国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx

高校基于SDN 網(wǎng)絡(luò)的IPv6 規(guī)模部署

2023-11-03 02:58:34李滿龍蔡運(yùn)記黃思樂
中國(guó)教育網(wǎng)絡(luò) 2023年6期
關(guān)鍵詞:域名解析雙棧部署

文/李滿龍 蔡運(yùn)記 黃思樂

項(xiàng)目背景和實(shí)現(xiàn)目標(biāo)

隨著信息技術(shù)的發(fā)展,通信網(wǎng)絡(luò)已成為校園信息化的關(guān)鍵基礎(chǔ)設(shè)施,支撐各信息系統(tǒng)的建設(shè)與應(yīng)用。傳統(tǒng)IPv4 網(wǎng)絡(luò)面臨越來越多的瓶頸和風(fēng)險(xiǎn),新IPv6 網(wǎng)絡(luò)則擁有更大的地址空間、更好的安全性,基于IPv6 協(xié)議的下一代互聯(lián)網(wǎng)能夠很好地彌補(bǔ)IPv4 網(wǎng)絡(luò)的不足。

2017 年11 月,兩辦印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》,開啟大規(guī)模普及IPv6 的序幕。同時(shí),各運(yùn)營(yíng)商也完成IPv6 骨干網(wǎng)絡(luò)改造,為高校IPv6 改造提供了條件和保障。

北京理工大學(xué)珠海學(xué)院園區(qū)網(wǎng)絡(luò)采用SDN+VxLAN 的管理架構(gòu),基于H3C Director 控制器實(shí)現(xiàn)對(duì)校園網(wǎng)基礎(chǔ)運(yùn)維、用戶認(rèn)證、安全管理等多功能的統(tǒng)一平臺(tái)管理;在一套SDN 管理平臺(tái)下分別構(gòu)建學(xué)生運(yùn)營(yíng)網(wǎng)、教學(xué)辦公網(wǎng)、設(shè)備專網(wǎng)的多Fabrics 園區(qū)網(wǎng)絡(luò)。

為實(shí)現(xiàn)校園網(wǎng)的可運(yùn)維、更高速和強(qiáng)安全,學(xué)?;赟DN網(wǎng)絡(luò)的IPv6升級(jí)改造,將圍繞以下目標(biāo)開展部署實(shí)踐:一是基于SDN 網(wǎng)絡(luò)實(shí)現(xiàn)IPv6 業(yè)務(wù)的自動(dòng)化部署,二是實(shí)現(xiàn)校園網(wǎng)絡(luò)IPv6 接入和訪問服務(wù)的全覆蓋,三是構(gòu)建更靈活的IPv6 安全防護(hù)體系,四是探索IPv6 的創(chuàng)新應(yīng)用。

做法與經(jīng)驗(yàn)

1.強(qiáng)化組織領(lǐng)導(dǎo),統(tǒng)籌安排落實(shí)

校園網(wǎng)IPv6 規(guī)?;渴鸸ぷ髟趯W(xué)校信息化工作領(lǐng)導(dǎo)小組的統(tǒng)籌安排下,開展項(xiàng)目的調(diào)研與論證,明確責(zé)任分工,要求定期報(bào)告工作進(jìn)展,確保IPv6 規(guī)模部署工作按要求完成。

2.明確技術(shù)路線,做好網(wǎng)絡(luò)規(guī)劃

經(jīng)充分的技術(shù)論證,結(jié)合不同的IPv6升級(jí)方案(純IPv6、雙棧、翻譯和隧道)特點(diǎn),學(xué)校采用網(wǎng)絡(luò)雙棧的升級(jí)方案逐步過渡到純IPv6 網(wǎng)絡(luò)的技術(shù)路線,保證業(yè)務(wù)的平滑升級(jí)。本次校園網(wǎng)IPv6 升級(jí)保持網(wǎng)絡(luò)整體架構(gòu)不變,按業(yè)務(wù)功能及用戶分組進(jìn)行IPv6 的子網(wǎng)劃分;基于現(xiàn)有SDN 網(wǎng)絡(luò)的管理架構(gòu),實(shí)現(xiàn)對(duì)IPv6 用戶的精細(xì)化管理和策略管控,為終端和應(yīng)用開啟雙棧網(wǎng)絡(luò)服務(wù)(圖1)。

圖1 基于SDN 網(wǎng)絡(luò)架構(gòu)的IPv6 網(wǎng)絡(luò)拓?fù)?/p>

3.制定升級(jí)計(jì)劃,分步開展實(shí)施

結(jié)合學(xué)校實(shí)際,為了降低IPv6 網(wǎng)絡(luò)升級(jí)對(duì)業(yè)務(wù)的影響,要求升級(jí)過渡期不能中斷業(yè)務(wù)使用。為確保各業(yè)務(wù)正常平穩(wěn)運(yùn)行,在升級(jí)部署時(shí)需要做如下工作:

第一,資產(chǎn)盤點(diǎn),確認(rèn)IPv6 功能特性。在進(jìn)行IPv6 網(wǎng)絡(luò)升級(jí)前對(duì)全網(wǎng)設(shè)備進(jìn)行盤點(diǎn),以確認(rèn)設(shè)備是否支持IPv6 協(xié)議及其功能特性,近幾年設(shè)備通過版本升級(jí)的方式解決,早期設(shè)備不支持版本升級(jí)的,需要更換解決,替換設(shè)備可利舊用于網(wǎng)絡(luò)接入。

第二,基礎(chǔ)先行,IPv6 安全同步升級(jí)。先進(jìn)行基礎(chǔ)骨干網(wǎng)絡(luò)的IPv6 升級(jí)部署,開啟終端及應(yīng)用網(wǎng)關(guān)的IPv6/IPv4 雙棧網(wǎng)絡(luò),搭建IPv6 的DNS 和DHCP 基礎(chǔ)網(wǎng)絡(luò)服務(wù)。同時(shí)支撐IPv6 網(wǎng)絡(luò)安全的體系也做同步升級(jí),包括網(wǎng)絡(luò)認(rèn)證、防火墻、審計(jì)系統(tǒng)、安全態(tài)勢(shì)感知、堡壘機(jī)等。

此外,學(xué)校IPv6 網(wǎng)絡(luò)安全管理與IPv4 有較大不同,在于終端及服務(wù)器分配的IPv6 地址都是互聯(lián)網(wǎng)IP,不需要NAT可以直接訪問互聯(lián)網(wǎng)或被互聯(lián)網(wǎng)訪問?;贗Pv6 的網(wǎng)絡(luò)安全體系,除了延續(xù)IPv4的安全策略外,對(duì)終端IPv6 地址做互聯(lián)網(wǎng)的訪問限制,不允許互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)IPv6 主機(jī)及端口。

第三,局部試點(diǎn),分批起用IPv6 網(wǎng)絡(luò)。在早期的IPv6 網(wǎng)絡(luò)建設(shè)中,各服務(wù)商開通域名的IPv6解析,由于網(wǎng)絡(luò)不可達(dá),導(dǎo)致IPv6 終端不能正常訪問。為避免IPv6 網(wǎng)絡(luò)啟用初期產(chǎn)生的網(wǎng)絡(luò)波動(dòng),影響用戶上網(wǎng)體驗(yàn),學(xué)校采取的方案是:先在局部開啟終端IPv6 網(wǎng)絡(luò)試點(diǎn)(純IPv6 和雙棧網(wǎng)絡(luò)),再擴(kuò)大應(yīng)用范圍,最終完成全校終端及應(yīng)用系統(tǒng)IPv6 網(wǎng)絡(luò)的啟用。

此外,由于學(xué)?;ヂ?lián)網(wǎng)出口是多運(yùn)營(yíng)商(聯(lián)通、移動(dòng)、教科網(wǎng))多出口的復(fù)雜網(wǎng)絡(luò),同時(shí)學(xué)校還面臨IPv6 應(yīng)用及終端活躍率的指標(biāo)考核,因此要在特定的互聯(lián)網(wǎng)出口做基于IPv6 的策略路由以及NAT 轉(zhuǎn)換。

成效與亮點(diǎn)

1.實(shí)現(xiàn)IPv6 網(wǎng)絡(luò)的自動(dòng)化部署

通過SDN 網(wǎng)絡(luò)控制器可以進(jìn)行IPv6網(wǎng)絡(luò)的快速部署與業(yè)務(wù)開通上線。相比于傳統(tǒng)的IPv6 改造方式,基于SDN 網(wǎng)絡(luò)的IPv6 開通以及維護(hù)更智能、敏捷,同時(shí)支持設(shè)備的自動(dòng)化部署以及終端的自動(dòng)上線,極大地提升了網(wǎng)絡(luò)的運(yùn)維與效率。

2.實(shí)現(xiàn)IPv6 網(wǎng)絡(luò)的全覆蓋

截至目前,基于SDN網(wǎng)絡(luò)的校園IPv6 網(wǎng)絡(luò)升級(jí)部署工作已取得階段性成效,基本完成全校IPv6 網(wǎng)絡(luò)的升級(jí)改造,為各類終端及系統(tǒng)應(yīng)用提供雙棧的網(wǎng)絡(luò)接入和訪問,為后期物聯(lián)網(wǎng)的大規(guī)模應(yīng)用提供更好的網(wǎng)絡(luò)環(huán)境。此外,從教育系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)IPv6 監(jiān)測(cè)平臺(tái)的數(shù)據(jù)來看,學(xué)校的門戶網(wǎng)站及二三級(jí)的IPv6 鏈接支持率達(dá)到100%,終端日活躍用戶數(shù)高達(dá)1.5萬以上。

3.探索基于IPv6 的5G 專網(wǎng)

為提高師生對(duì)校內(nèi)資源的訪問體驗(yàn),營(yíng)造更好的網(wǎng)絡(luò)學(xué)習(xí)空間,學(xué)校與運(yùn)營(yíng)商(聯(lián)通、移動(dòng))協(xié)商開通校園5G 專網(wǎng)服務(wù),師生通過5G 手機(jī)即可隨時(shí)隨地安全接入校園網(wǎng)進(jìn)行高速訪問。

校園5G 專網(wǎng)(圖2)的設(shè)計(jì)由學(xué)校與運(yùn)營(yíng)商協(xié)同進(jìn)行IPv6 網(wǎng)絡(luò)規(guī)劃,終端手機(jī)全面支持IPv6/IPv4 雙棧網(wǎng)絡(luò)接入,在運(yùn)營(yíng)商側(cè)的MEC 服務(wù)器和學(xué)校側(cè)服務(wù)器應(yīng)用也同時(shí)支持IPv6/IPv4 雙棧訪問。

圖2 校園5G 專網(wǎng)雙棧網(wǎng)絡(luò)拓?fù)?/p>

4.構(gòu)建更靈活的IPv6 網(wǎng)絡(luò)安全體系

利用SDN 網(wǎng)絡(luò)的微分段功能,可設(shè)置基于IPv6南北(東西)向業(yè)務(wù)流量的服務(wù)鏈,實(shí)現(xiàn)IPv6 流量的南北(東西)業(yè)務(wù)流量按需引流到安全防火墻,從而靈活地實(shí)現(xiàn)基于IPv6 的安全服務(wù)鏈,保障IPv6 業(yè)務(wù)的安全訪問。服務(wù)鏈本身也可以做到服務(wù)資源彈性擴(kuò)容,靈活、按需分配(圖3)。

圖3 基于SDN 網(wǎng)絡(luò)的IPv6 安全服務(wù)鏈

雖然,基于IPv6 協(xié)議棧的安全設(shè)計(jì),可以從根本上解決IPv4 在網(wǎng)絡(luò)層的攻擊,如掃描泛濫、ARP 攻擊、DDoS 攻擊、IP Spoofing 攻擊等。但為了加強(qiáng)對(duì)內(nèi)網(wǎng)終端的安全管控,避免個(gè)人終端受到互聯(lián)網(wǎng)的直接攻擊和私建應(yīng)用服務(wù),在學(xué)?;ヂ?lián)網(wǎng)出口防火墻對(duì)內(nèi)網(wǎng)終端的IPv6 地址前綴進(jìn)行NAT66 的地址轉(zhuǎn)換,達(dá)到隱藏內(nèi)部IPv6 地址的效果。

此外,對(duì)于服務(wù)器的應(yīng)用訪問,基于IPv6 的安全策略管控,仍然以ACL 的五元組為基礎(chǔ),根據(jù)應(yīng)用的協(xié)議、端口和服務(wù)進(jìn)行最小條件策略的開放訪問。

5.統(tǒng)一的DNS 域名解析與管理

基于IPv4 網(wǎng)絡(luò)的應(yīng)用訪問,由于服務(wù)器存在內(nèi)外網(wǎng)IP 的訪問差異,需要搭建2 套IPv4 的集群DNS 域名解析系統(tǒng),來分別滿足內(nèi)網(wǎng)和外網(wǎng)各類終端,通過域名訪問校園的應(yīng)用。但基于IPv6 網(wǎng)絡(luò)的服務(wù)器均分配全球可訪問的IPv6 地址,對(duì)服務(wù)器應(yīng)用的IPv6 域名解析,只需搭建1 套集群DNS 域名解析系統(tǒng)即可滿足不同的網(wǎng)絡(luò)環(huán)境下多場(chǎng)景的域名解析訪問,實(shí)現(xiàn)統(tǒng)一的DNS 域名解析與管理。

總結(jié)

得益于學(xué)校對(duì)IPv6 規(guī)模化部署工作的高度重視,積極響應(yīng)上級(jí)部門的要求,經(jīng)過一年多的努力,完成基于校園SDN網(wǎng)絡(luò)的IPv6 升級(jí)改造,實(shí)現(xiàn)一套SDN 管理平臺(tái)下分別構(gòu)建學(xué)生運(yùn)營(yíng)網(wǎng)、教學(xué)辦公網(wǎng)、設(shè)備專網(wǎng),支持IPv6/IPv4 網(wǎng)絡(luò)的自動(dòng)化部署;并在校區(qū)網(wǎng)絡(luò)全面開啟IPv6/IPv4 雙棧網(wǎng)絡(luò)的接入和安全訪問服務(wù),相關(guān)工作也得到上級(jí)肯定,榮獲2022 年度IPv6 規(guī)模部署工作“優(yōu)秀單位”。

網(wǎng)絡(luò)建設(shè)路漫長(zhǎng),今后IPv6 網(wǎng)絡(luò)的建設(shè)工作依然任重道遠(yuǎn);IPv6 網(wǎng)絡(luò)如何更好地支撐和融入到5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等下一代新技術(shù)的發(fā)展,需要網(wǎng)絡(luò)建設(shè)者更多的思考和不倦的探索。

猜你喜歡
域名解析雙棧部署
一種基于Kubernetes的Web應(yīng)用部署與配置系統(tǒng)
晉城:安排部署 統(tǒng)防統(tǒng)治
部署
域名解析服務(wù)管理問答
免費(fèi)動(dòng)態(tài)域名解析軟件
另類方法為網(wǎng)絡(luò)域名解析加速
電腦愛好者(2018年8期)2018-04-25 14:58:04
淺析IPv6網(wǎng)絡(luò)演進(jìn)及其部署方案
部署“薩德”意欲何為?
太空探索(2016年9期)2016-07-12 10:00:02
IPv6在廣電網(wǎng)絡(luò)中的應(yīng)用探討
科技資訊(2015年4期)2015-07-02 16:53:26
基于云的域名解析服務(wù)模型
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
404 Not Found

404 Not Found


nginx
阳春市| 密山市| 平果县| 博兴县| 延寿县| 东乡族自治县| 根河市| 西华县| 霸州市| 平潭县| 望谟县| 和平区| 新民市| 福安市| 长垣县| 花垣县| 永川市| 阜平县| 英吉沙县| 荃湾区| 晴隆县| 桐梓县| 那坡县| 阜南县| 黔东| 鲁甸县| 宁德市| 册亨县| 绍兴市| 伊吾县| 奉新县| 普兰店市| 水富县| 五峰| 乳山市| 和田市| 霞浦县| 麻城市| 新昌县| 双城市| 临猗县|