高校IPv6部署丨让IPv6服务于新文科建设
中国人民大学(以下简称“人大”)从2006年起接入CERNET2,开始在全校范围内推广IPv6网络部署。
目前学校所有无线网用户、超过99%的有线网点位均支持IPv6无状态自动地址分配(SLAAC),日活用户数约为20000人。无线网支持IPv4/IPv6双栈准入。
人大的数据中心服务器自2006年开始部署IPv6网络,支持服务器设置静态IPv6地址,设有“IPv6校内测速”等纯IPv6网站。DNS系统、反向代理系统均支持IPv6。
学校积极响应《教育部办公厅关于贯彻落实〈推进互联网协议第六版(IPv6)规模部署行动计划〉的通知》,截至2020年底,数据中心全面支持IPv6接入和访问,要求采购的云服务支持IPv6访问,权威和递归DNS服务器全面支持IPv6,主页通过安全云服务支持IPv6访问、业务系统网站通过校内反向代理服务器全面支持IPv6访问,网络准入系统支持IPv6准入,IPv6出口部署了支持IPv6的日志审计设备。
IPv6过渡挑战
在人大的IPv6部署实践中,我们总结出高校在向IPv6过渡时主要面临的挑战。
1.应用部署大多仍主要考虑IPv4地址策略
高校应用建设多为业务部处主导选型与方案,现有应用多为IPv4部署,主动考虑IPv6部署较少,导致部分应用需要通过反向代理服务器支持IPv6。
2.流量模型的变化
在各大应用新增启用IPv6解析时,校园网经常会遇到CERNET2接口带宽接近饱和的情况。面对被动应对网络变化的情况,IPv6网络流量带宽需要给出一定的弹性空间,满足学校IPv6业务的正常使用需求。
3.安全设备的变化
出于网络安全的需要,高校大量部署了网络防火墙、流量控制系统、Web安全防火墙等网络安全设备。这些设备在IPv6业务运行后需要进行更精细化的配置,对IPv6的支持要更深入细化。
4.网络管理工具的变化
网站提供IPv6服务后,网站登记管理、防火墙联动、一键断网等系统都需要进行相应的改造,使用新的网络管理工具适配新的Web业务模型。
应对思路
针对上述IPv6过渡挑战,可以从以下建议中寻求解决方案。
1.从管理上主动思考
提前在技术上做好区域、地址和安全规划,要求各业务系统同时满足IPv4和IPv6地址配置才允许上线部署。
2.提升专业技术人员的IPv6技术能力
通过对新流量模式、新安全策略的学习和沟通,提升专业人员对IPv6的设备配置和流量分析能力,提升高校的IPv6专项安全防护能力。
3.针对IPv6网络安全,在教育系统内进行专项培训和经验交流
4.借鉴运营商IPv6部署经验,提升教育系统IPv6业务能力、管理效益
未来展望
近日,工信部、网信办印发《IPv6流量提升三年专项行动计划(2021-2023年)》(以下简称《计划》),对高校进一步推动IPv6规模部署和应用起到了很好的指导作用:
1.新增IPv6专线作为网络出口扩容新方向
《计划》提出“原则上不再提供IPv4单栈专线扩容”,而不少高校目前只有一个CERNET2的IPv6出口。
未来高校很可能会同时使用租赁适用多个IPv6出口,这种场景下的用户IPv6地址分配、路由方式、服务器多出口配置等都将从理论问题变成工程实践新的课题,需要探索更多的“最佳实践”,指导高校完成从IPv4多出口向IPv6多出口的转变。
2.IPv6与VR、大数据
等技术结合,支持新文科建设
以人大为例,新闻学院、外国语学院、历史学院等人文学科结合近些年涌现的新技术,探索了高分辨率直播、高性能无线网承载的VR教室、实时语音识别与翻译、古代文献资料的词频统计与处理、历史事件地理信息分布的可视化分析等一系列高端前沿研究。
如何将IPv6与VR、大数据等技术相结合,服务于新文科建设,是未来学校IPv6部署和应用重点探索和投入的新领域。
供稿:刘骥琛(中国人民大学)
投稿、转载或合作,请联系:eduinfo@cernet.com