高校IPv6部署 因地制宜应对新挑战
2024-10-24 中国教育网络
当前,高校作为我国IPv6部署的先锋力量,正面临着新的发展趋势与挑战。郑州大学信息化办公室主任张子蛟、深圳大学信息中心副主任江魁、东北大学信息化建设与网络安全办公室运行管理部部长刘军,分别就当前各自学校IPv6部署实施状况及面临的挑战,以及未来发展方向提供了深刻的见解和思考。
迎接新趋势
高校将全面拥抱IPv6
《中国教育网络》:
近日,工业和信息化部办公厅、中央网信办秘书局两部门提出开展“网络去NAT”专项工作,该如何理解这一举措?对于高校IPv6部署而言,这意味着什么?
张子蛟:
网络地址NAT转换,主要用于缓解IPv4地址不足,基本原理是把一个内部网络的大量私有IP地址映射到少量的公网IP地址,以实现内部网络对公网的访问。
NAT虽然在一定程度上缓解了IPv4地址短缺问题,但也带来网络性能下降、端到端连接性破坏、安全防护难度增加、网络链路敏感的应用无法使用等弊端。IPv6拥有几乎无限的地址空间,能够满足未来互联网发展的需求,也就不再需要NAT转换。
对于高校而言,“网络去NAT”意味着应该加速IPv6的规模部署和流量提升,推动校园网络架构优化升级,全面推进纯IPv6应用,减少直至完全取消NAT转换设备的使用,以提升网络性能和安全性,满足师生对高速、稳定、安全的网络环境的需求。
江魁:
IPv4网络中NAT设备的大规模部署,增加了用户对IPv4网络的依赖,不利于IPv6规模部署和应用水平的进一步提升。
网络去NAT是为了加速IPv6的普及应用,加快IPv6规模部署。通过去NAT直接使用IPv6地址,能够显著提升IPv6地址使用率和IPv6流量,进一步推进IPv6的部署和应用。同时,通过减少NAT的地址转换步骤,还能提高网络性能。此外,NAT在一定程度上使得网络行为追踪困难,直接使用IPv6地址有助于提高网络行为的可追溯性,有助于网络安全监控和管理。
刘军:
NAT主要是为解决IPv4地址枯竭问题的产物,但IPv6协议地址长度是128位,可以很好地解决这一问题。同时NAT打破了设备端到端的连接,需要通过额外的应用层代理来实现相应功能,这对业务实时性及可靠性带来了一定的影响。
我国IPv6协议从部署到推广、试商用已经20多年,两部门提出的“网络去NAT”顺应了发展阶段,主要是要有序降低IPv4到IPv4网络地址转换(NAT44)设备的使用,此项工作能够促进内容服务商将应用往IPv6协议上迁移,也能够促进网络服务商升级网络接入设备,以便用户向IPv6协议平滑迁移。
目前,很多高校已经实现100%支持IPv6协议,具备迁移至IPv6网络的条件,而且校园网用户群体较大,用户终端数量众多,所以对于校园网而言,“网络去NAT”意味着全面拥抱IPv6协议。
《中国教育网络》:
IPv6的部署对学校的教学、科研活动产生了哪些具体影响?有哪些新的机遇或改进思路?
张子蛟:
IPv6的部署对高校产生了一系列有益影响。一方面,IPv6拥有巨大的地址空间,能够为师生所有智能设备分配独立的IP地址,为科研资源的共享和协同工作提供更加精细和坚实的支撑,并极大提升校园网络的可扩展性和灵活性。
另一方面,IPv6为物联网技术提供坚实基础,学校可以更方便地部署海量的物联网设备,提升校园管理的智能化水平,为教育模式与教学方法的创新提供新的可能。利用IPv6的高带宽特性,可开展更实时的远程互动教学、虚拟现实和增强现实教学等新型教学模式。
《中国教育网络》:
与IPv4相比,IPv6有其一系列新的特质,在IPv6部署过程中,贵校在网络安全和管理方面有哪些新的考量?
江魁:
在IPv6网络环境下,地址管理的复杂性增加,新协议的安全威胁潜伏。为此,需要对现有的安全策略进行调整,升级管理工具和技术,更新防护措施以确保IPv6环境下的网络安全。
一是应对地址管理的复杂性。IPv6具有广泛的地址空间,所有设备都有全球唯一的IPv6地址,IPv6地址不便记忆和书写,需要更加精细地对地址进行管理,需要自动配置功能(如SLAAC、DHCPv6等)。
二是应对新协议的安全威胁。IPv4/IPv6双栈环境增加了攻击面,比如IPv4和IPv6之间的转换机制(如NAT64、DNS64)可能被攻击;IPv6引入的新协议(如IPv6邻居发现协议)和功能(如协议转换机制),也存在潜在的安全风险,比如IPv6环境下的新型DDoS攻击等;IPv6的地址空间巨大,基于IP地址的安全检测与防御模式可能并不适用。为此,不仅需要升级相关的网络安全设备与系统,还需要加强流量监控和预警防御,以应对潜在的威胁。
三是建立IPv6地址的隐私保护机制。IPv6的隐私扩展地址可以动态生成临时的IPv6地址,频繁变化的临时地址会在网络事件或安全威胁发生时,为网络溯源和日志审计带来困难。为此,需要采用更加全面的溯源定位和日志审计技术。
张子蛟:
郑州大学在IPv6部署的安全方面有新的考量。一是需要强化地址空间管理。IPv6提供了巨大的地址空间,但也提高了地址管理和分配的复杂性,需要建立更科学的地址分配策略和管理机制,以避免地址浪费和冲突。
二是需要强化网络架构的优化。在IPv6环境下,需要重新评估和优化校园网网络架构,以确保网络的高效性和可扩展性,包括引入新的网络设备、调整网络拓扑结构等。
三是需要更新安全策略,以充分利用IPv6的特性,应对可能出现的新的安全威胁。
四是需要提升运维能力,IPv6网络的运维相比IPv4更为复杂,要求网络管理员特别是院系网管员具备更高的专业技能和知识,需要加强运维团队的建设和培训,提升其运维能力。
刘军:
在网络管理方面,老旧网络设备对IPv6协议支持不够,现行的大部分设备在IPv6数据的转发方面已经支持较好,但是在设备自身的网络管理方面仍然以IPv4为主,因此网络管理软件也需要针对IPv6协议做相应的适配。
IPv6协议在安全方面也带来了新的挑战,比如,在IPv6网络中,DHCP服务器不再为用户分配默认路由,而是由路由器通过路由器通告来广播默认路由,存在冒充默认网关从而实施中间人攻击等风险。
此外,在IPv6网络中,想要通过SLAAC(无状态地址自动配置)来为局域网配置IPv6地址,必须使用/64作为子网掩码,因此一个网段内拥有264个IPv6地址,假如互联网上有主机恶意发送UDP数据包快速扫描整个/64的地址,路由器则会忙于邻居地址解析来尝试获取其MAC地址,这种攻击阻断难度较大。
高校IPv6部署经验分享
《中国教育网络》:
贵校目前的IPv6部署进展如何?在部署过程中,遇到了哪些主要的技术或实施上的挑战,是如何克服的?有哪些重要或有特色的建设项目思路可以分享?
张子蛟:
郑州大学通过近几年的持续投入,特别是2023年争取到国家贴息贷款7300多万元资金支持,全面实现了校园网络基础设施的IPv6升级改造,包括校园网架构、网络出口、核心交换机、汇聚交换机、接入交换机、认证设备、安全设施以及4万多个有线无线一体化AP的IPv6支持。同时,学校网站、关键应用系统已完成IPv6的适配和升级。
郑州大学IPv6部署的挑战主要有以下几个方面。一是部分传统应用系统不支持IPv6,需要替换全新的软件系统,还需要业务部门的深度配合,学校成立了IPv6适配小组,负责协调适配工作。
二是IPv6虽然具备更高的安全性,但也引入了新的安全风险,郑州大学通过加强IPv6网络安全管理、部署新型安全设备、执行更严格和全面的安全策略、引入IP轮转机制等措施,以期彻底解决此类问题。
三是IPv6推广应用高度依赖师生的网络素养,郑州大学通过讲座、大赛、任选课等形式,加大对师生普及IPv6知识的力度,并分批次送各单位信息化专员去进行IPv6实操性培训。
四是由于IPv6更难记忆,校内应用对DNS的依赖性更强,需要对DNS系统进行升级改造,使DNS系统由校园网基础设施逐步变为自助式的“应用平台”,提高学校DNS系统管理的灵活度、域名的动态能力、并发服务能力。
郑州大学IPv6特色应用有两个:一是用学校的三个/48的IPv6地址,支持省教科网建设基于纯IPv6的三个校际专网,包括学术专网、资源专网、服务专网,用于向全省入网高校提供公共服务。二是在校园网内部划出纯IPv6子网,建设学校高峰学科的科研专网,该专网是私有化的,由有关的学科师生团队专用,有自己的微型数据中心,并对接运营商的5G网络,支持实现跨地域的分布式访问。
江魁:
深圳大学IPv6建设的目标是建成一个覆盖各校区的下一代校园网,建立安全、可控、可管和可运营的下一代校园网环境,实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,使其成为新一代教学和科研信息基础设施,在下一代互联网技术领域进行试验及应用示范,为我国下一代互联网发展作出贡献。
深圳大学在IPv6部署过程中遇到的问题和解决方案如下。第一,IPv6使用无状态自动配置(SLAAC)时,IP地址会频繁变化,增加用户行为的追溯难度,对交换机IPv6地址表项容量也提出了更高要求。如果使用有状态自动配置(DHCPv6),还存在无线终端(如安卓)无法获取地址的情况。学校的解决方法是结合SLAAC和DHCPv6进行IPv6地址分配,同时采用分布式部署以提高系统性能和可靠性,在采购交换机等网络设备时注意对IPv6地址表项的要求。
第二,IPv4/IPv6统一认证问题,解决方法是部署高性能认证网关方式或启用认证系统的联动部署,实现全网IPv4/IPv6用户的IP实名准入,强化网络接入的安全管理。
第三,在网站或信息系统启用IPv6后必然会带来新的安全问题,解决方案是升级系统或新增IPv6网络安全设备,以及统一对外发布应用资源。
刘军:
目前东北大学实现了IPv4/IPv6双栈网络全覆盖,达到了100%的覆盖率。在IPv6的部署和实施方面,东北大学起步较早。学校自2002年加入CERNETIPv6测试床,随后2004年接入CNGI-CERNET2主干网,同时还负责CNGI-CERNET2沈阳核心节点建设工作。
早期,网络设备对IPv6支持参差不齐,起初通过隧道技术、IPv4/IPv6网关分离等手段,在校园网内逐步实现IPv6网络的覆盖,后期经过设备的迭代升级,最终完成整个校园网的全IPv6覆盖。
部署过程中,遇到最大的技术难题就是,现网的网络设备要么不支持IPv6协议,要么对IPv6协议支持功能有限,要么对IPv6协议处理能力支持得很差,这使得IPv6部署受到了不小的阻力。后来发现,一些Linux和FreeBSD操作系统对IPv6协议支持很好,于是在当时IPv6流量不大的情况下,运用了IPv4/IPv6网关分离的技术,也就是IPv4流量走原有网络设备,IPv6流量通过Linux主机转发,使得一些不支持IPv6的网络设备也实现了IPv6的网络覆盖。
《中国教育网络》:
基于贵校的IPv6部署经验,对于其他正在考虑或已经着手部署IPv6的高校,有何建议或经验分享?
张子蛟:
一是要充分认识IPv6的重要性和战略性。IPv6作为下一代互联网协议的核心,其部署与应用已成为衡量一个国家网络信息技术水平的重要标志。高校作为教育科研的前沿阵地,应高度重视IPv6的部署工作。
二是加强与业务部门的协同合作,争取兄弟单位的支持,特别是校园应用的IPv6适配和更新,会给他们增加很多额外的工作。
三是加强技术培训和推广。对院系和广大师生来讲,IPv6及其体系是个新生事物,需要组织他们参加IPv6技术培训,为部署和应用推广工作提供更有力、更广泛的支持。
江魁:
IPv6的部署是一个复杂而系统的过程,高校在这一过程中需要综合考虑多方面的因素。
第一步,申请地址与规划分配。在IPv6的部署过程中,提前规划是至关重要的。首先,高校应确保已经从相关管理机构(如CERNIC等)申请到足够的IPv6地址空间。IPv6地址资源相对IPv4更加充裕,因此在申请时应根据学校的未来发展需求进行合理规划。其次,地址分配策略也需慎重考虑。建议采用分层次、分区域的地址分配方式,预留一定的冗余地址空间,灵活使用SLAAC和DHCPv6两种地址分配方式以满足园区网IPv6的使用需求。
第二步,设备测试与验证。IPv6部署中,设备的兼容性和可靠性测试是另一个关键。高校在正式部署前,应该对所有网络设备(包括路由器、交换机、防火墙、漏扫等)进行全面的IPv6功能测试,不仅是网络设备,服务器、应用系统和终端设备的IPv6支持性也需要逐一验证,而不是仅仅满足于简单支持配置IPv6地址。
第三步,分步实施系统改造。部署IPv6通常需要对现有的网络和信息系统进行改造,高校应该采取分步实施策略。首先,选择相对独立的网络区域(如实验室网络、办公区网络等)或信息系统(如新建云平台、特定应用系统等)进行试点改造和积累部署经验。在试点成功之后,再在未来逐步扩展到整个校园网。
刘军:
一个“新鲜”的东西,你若是想用好,就要先用起来。根据东北大学部署和使用IPv6的经验看来,应在校园网内先进行实验性的部署,然后再扩大规模。只有在实际使用中,才能发现这个协议在自己学校网络架构、计费系统、计费规则及和网络设备匹配度上会所存问题。
在使用很多很成熟的网络设备(软件)的时候,发现了一个有趣的现象:一款产品在别的学校一直运行得很稳定,但在东北大学就出现了异常,此类问题一般都是由于网络规模、所配置使用的一些特殊功能以及和其他厂商设备相互协调而引起的,而这种缺陷可能是“独一无二”的。因此,每个校园网情况各异,需要逐步部署、试验,摸索适合自己学校的方法和经验。
来源:《中国教育网络》2024年8月刊
整理:陈荣
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。
相关阅读
众议:校院两级信息化各方角色定位与使命2024/10/15
案例分享丨高校数据资产管理平台建设方案2024/10/12
高校如何打造自助打印服务平台?2024/10/12
共筑校院两级信息化发展生态2024/10/11
高校移动微门户探索与实践2024/09/29
案例分享丨高校超算中心持续提升科研服务2024/09/25
校院两级信息化建设价值与挑战2024/09/19
国内高校校院两级机制探索案例2024/09/14
案例分享丨高校数据资产管理平台建设方案2024/10/12
高校如何打造自助打印服务平台?2024/10/12
共筑校院两级信息化发展生态2024/10/11
高校移动微门户探索与实践2024/09/29
案例分享丨高校超算中心持续提升科研服务2024/09/25
校院两级信息化建设价值与挑战2024/09/19
国内高校校院两级机制探索案例2024/09/14
一起关注互联网发展、互联网技术、互联网体系结构……
在教育部科技司领导下,中央电化教育馆组织实施了教育信息化教学应用实践共同体项目...
工作要点聚焦:教育信息化、网络安全……都怎么干?
投稿、转载或合作,请联系:eduinfo#cernet.com (请将#替换为@)
版权所有:中国教育和科研计算机网网络中心 CERNIC,CERNET
京ICP备15006448号-16 京网文[2017]10376-1180号 
京公网安备 11040202430174号
![京网文[2017]10376-1180号](/images/indexnew/www1024.jpg){kind=link}
关于假冒中国教育网的声明 | 有任何问题与建议请联络:Webmaster@cernet.com