文/李滿龍 蔡運(yùn)記 黃思樂

項(xiàng)目背景和實(shí)現(xiàn)目標(biāo)

隨著信息技術(shù)的發(fā)展，通信網(wǎng)絡(luò)已成為校園信息化的關(guān)鍵基礎(chǔ)設(shè)施，支撐各信息系統(tǒng)的建設(shè)與應(yīng)用。傳統(tǒng)IPv4 網(wǎng)絡(luò)面臨越來越多的瓶頸和風(fēng)險(xiǎn)，新IPv6 網(wǎng)絡(luò)則擁有更大的地址空間、更好的安全性，基于IPv6 協(xié)議的下一代互聯(lián)網(wǎng)能夠很好地彌補(bǔ)IPv4 網(wǎng)絡(luò)的不足。

2017 年11 月，兩辦印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，開啟大規(guī)模普及IPv6 的序幕。同時(shí)，各運(yùn)營(yíng)商也完成IPv6 骨干網(wǎng)絡(luò)改造，為高校IPv6 改造提供了條件和保障。

北京理工大學(xué)珠海學(xué)院園區(qū)網(wǎng)絡(luò)采用SDN+VxLAN 的管理架構(gòu)，基于H3C Director 控制器實(shí)現(xiàn)對(duì)校園網(wǎng)基礎(chǔ)運(yùn)維、用戶認(rèn)證、安全管理等多功能的統(tǒng)一平臺(tái)管理；在一套SDN 管理平臺(tái)下分別構(gòu)建學(xué)生運(yùn)營(yíng)網(wǎng)、教學(xué)辦公網(wǎng)、設(shè)備專網(wǎng)的多Fabrics 園區(qū)網(wǎng)絡(luò)。

為實(shí)現(xiàn)校園網(wǎng)的可運(yùn)維、更高速和強(qiáng)安全，學(xué)?；赟DN網(wǎng)絡(luò)的IPv6升級(jí)改造，將圍繞以下目標(biāo)開展部署實(shí)踐：一是基于SDN 網(wǎng)絡(luò)實(shí)現(xiàn)IPv6 業(yè)務(wù)的自動(dòng)化部署，二是實(shí)現(xiàn)校園網(wǎng)絡(luò)IPv6 接入和訪問服務(wù)的全覆蓋，三是構(gòu)建更靈活的IPv6 安全防護(hù)體系，四是探索IPv6 的創(chuàng)新應(yīng)用。

做法與經(jīng)驗(yàn)

1.強(qiáng)化組織領(lǐng)導(dǎo)，統(tǒng)籌安排落實(shí)

校園網(wǎng)IPv6 規(guī)?；渴鸸ぷ髟趯W(xué)校信息化工作領(lǐng)導(dǎo)小組的統(tǒng)籌安排下，開展項(xiàng)目的調(diào)研與論證，明確責(zé)任分工，要求定期報(bào)告工作進(jìn)展，確保IPv6 規(guī)模部署工作按要求完成。

2.明確技術(shù)路線，做好網(wǎng)絡(luò)規(guī)劃

經(jīng)充分的技術(shù)論證，結(jié)合不同的IPv6升級(jí)方案（純IPv6、雙棧、翻譯和隧道）特點(diǎn)，學(xué)校采用網(wǎng)絡(luò)雙棧的升級(jí)方案逐步過渡到純IPv6 網(wǎng)絡(luò)的技術(shù)路線，保證業(yè)務(wù)的平滑升級(jí)。本次校園網(wǎng)IPv6 升級(jí)保持網(wǎng)絡(luò)整體架構(gòu)不變，按業(yè)務(wù)功能及用戶分組進(jìn)行IPv6 的子網(wǎng)劃分；基于現(xiàn)有SDN 網(wǎng)絡(luò)的管理架構(gòu)，實(shí)現(xiàn)對(duì)IPv6 用戶的精細(xì)化管理和策略管控，為終端和應(yīng)用開啟雙棧網(wǎng)絡(luò)服務(wù)（圖1）。

圖1 基于SDN 網(wǎng)絡(luò)架構(gòu)的IPv6 網(wǎng)絡(luò)拓?fù)?/p>

3.制定升級(jí)計(jì)劃，分步開展實(shí)施

結(jié)合學(xué)校實(shí)際，為了降低IPv6 網(wǎng)絡(luò)升級(jí)對(duì)業(yè)務(wù)的影響，要求升級(jí)過渡期不能中斷業(yè)務(wù)使用。為確保各業(yè)務(wù)正常平穩(wěn)運(yùn)行，在升級(jí)部署時(shí)需要做如下工作：

第一，資產(chǎn)盤點(diǎn)，確認(rèn)IPv6 功能特性。在進(jìn)行IPv6 網(wǎng)絡(luò)升級(jí)前對(duì)全網(wǎng)設(shè)備進(jìn)行盤點(diǎn)，以確認(rèn)設(shè)備是否支持IPv6 協(xié)議及其功能特性，近幾年設(shè)備通過版本升級(jí)的方式解決，早期設(shè)備不支持版本升級(jí)的，需要更換解決,替換設(shè)備可利舊用于網(wǎng)絡(luò)接入。

第二，基礎(chǔ)先行，IPv6 安全同步升級(jí)。先進(jìn)行基礎(chǔ)骨干網(wǎng)絡(luò)的IPv6 升級(jí)部署，開啟終端及應(yīng)用網(wǎng)關(guān)的IPv6/IPv4 雙棧網(wǎng)絡(luò)，搭建IPv6 的DNS 和DHCP 基礎(chǔ)網(wǎng)絡(luò)服務(wù)。同時(shí)支撐IPv6 網(wǎng)絡(luò)安全的體系也做同步升級(jí)，包括網(wǎng)絡(luò)認(rèn)證、防火墻、審計(jì)系統(tǒng)、安全態(tài)勢(shì)感知、堡壘機(jī)等。

此外，學(xué)校IPv6 網(wǎng)絡(luò)安全管理與IPv4 有較大不同，在于終端及服務(wù)器分配的IPv6 地址都是互聯(lián)網(wǎng)IP，不需要NAT可以直接訪問互聯(lián)網(wǎng)或被互聯(lián)網(wǎng)訪問?；贗Pv6 的網(wǎng)絡(luò)安全體系，除了延續(xù)IPv4的安全策略外，對(duì)終端IPv6 地址做互聯(lián)網(wǎng)的訪問限制，不允許互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)IPv6 主機(jī)及端口。

第三，局部試點(diǎn)，分批起用IPv6 網(wǎng)絡(luò)。在早期的IPv6 網(wǎng)絡(luò)建設(shè)中，各服務(wù)商開通域名的IPv6解析，由于網(wǎng)絡(luò)不可達(dá)，導(dǎo)致IPv6 終端不能正常訪問。為避免IPv6 網(wǎng)絡(luò)啟用初期產(chǎn)生的網(wǎng)絡(luò)波動(dòng)，影響用戶上網(wǎng)體驗(yàn)，學(xué)校采取的方案是：先在局部開啟終端IPv6 網(wǎng)絡(luò)試點(diǎn)（純IPv6 和雙棧網(wǎng)絡(luò)），再擴(kuò)大應(yīng)用范圍，最終完成全校終端及應(yīng)用系統(tǒng)IPv6 網(wǎng)絡(luò)的啟用。

此外，由于學(xué)?；ヂ?lián)網(wǎng)出口是多運(yùn)營(yíng)商（聯(lián)通、移動(dòng)、教科網(wǎng)）多出口的復(fù)雜網(wǎng)絡(luò)，同時(shí)學(xué)校還面臨IPv6 應(yīng)用及終端活躍率的指標(biāo)考核，因此要在特定的互聯(lián)網(wǎng)出口做基于IPv6 的策略路由以及NAT 轉(zhuǎn)換。

成效與亮點(diǎn)

1.實(shí)現(xiàn)IPv6 網(wǎng)絡(luò)的自動(dòng)化部署

通過SDN 網(wǎng)絡(luò)控制器可以進(jìn)行IPv6網(wǎng)絡(luò)的快速部署與業(yè)務(wù)開通上線。相比于傳統(tǒng)的IPv6 改造方式，基于SDN 網(wǎng)絡(luò)的IPv6 開通以及維護(hù)更智能、敏捷，同時(shí)支持設(shè)備的自動(dòng)化部署以及終端的自動(dòng)上線，極大地提升了網(wǎng)絡(luò)的運(yùn)維與效率。

2.實(shí)現(xiàn)IPv6 網(wǎng)絡(luò)的全覆蓋

截至目前，基于SDN網(wǎng)絡(luò)的校園IPv6 網(wǎng)絡(luò)升級(jí)部署工作已取得階段性成效，基本完成全校IPv6 網(wǎng)絡(luò)的升級(jí)改造，為各類終端及系統(tǒng)應(yīng)用提供雙棧的網(wǎng)絡(luò)接入和訪問，為后期物聯(lián)網(wǎng)的大規(guī)模應(yīng)用提供更好的網(wǎng)絡(luò)環(huán)境。此外，從教育系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)IPv6 監(jiān)測(cè)平臺(tái)的數(shù)據(jù)來看，學(xué)校的門戶網(wǎng)站及二三級(jí)的IPv6 鏈接支持率達(dá)到100%，終端日活躍用戶數(shù)高達(dá)1.5萬以上。

3.探索基于IPv6 的5G 專網(wǎng)

為提高師生對(duì)校內(nèi)資源的訪問體驗(yàn)，營(yíng)造更好的網(wǎng)絡(luò)學(xué)習(xí)空間，學(xué)校與運(yùn)營(yíng)商（聯(lián)通、移動(dòng)）協(xié)商開通校園5G 專網(wǎng)服務(wù)，師生通過5G 手機(jī)即可隨時(shí)隨地安全接入校園網(wǎng)進(jìn)行高速訪問。

校園5G 專網(wǎng)（圖2）的設(shè)計(jì)由學(xué)校與運(yùn)營(yíng)商協(xié)同進(jìn)行IPv6 網(wǎng)絡(luò)規(guī)劃，終端手機(jī)全面支持IPv6/IPv4 雙棧網(wǎng)絡(luò)接入，在運(yùn)營(yíng)商側(cè)的MEC 服務(wù)器和學(xué)校側(cè)服務(wù)器應(yīng)用也同時(shí)支持IPv6/IPv4 雙棧訪問。

圖2 校園5G 專網(wǎng)雙棧網(wǎng)絡(luò)拓?fù)?/p>

4.構(gòu)建更靈活的IPv6 網(wǎng)絡(luò)安全體系

利用SDN 網(wǎng)絡(luò)的微分段功能，可設(shè)置基于IPv6南北（東西）向業(yè)務(wù)流量的服務(wù)鏈，實(shí)現(xiàn)IPv6 流量的南北（東西）業(yè)務(wù)流量按需引流到安全防火墻，從而靈活地實(shí)現(xiàn)基于IPv6 的安全服務(wù)鏈，保障IPv6 業(yè)務(wù)的安全訪問。服務(wù)鏈本身也可以做到服務(wù)資源彈性擴(kuò)容，靈活、按需分配（圖3）。

圖3 基于SDN 網(wǎng)絡(luò)的IPv6 安全服務(wù)鏈

雖然，基于IPv6 協(xié)議棧的安全設(shè)計(jì)，可以從根本上解決IPv4 在網(wǎng)絡(luò)層的攻擊，如掃描泛濫、ARP 攻擊、DDoS 攻擊、IP Spoofing 攻擊等。但為了加強(qiáng)對(duì)內(nèi)網(wǎng)終端的安全管控，避免個(gè)人終端受到互聯(lián)網(wǎng)的直接攻擊和私建應(yīng)用服務(wù)，在學(xué)?；ヂ?lián)網(wǎng)出口防火墻對(duì)內(nèi)網(wǎng)終端的IPv6 地址前綴進(jìn)行NAT66 的地址轉(zhuǎn)換，達(dá)到隱藏內(nèi)部IPv6 地址的效果。

此外，對(duì)于服務(wù)器的應(yīng)用訪問，基于IPv6 的安全策略管控，仍然以ACL 的五元組為基礎(chǔ)，根據(jù)應(yīng)用的協(xié)議、端口和服務(wù)進(jìn)行最小條件策略的開放訪問。

5.統(tǒng)一的DNS 域名解析與管理

基于IPv4 網(wǎng)絡(luò)的應(yīng)用訪問，由于服務(wù)器存在內(nèi)外網(wǎng)IP 的訪問差異，需要搭建2 套IPv4 的集群DNS 域名解析系統(tǒng)，來分別滿足內(nèi)網(wǎng)和外網(wǎng)各類終端，通過域名訪問校園的應(yīng)用。但基于IPv6 網(wǎng)絡(luò)的服務(wù)器均分配全球可訪問的IPv6 地址，對(duì)服務(wù)器應(yīng)用的IPv6 域名解析，只需搭建1 套集群DNS 域名解析系統(tǒng)即可滿足不同的網(wǎng)絡(luò)環(huán)境下多場(chǎng)景的域名解析訪問，實(shí)現(xiàn)統(tǒng)一的DNS 域名解析與管理。

總結(jié)

得益于學(xué)校對(duì)IPv6 規(guī)模化部署工作的高度重視，積極響應(yīng)上級(jí)部門的要求，經(jīng)過一年多的努力，完成基于校園SDN網(wǎng)絡(luò)的IPv6 升級(jí)改造，實(shí)現(xiàn)一套SDN 管理平臺(tái)下分別構(gòu)建學(xué)生運(yùn)營(yíng)網(wǎng)、教學(xué)辦公網(wǎng)、設(shè)備專網(wǎng)，支持IPv6/IPv4 網(wǎng)絡(luò)的自動(dòng)化部署；并在校區(qū)網(wǎng)絡(luò)全面開啟IPv6/IPv4 雙棧網(wǎng)絡(luò)的接入和安全訪問服務(wù)，相關(guān)工作也得到上級(jí)肯定，榮獲2022 年度IPv6 規(guī)模部署工作“優(yōu)秀單位”。

網(wǎng)絡(luò)建設(shè)路漫長(zhǎng)，今后IPv6 網(wǎng)絡(luò)的建設(shè)工作依然任重道遠(yuǎn)；IPv6 網(wǎng)絡(luò)如何更好地支撐和融入到5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等下一代新技術(shù)的發(fā)展，需要網(wǎng)絡(luò)建設(shè)者更多的思考和不倦的探索。