论文部分内容阅读
摘 要:随着张家港学院网络改造方案的完成,各项性能均能满足教学教育管理的要求。利用该校园网,以信息化、网络化的教育手段,真正实现网络教学、远程教学和教育资源共享。只是该网络的改造是在原有的网络架构的基础上升级,核心的网络协议还是以IPv4为基础,而根据网络技术的发展趋势,未来的Internet基础设施将由IPv6实现“大一统”,学院的网络也必将进一步升级,为此,现在就要着手进行一些理论上的准备和实验,而本文选取了VPN在IPv6学院网中部署的这一方面,通过实验来进行阐述。
关键词:IPv4;IPv6;VPN;Cisco Any Connect
中图分类号:TP393
1 IPv4和IPv6的关系
与IPv4相比,IPv6的优点很多:巨大的地址空间、简化的报头和灵活的扩展;层次化的地址结构;即插即用的连网方式;网络层的认证与加密;服务质量的满足;对移动通讯更好的支持等等,鉴于以上种种优势,在网络技术的发展中,IPv6逐步取代IPv4必将成为必然。
在整个Internet基础设施由IPv6一统天下之前,相关企业、院校和服务供应商不但在IPv4身上投入了本钱,而且对IPv4本身的技术了如指掌,不可能短时间被迅速替代,可以预见在相当长的日子里,IPv4和IPv6将会并肩运行,逐步完成现有设备的更新和系统的升级。
张家港学院网络也将会出现一个这样的过渡时期,在两种协议共存的情况下,如何解决IPv4到IPv6的平稳过渡和迁移,是IPv6发展中的关键问题,而对于学院负责网络建设的技术人员在传统的学院网边界范围之内实现IPv6访问都费了老大劲,提供对远程用户访问的支持往往还要更费劲一些。
2 选用Cisco Any Connect的IPv6远程访问
作为原有网络的升级,选用原有设备来完成测试是一个不二的选择,在既有的北校区网络中,核心交换机ASA5510能够完全胜任IPv6的环境设置,并且原系统的远程访问方式采用的是Cisco Any Connect 的方式,本测试项目就在原基础上进行迁移。
该方案是利用Cisco Any Connect SSL VPN 客户端,通过IPv4建立一条通往ASA5510的SSL连接,随后在这通道内传送IPv6流量至ASA5510上,再把IPv6流量路由至最终目的主机上。该通道采用的是数据报传输层安全DTLS 连接,DTLS通过UDP建立起的是低延迟路径,可以规避使用纯SSL连接时的所遇到的延迟和宽带,针对Cisco Any Connect环境启用DTLS时,会同时建立起两条并行的隧道:一条TLS,另一条用于DTLS 。要是UDP隧道因故未能建立或建立后中断,流量还可以“走”基于TLS的隧道。
3 Cisco Any Connect VPN的在张家港学院网中具体的实例设置
客户机利用SVC,在IPv4 Internet上,建立一条通向Cisco ASA5510的DTLS会话,在Cisco ASA5510上,需要启用双协议栈功能。Cisco ASA5510收到主机通过DTLS连接发送的IPv6数据包之后,会将数据包路由至学院网内的目的网络。
如图1所示描述VPN客户端实施远程访问的拓扑示例,Any Connect客户端通过IPv4连接到Internet,而校本部的Cisco路由器提供Internet接入、基本过滤以及IPv4地址转换功能,在Cisco ASA5510的inside接口上配置IPv4地址192.168.120.1,开启双栈功能,同时配置了IPv6地址:2001:DB8:CAFE:1002::1。在Cisco ASA5510上,针对由客户端发起的Any Connect会话配置了2个地址池。一个是IPv4地址池,地址范围为:192.168.120.10~192.168.120.254。另一个是IPv6地址池,可提供244个IPv6地址,从2001:DB8:CAFE:1002::100/64开始分配。客户端和Cisco ASA5510之间的连接建妥之后,客户端会从地址池中取得IPv4和IPv6的地址。此外,其他的网络服务既可以通过IPv4也可以通过IPv6来提供。
CiscoASA5510 AnyConnect的配置:
客户端建好了通往Cisco ASA5510 的有效SVC连接之后,可以执行相应的命令来查看连接会话的状态。Show ipv6 local pool v6pool命令可以显示IPv6地址池的名称、地址范围、大小以及可用地址的数量。Show vpn-sessiondb detail svc命令可以显示DTLS隧道的状态信息、分配出去的IPv4和IPv6地址、客户端用来建立连接的公网地址。
4 结论
从IPv6的协议提出至今有近20个年头,但它还不是一个非常完善的协议,尤其是他要取代IPv4成为网络应用的基础,这就决定IPv6协议还有很多的工作要做,特别是运行在IPv6协议上的有价值的应用开发显得尤为重要。现在,在没有增设任何硬件设备的前提下,试验了张家港学院VPN在IPv4/IPv6过度网络中的远程访问,该实验只是在南校区及远端客户端与北校区之间的互通互联,体现了Cisco提供的基于SSL VPN的Cisco AnyConnect上的IPv6解决方案,该方案支持远程用户对学院网内部的双栈访问,但对在实际运行过程中可能暴露出来的问题还有待做深入研究。
参考文献:
[1]张建立.IPv4向IPv6的过渡策略[J].信息安全与技术,2013.
[2]范宗成.IPv4向IPv6变迁探讨[J].科技传播,2013.
[3]朱彦军,王斌君.具有IPv4和IPv6转换功能的SSLVPN系统[J].信息网络安全,2013.
[4]冯彩宁,苏鹏.VPN技术在IPv6校园网中的应用[J].电脑知识与技术,2012.
[5]潘永安.VPN技术在IPv6校园网环境下的应用[J].中小企业管理与科技,2012.
[6]陈臻.基于IPv6和IPv4双协议融合的多出口校园网研究与实现[J].中南大学,2011.
作者单位:江苏广播电视大学张家港学院工程系,江苏张家港 215600
关键词:IPv4;IPv6;VPN;Cisco Any Connect
中图分类号:TP393
1 IPv4和IPv6的关系
与IPv4相比,IPv6的优点很多:巨大的地址空间、简化的报头和灵活的扩展;层次化的地址结构;即插即用的连网方式;网络层的认证与加密;服务质量的满足;对移动通讯更好的支持等等,鉴于以上种种优势,在网络技术的发展中,IPv6逐步取代IPv4必将成为必然。
在整个Internet基础设施由IPv6一统天下之前,相关企业、院校和服务供应商不但在IPv4身上投入了本钱,而且对IPv4本身的技术了如指掌,不可能短时间被迅速替代,可以预见在相当长的日子里,IPv4和IPv6将会并肩运行,逐步完成现有设备的更新和系统的升级。
张家港学院网络也将会出现一个这样的过渡时期,在两种协议共存的情况下,如何解决IPv4到IPv6的平稳过渡和迁移,是IPv6发展中的关键问题,而对于学院负责网络建设的技术人员在传统的学院网边界范围之内实现IPv6访问都费了老大劲,提供对远程用户访问的支持往往还要更费劲一些。
2 选用Cisco Any Connect的IPv6远程访问
作为原有网络的升级,选用原有设备来完成测试是一个不二的选择,在既有的北校区网络中,核心交换机ASA5510能够完全胜任IPv6的环境设置,并且原系统的远程访问方式采用的是Cisco Any Connect 的方式,本测试项目就在原基础上进行迁移。
该方案是利用Cisco Any Connect SSL VPN 客户端,通过IPv4建立一条通往ASA5510的SSL连接,随后在这通道内传送IPv6流量至ASA5510上,再把IPv6流量路由至最终目的主机上。该通道采用的是数据报传输层安全DTLS 连接,DTLS通过UDP建立起的是低延迟路径,可以规避使用纯SSL连接时的所遇到的延迟和宽带,针对Cisco Any Connect环境启用DTLS时,会同时建立起两条并行的隧道:一条TLS,另一条用于DTLS 。要是UDP隧道因故未能建立或建立后中断,流量还可以“走”基于TLS的隧道。
3 Cisco Any Connect VPN的在张家港学院网中具体的实例设置
客户机利用SVC,在IPv4 Internet上,建立一条通向Cisco ASA5510的DTLS会话,在Cisco ASA5510上,需要启用双协议栈功能。Cisco ASA5510收到主机通过DTLS连接发送的IPv6数据包之后,会将数据包路由至学院网内的目的网络。
如图1所示描述VPN客户端实施远程访问的拓扑示例,Any Connect客户端通过IPv4连接到Internet,而校本部的Cisco路由器提供Internet接入、基本过滤以及IPv4地址转换功能,在Cisco ASA5510的inside接口上配置IPv4地址192.168.120.1,开启双栈功能,同时配置了IPv6地址:2001:DB8:CAFE:1002::1。在Cisco ASA5510上,针对由客户端发起的Any Connect会话配置了2个地址池。一个是IPv4地址池,地址范围为:192.168.120.10~192.168.120.254。另一个是IPv6地址池,可提供244个IPv6地址,从2001:DB8:CAFE:1002::100/64开始分配。客户端和Cisco ASA5510之间的连接建妥之后,客户端会从地址池中取得IPv4和IPv6的地址。此外,其他的网络服务既可以通过IPv4也可以通过IPv6来提供。
CiscoASA5510 AnyConnect的配置:
客户端建好了通往Cisco ASA5510 的有效SVC连接之后,可以执行相应的命令来查看连接会话的状态。Show ipv6 local pool v6pool命令可以显示IPv6地址池的名称、地址范围、大小以及可用地址的数量。Show vpn-sessiondb detail svc命令可以显示DTLS隧道的状态信息、分配出去的IPv4和IPv6地址、客户端用来建立连接的公网地址。
4 结论
从IPv6的协议提出至今有近20个年头,但它还不是一个非常完善的协议,尤其是他要取代IPv4成为网络应用的基础,这就决定IPv6协议还有很多的工作要做,特别是运行在IPv6协议上的有价值的应用开发显得尤为重要。现在,在没有增设任何硬件设备的前提下,试验了张家港学院VPN在IPv4/IPv6过度网络中的远程访问,该实验只是在南校区及远端客户端与北校区之间的互通互联,体现了Cisco提供的基于SSL VPN的Cisco AnyConnect上的IPv6解决方案,该方案支持远程用户对学院网内部的双栈访问,但对在实际运行过程中可能暴露出来的问题还有待做深入研究。
参考文献:
[1]张建立.IPv4向IPv6的过渡策略[J].信息安全与技术,2013.
[2]范宗成.IPv4向IPv6变迁探讨[J].科技传播,2013.
[3]朱彦军,王斌君.具有IPv4和IPv6转换功能的SSLVPN系统[J].信息网络安全,2013.
[4]冯彩宁,苏鹏.VPN技术在IPv6校园网中的应用[J].电脑知识与技术,2012.
[5]潘永安.VPN技术在IPv6校园网环境下的应用[J].中小企业管理与科技,2012.
[6]陈臻.基于IPv6和IPv4双协议融合的多出口校园网研究与实现[J].中南大学,2011.
作者单位:江苏广播电视大学张家港学院工程系,江苏张家港 215600