项目背景和实现目标
随着信息技术的发展,通信网络已成为校园信息化的关键基础设施,支撑各信息系统的建设与应用。传统IPv4网络面临越来越多的瓶颈和风险,新IPv6网络则拥有更大的地址空间、更好的安全性,基于IPv6协议的下一代互联网能够很好地弥补IPv4网络的不足。
2017年11月,两办印发《推进互联网协议第六版(IPv6)规模部署行动计划》,开启大规模普及IPv6的序幕。同时,各运营商也完成IPv6骨干网络改造,为高校IPv6改造提供了条件和保障。
北京理工大学珠海学院园区网络采用 SDN+ VxLAN的管理架构,基于H3C Director控制器实现对校园网基础运维、用户认证、安全管理等多功能的统一平台管理;在一套SDN管理平台下分别构建学生运营网、教学办公网、设备专网的多Fabrics园区网络。
为实现校园网的可运维、更高速和强安全,学校基于SDN网络的IPv6升级改造,将围绕以下目标开展部署实践:一是基于SDN网络实现IPv6业务的自动化部署,二是实现校园网络IPv6接入和访问服务的全覆盖,三是构建更灵活的IPv6安全防护体系,四是探索IPv6的创新应用。
做法与经验
01.强化组织领导,统筹安排落实
校园网IPv6规模化部署工作在学校信息化工作领导小组的统筹安排下,开展项目的调研与论证,明确责任分工,要求定期报告工作进展,确保IPv6规模部署工作按要求完成。
02.明确技术路线,做好网络规划
经充分的技术论证,结合不同的IPv6升级方案(纯IPv6、双栈、翻译和隧道)特点,学校采用网络双栈的升级方案逐步过渡到纯IPv6网络的技术路线,保证业务的平滑升级。本次校园网IPv6升级保持网络整体架构不变,按业务功能及用户分组进行IPv6的子网划分;基于现有SDN网络的管理架构,实现对IPv6用户的精细化管理和策略管控,为终端和应用开启双栈网络服务(图1)。
图1 基于SDN网络架构的IPv6网络拓扑
03.制定升级计划,分步开展实施
结合学校实际,为了降低IPv6网络升级对业务的影响,要求升级过渡期不能中断业务使用。为确保各业务正常平稳运行,在升级部署时需要做如下工作:
第一,资产盘点,确认IPv6功能特性。在进行IPv6网络升级前对全网设备进行盘点,以确认设备是否支持IPv6协议及其功能特性,近几年设备通过版本升级的方式解决,早期设备不支持版本升级的,需要更换解决,替换设备可利旧用于网络接入。
第二,基础先行,IPv6安全同步升级。先进行基础骨干网络的IPv6升级部署,开启终端及应用网关的IPv6/IPv4双栈网络,搭建IPv6的DNS和DHCP基础网络服务。同时支撑IPv6网络安全的体系也做同步升级,包括网络认证、防火墙、审计系统、安全态势感知、堡垒机等。
此外,学校IPv6网络安全管理与IPv4有较大不同,在于终端及服务器分配的IPv6地址都是互联网IP,不需要NAT可以直接访问互联网或被互联网访问。基于IPv6的网络安全体系,除了延续IPv4的安全策略外,对终端IPv6地址做互联网的访问限制,不允许互联网访问内网IPv6主机及端口。
第三,局部试点,分批起用IPv6网络。在早期的IPv6网络建设中,各服务商开通域名的IPv6解析,由于网络不可达,导致IPv6终端不能正常访问。为避免IPv6网络启用初期产生的网络波动,影响用户上网体验,学校采取的方案是:先在局部开启终端IPv6网络试点(纯IPv6和双栈网络),再扩大应用范围,最终完成全校终端及应用系统IPv6网络的启用。
此外,由于学校互联网出口是多运营商(联通、移动、教科网)多出口的复杂网络,同时学校还面临IPv6应用及终端活跃率的指标考核,因此要在特定的互联网出口做基于IPv6的策略路由以及NAT转换。
成效与亮点
01.实现IPv6网络的自动化部署
通过SDN网络控制器可以进行IPv6网络的快速部署与业务开通上线。相比于传统的IPv6改造方式,基于SDN网络的IPv6开通以及维护更智能、敏捷,同时支持设备的自动化部署以及终端的自动上线,极大地提升了网络的运维与效率。
02.实现IPv6网络的全覆盖
截至目前,基于SDN网络的校园IPv6网络升级部署工作已取得阶段性成效,基本完成全校IPv6网络的升级改造,为各类终端及系统应用提供双栈的网络接入和访问,为后期物联网的大规模应用提供更好的网络环境。此外,从教育系统网络态势IPv6监测平台的数据来看,学校的门户网站及二三级的IPv6链接支持率达到100%,终端日活跃用户数高达1.5万以上。
03.探索基于IPv6的5G专网
为提高师生对校内资源的访问体验,营造更好的网络学习空间,学校与运营商(联通、移动)协商开通校园5G专网服务,师生通过5G手机即可随时随地安全接入校园网进行高速访问。
校园5G专网(图2)的设计由学校与运营商协同进行IPv6网络规划,终端手机全面支持IPv6/IPv4双栈网络接入,在运营商侧的MEC服务器和学校侧服务器应用也同时支持IPv6/IPv4双栈访问。
图2 校园5G专网双栈网络拓扑
04.构建更灵活的IPv6网络安全体系
利用SDN网络的微分段功能,可设置基于IPv6南北(东西)向业务流量的服务链,实现IPv6流量的南北(东西)业务流量按需引流到安全防火墙,从而灵活地实现基于IPv6的安全服务链,保障IPv6业务的安全访问。服务链本身也可以做到服务资源弹性扩容,灵活、按需分配(图3)。
图3 基于SDN网络的IPv6安全服务链
虽然,基于IPv6协议栈的安全设计,可以从根本上解决IPv4在网络层的攻击,如扫描泛滥、ARP攻击、DDoS攻击、IP Spoofing攻击等。但为了加强对内网终端的安全管控,避免个人终端受到互联网的直接攻击和私建应用服务,在学校互联网出口防火墙对内网终端的IPv6地址前缀进行NAT66的地址转换,达到隐藏内部IPv6地址的效果。
此外,对于服务器的应用访问,基于IPv6的安全策略管控,仍然以ACL的五元组为基础,根据应用的协议、端口和服务进行最小条件策略的开放访问。
05.统一的DNS域名解析与管理
基于IPv4网络的应用访问,由于服务器存在内外网IP的访问差异,需要搭建2套IPv4的集群DNS域名解析系统,来分别满足内网和外网各类终端,通过域名访问校园的应用。但基于IPv6网络的服务器均分配全球可访问的IPv6地址,对服务器应用的IPv6域名解析,只需搭建1套集群DNS域名解析系统即可满足不同的网络环境下多场景的域名解析访问,实现统一的DNS域名解析与管理。
总结
得益于学校对IPv6规模化部署工作的高度重视,积极响应上级部门的要求,经过一年多的努力,完成基于校园SDN网络的IPv6升级改造,实现一套SDN管理平台下分别构建学生运营网、教学办公网、设备专网,支持IPv6/IPv4网络的自动化部署;并在校区网络全面开启IPv6/IPv4双栈网络的接入和安全访问服务,相关工作也得到上级肯定,荣获2022年度IPv6规模部署工作“优秀单位”。
网络建设路漫长,今后IPv6网络的建设工作依然任重道远;IPv6网络如何更好地支撑和融入到5G、物联网、大数据、人工智能等下一代新技术的发展,需要网络建设者更多的思考和不倦的探索。
来源:《中国教育网络》2023年6月刊
作者:李满龙、蔡运记、黄思乐(北京理工大学珠海学院信息技术中心)
责编:项阳