案例分享丨IPv6校园网的规模化应用
校园网的IPv6过渡升级以及规模化应用需要用户端、服务端以及中间的网络平台部门共同努力,这其中涵盖了技术层面和非技术层面。
随着校园网规模的不断扩大,网络规划、设计与管理变得越来越复杂。IPv4地址在庞大的用户量面前显得格外匮乏,并且可用的地址越来越少。
采用分配临时IPv4地址以及网络地址转换(NAT)技术,也只是延缓IPv4地址的消耗,并不能从根本上解决问题。随着网络接入点的增多,IPv4地址最终一定会消耗殆尽。
所以,为了从根本上解决网络地址不足的问题,我们需要IPv6,即互联网协议第六版。它彻底解决了IPv4地址匮乏的问题[1]。同时,随着国家对IPv6地址的推广,实现IPv6平稳过渡并真正发挥IPv6网络运行价值显得尤为重要。
现阶段,在IPv6升级过渡过程中,所遇到的问题主要集中在网络安全溯源难、组网环境多样复杂、服务端应用更新、用户体验差以及网络设备更新换代等[2]。
本文依托济南大学校园网,从网络平台、网络服务、网络终端以及相关政策措施几个角度,选择部分案例对IPv6校园网规模化应用进行研究,从而保证高校IPv6升级的平稳过渡、安全性以及多场景兼容等需求。
01
基于网络平台的IPv6升级
传统网络架构的IPv6升级
目前常见的IPv6过渡机制有三种,分别是双栈技术、隧道技术以及协议转换技术。
双栈技术的优势主要体现在技术简单,并且与IPv4网络和IPv6网络都可以通信,不足之处是需要网络中的设备都支持双栈。
隧道技术的优势主要体现在可以进行简单的操作,使得被隔离的IPv6网络进行通信,不足之处是隧道出入口的设备性能会限制IPv6的网络规模,无法完成单个IPv4与IPv6的通信,只能使网络之间通信,并且隧道中IPv6封装包传输过程中的损耗也会影响整个网络的传输速率。
协议转换技术的优势体现在可以不用大规模改动原有的网络,就能够实现IPv4与IPv6之间的网络通信,但是缺点也非常明显,类似于隧道技术,协议转换设备的性能限制了IPv6网络的规模,同时也不能使IPv6网络之间通信[3]。
目前,大学常见的传统网络架构以二层扁平网络和三层网络为主,子网划分有固定的规则。多数校园网整体架构如图1所示,既有传统三层架构网络,又有二层扁平网络。一般整体采用三层架构,而对于一些特殊的网络比如数据中心,采用二层网络架构。
图1 常见校园网拓扑
这种传统固定的网络架构在IP子网划分方面有固定的规则,并且网络环境不复杂,因此,在IPv6升级过程中,如果设备能够支持双栈,则选择双栈技术作为过渡机制是最优选择。
在该案例中,传统IPv4的三层网络在IP子网划分中按照功能、楼号以及楼层进行划分。功能分为办公、后勤、多媒体以及无线四大类。
对于IPv4子网划分,教学楼用固定10开头的私有地址,用第二个八位二进制表示功能,1表示办公,2表示后勤,3表示多媒体,4表示无线,用第三个八位二进制表示楼号和楼层。比如第一教学楼二楼多媒体的子网为10.3.12.0/24,其中的3表示多媒体,12中的1表示第一教学楼,2表示2楼。
若采用双栈技术作为过渡机制,只需将IPv6编址与IPv4编址对应起来即可。固定采用2001:da8:7005:xxxx模式,在该案例中,第一教学楼二楼多媒体的网络为2001:da8:7005:3012::/64,3012中的3表示多媒体,012中的01表示第一教学楼,2表示2楼。以第一教学楼为例,IP编址如表1所示。
表1 第一教学楼IP编制
地址策略、路由策略以及网络冗余策略等相关技术的实施在IPv6升级过程中的解决方案与IP编址类似。在传统IPv4网络下,地址策略采用动态主机配置协议(DHCP)获取地址,路由策略采用开放最短路径优先(OSPF)路由协议,网络冗余策略采用虚拟路由器冗余协议(VRRP),那么在IPv6升级后,网络中的地址、路由以及网络冗余策略也可采用相对应的更新的协议版本。
这样的解决方案,一方面,减少了网络管理人员在IPv6校园网规模化应用过程中的工作量;另一方面,升级后的IPv6网络整体情况与原有的IPv4网络类似,也便于后期的网络维护。
对于设备升级,可以咨询设备厂商能否在不更换设备的前提下进行软件升级。以H3C厂商的S5820V2设备和S5830V2设备为例,下载相对应的MIB更新软件即可支持IPv6。有的设备支持双栈但无法进行策略配置,也可通过软件升级。以思科3750多层交换为例,其15.0版本通过键入命令“sdmpreferdual-ipv4-and-ipv6routing”重启之后才能进行双栈策略部署。
如果校园网内大多数设备不支持双栈技术,一方面可以更换设备,另一方面可以考虑采用大二层网络架构。以济南大学网络升级为例,网络升级后变为二层架构,核心交换机使用华为的S12708,剩余的二层设备使用新华三的5130系列交换。
原有的不支持IPv6的老旧三层设备降为二层设备使用,这样升级设备的重点只需要放在核心层,即只需要保证核心三层设备支持双栈即可。
基于SDN的IPv6升级
软件定义网络(Software Defined Network,SDN)[4-5]的出现和发展打破了传统网络架构的局限性。
图2 SDN架构
如图2所示,它不是一个具体的技术或协议,而是一种思想或框架。它实现了控制平面和数据平面的解耦,控制层实现集中控制,软件可编程,转发层通过硬件实现高速转发,控制层与转发层之间通过Openflow协议交互。
在传统网络架构里,数据平面和控制平面是紧密耦合在一起的。硬件设备可编程能力较弱,并且受设备厂商影响,设备开放性较小。所以,在IPv6过渡升级时,即使有了新的协议技术,在实施过程中也需要更新设备,这其中的成本巨大。而SDN的出现,使得网络整体开放性变强,网络可编程不再受设备厂商限制。过渡过程中出现的新技术以及新思想只需在应用层和控制层进行实施,而不需要再对转发层的硬件设备进行更新换代。
图3 SDN架构下IPv6过渡
所以常见的解决方案如图3所示,即将IPv4与IPv6的转换机制单独作为一个模块放入控制平面或者服务端[6],这样用户终端以及转发平面基本不受影响,而且由于SDN的特点,可以实时动态地改变策略。
同时在SDN架构下,也可以考虑通过分段路由(Segment Routing,SR)实现IPv6的过渡升级,尤其是在高校数据中心以及科研实验网络等场景下,SDN控制器可以获取网络全局视图,将SDN控制器作为SR的控制平面,并利用SR的源路由机制,最终实现IPv6子网之间的通信,实现IPv6数据转发[7]。
IPv6升级后的网络安全解决方案
IPv6的安全优势体现在其扩展头中,其中的扩展选项实现强制IPsec安全加密传输。同时IPv6较大的地址长度增加了攻击者网络扫描的难度。
但IPv6升级后面临的网络安全漏洞也很大。主要体现在IPv6协议本身的漏洞、IPv6应用升级过程中的漏洞以及网络平台过渡过程中的漏洞。
IPv6协议本身易遭受分片攻击、扩展头攻击以及邻居发现协议(NDP)攻击等,对此的解决方案可以限制报文分片数目以及扩展头数量,同时参考IPv4网络的地址解析协议(ARP)防护策略[8]。
在服务应用端以及网络平台升级过程中,需要特别注意应用系统开发层面安全机制的过渡,初期可以选择在主机及相关网络设备上关闭不用的IPv6端口,充分利用IPsec安全机制并提高边界防火墙安全过滤性能。
02
基于网络服务的IPv6升级
基于网络服务的IPv6升级,指的是校园网络系统应用程序的升级。当硬件以及操作系统层面的升级过渡实现之后,能够保证IPv6流量在网络中的传输。
但现阶段常见的问题是IPv6流量来源较少,导致网络中的IPv6流量过小,使得建立起来的IPv6网络基础设施无法实际运作起来。
问题根源在于如今网络中的流量来源类型大多为视频、即时通讯以及游戏等,而这些服务提供商的应用程序在初期开发过程中大多基于IPv4地址。
换句话说,在系统开发过程中将传统的IPv4地址固定地写进了应用中,使得服务流量还是只能以传统IPv4的形式在网络中传输。
所以,相应的解决方案需从网络系统应用程序角度考虑。一方面更新应用程序,考虑将原有的地址指向改为域名指向;另一方面,当系统程序过于庞大,升级更新较为困难时,考虑单独设置一个IPv6翻译模块,这样基于IPv4的服务流量会转换为基于IPv6的服务流量在网络中传输。
对于高校信息中心集中管理的应用服务IPv6升级,首先,应用服务对应的基础硬件需要保证支持IPv6;其次,应用服务软件升级,尤其是学校的门户网站升级,除了将地址指向改为域名指向外,还需要保证IPv6域名解析时延不能大于IPv4域名解析,保证网站各级链接的IPv6正常访问,这样IPv6规模应用之后就不会影响用户体验,使相应的IPv6流量增加。
03
基于网络终端的IPv6升级
上文提到,网络IPv6流量较小的一个重要原因在于网络服务提供端的应用程序不支持IPv6。那么相对应的,网络末端靠近用户终端,如果用户终端所用的家用路由器过于老旧,不能支持IPv6,那么即使现在大多数用户终端都支持IPv6,由于家用路由器NAT的作用,导致发送在网络中的流量还是IPv4流量,也同样会造成网络中IPv6传输流量过小。
所以,相应的解决方案,一方面,考虑推荐用户更换路由器,目前主流支持IPv6的品牌有TP-LINK、小米、华为以及腾达等;另一方面,将老旧路由器以桥接方式接入网络。如果用户终端光猫老旧,不支持IPv6,一般由网络信息部门在升级网络时主动更换。因为大多数情况下,光猫与认证计费相关,需要在信息部门注册才可使用。
同时,针对IPv6网络溯源难的问题,在校园网内的解决方案与传统IPv4网络一致,即在用户终端进行账号密码认证。
所用账号即为学生学号或者教职工工号,当用户接入校园网并打开网页时,认证界面自动弹出,用户输入账号密码认证成功之后,可以维持一个月左右不再认证。
这样做,一方面可以保证用户上网的实名认证从而解决网络溯源难的问题,另一方面可以解决频繁认证导致用户体验差的问题。
04
非技术层面上的IPv6升级
针对高校的特殊环境,可以从政策措施等非技术层面上促进IPv6规模化应用。
从生活宣传角度,高校信息部门下设的学生组织社团积极宣传网络强国战略相关举措,尤其是IPv6规模部署相关举措,加强政策引导[9],通过升级网络,宣传IPv6网络更高的网络传输效率和更低的收费标准,积极引导校园网用户主动更换老旧家用路由器等边缘设备。
从科创科研角度,学校组织开展IPv6应用优秀案例征集、IPv6创新大赛等活动,并鼓励相关教师在IPv6领域进行科研,加快SRv6等“IPv6﹢”网络技术研发进度,扩大网络试点并最终实现规模化部署[10],给予政策资金上的支持。
同时,对学校信息部门的网络管理人员进行IPv6领域专项培训,使得IPv6升级过程以及后期网络运维得到保障,并引进新技术人才,提高校园网整体性能。
此外,基于IPv6开展高校自主组织的线上会议、线上业务办理、线上授课以及上机考试等重要活动。
校园网的IPv6过渡升级以及规模化应用不是在一个层面上就能完成的,而是需要用户端、服务端以及中间的网络平台部门共同努力,这其中涵盖了技术层面和非技术层面。本文给出了各个层面上的解决方案,对于现阶段高校的IPv6规模化应用具有普适性。
参考文献(上下滑动查看)
[1]总政宣传部编.网络新词语选编[M]2013.北京:解放军出版社,2014.
[2]项阳,李星.抓住历史机遇,推进IPv6发展[J].中国教育网络,2020(12):21-22.
[3]申健,朱婧.校园网IPv4到IPv6过渡技术分析与应用[J].实验室研究与探索,2014,33(11):145-148.
[4]李可欣,王兴伟,易波,黄敏,刘小洁.智能软件定义网络[J].软件学报,2021,32(01):118-136.
[5]杨冉.利用深度强化学习实现智能网络流量控制[D].北京邮电大学,2019.
[6]孙琼,解冲锋,赵慧玲,卢绪山,刘树成.基于SDN架构的IPv6过渡技术设计与实现[J].电信科学,2014,30(04):15-21.
[7]蒋元兵,瞿辉,夏洪君,雷文虎,康宗绪,颜浩洋.基于SR的IPv6过渡技术设计与实现[J].通信技术,2020,53(05):1151-1156.
[8]张千里,姜彩萍,王继龙,李星.IPv6地址结构标准化研究综述[J].计算机学报,2019,42(06):1384-1405.
[9]刘萌.金融业IPv6规模部署应对思考[J].金融科技时代,2021,29(10):90-93.
[10]我国IPv6发展正式步入“流量提升”时代[N].人民邮电,2021-07-13(008).
作者:郭雷、荆山、萧斌(济南大学信息科学与工程学院)
责编:项阳
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
欢迎分享、在看与点赞
积极留言,更会有意外惊喜~