。NAT-PT网关接受到这条信息报文后，会根据规则进行地址转化。因为目的地址符合之前定义好的IPv4静态规则，所以IPv4报文的目的地址为。而IPv6报文的源地址符合IPv6主机的动态规则，则从规则的地址池中选择一个未使用的地址，假设是，作为IPv4报文的源地址。那么转换后的IPv4报文就是源，目的地址为。图2.5动态NAT-PT示意图动态NAT-PT与静态NAT-PT相比便捷了许多，首先它改进了静态NAT-PT中配置繁琐，以及在NAT地址池中需要使用大量的IPv4地址的不足。他的特性就是能够使用一对多，也就是通过某种映射方式，在地址池中将一个IPv4地址对应多个IPv6地址，从而达到节省地址资源的目的。但是，因为动态映射的关系，反过来发起连接时，由于不知道IPv6主机应用映射后的结果，所以无法直接向IPv6主机连接。这需要结合DNSALG来实现。ALG（ApplicationLevelGateway），是应用层网关的含义。有些应用，比如DNS、FTP等服务中，包含着存在于应用层的信息，在这样的条件下就需要对传输数据的包头上的IP地址通过NAT进行转换。通过DNSALG，可以做到IPv4与IPv6网络中任一方均可主动发起连接，只需要配置一个DNS服务器的静态映射即可。IPv4主机要访问IPv6主机，首先向IPv6网络中的DNS发出名字解析请求，报文类型为“X”类查询报文。这个请求到达NAT-PT后，NAT-PT对报文头部按普通报文进行转换。同时，由于DNS报文需要进行ALG处理，把“X”类查询请求转换成“X”或“X6”类型，然后将此报文转发给IPv6网络内的DNS。IPv6网络中的DNS服务器收到报文后，查询自己的记录表，解析出主机的IPv6地址是1::3，回应查询结果。此报文被NAT-PT对报文头进行转换后，同时，DNSALG将其中的DNS应答部分也进行修改，把“XXX”或“X6”类转成“X”类应答，并从IPv4地址池中分配一个地址，替换应答中的IPv6地址1::3，并记录二者之间的映射信息。图2.6NAT-PTDNSALG示意图IPv4主机在收到此DNS应答之后，就知道了主机的IPv4地址是。于是发起到主机的连接。由于在NAT-PT中已经记录了IPv4地址与IPv6地址1::3之间的映射信息，因此可以对地址进行转换。NAT-PT不需要更改旧IPv4网络就可实现升级后的网络中的IPv4和IPv6网络的兼容，达到IPv4客户主机能够访问IPv6企业网。且通过动态NAT-PT的映射关系，用多对一的方式节省了稀缺的IPv4地址资源。所以是一个很优秀的IPv4与IPv6网络之间的过渡技术。但NAT-PT也有它的缺点，属于同一会话的请求和响应都要通过同一NAT-PT设备，对NAT-PT设备的性能要求很高【7】【8】。P.Srisuresh和G.Tsirtsis【8】【11】提出了基于NAT-PT技术的网络方案如下：图2.7NAT-PT模式结构1.拓扑简述原有网络已经成熟，需要更换核心IPv4三层交换机，能够支撑NAT-PT运行处理。新增1台IPV6出口路由器，IPv6出口路由器通过GE链路连接原有HSRP。2.NAT-PT模式优点保护大部分原有的设备（不用把全部更新换代），变相实现类似双栈模式的效果。3.NAT-PT模式缺点属于同一会话的请求和响应都要通过同一NAT-PT设备，占用网络资源，存在一定的安全隐患，原有网络设置需要很大调整。并且对NAT-PT设备的性能要求很高，若性能存在问题，在高峰期容易引发网络瘫痪。第三章方案总体设计本章节的主要内容先是提出方案的总体需求，然后根据总体需求设计网络拓扑。再搭建模拟环境，利用仿真软件仿真模拟。根据仿真的现象提出可能出现的问题，并提出解决方案。3.1方案架构及需求3.1.1总体需求公司内网能够互联互通，各个部门之间要相互隔离保证数据安全，但是又需要互相能够通信正常保证业务安全。公司内网在核心网和边界网关保持正常的情况下，核心网络能够与边界网络正常通信。在本次模拟实验中也就是交换机R1，R2能与路由器R3，R4，R5正常通信。公司内网能够正常访问公网数据。也就是说内网能够和IPv6大公网进行数据交换，能够通过IPv6运营商访问公网上的IPv6应用服务。在本次模拟实验中，就是要R1能够通过服务器的DNS服务访问外网网站。普通IPv4客户正常访问公司。也就是说客户要能通过运行着IPv4网络的运营商和公司网络通信，已完成旧网络的公司业务处理。在本次模拟试验中，就是要IPv4user能够通过IPv4ISP1运营商正常访问R2。公司要与在异地的子公司保持正常通信。也就是要不同地点的IPv6网络能够跨越中间存在的IPv4运营商网络，达到正常通信的地步。在本次模拟试验中就是要IPv6user能够跨越与公司内网之间存在的IPv4ISP2，和公司的R1保持正常的通信。3.1.2拓扑架构及描述本文中设计的基于IPv6的中小型企业网架构如图3.1所示，此图为三层网络拓扑：3.1三层网络拓扑内网部分：由两台三层交换机R1，R2（以下简称为交换机R1，R2）充当HSRP的角色，由两根以太线连接，形成双线备份，组成内网核心部分。边界网关路由器R3，R4，R5（以下简称为路由器R3，R4，R5）分别与两台核心交换机用以太线路进行连接，因为其中一条线路充当备份链路，故而在逻辑拓扑图上表现为一根以太线路。由三层交换机R1和R2，路由器R3，R4，R5共同构建成中小型企业IPv6内网架构。区域1部分：此部分主要是用来模拟处于大公网上的IPv6运营服务。以便于测试企业内网与IPv6公网的数据交换，检测能否与正常访问IPv6站点。所以在这个区域中，使用一台路由器来模拟内网与公网直接的IPv6的运营商（以下简称IPv6ISP1）。并用使用一台支持IPV6协议的服务器（以下简称为IPv6server）模拟公网上的IPv6资源，因硬实验环境的硬件设备计算资源限制，仅运行DNS服务用来访问IPv6资源的网站。IPv6server与IPv6ISP1用一根以太线路进行连接，再由IPv6ISP1与企业内网的路由器R3用以太线连接，共同组成了区域1部分。区域2部分：此部分主要用来模拟处于IPv4运营商管理下的普通IPv4用户登录公司对外网络。以便于测试用户能否与更新网络后为IPv6网络的公司通信。检测公司正常对外业务的工作情况。所以在这个区域中使用一台路由器模拟公司与客户之间的IPv4运营商（以下简称为IPv4ISP1）。以及一台由路由器模拟的电脑充当客户终端（以下简称为IPv4user）。IPv4user首先与IPv4ISP1用以太线路连接，然后IPv4ISP1在用以太线和企业内网的路由器R4相连，从而组成整个区域2。区域3部分：此部分主要用来模拟同样进行了网络升级变成IPv6网络的异地子公司或者分公司，跨越运行着不同IP协议的IPv4运营商，从而与母公司进行通信，保障业务来往、备份重要数据。所以在这个区域中同样使用了一台路由器模拟子公司与母公司之间的IPv4运营商（以下简称为IPv4ISP2）。以及一台三层交换机模拟IPv6子公司的网络（以下简称为IPv6user）。IPv6user首先与IPv4ISP2用以太线相连，然后IPv4ISP2在用以太线和企业内网的路由器R5相连，从而组成整个区域3。然而在公司内网中对于二层网络拓扑如下图3.2二层网络拓扑所示：图3.2二层网络拓扑在二层网络中简单模拟出了公司的3个部门的网络拓扑，分别为人事部网络，财务部网络，技术部网络。首先在低层接入层中，将部门的各台电脑分别用以太网线接入到各自部门所属的交换机中。在本次模拟实验中，是将各个部门的4台主机分别接入到SW3，SW4，SW5上，其中SW3为人事部接入交换机，SW4为财务部接入交换机，SW5为技术部接入交换机。其次在汇聚层上，公司网络汇聚层有两台以太网交换机SW1和SW2。令接入层设备与这两台交换机分别相连，就是让SW3，SW4，SW5与SW1，SW2分别用以太线连接。每台接入层的交换机都与两台汇聚层交换机之间相连。这样做的目的是用来做热备份，以便于其中一条线路故障时能够快速切换到另一条线路上，保障业务不存在明显的中断。最后在核心层上，由汇聚层的SW1，SW2与核心层R1，R2分别连接。同汇聚层和接入层的线路连接相同，也是用两根以太线分别相连。同样是为了做热备份，在发生线路故障时，保证业务的连续性。3.2网络设计3.2.1整体环境介绍整体设计环境如表3.1网络环境所示。表3.1网络环境硬件环境：个人联想笔记本处理器：Intel（R）Core（TM）i5-3230MCPU@2.60GHz安装内存：8.00GB软件环境：windows7旗舰版64位操作系统GNS3软件Putty软件3.2.2GNS3软件介绍GNS3是一种能够仿真复杂网络的图形化网络模拟器，它允许在计算机中运行Cisco的IOS(InternetOperatingSystems)。Dynagen的图形化前端环境工具软件就是GNS3，而Dynamips是仿真cisco的IOS操作系统的核心程序。Dynagen运行在Dynamips基础架构之上，这样做的目的为了提供一个使用更加舒适的、基于一种文本界面的用户操作界面。从而使得用户可以利用Dynagen设计建造一个类似于Windows操作系统中的ini类型文件类似的类型文件，它可以用来描述的网络拓扑图形。GNS3软件允许运行在Windows、Linux系统上。它能支持的路由器平台、防火墙平台(PIX)的类型是多种多样的。个人用户不但可以通过软件界面在路由器后插槽中配置上各种板卡，如EtherSwitch卡，也可以根据板卡来寻找能够支持使用的设备进行仿真。当前市场上存在多种不同类型的路由器模拟器，但是这些模拟软件都存在或多或少的缺点。其中大部分的模拟器软件支持的路由器命令较少，所以在进行相关实验的时会发生不支持某些命令或参数的现象。然而另一些模拟软件在用户使用时通常也只能看到所模拟路由器的输出结果，无法看到实际过程，因此这就造成了仿真软件的结果与真实的设备存在一定的差异性，导致仿真的不确定性，无法保证仿真效果。然而在GNS3模拟软件中，其中所运行的是就是真实的IOS，换句话说真实设备能够支持的命令，都可以使用，即能够使用IOS操作系统中的所有命令和参数。最关键的一点就是GNS3是一种开源软件，它是无偿免费使用的。但是，GNS3本体中不包含IOS操作系统的映像文件。因此，用户需要的IOS操作系统需要从另外的地点导入。GNS3软件的主界面分为四个主要区域。在GNS3的左半部分列出了所支持的网络设备类型(nodetype)，十分明显，有不同平台的路由器图标、Ethernet交换机、Framerelay交换机、一个PIX防火墙、ATMbridge以及一个Cloud(云)。

而在GNS3的右半部分显示了所创建网络构架和网络整体拓扑的总体信息，在建立复杂的网络拓扑的时候，这些信息能够帮助你更好的理解网络。GNS3的中央窗口部分包括两个部分。上面是进行创建网络拓扑综合指令区用来启动、暂停、结束建立的网络设备，下面是控制台(console)，可以在这里使用配置命令来录入。图3.3GNS3界面3.2.3总体方案设计对于公司二层网络的方案设计：由总体需求提出的要求，要保证公司网络中各部门之间的网络隔离，同时保证数据通信正常。这样的要求在本次模拟实验中的体现就是要各部门之间通信不能在二层汇聚层交换机上的广播域进行数据交流，只能通过核心层经过路由协议转发通信。这样做的好处就是可以在核心层上进行QOS策略或者设置ACL访问控制列表，让允许通过的流量通过，禁止通过的流量禁止转发。具体的访问控制策略是可以根据企业实际需求进行操作，此项不是本文重点所以并不会过多描述。因此为满足这个要求，已经有十分成熟的技术能够完成。只要在汇聚层交换机上将各个部门划分不同的VLAN就好。VLAN能够隔离广播域，在划分不同VLAN后，各部门之间的信息交流就在交换机上相互隔绝，因此不同VLAN之间的通信就必然由核心层进行路由转发，因此隔绝二层广播机制。达到了网络需求，实现了相互隔离。因为VLAN技术已经十分成熟，而且本文重点是描述如何解决IPv6和IPv4的兼容性问题，故而此处网络设计并非重心。仅以描述带过。将创建VLAN10，VLAN20，VLAN30。分别将人事部，财务部，技术部的交换机所对应的接口划入。以人事部交换机SW3配置为例：vlan10////创建vlan10intrangef0/0–5////进入f0/0到f0/5的接口swmoac////设置交换模式为access模式swacvlan10////将接口划入到vlan10内对于公司的三层网络的方案设计：企业内网运行IPv6协议，所有路由器和交换机的端口都配置一个IPv6地址，为满足要求，路由协议运行OSPFv3路由协议，在内网中设置骨干区域号为0。交换机R1，R2组件核心区域，互做HSRP。一下用R1举例：interfaceEthernet0/0noipaddresshalf-duplexipv6address2016:21::1/64////配置的IPv6地址ipv6ospf100area0////在接口下运行OSPF协议!interfaceEthernet0/1noipaddresshalf-duplexipv6address2016:12::1/64////配置的IPv6地址ipv6ospf100area0////在接口下运行OSPF协议!interfaceEthernet0/2noipaddresshalf-duplexipv6address2016:13::1/64////配置的IPv6地址ipv6ospf100area0////在接口下运行OSPF协议!interfaceEthernet0/3noipaddresshalf-duplexipv6address2016:15::1/64////配置的IPv6地址ipv6ospf100area0////在接口下运行OSPF协议!ipv6routerospf100////在路由器上运行OSPF协议router-id////OSPF协议的router-id为因为边界路由器R3，R4，R5作为企业内网的边界网关路由器，因此除了运行OSPFv3路由协议外，还另外运行公网协议即BGP路由协议。BGP路由协议的AS号为12345。图3.4中小型企业IPv6内网结构区域1是运营商为IPv6网络的公网，用一个IPv6服务器模拟IPv6公网资源，IPv6ISP1与IPv6server，R3之间运行BGP路由协议。IPv6sever与IPv6ISP1为IBGP邻居关系，他们AS号同为65111。并且IPv6ISP1与路由器R3建立EBGP邻居关系。因为要模拟公网上的IPv6服务，所以要在IPv6server上运行DNS服务。令IPv6server成为DNSserver，并地址翻译，使相应的IPv6地址对应，让公司内网在访问网址时能够自动翻译到对应IPv6地址。因此在R3上的BGP协议配置如下：routerbgp12345////在路由器上开启BGP协议，AS号为12345bgprouter-id////设置BGP的router-id为bgplog-neighbor-changesneighbor2016:B13::B1remote-as65111!////和运营商IPv6ISP1物理口建立邻居address-familyipv4noneighbor2016:B13::B1activatenoauto-summary////关闭自动汇总nosynchronization////关闭同步exit-address-family!address-familyipv6////开启IPv6地址簇neighbor2016:B13::B1activate////在IPv6地址簇下激活BGP邻居redistributeospf100matchinternalexternal1external2include-connected!////在BGP下重分发OSPF协议nosynchronization////关闭同步exit-address-family!图3.5区域1结构区域2是客户通过IPv4ISP1，访问公司网络完成业务交流。其中R4启用双栈协议，在与IPv4ISP1相连的接口上配置IPv4地址。首先在IPv4的网络下达到R4和IPv4user能够相互通信，也就是在IPv4下R4和IPv4ISP1建立EBGP邻居，IPv4和IPv4ISP1也建立EBGP邻居。在R4上的BGP配置如下：routerbgp12345////在路由器上开启BGP协议，AS号12345nosynchronizationbgplog-neighbor-changesredistributeospf100////在BGP协议下重分发OSPF协议neighborremote-as65222!////和运营商IPv4ISP1物理口建立BGP邻居noauto-summary////关闭自动汇总!确保R4和IPv4user能够在IPv4下通信后，建立tunnel隧道，令R4与IPv4user建立连接穿越IPv4ISP1的网络直接相连。在R4上tunnel配置如下：interfaceTunnel0////创建tunnel隧道命名为tunnel0noipaddress////不配置IPv4地址noipredirectsipv6address2002:C0A8:6504::1/64////配置IPv6tunnel隧道地址tunnelsourceEthernet0/0////tunnel隧道的源地址为E0/0tunnelmodeipv6ip6to4////tunnel隧道的模式为6to4模式图3.6区域2结构区域3是异地的运行为IPv6的分公司，要跨越IPv4ISP2与母公司通信。在R5和IPv6user上同时启用双栈协议，在端口分别配置IPv4地址，并且运行BGP路由协议，与运营商IPv4ISP2建立EBGP邻居关系，保证低层IPv4数据联通。R5和IPv6user的部分接口配置和BGP配置如下：R5：interfaceEthernet0/1////内网接口noipaddresshalf-duplexipv6address2016:25::5/64////配置IPv6地址ipv6ospf100area0////接口下运行OSPFv3路由协议!interfaceEthernet0/2////双栈接口地址ipaddress！////配置IPv4地址half-duplex!interfaceEthernet0/3////无用接口noipaddressshutdown////关闭接口half-duplex!routerbgp12345////开启BGP路由协议，AS号为12345nosynchronization////关闭同步bgplog-neighbor-changesneighborremote-as65333!////和运营商IPv4ISP2建立邻居关系noauto-summary////关闭自动汇总!IPv6user：interfaceEthernet0/0////双栈接口ipaddress////设置IPv4地址half-duplex!routerbgp65333////开启BGP路由协议，AS号为65333nosynchronization////关闭同步bgplog-neighbor-changesneighborremote-as65333////和运营商IPv4ISP2建立邻居关系neighbornext-hop-self////更改BGP下一跳noauto-summary////关闭自动汇总建立起低层IPv4通信后，再开始创建6to4隧道，使IPv6user和母公司内网通信。在IPv6user和R5上的tunnel隧道配置如下：R5：interfaceTunnel0////创建tunnel隧道，命名为tunnel0noipaddress////不配做IPv4地址noipredirectsipv6address2002:C0A8:C905::1/64////配置IPv6tunnel隧道地址tunnelsourceEthernet0/2////tunnel隧道的源地址为E0/2tunnelmodeipv6ip6to4////tunnel隧道的模式为6to4模式!图3.7区域3结构模拟实验中的其余配置，均在附录中。在本文中不再重点描述。3.2.4设计中可能存在的问题本文中的方案在考虑过企业成本和实际收益后，主要采用的是双栈兼容模式和Tunnel隧道协议相结合的方式设计的。并不是单纯的全双栈运行，也不是单使用Tunnel隧道。仅在边界路由器R4，R5上运行双栈协议，并在这两天路由器上开启了tunnel隧道模式。因此在这两台路由器上最容易出现环路问题，以及出现路由传递成功，但是无法正常通信，ping包失败的故障。如下图3.8问题图（1）。图3.9问题图（2）中反应的则是另一种情况，接口的状态口和协议口都处于UP状态，但是ping包并不能正常发送。图3.8问题图（1）在区域3中，在R5，以及分公司IPv6user的路由器上，首先是运行了双栈协议，同时配置了IPv4和IPv6地址，使两种协议同时存在。因IPv4与IPv6无法直接通信，所以他们互相分离，独立存在。R5，IPv4ISP2，IPv6user，互相在IPv4地址下互相建立起IPv4的BGP邻居关系。在低层IPv4的BGP路由能通的情况下，在建立IPv6的隧道串联起R5和IPv6user。此时很容易出现一个问题，也就是在隧道建起来后，R5和IPv6user的端口是up状态，但是相互直连并不能ping通。同理，在区域2中也容易出现这种情况。图3.9问题图（2）3.2.5解决方案在查找资料和询问过部署过IPv6项目的工程师后，得知6to4隧道是存在一个固定地址转化规则的。6to4隧道的隧道地址并不能随便设置。需要将在建立低层IPv4时的端口地址进行进制变换，由十进制改写成十六进制。而且存在固定格式必须以2002：AABB:CCDD::X/X为准。其中AA是由IPv4地址的第一段进行进制转换而来的，BB是IPv4地址的第二段转化结果，CC是IPv4地址的第三段的转化结果，DD是IPv4地址的第四段转化结果。IPv6地址的最后一位X和掩码X是任意的，是根据实际要求由管理员配置的。即将R5与IPv4ISP2相连的e0/2端口的ipv4地址：/24进行转换。具体转化方式如表3.2地址转化表一所示。3.2地址转化表一十进制1921682015十六进制C0A8C905转化过后端口地址变为2002：C0A8：C905：:1/64。在图4.2-1中能看到转化后的地址。图3.10R5的Tunnel地址同理在IPv6user上也需要进行地址进制转换，也就是将IPv6user与IPv4ISP2相连的e0/0端口的ipv4地址：/24进行转换。具体转化方式如表3.3地址转化表二所示。表3.3地址转化表二十进制1921682002十六进制C0A8C802转化过后端口地址变为2002：C0A8：C802：:2/64图3.11IPv6的Tunnel地址而且因为tunnel隧道的IPv6地址是通过各自路由器的IPv4低端接口的地址转化而来，因此tunnel隧道两头IPv6user和R5上的tunnel隧道地址不在同一网段。也因此出现了新的问题。根据IPv6协议的基本规则，一个直连网段若两端接口地址并不在同一网段下，无法完成正常通信。因此若要想tunnel建立成功，确保数据通信正常。在地址变换完成后还需要进行路由策略，使tunnel隧道两端地址进行正常通信。在实验上的结果也就是表现为能进行相互ping包，且不存在丢包。因此需要在R5和IPv6user上设置一条默认路由，ipv6route2002：：/16tunnel0，使得目的网段为2002：：，掩码为16位的数据包，都从tunnel0端口发出。让tunnel隧道两段用静态路由来完成数据交流。图3.12R5的默认路由图3.13IPv6user的默认路由（1)之后因为转化过IP地址，使得IPv6user的网段与公司内网的网段不在一起，无法进行路由传递，因此需要再写一条默认，ipv6route：：/02002：C0A8：C905：：1，使他能转发来自内网的数据包。图3.14IPv6user的默认路由（2)在完成以上路由策略后，需要进行一下测试。测试R5能否和IPv6user进行正常通信，而且通信方式是通过IPv6协议进行通信，并不是用低层IPv4协议通信。用ping包来测试。根据测试的结果：successrateis100percent（5/5）。得知ping包成功发送率为100%，不存在丢包现象。因此通信建立，能够进行正常数据交流。图3.15测试结果第四章测试本章中的主要进行方案的测试。利用ping命令传输数据包，根据数据包传输的成功率来判断通信是否正常。测试主要从需求和性能两个角度进行，以满足方案的总体需求和保证通信正常。4.1需求测试因为PING包默认一次发送四个数据包，发送成功返回结果为“!”字符，发送超时或者失败返回结果为“.”字符。并且在最后会显示出发送成功的数据包个数，并计算出发送成功率。所以在本次模拟试验中是通过ICMP协议中的PING包，通过观测PING包的发送的四个包的成功率来观测是否正常通信，以及通过发送成功率来计算丢包率大小，从而判断通信质量的好坏。1.公司内网能够互联互通，达到正常通信。公司内网在核心网和边界网关保持正常的情况下，核心网络能够与边界网络正常通信。在本次模拟实验中也就是交换机R1，R2能与路由器R3，R4，R5正常通信。R1和R3，R4，R5能够互相ping通，测试结果如图4.1R1正常通信测试所示。R2和R3，R4，R5能够互相ping通，测试结果如图4.2R2正常通信测试所示。R1和R2能相互ping通，测试结果如图4.3R1，R2正常通信测试所示。图4.1R1正常通信测试图4.2R2正常通信测试图4.3R1，R2正常通信测试2.公司内网能够正常访问公网数据。也就是说内网能够和IPv6大公网进行数据交换，能够通过IPv6运营商访问公网上的IPv6应用服务。在本次模拟实验中，就是要R1能够通过服务器的DNS服务访问外网网站。R1能ping通IPv6server的IPv6地址。测试结果如图4.4访问公网测试所示。R1在tracerouteIPv6server时，数据包是先通过R3的接口地址，在通过IPv6ISP1的接口地址，最后到达的IPv6server的接口地址。测试结果如图4.5公网路径测试所示。R1能通过网址访问位于IPv6server上的网站，测试结果如图4.6DNS访问测试所示。图4.4访问公网测试图4.5公网路径测试图4.6DNS访问测试3.普通IPv4客户正常访问公司。也就是说客户要能通过运行着IPv4网络的运营商和公司网络通信，已完成旧网络的公司业务处理。在本次模拟试验中，就是要IPv4user能够通过IPv4ISP1运营商正常访问R2。IPv4user能够ping通R2的地址，测试结果如图4.7IPv4user通信测试所示。IPv4user在tracerouteR2时的路径是先通过R4的tunnel上IPv6地址，然后直接到达R1的tunnel上IPv6地址，在这中不经过IPv4ISP1的任何接口。测试结果如图4.8IPv4user路径测试所示。图4.7IPv4user通信测试图4.8IPv4user路径测试4.公司要与在异地的子公司保持正常通信。也就是要不同地点的IPv6网络能够跨越中间存在的IPv4运营商网络，达到正常通信的地步。在本次模拟试验中就是要IPv6user能够跨越与公司内网之间存在的IPv4ISP2，和公司的R1保持正常的通信。R1能够ping通IPv6user的地址，测试结果如图4.9IPv6user通信测试所示。R1在tracerouteIPv6user时的路径是先通过R5的tunnel上IPv6地址直接到达IPv6user的tunnel上IPv6地址，在路径中不经过IPv4ISP2上的任何接口地址。测试结果如图4.10IPv6user路径测试所示。图4.9IPv6user通信测试图4.10IPv6user路径测试4.2性能测试性能测试是根据丢包率的大小来分辨通信质量的高低。本文中采用连续不断的使用ICMP中的ping包向目的地址发送数据包，通过最后的丢包率来看路由性能，判断通信质量。测试中用500个包为上限。首先测试内网与公网的通信质量，在本次模拟实验中的测试方案为，让R1向网址发送500个ping包，得到以下结果，如图4.11内网与公网的通信质量图所示。图4.11内网与公网的通信质量图根据图中所示的测试结果successrateis100percent（500/500），得知ping包发送的成功率为100%，也就是丢包率保持在0%。因此可以判断出此条线路的通信质量良好，能够进行数据通信，保证公司业务正常。其次测试客户和公司业务网络通信质量，在本次模拟试验中测试方案为让，IPv4user向R2发送500个ping包，得到以下结果，如图4.12用户接入网和内网通信质量图所示。图4.12用户接入网和内网通信质量图根据图中所示的测试结果successrateis100percent（500/500），得知ping包发送的成功率为100%，也就是丢包率保持在0%。因此可以判断出此条线路的通信质量良好，能够进行数据通信，保证公司业务正常。最后测试母公司和分公司跨越IPv4运营商的网络通信质量，在本次模拟试验中的测试方案为，让IPv6user向R5发送500个ping包，得到以下结果，如图4.13公司和分公司网络通信质量图所示。图4.13公司和分公司网络通信质量图根据图中所示的测试结果successrateis100percent（500/500），得知ping包发送的成功率为100%，也就是丢包率保持在0%。因此可以判断出此条线路的通信质量良好，能够进行数据通信，保证公司业务正常。总结和展望IPv6网络协议是下一代网络通信协议，本文通过资料研究总结出了IPv6协议与IPv4协议的优点：IPv6地址空间更加广大，能够解决现如今IP地址匮乏的情况，并且在可预见的未来不用十分担心再次出现IP地址短缺的情况。IPv6拥有更好的包头格式，精简了报头文字段，并有可扩展选项。IPv6安全性比IPv4更好。IPv6拥有更多的新功能。不仅如此，本文还总结出IPv6协议本身存在的问题：IPv6因为地址空间很大，所以在查找具体地址时会更加繁琐。IPv6和IPv4协议在根本传输数据的原理上是相同的，针对于此的网络攻击在IPv6上仍然会实现。IPv6的新特性会产生新的网络攻击模式。因为IPv6未普及，当前网络仍以IPv4为主因此兼容性问题普遍存在。同样因为IPv6未大规模商业部署，因此缺乏大