华南理工大学积极助推全省IPv6部署
作为CERNET华南地区网络中心和CERNET2 广州节点,华南理工大学全力推动IPv6在校内以及广东省教育系统的部署。
华南理工大学IPv6部署情况
2020年底阶段性目标
华南理工大学计划到2020年底,实现五山校区和大学城校区2020年新建的近3000个有线信息点和1500多个无线 AP全部支持IPv6。即将启动广州国际校区二期新建的4.11万个信息点也全部支持IPv6,加上2019年建设完成的广州国际校区一期建设的4.17万个信息点,到2021年底,新校区建设的8.28万个IP信息点将100%支持IPv6。
在应用方面,实现所有基本网络信息服务均具备IPv6访问,包括DNS服务、电子邮件服务、Web服务、视频以及网络会议系统等,其中Web服务包括全校性Web服务(如OA、统一认证、门户、网上办事大厅以及CARSI等)全覆盖,二级单位Web应用预计达到80%覆盖。同时,利用IPv6优势,实现学校部分应用的IPv4/IPv6的访问。
在网络安全方面,将进一步升级IPv6网络安全设施,建立针对IPv6网络的全面防护体系和日志溯源平台。
另外,学校将推动校园物联网在IPv6方面的支持和应用,探索物联网IPv6安全认证和防护技术,对部分支持IPv6的物联网设备,计划迁移到IPv6网络。
目前完成情况
华南理工大学是最早加入CERNET2实验网的节点之一,在较早时期已完成了校园网网络设备IPv6升级改造,2019年在广州国际校区一期新建的4.17万个信息点全部支持IPv6。目前,除了个别实验室或者五山校区教工宿舍自行购买的无线路由器或者交换机外,全校几乎所有区域的校园网均同时支持IPv4和IPv6接入,华南理工大学校园网双栈覆盖率总体达99.5%以上,校园总体支持IPv6的用户达99.5%以上,IPv6用户约有4.5万。
在应用方面,DNS服务、电子邮件服务以及校级Web服务均全部实现IPv6访问,学校近几年部署了基于IPv6协议的负载均衡设备,对于部分不支持IPv6的业务系统采用负载均衡设备进行服务发布,间接完成了IPv6升级,目前全校大部分公共信息业务系统均已支持IPv6访问,视频以及网络会议系统正在逐步实现。
广东省教育系统IPv6部署情况
政策驱动
2019年8月, 广东省教育厅组织华南理工大学等高校和教育网的专家根据国家的IPv6推广政策,制定《全省教育系统加快推进IPv6规模部署实施意见》(简称“IPv6规模部署18条”),明确了2019年和2020年的目标、重点任务。
文件明确教育厅将加强和CERNET华南地区网络中心的沟通协调,组织CERNET华南地区网络中心和具有技术优势的高等院校及社会力量为加快规模部署提供技术支持,开展培训等。
根据文件精神,广东省教育系统根据实际情况制定计划,全面推进省内院校的IPv6接入:
对于具备光纤条件的院校,通过波分设备或独立裸光纤,通过专项接入IPv6教育网;
其他已接入教育网IPv4网络的用户,通过双栈协议在原有线路上增加IPv6网络;
小部分学校还可以通过在公网上架设IPv4/IPv6隧道,通过广东省网接入教育网IPv6网络。
除此之外,广东也加速未加入edu.cn域名学校的登记加入以及IPv6的接入实现,以此为基础进行IPv6应用的部署,及实现学校主页和关键信息系统支持IPv6。
2020年4月,广东省教育厅印发了《关于全省教育系统IPv6规模部署进展情况的通报》,通报了全省教育系统IPv6规模部署的情况,并公布了未启用edu.cn域名的高校,及未启动IPv6升级改造的高校和地市教育局名单。
2020年8月,广东省教育厅发布《关于在粤普通高校网站全部使用EDU.CN域名的通告》(简称《通告》)。《通告》显示,截至今年7月30日,在粤的154所普通高校和7所省外高校在粤办学机构网站已全部使用EDU.CN域名,在全国率先实现普通高校网站的EDU.CN域名全覆盖。
技术支持
在广东省教育厅的支持下,华南理工大学以教育网广东省NIC和NOC工作组为依托,联合赛尔公司开展IPv6技术推广培训和研讨,提升IPv6部署和应用能力,到2018年底,已完成了三期IPv6专题培训,超过50多个院校,100多名老师参加了IPv6培训。教育网广东省NOC和NIC工作组还持续开展IPv6技术的交流和互助活动,对部分IPv6部署经验较少的学校给予支持。
除此之外,华南理工大学和赛尔公司在CERNET华南地区2018年粤西第一、二次学术会议和粤东第一、二次学术会议中开展IPv6部署的专题技术探讨,推动IPv6在当地教育系统部署。
广东省教育系统 IPv6 升级改造申报、监测平台
为了加快广东省教育系统,广东省教育厅委托CERNET华南地区网络中心完成IPv6升级改造申报系统的开发部署,主动监测和公示IPv6接入情况(平台地址:http://gdipv6.gznet.edu.cn/),同时,开发“广东省教育系统IPv6应用监测平台”(平台地址:https://ipv6.gznet.edu.cn/),通过该平台每天检测广东教育系统的IPv6部署情况,设立IPv6监测和考核机制,无论CERNET会员与非会员均检测,检测指标依据与教育厅文件目标看齐,促进教育系统的加速IPv6规模部署的步伐。
为了加强IPv6的安全,还建立了支持IPv6的广东省云安全防护系统,为全省院校提供IPv6云安全防护服务。
IPv6部署过程的难点及其解决方法
在推动学校和广东省教育系统IPv6部署过程存在以下四个方面的难点:
意识问题
有些单位领导对IPv6的推广不够重视,没有认识到IPv6部署的战略意义和紧迫性;也有些领导担心IPv6技术不成熟,部署IPv6会影响到系统稳定性;还有些领导担心部署IPv6会大幅度增加投入,产生拖延和畏难的情绪。意识问题需要通过政策、宣传、培训、交流、测试、实践等多渠道多方式处理。
技术原因
部分软件系统在开发过程未考虑到IPv6的支持,例如原应用系统乃至应用所在的OS系统老旧问题,对IPv6支持不够,不支持IPv6设置或者设置后的运行过程存在诸多问题。这类问题建议升级到对IPv6支持较为稳定成熟的OS系统。
还有部分应用系统在涉及地址操作的软件开发定义时就未考虑对IPv6的支持,导致现在无法实现IPv6访问,修改开发困难,这类多数体现在“地址敏感”类应用,如电子邮件系统等。对于这类问题,建议解决方法如下:
(1) 升级应用系统,并加入IPv6支持,如系统全新升级或者重建。
(2) 二次开发修正,对IPv6支持起决定性作用的模块做二次开发使其支持IPv6,如电子邮件系统在IPv6侦听以及SPF检测方面加入IPv6支持。
(3) 如果以上根据实际条件都无法实现,并且应用系统属于Web应用,可以通过反向代理的方式实现IPv4和IPv6连接访问,对外通过IPv6提供访问,内部系统仍然在IPv4下运行,这也是最快速和最有效的方法之一。
信息化基础
部分单位信息化基础支持不够导致的IPv6应用无法推广,如学校互联网的出口未接入IPv6,没有IPv6接入就谈不上IPv6应用的部署;也有些学校未做DNS的IPv6支持,没有DNS的支持,就无法实现应用系统的IPv6“无感知”访问。对于这类问题,建议尽快实现IPv6网络的接入。
当然,在接入IPv6网络前,需要将网络设备改造考虑其中,使其网络设备支持IPv6;在有IPv6网络接入的基础上,对本校DNS系统进行IPv6改造,实现DNS的IPv6支持。事实上,当前的DNS技术(产品)对IPv6支持都做得很好,实现起来并不困难。
还有些学校的安全访问未考虑IPv6的安全防护,使学校虽然有IPv6接入也不敢轻易启用IPv6的应用系统,这方面也制约着IPv6的应用推广。网络安全需要重视,虽然IPv6的网络安全不如IPv4成熟,但是通过架构调整、系统加固以及增加安全设备(系统)依然可以提升安全。例如:
(1) 通过调整Web架构,只在必要的地方实现IPv6,其它模块隐藏到后端私网的方式,可以大大减少IPv6的威胁访问,实现应用层面的安全。
(2) 采用操作系统本身的特性,如IPv6的iptables等模块进行访问控制,或者对不必要的访问模块(如SSHD等)关闭IPv6侦听服务,实现操作系统层面安全。
(3) 增购支持IPv6的防火墙、WAF、入侵检测以及态势感知等安全设备(系统),实现网络层面安全。
认知问题
认为IPv6的部署需要从上到下全部实现IPv6,这种想法其实是个误区。正如IPv4网络的公网和内网,往往很多结构复杂的应用系统,其内部业务逻辑采用内网,而对外访问采用公网;同理,IPv6部署也可以效仿这种架构,对外提供服务的接口采用IPv6,而内部业务逻辑采用IPv4(甚至是IPv4私网),这样的部署架构也可以提升系统的安全性。认知问题需要管理者多学习、多交流、多思考、多实践、多积累经验。
总的来说,下一代互联网在国内的部署和应用将是大势所趋。广东作为互联网产业大省,将在IPv6规模部署行动中积极作为;而广东省教育系统也将在这场行动中敢于担当,发挥示范作用。
来源:《中国教育网络》杂志(9月刊)