摘要

  随着互联网用户规模不断扩大,互联网承载的应用服务日益增多,IPv4地址空间不足,在2012年IPv4地址已基本分配完毕,IPv6开始大规模启用,因此IPv6发展势在必行。2017年底,中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,2018年8月,教育部办公厅下发了 "教育部办公厅关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》。...

  随着互联网用户规模不断扩大,互联网承载的应用服务日益增多,IPv4地址空间不足,在2012年IPv4地址已基本分配完毕,IPv6开始大规模启用,因此IPv6发展势在必行。2017年底,中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,2018年8月,教育部办公厅下发了"教育部办公厅关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》。衡水学院作为地方高校,充分认识到IPv6在智慧校园建设中的突出作用,迅速开展且完成了IPv6在学校网络的部署工作,2019年10月25日,河北省教育系统IPv6规模部署暨网络安全技术交流会在衡水学院召开。

学校现状

  衡水学院现有54个本科专业,分属文学、理学、工学、教育学、经济学、管理学、艺术学、法学、农学等9个学科门类。有全日制在校生1.48万人,生源来自全国30个省、市、自治区。衡水学院校园网始建于1998年,经历了多次升级改造,目前校园网接入联通0.2Gbps,接入移动1Gbps,接入电信3Gbps,接入教育网0.2Gbps,其中IPv6带宽达0.1Gbps,采用万兆路由交换机作为核心设备,校园网骨干网链路达到万兆,千兆链路作为终端连接,校园内所有教学办公区域光纤全覆盖。坚持网络安全与信息化建设统一规划、同步建设的原则,为广大师生提供安全、稳定、畅通的网络环境。目前提供域名解析、DHCP动态分配IP地址、数字图书馆、网上教学、办公、统一认证等应用服务系统,整体网络采用扁平化大二层的管理架构,其网络结构图如1-1所示。


图1-1 衡水学院校园网络结构示意图

  在2014年衡水学院校园网大规模升级改造之时已考虑到IPv6在校园网的应用,当前所运行的网络设备均支持IPv6,且IPv6地址和学校IPv6域名均已申请完毕,为IPv6的部署工作奠定了基础。

目标与原则

  2012年,IPv4地址基本分配完毕,IPv6开始正式大规模启用,但目前IPv4仍然在全球广泛通用,因此保持现有的IPv4网络结构不变,利用现有的网络资源构建IPv4/IPv6双协议栈网络,实现两者的互访。依据以上目标,在构建过程中遵循以下原则:

  a.最大程度保障IPv4网络的稳定性。

  b.保持现有网络结构,网络设备IPv4地址保持不变。

  c.尽可能的利用现有的软件资源和相关网络设备来实现IPv6的组网设计。

  d.实现IPv4与IPv6主机的互通。

  e.根据网络传输的路径,从外到内分步实施。

网络结构设计

  1、校园网IPv6网络结构

  根据我院的实际情况,在本次IPv6部署工作中,采用同时支持IPv4和IPv6双协议栈网络的技术路线,即采取利用校园网现有的组网模式,用双栈技术实现进行全校网络的IPv6部署,实现两者的共存与互访,进而为全校用户提供IPv4/IPv6的双栈服务,并默认为IPv6访问优先的形式。秉承"发展与安全并举,同步推进网络安全系统的规划、建设、运行"的原则,对学校的IPv6网络结构进行了规划,如图2-1所示。


图2-1 衡水学院IPv6校园网络结构示意图

  2.IP地址与VLAN规划

  我校申请到一/48的IPv6地址块,共280个地址,与省教育网节点对接地址为2001:DA8:BACD::BAC/126与2001:DA8:BACD::FBD/126,以IPv4/IPv6双栈接入技术予以实施。为了节省资源,提高方案的可行性,结合之前的IPv4地址,完成了IPv6的网络结构设计。

  我校的IPv4地址总体规划原则,不仅根据其业务分类同时又根据相应的物理区域和逻辑部门对之进行分段,尽量确保同一部门使用同一地址段。如此不仅便于路由聚类减少路由条目,还可极大程度的简化后续的管理工作。同时再划分各个功能区地址时,要在满足当下需求的基础上,预留出足够多的发展空间。IP地址一般按以下原则进行规划:

  a.服务器地址段

  为了提高网络的安全性与服务质量,便于网络后期的扩容扩建,如WEB、DNS、DHCP及各应用系统服务器均采用彼此相独立的地址段,并预留冗余空间。

  b.网络设备互联与管理地址段

  该地址段较为特殊,不仅需单独划分而且需集中进行管理,对于网络的安全控制及后续管理均有着至关重要的作用。

  c. 用户终端地址段

  对于用户最后所接入的地址,不仅可依据其接入网络的物理区域和业务分类进行划分,还可依据其归属具体部门进行划分。

  在校园网中,IPv6网络VLAN的划分与IPv4网络完全一致,尽可能的将网络的广播域限制在有限范围,以此提高整个网络的工作效率。同时网络设备及终端所对应的VLAN与IP地址要保持相一致。由于东校区校园网络建成多年,所有链路出口都在东校区,西校区是新建校园网络,东西两校区的网络结构不同,主校区用户IP地址由DHCP服务器分配,西校区用户IP由校区的汇聚交换机实现DHCP功能进行IP地址的分配,因此东西两校区地址段不一样。如表3-1所示IPv6与现有VLAN规划对照表:

表3-1 IPv6与现有VLAN规划对照表

IPv6路由与DNS配置

  经过核对检查,现运行的核心网络设备均支持IPv6,核心交换机是华为敏捷12700系列,需要先获得IPv6的License文件授权并加载激活后,再进行下配置。

  1、配置接口地址和路由

  [sw]#Interface vlanif 1006        --与防火墙对接Vlan

  [sw]#ipv6 address 2001:DA8:8B0:::a                --接口地址

  [sw]#Interface vlanif 4        --与西校区对接Vlan

  [sw]#ipv6 address 2001:DA8:8B0:::19                --接口地址

  [sw]#ipv6 route-static :: 0 2001:DA8:8B0:::9 --默认路由

  [sw]#ipv6 route-static 2001:DA8:8B0:1003:: 64 2001:DA8:8B0::1a

  2、核心交换机配置Vlan网关,以Vlan35配置为例

  [sw]#Interface Vlanif35

  [sw]#ipv6 enable

  [sw]#ipv6 address 2001:DA8:8B0:350::1/60

  [sw]#undo ipv6 nd ra halt

  3、DNS配置

  采用智能DNS将域名拆分为A记录和AAAA记录进行解析,满足IPv4/IPv6双栈解析需求。支持AAAA记录发布,提供v4/v6权威解析服务以及递归解析服务,支持自定义解析策略,同时提供多种适用于IPv6网络的特色功能,有效配合反向代理系统实现网站应用的IPv6发布。选取相应的控制面板进行配置即可。

IPv6网络管理

  在IPv6的部署过程中,加强IPv6地址的管理,推进IPv6网络用户的实名制是重中之重。

  1、统一身份认证系统

  采用本地Web认证方式,通过BRAS采集的MAC地址进行后端双栈联动,BRAS会通过accounting报文上报v6地址或是前缀,在不改变用户体验的前提下实现IPv4/IPv6双栈无感知认证。探针在线用户日志,通过多种数据融合,实现用户全面v6审计。

   2、DHCP服务(以西校区DHCP服务为例)

   校园网用户通过无状态分配获取IPv6地址,以在西校区汇聚交换机DHCP服务实现IPv6地址无状态分配为例配置如下:

  interface VLAN 400

   description Wu zhuang tai kou

   ip address 192.168.44.1 255.255.255.0

   ipv6 address 2001:DA8:243:FF0C::1/64

   ipv6 enable        --端口下开启IPv6功能

   no ipv6 nd suppress-ra -关闭RA消息抑制

   ip helper-address 192.168.22.3

IPv6安全建设

  在IPv6建设工作的同时,优化IPv6网络安全环境也同步推进,主要升级改造了以下网络安全设备:

  1、出口防火墙配置

  出口防火墙有多条链路出口,在教育网出口部署IPv6相关策略,采用的是可视化管理界面,在相应界面选项卡输入测试。比如配置教育网IPv6接口地址、配置默认路由和内网路由和配置IPv6访问策略、IPv6NAT等等。

  2、WAF防护

  采用WAF防护IPv6 Web资源安全,支持基于全局规则和自定义规则,使用正则匹配方式有效过滤异常请求,以ModSecurity为基础,可对单个资源设置安全规则,自由配置与应用安全策略模板,实现SQL注入防护、XSS跨站攻击防护和DDos防御;同时可基于用户行为的入侵检测分析发现用户异常行为,生成动态黑名单,实时保护内网资源安全。提供资源内容检测功能,实现网页防篡改。

Ipv6建设成果

  经过升级改造,目前衡水学院门户网站集群系统采用IPv4/IPv6双栈协议技术已完成IPv6改造。IPv6支持情况如图4-1所示:


图4-1 衡水学院门户网站IPv6支持情况

  当然,校园网络采用IPv4/IPv6双栈技术是IPv4向IPv6的一种过渡,建设具有网络安全体系保障的纯IPv6校园网是下一阶段的发展目标。

  经过多年的建设发展,地方院校的校园网已具备开通IPv6的基本条件,并且教育网在政策和技术等各方面给予大力支持,希望越来越多的地方院校积极推进IPv6规模部署,尽快参与到IPv6的实践中来,为下一代互联网的发展做出积极的贡献。

  来源:中国教育和科研计算机网

中国教育信息订阅号二维码
中国教育信息微信服务号