張煥杰 中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心副主任

在2018 ISC互聯(lián)網(wǎng)安全大會——IPv6規(guī)?；渴鹋c安全論壇上，中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心副主任張煥杰在《中國科大IPv6應(yīng)用實踐》的演講中，從校園網(wǎng)最終用戶的管理員身份出發(fā)，介紹了中國科技大學(xué)校園網(wǎng)絡(luò)和安徽省教育科研網(wǎng)的發(fā)展情況。

中國科大校園網(wǎng)簡介

中國科大校園網(wǎng)建設(shè)已經(jīng)20多年了，目前覆蓋了校園的各個角落。同時在11年前開始建設(shè)超算設(shè)施，服務(wù)重點科研方向。近年來學(xué)校的建設(shè)思路是加大平臺建設(shè)，增強服務(wù)能力。

在校園網(wǎng)絡(luò)方面，承載上網(wǎng)流量、一卡通、視頻監(jiān)控、能源監(jiān)控等10余套業(yè)務(wù)；7×24小時保障全校師生的正常使用，保障谷歌學(xué)術(shù)一直可用；是大陸第一家全面開通eduroam學(xué)術(shù)無線網(wǎng)絡(luò)漫游服務(wù)的高校；同時，也提供學(xué)術(shù)寬帶，近代物理系與歐洲核子研究中心CERN的帶寬使用在國內(nèi)都是前列的；參與北京、上海、蘇州校區(qū)以及先進技術(shù)研究院的網(wǎng)絡(luò)規(guī)劃設(shè)計和對接。

安徽省教育和科研計算機網(wǎng)覆蓋16個城市，連接教育廳、考試院和省內(nèi)近80所高校；保障歷年高招錄取、視頻會議等關(guān)鍵應(yīng)用。

超算中心是“研究組-校級共享-國家級”三級超算服務(wù)模式，支持的高水平科研成果不斷涌現(xiàn)，發(fā)表在Nature等一流期刊。初步統(tǒng)計全校約10%的高水平論文受超算平臺支持。

一個學(xué)校的校園網(wǎng)結(jié)構(gòu)可以很簡單，也可以非常復(fù)雜。中國科大校園網(wǎng)物理結(jié)構(gòu)上非常簡單，只有兩三臺核心設(shè)備，但是所有線路的邏輯連接并不簡單。中國科大校園網(wǎng)有充足的網(wǎng)絡(luò)資源，擁有多樣的網(wǎng)絡(luò)出口和豐富的可用寬帶。2005年5月起全校（含OpenVPN用戶）網(wǎng)絡(luò)支持IPv4+IPv6雙棧，穩(wěn)定運行了13年，目前超過二分之一的用戶使用IPv6。從2000年起，就選擇了2層為主的校園網(wǎng)，2層VLAN覆蓋合肥校區(qū)和上海研究院。

中國科大校園網(wǎng)最大的特色是用戶可以自主選擇出口路由，隨時可以更改。2002年，學(xué)校開發(fā)了一個系統(tǒng)——網(wǎng)絡(luò)通，用戶在出校認證時，使用完全權(quán)限的網(wǎng)絡(luò)通，可以有9種出口選擇方式。

校園網(wǎng)IPv6應(yīng)用與管理

中國科大校園網(wǎng)IPv6歷史可以追溯到1999年，李津生教授承擔(dān)863課題《中國科大IPv6示范網(wǎng)》；2000年， 采用純IPv6鏈路和隧道技術(shù)相結(jié)合的組網(wǎng)技術(shù)，建成校內(nèi)IPv6測試網(wǎng)；2004年，CNGI-CERNET2中國科學(xué)技術(shù)大學(xué)節(jié)點建成；2005年，校園網(wǎng)改造為萬兆主干，校內(nèi)全面支持IPv6，包括OpenVPN的遠程用戶均支持IPv6；2017年，反向代理支持IPv6，600余個網(wǎng)站正式提供IPv6服務(wù)。

在網(wǎng)絡(luò)管理理念上，第一是以用戶為中心，接入方式豐富，滿足各種用戶需要，使用方便快捷，盡量少設(shè)置障礙；第二是開放的校園網(wǎng)絡(luò)，使用標準協(xié)議，只要是TCP/IP系統(tǒng)，都可以接入；只要不違反法律法規(guī)、不影響網(wǎng)絡(luò)運行，都應(yīng)該支持；第三是支持技術(shù)研究，如支持LUG（學(xué)生Linnux協(xié)會）開展PXE啟動、開源軟件鏡像等技術(shù)探究。

對于用戶接入而言，用戶IPv6在校內(nèi)接入是沒有認證的，并且使用無狀態(tài)地址分配方式，只要接入設(shè)備安裝IPv6協(xié)議就能分到地址，最大程度方便用戶。

在校內(nèi)，還有子網(wǎng)用戶接入。不少實驗室/辦公室建立子網(wǎng)，通過地址轉(zhuǎn)換設(shè)備連接到校園網(wǎng)，有接入IPv6需求?？梢詫Pv6數(shù)據(jù)包橋接到內(nèi)網(wǎng)，讓內(nèi)部用戶使用IPv6，也可以分配到獨立網(wǎng)段，設(shè)置靜態(tài)路由。子網(wǎng)用戶的獨立網(wǎng)段IPv6接入，可以給子網(wǎng)分配IPv6/64前綴，核心交換機設(shè)置靜態(tài)路由。子網(wǎng)管理員在子網(wǎng)的網(wǎng)關(guān)設(shè)備上設(shè)置內(nèi)外接口IPv6地址，默認路由；設(shè)置內(nèi)部RA廣播；啟動路由功能。

中國科大校園IPv6應(yīng)用服務(wù)基礎(chǔ)IPv6環(huán)境有DNS、OpenVPN，現(xiàn)有應(yīng)用的IPv6原生支持包括BBS/IPTV/FTP/個人主頁/高性能計算等。 學(xué)校沒有設(shè)置防火墻，但并不代表沒有安全措施。學(xué)校設(shè)有IP黑名單系統(tǒng)，可以直接封禁違法或有問題的IP；針對校外發(fā)給校內(nèi)的流量，也有IP黑洞系統(tǒng)，快速有效地防范受影響的IP地址對校園網(wǎng)的威脅。