高校IPv6部署丨建立IPv6网络立体防护体系
西北工业大学(以下简称“西工大”)校园信息化在建设初期就同步考虑了各类基础设施对IPv6的支持。
从2017到2021年,国家相继发布了关于推进IPv6规模部署的阶段性推进思路和行动计划,从网络和应用基础设施服务性能、主要商业互联网应用IPv6浓度、支持IPv6的终端设备占比等方面提出了量化目标。
学校从国家政策引导发展方向的大原则出发,充分结合自身信息化建设需求,分别在网络环境、业务应用、网络安全和用户生态四个方面落实IPv6部署工作。
IPv6部署四大举措
1.完善网络基础设施IPv6能力,为全面对接IPv6互联网做好支撑
目前西工大校园网出口拥有教育网IPv6接入链路以及电信IPv4/IPv6双栈接入链路。校内师生使用校园网时能够同时获取IPv4和IPv6地址。
从IPv6地址资源来看,为全面建设并推广IPv6应用提供充足的地址资源,学校积极向教育网和运营商申请IPv6地址。
2019年5月,向中国电信申请到新/48的IPv6地址240E:0658:0A21::/48和240E:0658:0A22::/48;同时,在2019年6月成功申请到教育网新一段/32IPv6地址240C:C283:/32。
目前学校已拥有4段/48IPv6地址和1段/32IPv6地址,未来可充分满足校园网、业务专网、物联网建设对独立子网和接入终端数的需求。
从IPv6 DNS部署来看,学校于2019年5月部署完成独立的IPv6 DNS,支持AAAA记录、A6记录和纯IPv6的DNS请求,提供多出口状态下IPv6域名的智能解析业务,满足学校IPv6权威域名解析及递归域名解析需要。
IPv6 DNS在过渡阶段能够支持IPv6与IPv4之间的网络地址与协议转换,实现IPv4到IPv6的平稳过渡。
同时,为响应国家下一代互联网发展计划相关文件的号召,学校同下一代互联网国家工程中心积极推进教育网“一省一根”IPv6 DNS工作。
2.加快推进校内网站及业务系统向IPv6升级,不断提升IPv6应用容量
学校针对站群系统上的门户及二级网站采用双协议栈技术进行IPv6升级改造,对原有B/S架构(或基于RDP、TELNET、SSH的C/S架构)的应用系统通过反向代理实现IPv6过渡。
2019年学校官方网站(www.nwpu.edu.cn)在全球IPv6测试中心顺利通过IPv6 Enabled Phase-2测试,成为全国首个通过该认证的教育类网站,获得全球由IPv6 Forum颁发的国际通用证书及全球唯一认证编号。2019年底,工信部确认西工大门户网站一、二、三级链接100%支持IPv6访问。
学校对后期新建业务系统同期开展新建系统IPv6服务和安全防护能力的校内技术标准制定。在建设方案审核期间,即要求全面支持IPv4/IPv6双协议栈,并可在信息化建设与管理处指导下验证测试,确保未来上线的所有业务应用均能够满足IPv6访问需求。
3.完善IPv6网络安全管理制度体系,
涵盖IPv6防护技术和管理相关要求
西工大积极响应两办在《推进互联网协议第六版(IPv6)规模部署行动计划》提出的“两并举三同步”原则:“发展与安全并举,同步推进网络安全系统规划、建设、运行”,率先在陕西省高校领域内采用“网络双栈+安全防护”齐步走的思路进行改造,为业务应用建立云—管—端立体防护体系。
目前,学校完成校园网认证计费系统改造,全面支持IPv6网络环境下用户的接入身份验证;完成IPv6出口改造,将IPv6教育网链路并入出口防火墙做统一防护和行为审计;完成IPv6 DNS权威解析及云防护,IPv6 DNS能够解析外部用户对内网站群的访问请求,通过AAAA记录将这些请求解析到防护节点进行流量清洗,有效阻击DDoS攻击和病毒入侵。
同时完成校外云防护、校内认证计费、网络/安全设备(策略)以及站群系统的整体IPv6升级,加快了校内网络资源从IPv4到纯IPv6的过渡。
4.着力推广IPv6终端使用,营造校内IPv6用户生态
目前,西工大校内用户使用的各类操作系统都已基本支持IPv6。同时面向师生进一步推广使用通过IPv6Ready测试的家用路由器,下发IPv6地址前缀,增加IPv6接入,提升活跃连接数。
IPv6部署面临的挑战
在西北工业大学的IPv6部署实践中,主要面临以下难点和挑战。
1.需要长期的过渡
实现用户端和校内资源向IPv6全面升级是必然趋势,但需要经历一个较长的过渡阶段。从学校目前网站及应用系统的现状而言,仍需要花费大量的精力。
不同应用系统的数据库、Web中间件、CMS要全面支持IPv6,可能涉及到软硬件及代码中IPv6地址函数的改动,存在一定的改造难度和未知的安全隐患。
2.效果体验有待提升
在2020年,工信部在《关于开展2020年IPv6端到端贯通能力提升专项行动的通知》中提出了三大目标,其中之一是IPv6网络性能与IPv4趋同。
面对IPv6浓度不足的业务应用,平均丢包率、时延、连接建立成功率等指标与IPv4相比劣化不超过10%。如何保证IPv6升级过程中与IPv4体验的一致性,需要各高校在规划方案时重点考虑。
3.面临新的安全挑战
IPv6真实地址暴露出来后可能产生物联网资产成为网络攻击者目标的隐患,需要从管理和技术上加以重视。
充分利用CERNET2推进IPv6发展
高校校园网进行IPv6规模部署和应用,是顺应时代发展和国家政策的需求,也是建设智慧物联校园的需求。
高校需要在确保完成IPv6推进目标任务的前提下,利用各类IPv6过渡技术,针对不同特征不同现状的业务应用多管齐下,同时应积极开展新建系统IPv6服务和安全防护能力的校内技术标准制定。
目前,CERNET2汇集了国家下一代互联网的最大应用群体,为国内下一代互联网IPv6大规模发展奠定了重要基础。
国内高校需充分利用此资源,积极开展交流合作,探索核心技术,提升应用性能,构建教育行业IPv6活跃生态空间和良性发展格局,推进IPv6规模部署从“通路”走向“通车”,从“能用”走向“好用”。
供稿:薛静(西北工业大学)
投稿、转载或合作,请联系:eduinfo@cernet.com