教育系统IPv6部署及应用浅析
来源:赛尔网络有限公司河南分公司 作者: 发表于:2019.03.29 614浏览
IPv6是互联网演进升级的必然趋势。自2017年11月中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,我国互联网正式迎来了全面部署IPv6的新时代。一年多来,我国出台了多项政策措施推动IPv6规模部署和快速发展,IPv6部署也取得了重要的阶段性成果。
2018年9月,教育部办公厅发布了《关于贯彻落实<推进互联网协议第六版(IPv6)规模部署行动计划>的通知》,对教育系统的IPv6规模部署从系统升级和人才培养方面提出了两大目标,从基础网络设施升级改造、应用系统和服务升级、网络安全管理和防护以及IPv6技术的支撑保障四个方面明确了重点任务。
本文将重点介绍中国教育和科研计算机网CERNET(以下简称“CERNET”)IPv6的最新部署情况、河南省教育系统IPv6部署的最新进展,以及在IPv6部署过程中可能遇到的问题和解决办法,希望能为广大教育用户在IPv6升级部署的实际工作中,提供帮助。
一、我国IPv6最新部署和应用情况
“中国IPv6产业发展研讨会”上公布的信息显示,我国推进IPv6规模部署工作一年来工作取得了积极进展,成效显著。
在网络设施IPv6改造方面,三大基础电信企业全国30省移动宽带接入(LTE)网络均完成端到端IPv6改造,开启IPv6业务承载功能;骨干网设备全部支持IPv6,全国13个骨干直联点中有5个直联点开通IPv6互联互通;截至2018年11月,基础电信企业分配IPv6地址的LTE和固定宽带接入网络用户总数超8.65亿。
在重点互联网应用的IPv6升级方面,截至2018年11月,中国大陆93家省部级政府网站中可通过IPv6访问的网站共有63家,97家中央企业网站中已有92家;同时,互联网企业对于IPv6升级改造的积极性和主动性也进一步增强。
二、教育网IPv6最新部署和应用情况
CERNET在推动下一代互联网技术的发展、促进我国下一代互联网的普及和应用等方面,一直发挥着积极的作用。
1、从网络建设情况来看,2018年8月,CNGI-CERNET2二期升级建设圆满完成。升级之后的CERNET2覆盖我国36个城市,主干网总带宽达2950G,核心节点数量41个,主干线路带宽实现10G-100G。
2、从网络整体情况来看,CERNET2网络运行稳定,流量相对平稳,核心节点可用率达99%以上,主干线路故障率均值0.33%。
3、从IPv6用户规模来看,截至2019年1月,CERNET已接入IPv6的高校用户达1789个,用户超千万人。
4、在国内互联互通方面,截至2018年底,CERNET与三大运营商及科技网开通IPv6网间带宽共计153.5G。
在我省,河南省教育厅于2018年11月发布了《关于加快推进全省教育系统IPv6 规模部署和应用工作的通知》,各级高校教育系统积极推进IPv6的规模部署。截至2019年1月24日,河南省内开通IPv6的高校已达105所。17个省辖市基础教育城域网也依托IVI技术实现了IPv4/IPv6互通;省电化教育馆作为省基础教育资源服务中心节点,也接入了省网IPv6网络;26所河南省高校门户网站实现对IPv6的支持;各个高校也正在积极建设支持IPv6的各类信息资源和业务系统。
图1 高校网站IPv6支持情况(来源http://ipv6c.cn/mainPage.do)
三、IPv6部署和应用中存在的问题
部署IPv6不能以舍弃原有的IPv4网络为代价,IPv6部署升级应该是循序渐进的过程。在从IPv4向IPv6演进的过程中,将经历以下三个阶段:
第一阶段:纯IPv4阶段,即纯IPv4网络,IPv4终端和IPv4资源互访。
第二阶段:IPv4向IPv6过渡阶段。终端和资源端需要从IPv4阶段过渡到IPv6阶段,可通过双栈技术或者外挂翻译设备来实现。如果使用翻译设备,可分为两个子阶段:前期是IPv4网络,主要技术策略是IPv4加挂“v4转v6”翻译设备,支持IPv6的访问;后期建立的是IPv6网络,对于少量IPv4的访问,可外挂一台“v6转v4”翻译设备,支持IPv4的访问。
第三阶段:纯IPv6阶段。IPv6终端和IPv6资源互访。
图2 IPv4向IPv6演进的三个阶段
在一段时间内,终端网络将会处于纯IPv4网络、双栈网络和纯IPv6网络并存的时期。其中,双栈网是基于现有网络的升级,能直接为用户提供便捷的IPv4/IPv6双栈网接入、认证和管理功能;新建的纯IPv6网是基于现有网络的扩展升级,通过IPv6过渡技术能够与IPv4网互通互联。
在实际的IPv6部署过程中,可能会遇到一些典型问题,例如:
1、设备的支持性
虽然IPv6在CERNET2中已经测试运行多年,但很多学校的现网设备仍然不支持IPv6。对此,CERNET运营单位赛尔网络有限公司(以下简称“赛尔网络”)结合各地分公司在开展工作中遇到的实际情况,总结出IPv6支持度不高的设备列表。在部署的前期,首先明确学校基础设备可用性,协助对不支持IPv6的设备进行最新固件升级,对于过于老旧的硬件设备则提出更换设备的建议。
2、认证、计费、审计问题
目前,大部分高校对于校园网的使用都有认证和计费机制,且大多支持IPv6。很多高校校园网使用BRAS进行认证的大二层架构,偶尔会出现IPv4和IPv6认证冲突和重复认证的情况,在与厂商进行沟通后,将BRAS升级到最新版本即可解决此类问题。
3、IPv6地址规划及分配的合理性,以及地址溯源问题
由于IPv6地址空间极大,很多高校在部署IPv6的时候地址空间划分的太碎片化,导致极难管理。因此,建议在部署IPv6之前,首先要对IPv6的地址有一个良好的顶层设计,充分考虑各种情况,制定好分配标准及原则。
地址空间过大同时带来了地址溯源的问题。IPv6的地址分配分为两种:无状态的地址分配(stateless),有状态的地址分配(stateful)。
无状态的地址分配使用ND(RFC2461)协议,通过路由宣告的方式自动配置IPv6地址,这种地址分配方式支持所有终端,配置简单,因此在部署前期,很多高校采用的是无状态的方式来进行地址分配。但是,该方式对于校园网管理来说比较困难,因为无状态随机分配的地址变化频繁,很难进行管理和溯源。
而有状态的地址分配方式使用DHCPv6协议,虽然可以解决溯源和管理的问题,但对于某些终端以及设备的支持度不够。
因此,在地址分配方面,建议如果使用无状态的分配方式,就需要有其他的采集交换机信息及radius记账信息等方式来保证溯源。
四、关于IPv6安全措施
IPv6因地址空间巨大,在应对部分安全攻击方面具有天然优势,在可溯源性、反黑客嗅探能力、邻居发现协议、安全邻居发现协议以及端到端的IPSec安全传输能力等方面可提升网络安全性。
然而,IP协议只是网络层的协议,其安全性设计得再好,也只能保证本功能层的安全,其他功能层如应用层的网页服务、邮件服务及文件传输等服务的安全,仍难以保证。所以,在安全方面,IPv6相对IPv4,对当前网络的各种安全风险的防范并没有太大的提高。
此外,当高校网络升级IPv6之后,便会面临来自IPv4和 IPv6网络的双重嗅探和攻击,既可能有网络层、应用层的攻击,也可能出现其它不可预期的攻击形式。因此,IPv6升级工作也必须预先考虑安全防护问题。
一方面,要改进完善技术手段。
一是改进防火墙的策略,应对拒绝服务攻击。IPv6相对IPv4在数据报头上有了很大的改变,要求防火墙必须解析整个数据包才能进行过滤操作,这对防火墙的处理性能会有很大的影响。因此,必须采取各种技术手段,提高防火墙的性能,适应IPv6的需要。
二是完善入侵检测系统的配置,严格用户限制。IPv6引入了网络层的加密技术,未来网络数据通信的保密性将会越来越强,要求入侵检测系统在任何网络状况、任何服务器、任何客户端、任何应用环境都能进行适当的自转换和自适应,以严格控制访问用户的身份认证和权限验证等内容。
三是采用安全迁移设计,保障快速平稳过渡。目前,IPv4正在向IPv6过渡,与采用其他任何一种新的网络协议一样,其安全措施必须经过慎重的考虑和测试,避免产生新的技术漏洞。
另一方面,要建立健全防护机制。
尽管IPv6还不是当前网络通信的主流协议,但从长远看,有必要开展超前研究,从健全安全防范制度和建立防范体系两个方面,制定下一代互联网的系统安全机制和信息安全机制。
一是要健全安全防范制度,保障网络系统安全。为加强网络系统安全,在管理上要建章立制来强化相关人员的安全意识及规范其处置行为。例如,建立安全检查制度,定期和不定期相结合进行安全保密检查,排查安全隐患,杜绝网络违规操作,减少人为纰漏;建立网络值勤制度,不断强化网络值勤人员的保密意识、责任意识及服务意识,明确人员的职责划分和操作规程,建立完善的值勤登记统计,使网络值勤管理精细化、正规化。
二是要建立具有主动性的网络安全防范体系,确保网络信息安全。采取加密、认证、数字签名、访问控制、安全代理、安全审计和监督控制等多种安全防护机制,实现信息储存保密、传输保密和浏览保密,进行实体认证、操作员认证和信息认证,从运行机制上保证网络信息的安全。
五、CERNET IPv6服务
为进一步推动教育用户的IPv6部署及应用,CERNET及赛尔网络出台了一系列优惠政策和有效举措,以实现教育领域IPv6全覆盖为目标,优先发展IPv6用户,以全面领先的IPv6服务,促进IPv6在国内教育科研领域的规模部署以及以IPv6为基础的教学和科研发展,推动IPv6创新应用。具体如下:
1、IPv6升级服务
基于清华大学的技术优势,以及丰富的网络规划设计、建设实施、运营管理等经验,赛尔网络形成了较为完备的网络建设整体解决方案,针对不同网络的实际情况,配合接入用户部署和应用校园网内的IPv6,量身打造校园网IPv6升级和网站的IPv6升级方案。
特别是基于清华大学IVI技术自主研发的IVI翻译系统,已在100多个校园网进行验证部署,并在河南、天津、南京、云南、吉林等地实现商业部署,实现了IPv4与IPv6的无缝链接。
在部署和应用IPv6的过程中,主要遵循以下的部署原则:
(1)尽量不改变现有网络拓扑;
(2)不影响用户的上网体验;
(3)可平稳演进到纯IPv6互联网;
(4)尽量对用户无感知;
(5)充分考虑可持续发展性和可管理性。
2、网络安全运维服务
赛尔网络拥有遍布全国的营销服务体系,设立31个分公司,打造了一支稳定的网络安全技术队伍,形成了“以总部为中心、以分公司为支撑”的网络安全应急服务体系,可实现对网络安全问题的及时响应和处置。
依托专业的安全技术服务团队,赛尔网络可为高校提供全面的网络安全运维服务,为学校的重大活动提供网络安保,为高校所属资产进行7*24小时的监测及预警,对发现的安全问题进行跟进处理和及时修复等等。
3、下一代互联网产业服务
发挥CERNET创新平台的作用,搭建下一代互联网重大应用技术工程研究中心、网络空间安全创新中心、创新孵化基地、专利服务平台、成果转化基金以及产业资源中心六大业务平台。积极争取国家政策支持,全力支持高校创新创业,鼓励并推动高校在网络基础设施、IPv6关键技术研发、网络安全等科研项目的参与,为高校的创新创业提供实验平台和支撑保障基础。
此外,赛尔网络下一代互联网技术创新项目和下一代互联网创新大赛面向CERNET会员高校开展,旨在鼓励并扶持高校师生开展下一代互联网软硬件技术及应用研究,培养适应现代社会发展需求的高层次专业技术人才。
4、其他服务
面向会员高校,CERNET与赛尔网络还将根据实际需求,不定期组织各类技术培训、论坛等活动,促进校际学术交流与沟通,提供专业技术指导、咨询和网络测试等全方位服务,帮助高校全面部署IPv6网络,提升高校IPv6技术水平,真正实现校园网有线网络、无线网络IPv6的全覆盖。
自互联网传入中国以来,CERNET始终发挥着示范先行和创新领先的作用,为我国互联网及下一代互联网的发展,以及与国际接轨作出了重要贡献。教育领域在IPv6技术的研发以及规模部署和创新应用等方面,也一直是我国IPv6发展的先锋。
以政策为基础,以科技为先导,以创新为动力。今后,CERNET将继续服务广大教育用户,不忘初心,为我国教育领域的IPv6规模部署和应用、教育信息化的健康发展竭尽全力,为我国网络强国伟大战略的早日实现保驾护航!