首页 >教育信息化 >本期目录>正文

北京邮电大学:做好支持IPv6的基础设施升级改造

来源:北京邮电大学 作者:马严 发表于:2019.03.29  553浏览

IPv6地址申请与规划

目前申请IPv6地址的流程相对简单。说明需求后可以获得足够规模的IPv6地址块,满足当前和未来扩展的需求。规划方面,要根据需要对IPv6地址在子网规划、网络链路和设备、服务器、管理和安全设备等的使用做好规划,通过利用地址管理系统可在日常运维中实时掌控。

IPv6升级改造技术路线

IPv6升级改造的主要技术路线如下:

双协议栈技术:优点是全面改造;缺点是不能解决IPv4地址短缺问题,还会带来需要维护双栈两套系统的负担。

隧道技术:优点是适应6over4和4over6的场景;缺点是配置管理复杂,打洞可能引入安全隐患。

协议翻译技术:优点是改造量小,部署快,特别是无状态翻译在过渡期可以发挥重要作用。

反向代理技术:优点是配置简单;缺点是在面对部分业务应用或者加密应用时,需要特定的应用层网关(ALG)协同。

在具体的实施过程中,没有完美的方案,学校要根据自身的具体情况,考察论证后再行确定。

IPv6路由与DNS配置

检查现有设备是否支持IPv6。新购置的国内外厂家网络设备均已支持IPv6。BING9以后版本和Windows域名服务器均支持IPv6,建议指向国内DNS解析。

公共Web服务完成配置后需要备案。在主配置文件/var/named/chroot/etc/named.conf中加入IPv6相关参数。使用开源路由软件Quagga等。

IPv6链路可从中国电信、联通、移动或教育网获得,学校根据访问量确定所需带宽。

支持IPv6的网络管理与运维

该项工作内容具体包括:需要支持IPv6的地址和域名分配和管理;完成批量设备的自动化配置;机房和布线系统的管理;各类服务器机群的管理;各类网络安全设备和系统的管理;支持IPv6的云化、虚拟化系统的管理;负载均衡设备的管理;登录认证和系统日志的管理;IT资产管理;维护工单的下达、跟踪和回溯以及流程管理;应急处理预案等。

IPv6安全设置与检测

网站IPv6升级改造过程中,应注意对安全防护系统的同步升级。网络设备需要支持双栈,安全设备、服务器等硬件设备要进行升级支持IPv4\IPv6双路由。学校要通过IPv6升级,梳理网络拓扑、服务系统、资产和安全防护能力。WAF、防火墙、DPI、入侵检测、登录认证、网页防篡改、漏洞扫描、云安全检测、系统日志采集与分析、SSL-VPN、审计等各类系统均须支持IPv6。IPv6环境要能实现并且比IPv4+NAT更好更安全的效果。

IPv6入网认证、统计

原来IPv4使用的登录入网认证需要升级支持IPv6。通过用户身份验证绑定其使用的设备。使用IPv4/IPv6地址管理系统IPM实现对服务器和用户终端接入设备实行地址配置和管理。终端接入使用DHCPv6方式,以方便掌握资源使用情况,方便管理和安全防护。SLAAC方式使用方便,但存在不易管理的隐患。可利用日志和统计分析系统,通过可视化展示实现对运行态势和异常状况的发现。

网页代码支持IPv6

网页链接要使用域名,将IPv4和IPv6地址直接写入文件URL或链接URL不是良好的编程习惯。网页代码中不要存在无法处理IPv6地址的程序或函数。如果不用到IPv6的特性,要使用协议无关的Socket API,以便处理来自IPv4和IPv6的请求。新开发的网页要考虑IP地址对显示和输入输出的要求,均要注意对IPv6的兼容性。程序员需要经过培训,系统上线前要经过测试。

IPv4/IPv6过渡系统设置与部署

基于国际互联网标准的IVI/MAP-T技术,IPv4向IPv6过渡的思路为:新建网络采用IPv6;当通信对端是IPv6时,通过常规IPv6路由协议,完成IPv6-IPv6的端对端通信;当通信对端为IPv4时,可采用单次或双重或统一的无状态翻译封装技术实现4、6的互访。

升级需考虑的要点

1、网站在进行IPv6升级改造中,应从自身网站架构和营运业务特点出发,统筹考虑,选择较为合理的技术路线和升级改造计划。

2、可考虑采用渐进的方式,逐步完成单业务的IPv6升级改造。

3、经测试系统稳定后,将IPv4和IPv6域名合设。

4、网站IPv6升级改造过程中,网页代码和应用逻辑改造中应使用URL或者相对路径,使用域名而不直接使用IP地址。

5、网站IPv6升级改造过程中,应将应用系统升级和网络升级综合考虑,同步进行。

6、网站IPv6升级改造过程中,应注意对安全防护系统的同步升级。

7、进行IPv6业务系统升级与改造。

8、进行面向维护和安全管理人员的IPv6技术培训。

9、新系统采购合同应明确提出对安全和IPv6的要求。

(本文选自北京邮电大学信息网络中心主任马严教授在2018年河南省教育科研网下一代互联网部署工作推进会议上的报告。)

相关阅读