李星:高校向IPv6过渡场景解决方案
近日,深入推进IPv6规模部署和应用贯彻落实会议召开,IPv6规模部署相关文件连续发布。其中,《IPv6流量提升三年专项行动计划(2021-2023年)》(简称“专项行动计划”)提出,用三年时间,推动我国IPv6规模部署从“通路”走向“通车”,从“能用”走向“好用”。
在此背景下,清华大学教授、CERNET网络中心副主任李星分析了高校推进IPv6规模部署的技术方案。他表示,CERNET和广大接入高校要充分利用IPv6发展的历史机遇,为建设网络强国做出贡献。
李星 CERNET网络中心副主任、清华大学教授
IPv6规模部署
和应用落实建议
总的来说,IPv6规模部署可以概括为五大任务:网站改造、活跃用户、IPv6流量、IPv6单栈、创新应用。下面从这五方面探讨高校向IPv6过渡的落实建议。
1.网站改造
网站IPv6过渡场景分为三种情况:现有IPv4网站、双栈网站、新建纯IPv6网站。
实际上,双栈网站的改造目前已很少见。
对于现有IPv4网站,可以采用“IPv4 + IVI网站升级方案(X7000或云服务)”过渡。在保持现有IPv4网络、路由不变的情况下,在纯IPv4网络和IPv6网络出口之间部署IVI(无状态IPv4/IPv6翻译技术)设备。
在此情况下,原IPv4网站不需要做改造,就可以被IPv6用户访问。其优势是:保持原IPv4安全等保等级,只要IPv4不被黑,IPv6不可能被黑。
此外,根据“专项行动计划”要求,到2030年左右,完成向IPv6单栈的演进过渡。因此,各高校新建网站应采用“纯IPv6”解决方案,这符合纯IPv6发展趋势。
图1 网站IPv6过渡场景
2.活跃用户
用户IPv6过渡场景也分为三种情况:现有IPv4用户接入、双栈用户接入、新建纯IPv6用户接入。
在这三种场景中,现有IPv4用户接入的升级能真正“多快好省”地提升IPv6活跃用户。此时可以采用“IPv4 + IVI用户网络升级方案(X2000)”。在保持现有IPv4网络、用户终端不变的情况下,将IVI设备部署在IPv4和IPv6 网络出口之间,所有IPv4活跃用户都能转化成IPv6活跃用户。现阶段,IPv6认证在准入控制方面还不太成熟,成本也较高。而此方案支持原有IPv4认证系统,不需要升级。从安全和成本方面看,对高校提升IPv6活跃用户都非常实用。
与网站改造一样,新建纯IPv6用户接入符合纯IPv6发展趋势,并能与SAVA(下一代互联网真实源地址验证体系结构)技术平滑集成。
图2 用户IPv6过渡场景
3.IPv6流量
IPv6流量的提升,主要依赖于活跃用户和网站两方面,尤其是活跃用户的IPv6改造。提升高校的IPv6活跃用户数,才能促进IPv6流量规模持续提升。
4.IPv6单栈
向IPv6单栈过渡,也即推进IPv6规模部署向纯IPv6发展,主要包括网站升级和用户升级两方面。
网站升级可采用“IPv6 + IVI 网站升级方案(X8000)”,通过在新建的纯IPv6服务器和IPv4网络之间部署IVI翻译器,支持纯 IPv4 终端可以访问 IPv6 服务器,由此平滑过渡到纯IPv6 互联网。
用户升级可采用“IPv6 + IVI 用户网络升级方案(X3000)”。新建的纯IPv6网络和IPv6终端,通过部署IVI设备,可以访问IPv4网络资源。此方案可应用于新建大规模纯IPv6无线网接入。由于iOS系统和Android系统都已经集成了IVI翻译技术,通过在无线校园网添加IPv6 SSID(服务集标识)即可实现,这对高校来说非常实用。
5.创新应用
高校在IPv6创新应用上,要落实“发展安全并重,满足国家急需”。
首先,要学习贯彻习近平总书记重要讲话精神。掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术难题,即要抓住“命门”。没有网络安全就没有国家安全,要“以安全保发展,以发展促安全”。
同时,网络科技进步与网络空间安全协同发展。在网络科技进步方面,要达到世界一流,争取国际话语权;在网络空间安全方面,要满足国家急需,解决重大安全问题。
推动IPv6发展三部曲
新形势下推动IPv6发展,可以概括为“三部曲”。
1.平滑过渡,互联互通,逐步推进
在IPv6过渡技术方面,基于双栈的IPv6过渡技术(硬着陆),将演进成基于翻译的IPv6过渡技术(软着陆)。
“平滑过渡”是向IPv6过渡的基本原则,也就是,不能因为向IPv6升级而影响用户体验。而通过IVI翻译技术的“软着陆”过渡技术,可以实现IPv4向IPv6的平滑过渡。
现有的IPv4服务器或客户端,通过IVI(6aaS)翻译,与IPv6网络实现互联互通,其对外特性表现为双栈,对内特性仍是纯IPv4;同理,新建的纯IPv6网络,也可以通过(4aaS)IVI翻译,与IPv4网络保持互通。
实际上,尽管按照规划,我国将向纯IPv6网络过渡,但由于长尾效应,在全球范围内,IPv4网络将会长期存在。尤其在高校,与国际网络的互联互通更是刚需。因此,通过翻译技术实现IPv4与IPv6互联互通,从长远看来也将是硬需求。
2.发展与安全同步,充分利用IPv4安全能力
要做到发展与安全同步,首先要关注IPv6的网络空间安全。
由清华大学研发的下一代互联网真实源地址验证体系结构SAVA主要用于解决下一代互联网的可信安全问题。
SAVA支持互联网真实源地址的精确定位和地址溯源,突破了下一代互联网体系结构的安全可信关键核心技术,近日被中国电子学会授予2020年度科学技术特等奖。将SAVA技术落地落实,是当前高校在网络安全方面应重点关注,全力部署实施的工作。
此外,IPv6的防火墙应该怎么做?
现阶段,IPv6的防火墙很难实现跟IPv4的防火墙一样的防护强度。考虑到这一点,在IPv6安全保障上,我们可以采取另一种思路:通过虚拟的翻译技术,充分利用IPv4的安全能力。
可以将IPv6网络和IPv6主机之间的防火墙设想成一个“盒子”,盒子内部是具有双重“虚拟翻译”功能的IPv4防火墙。
防护的过程是,将IPv6映射成IPv4,经过IPv4的防火墙,再映射成IPv6。这样,就可以让纯IPv6网络充分利用IPv4成熟的安全保障能力。
实际上,用这种方法设计的IPv6防火墙,并不一定真的采用IVI翻译设备,而是充分利用了IVI技术的翻译“思路”。
3.跨越式发展,构建切片和零信任体系结构
(1)用不同于IPv4的思路做IPv6
传统的校园网为了保安全,通常采用“糖葫芦”式的串通方式,在校园网的出口处设置各种安全设备。而高校有联网、高性能、安全、科研等多方面的网络需求,采用“串联”的方式很难满足所有需求,并存在不少安全隐患。
我们可以将校园网的需求进行如下分类:
• 用户上网:包括有线、无线(多SSID)上网;
• 信息系统:学校的信息系统通常在校园内部专网使用,从外部访问时需要使用VPN;
• 视频系统:无论是广播/点播系统还是视频会议系统,都用于教学、研讨;
• 对外宣传:也就是通常的学校网站,采用CDN(Content Delivery Network,内容分发网络)、WAF(Web Application Firewall,网站应用级入侵防御系统)等技术;
• 科学研究:包括超算专网、存储专网、备份专网等;
• 物联网:包括门禁专网、视频监控专网、井盖专网等。
有了清晰的分类,再来看IPv6升级。实际上,与传统的IPv4网络相比,IPv6拥有的海量地址使其能更容易实现网络切片等功能,满足校园网的多种需求,并保障网络安全。
概括来说,就是要用不同于IPv4的思路来做IPv6。
也就是,按照网络切片的思路将高校各种校园网需求拆分,采用不同的方法分别满足不同的需求。如此以来,CERNET可以将提供给高校的万兆接入网络“定制化”,比如,针对各校的网站监测能力参差不齐,提供高质量的网站监测外包服务;针对用户上网,可以提供日志保障等。
反过来,高校也可按照这种思路,将校园网的功能拆分升级。比如,对于信息系统、视频系统、超算专网等专供学校内部使用的功能需求,不宜采用传统的“串联”方式进行安全防护;而对于其他与外部网络互连的功能需求,则可以采用“外包”方式保障安全。
(2)SRv6和dIVI
根据上述思路推动IPv6发展,有两个技术非常重要:SRv6(Segment Routing IPv6,IPv6分段路由)和dIVI(双重翻译技术)。比如,对基于IPv4的超算专网,如果将其应用系统改造成IPv6,成本很高,而采用dIVI双重翻译技术,可以直接利用私有的IPv4地址建网;而新建的纯IPv6应用,则可以直接用SRv6技术进行网络切片,来满足特定需求;同时,SRv6和dIVI技术也可以结合使用。
满足该思路的方案有如下特点:支持IPv4,无需重新编程,无需优化IPv4链路,利用IVI翻译技术转换为IPv6流量;支持IPv4双向通信,校园网无需提供公有IPv4地址;外特性完全为IPv6单栈。
对于未来的互联网发展,总的趋势是“大道至简、返璞归真”。即从一个以OSS/BSS(电信业务)为支撑的,包含IPv4、IPv6、MPLS、DHCP等多种技术的复杂系统,转变为纯IPv6(IPv6-only)的简单系统。
这个系统包含IPv6路由转发、SRv6切片、IVI翻译、Encapsulation(封装)、SSM 框架集等功能技术,并以零信任网络安全防护理念为基础。长远看来,IPv4会长期存在,但会成为纯IPv6网络的一个“子集”,通过无状态翻译技术,对外展示为IPv6。
(3)464BGP
复旦大学校园网IVI部署实践是一个典型案例。通过部署高效路由机制464BGP,即从IPv4地址翻译到IPv6地址路由,再转化回IPv4的地址,借由CERNET2完成传输,提高CERNET2的使用率,并可以有效提升国际教育资源的访问体验。
其特点为:虽然复旦大学校园网是多出口,但使用464BGP技术,可以由学校自主调度特定子网,通过CERNET与Internet2的专有信道,高性能地与合作高校进行通信。特别是,虽然现有技术可以在某种程度上调度复旦大学的出流量。但只有464BGP技术,可以在不需要对方大学配合的情况下,自动调度入流量。
小结
纯IPv6(IPv6单栈)是互联网发展的技术方向,也是中国政府的既定策略,按照“网信办”的文件规定,到2030年中国的互联网将是IPv6单栈。历史上,CERNET和广大接入高校在IPv6的研究、部署和推广方面为国家和世界做出了重要贡献。新形势下,必须再接再厉,充分利用IPv6发展的历史机遇,为把我国建设成为网络强国做出贡献。
*本文根据清华大学教授、CERNET网络中心副主任李星的报告整理
整理:项阳
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
● 中国互联网协会学术工作委员会换届,李星教授当选主任委员
● 李星:互联网技术和教育信息化的历史与未来