西北工业大学IPv6部署方案
建设背景
2017年,中共中央办公厅、国务院办公厅发布《推进互联网协议第六版(IPv6)规模部署行动计划》(简称“两办行动计划”),实现互联网向IPv6演进升级,用5到10年构建高速、移动、安全、泛在的新一代信息基础设施,促进互联网与经济社会深度融合,构筑未来发展新优势,为网络强国建设奠定坚实基础。
2018年4月,工信部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知。
2019年4月,工信部发布《工业与信息化部关于开展2019年IPv6网络就绪专项行动的通知》(简称“工信部专项行动”),要求部属各高校于2019年完成门户网站IPv6改造,新建网站及外部系统应全面支持IPv6访问。
在此背景下,西北工业大学(简称“西工大”)全面开展校园网IPv6升级部署工作。
建设现状及规划
西工大校园网在建设初期就充分考虑了IPv6接入需求,校园网出口拥有教育网CERNET2 10G的IPv6接入链路,使用带宽3Gbps,以及电信 20G的IPv4/IPv6双栈接入链路,使用带宽15Gbps。校园有线网络支持IPv4/IPv6双栈协议。校内师生使用校园网时能够同时获取IPv4和IPv6地址。
实现用户端和校内资源向IPv6全面升级是必然趋势,但需要经历一个较长的过渡阶段。两办行动计划中着重强调门户网站需要支持IPv6,但从学校目前网站及应用系统的现状而言,仍需要花费大量的精力。不同应用系统的数据库、Web中间件、CMS要全面支持IPv6,可能涉及到软硬件及代码中IPv6地址函数的改动,存在一定的改造难度和未知的安全隐患。
因此,西工大计划先通过双栈技术及地址翻译设备实现网站和应用系统的IPv6过渡,加快落实工信部文件的重点目标要求,逐步推进完成以下工作:完善网络基础设施IPv6能力,为全面对接IPv6互联网做好支撑;着力推广IPv6家用路由器使用,增强校内用户IPv6访问活力;加快推进校内网站及业务系统向IPv6升级,不断提升IPv6应用生态容量;完善IPv6网络安全管理制度体系,涵盖IPv6防护技术和管理相关要求。
地址申请和管理
西工大在目前出口做NAT内外网地址转换的基础上,拥有教育网三段/48 IPv6地址,积极向教育网和运营商申请IPv6地址,为后期全面建设并推广IPv6获取充足的地址资源。
教育网IPv6地址
西工大已于2019年6月28日成功申请到教育网新一段/32 IPv6地址240C:C283::/32。未来可满足校园网、业务专网、物联网建设过程中对独立子网的需求。
02
基础运营商IPv6地址
西工大已于2019年5月6日成功申请到电信新/48的IPv6地址240E:0658:0A21::/48和240E:0658:0A22::/48。
03
IPv6地址管理
西工大校园网针对IPv6计划采用有状态地址自动配置机制,使用DHCPv6为用户主机和服务器开通并分配IPv6地址、IPv6前缀、DNS服务器等网络配置参数,解决常见的IP地址冲突问题,实现IPv6地址的生命周期管理,满足用户行为审计和安全管理需求。
DNS部署
下一代互联网国家工程中心IPv6 DNS部署
为响应国家下一代互联网发展计划相关文件,西工大同下一代互联网国家工程中心积极推进教育网“一省一根”工作。
“根服务器”是全球互联网控制中枢,是互联网重要的战略资源,支持着全球互联网的信息查询和访问,是互联网最关键的信息资源库。国家发改委于2016年6月将IPv6根服务器列入国家“互联网+”产业重大支撑项目。
西工大于2018年11月同下一代互联网国家工程中心完成IPv6递归DNS部署,并在校园网内部测试运行。目前,正在积极推动教育行业IPv6根镜像服务器的部署,计划为陕西地区教育网内部用户提供稳定高效的IPv6 DNS服务,如图1所示。
图1 下一代互联网国家工程中心 IPv6 DNS 部署
02
校内IPv6 DNS部署
由于互联网用户访问DNS服务必须依赖全球DNS系统,因此需要基础电信企业及各应用提供单位加快部署解析服务器和授权服务器。
西工大于2019年5月部署完成独立的IPv6 DNS,支持AAAA记录、A6记录和纯IPv6的DNS请求,提供多出口状态下IPv6域名的智能解析业务,满足学校IPv6权威域名解析及递归域名解析需要。IPv6 DNS在过渡阶段能够支持IPv6与IPv4之间的网络地址与协议转换,实现IPv4到IPv6的平稳过渡。
升级方案及实践
01
校园网IPv6站群升级
网站及应用系统的IPv6升级可选择双协议栈和七层反向代理两种实现方式。
双协议栈技术要求涉及到用户同业务交互的站群系统、网络设备、安全设备、域名解析服务及后台支撑系统(AAA和网管)能够同时运行IPv4和IPv6协议,是改造最为彻底的网站IPv6升级改造技术,如图2所示。
图2 双协议栈技术
反向代理技术是通过服务器代理用户请求实现互联网用户对内部网络的访问。反向代理服务器能够在内网网站及应用系统保持IPv4环境不变的基础上,满足IPv6用户对业务的访问需求。
西工大针对站群系统上的门户及二级网站采用双协议栈技术进行IPv6升级改造,对原有B/S架构(或基于RDP、TELNET、SSH的C/S架构)的应用系统通过反向代理实现IPv6过渡,同时对新建网站及应用系统提出IPv6协议支持需求。
02
校园网IPv6安全建设
两办行动计划提出了“两并举三同步”原则:“发展与安全并举,同步推进网络安全系统规划、建设、运行。”
西工大在开展站群IPv6升级工作前期就已经完成校园网认证计费系统改造,全面支持IPv6网络环境下用户的接入身份验证和计费;完成IPv6出口改造,将IPv6教育网链路并入出口防火墙做统一防护和行为审计;完成IPv6 DNS权威解析及云防护,IPv6 DNS能够解析外部用户对内网站群的访问请求,通过AAAA记录将这些请求解析到云防护节点进行流量清洗,有效阻击DDoS攻击和病毒入侵;完成数据中心站群IPv6访问流量独立路由的部署,在不影响IPv4业务访问的前提下,为IPv6流量建立了抗DDoS、防火墙及WAF三层防护体系。
03
校园网IPv6建设成果
目前,西工大站群系统IPv6已全面升级, 学校门户主页www.nwpu.edu.cn通过全球IPv6 Forum的IPv6 Enabled Phase-2 Logo认证,Logo ID:W2-CN-00000017。完成工信部专项行动通知中对于部属高校门户网站IPv6改造的工作时间要求。IPv6 Enabled Logo动态测试报告显示西工大门户主页IPv6支持情况,参见表1。
表1 西北工业大学门户主页IPv6支持情况(2019年11月5日)
西工大在本次站群升级中采用双协议栈技术,除校外云防护以外,实现了校内网络设备、安全设备、站群系统的整体IPv6升级,加快了网络资源从IPv4到纯IPv6的过渡进程,为后续已有应用系统改造、新建应用系统,提供了IPv6基础承载网络。
(本文刊载于《中国教育网络》杂志2019年12月刊,原标题为《西北工业大学全面部署IPv6》,作者:胡燕玲、王康,单位为西北工业大学信息化建设与管理处;责编:项阳)
相关阅读