近日,深入推進(jìn)IPv6規(guī)模部署和應(yīng)用貫徹落實(shí)會(huì)議召開(kāi),IPv6規(guī)模部署相關(guān)文件連續(xù)發(fā)布。其中,《IPv6流量提升三年專項(xiàng)行動(dòng)計(jì)劃(2021-2023年)》(簡(jiǎn)稱“專項(xiàng)行動(dòng)計(jì)劃”)提出,用三年時(shí)間,推動(dòng)我國(guó)IPv6規(guī)模部署從“通路”走向“通車”,從“能用”走向“好用”。
在此背景下,清華大學(xué)教授、CERNET網(wǎng)絡(luò)中心副主任李星分析了高校推進(jìn)IPv6規(guī)模部署的技術(shù)方案。他表示,CERNET和廣大接入高校要充分利用IPv6發(fā)展的歷史機(jī)遇,為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)做出貢獻(xiàn)。
李星 CERNET網(wǎng)絡(luò)中心副主任、清華大學(xué)教授
IPv6規(guī)模部署
和應(yīng)用落實(shí)建議
總的來(lái)說(shuō),IPv6規(guī)模部署可以概括為五大任務(wù):網(wǎng)站改造、活躍用戶、IPv6流量、IPv6單棧、創(chuàng)新應(yīng)用。下面從這五方面探討高校向IPv6過(guò)渡的落實(shí)建議。
1.網(wǎng)站改造
網(wǎng)站IPv6過(guò)渡場(chǎng)景分為三種情況:現(xiàn)有IPv4網(wǎng)站、雙棧網(wǎng)站、新建純IPv6網(wǎng)站。
實(shí)際上,雙棧網(wǎng)站的改造目前已很少見(jiàn)。
對(duì)于現(xiàn)有IPv4網(wǎng)站,可以采用“IPv4 + IVI網(wǎng)站升級(jí)方案(X7000或云服務(wù))”過(guò)渡。在保持現(xiàn)有IPv4網(wǎng)絡(luò)、路由不變的情況下,在純IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)出口之間部署IVI(無(wú)狀態(tài)IPv4/IPv6翻譯技術(shù))設(shè)備。
在此情況下,原IPv4網(wǎng)站不需要做改造,就可以被IPv6用戶訪問(wèn)。其優(yōu)勢(shì)是:保持原IPv4安全等保等級(jí),只要IPv4不被黑,IPv6不可能被黑。
此外,根據(jù)“專項(xiàng)行動(dòng)計(jì)劃”要求,到2030年左右,完成向IPv6單棧的演進(jìn)過(guò)渡。因此,各高校新建網(wǎng)站應(yīng)采用“純IPv6”解決方案,這符合純IPv6發(fā)展趨勢(shì)。
圖1 網(wǎng)站IPv6過(guò)渡場(chǎng)景
2.活躍用戶
用戶IPv6過(guò)渡場(chǎng)景也分為三種情況:現(xiàn)有IPv4用戶接入、雙棧用戶接入、新建純IPv6用戶接入。
在這三種場(chǎng)景中,現(xiàn)有IPv4用戶接入的升級(jí)能真正“多快好省”地提升IPv6活躍用戶。此時(shí)可以采用“IPv4 + IVI用戶網(wǎng)絡(luò)升級(jí)方案(X2000)”。在保持現(xiàn)有IPv4網(wǎng)絡(luò)、用戶終端不變的情況下,將IVI設(shè)備部署在IPv4和IPv6 網(wǎng)絡(luò)出口之間,所有IPv4活躍用戶都能轉(zhuǎn)化成IPv6活躍用戶?,F(xiàn)階段,IPv6認(rèn)證在準(zhǔn)入控制方面還不太成熟,成本也較高。而此方案支持原有IPv4認(rèn)證系統(tǒng),不需要升級(jí)。從安全和成本方面看,對(duì)高校提升IPv6活躍用戶都非常實(shí)用。
與網(wǎng)站改造一樣,新建純IPv6用戶接入符合純IPv6發(fā)展趨勢(shì),并能與SAVA(下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu))技術(shù)平滑集成。
圖2 用戶IPv6過(guò)渡場(chǎng)景
3.IPv6流量
IPv6流量的提升,主要依賴于活躍用戶和網(wǎng)站兩方面,尤其是活躍用戶的IPv6改造。提升高校的IPv6活躍用戶數(shù),才能促進(jìn)IPv6流量規(guī)模持續(xù)提升。
4.IPv6單棧
向IPv6單棧過(guò)渡,也即推進(jìn)IPv6規(guī)模部署向純IPv6發(fā)展,主要包括網(wǎng)站升級(jí)和用戶升級(jí)兩方面。
網(wǎng)站升級(jí)可采用“IPv6 + IVI 網(wǎng)站升級(jí)方案(X8000)”,通過(guò)在新建的純IPv6服務(wù)器和IPv4網(wǎng)絡(luò)之間部署IVI翻譯器,支持純 IPv4 終端可以訪問(wèn) IPv6 服務(wù)器,由此平滑過(guò)渡到純IPv6 互聯(lián)網(wǎng)。
用戶升級(jí)可采用“IPv6 + IVI 用戶網(wǎng)絡(luò)升級(jí)方案(X3000)”。新建的純IPv6網(wǎng)絡(luò)和IPv6終端,通過(guò)部署IVI設(shè)備,可以訪問(wèn)IPv4網(wǎng)絡(luò)資源。此方案可應(yīng)用于新建大規(guī)模純IPv6無(wú)線網(wǎng)接入。由于iOS系統(tǒng)和Android系統(tǒng)都已經(jīng)集成了IVI翻譯技術(shù),通過(guò)在無(wú)線校園網(wǎng)添加IPv6 SSID(服務(wù)集標(biāo)識(shí))即可實(shí)現(xiàn),這對(duì)高校來(lái)說(shuō)非常實(shí)用。
5.創(chuàng)新應(yīng)用
高校在IPv6創(chuàng)新應(yīng)用上,要落實(shí)“發(fā)展安全并重,滿足國(guó)家急需”。
首先,要學(xué)習(xí)貫徹習(xí)近平總書(shū)記重要講話精神。掌握我國(guó)互聯(lián)網(wǎng)發(fā)展主動(dòng)權(quán),保障互聯(lián)網(wǎng)安全、國(guó)家安全,就必須突破核心技術(shù)難題,即要抓住“命門”。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,要“以安全保發(fā)展,以發(fā)展促安全”。
同時(shí),網(wǎng)絡(luò)科技進(jìn)步與網(wǎng)絡(luò)空間安全協(xié)同發(fā)展。在網(wǎng)絡(luò)科技進(jìn)步方面,要達(dá)到世界一流,爭(zhēng)取國(guó)際話語(yǔ)權(quán);在網(wǎng)絡(luò)空間安全方面,要滿足國(guó)家急需,解決重大安全問(wèn)題。
推動(dòng)IPv6發(fā)展三部曲
新形勢(shì)下推動(dòng)IPv6發(fā)展,可以概括為“三部曲”。
1.平滑過(guò)渡,互聯(lián)互通,逐步推進(jìn)
在IPv6過(guò)渡技術(shù)方面,基于雙棧的IPv6過(guò)渡技術(shù)(硬著陸),將演進(jìn)成基于翻譯的IPv6過(guò)渡技術(shù)(軟著陸)。
“平滑過(guò)渡”是向IPv6過(guò)渡的基本原則,也就是,不能因?yàn)橄騃Pv6升級(jí)而影響用戶體驗(yàn)。而通過(guò)IVI翻譯技術(shù)的“軟著陸”過(guò)渡技術(shù),可以實(shí)現(xiàn)IPv4向IPv6的平滑過(guò)渡。
現(xiàn)有的IPv4服務(wù)器或客戶端,通過(guò)IVI(6aaS)翻譯,與IPv6網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通,其對(duì)外特性表現(xiàn)為雙棧,對(duì)內(nèi)特性仍是純IPv4;同理,新建的純IPv6網(wǎng)絡(luò),也可以通過(guò)(4aaS)IVI翻譯,與IPv4網(wǎng)絡(luò)保持互通。
實(shí)際上,盡管按照規(guī)劃,我國(guó)將向純IPv6網(wǎng)絡(luò)過(guò)渡,但由于長(zhǎng)尾效應(yīng),在全球范圍內(nèi),IPv4網(wǎng)絡(luò)將會(huì)長(zhǎng)期存在。尤其在高校,與國(guó)際網(wǎng)絡(luò)的互聯(lián)互通更是剛需。因此,通過(guò)翻譯技術(shù)實(shí)現(xiàn)IPv4與IPv6互聯(lián)互通,從長(zhǎng)遠(yuǎn)看來(lái)也將是硬需求。
2.發(fā)展與安全同步,充分利用IPv4安全能力
要做到發(fā)展與安全同步,首先要關(guān)注IPv6的網(wǎng)絡(luò)空間安全。
由清華大學(xué)研發(fā)的下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)SAVA主要用于解決下一代互聯(lián)網(wǎng)的可信安全問(wèn)題。
SAVA支持互聯(lián)網(wǎng)真實(shí)源地址的精確定位和地址溯源,突破了下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的安全可信關(guān)鍵核心技術(shù),近日被中國(guó)電子學(xué)會(huì)授予2020年度科學(xué)技術(shù)特等獎(jiǎng)。將SAVA技術(shù)落地落實(shí),是當(dāng)前高校在網(wǎng)絡(luò)安全方面應(yīng)重點(diǎn)關(guān)注,全力部署實(shí)施的工作。
此外,IPv6的防火墻應(yīng)該怎么做?
現(xiàn)階段,IPv6的防火墻很難實(shí)現(xiàn)跟IPv4的防火墻一樣的防護(hù)強(qiáng)度??紤]到這一點(diǎn),在IPv6安全保障上,我們可以采取另一種思路:通過(guò)虛擬的翻譯技術(shù),充分利用IPv4的安全能力。
可以將IPv6網(wǎng)絡(luò)和IPv6主機(jī)之間的防火墻設(shè)想成一個(gè)“盒子”,盒子內(nèi)部是具有雙重“虛擬翻譯”功能的IPv4防火墻。
防護(hù)的過(guò)程是,將IPv6映射成IPv4,經(jīng)過(guò)IPv4的防火墻,再映射成IPv6。這樣,就可以讓純IPv6網(wǎng)絡(luò)充分利用IPv4成熟的安全保障能力。
實(shí)際上,用這種方法設(shè)計(jì)的IPv6防火墻,并不一定真的采用IVI翻譯設(shè)備,而是充分利用了IVI技術(shù)的翻譯“思路”。
3.跨越式發(fā)展,構(gòu)建切片和零信任體系結(jié)構(gòu)
(1)用不同于IPv4的思路做IPv6
傳統(tǒng)的校園網(wǎng)為了保安全,通常采用“糖葫蘆”式的串通方式,在校園網(wǎng)的出口處設(shè)置各種安全設(shè)備。而高校有聯(lián)網(wǎng)、高性能、安全、科研等多方面的網(wǎng)絡(luò)需求,采用“串聯(lián)”的方式很難滿足所有需求,并存在不少安全隱患。
我們可以將校園網(wǎng)的需求進(jìn)行如下分類:
? 用戶上網(wǎng):包括有線、無(wú)線(多SSID)上網(wǎng);
? 信息系統(tǒng):學(xué)校的信息系統(tǒng)通常在校園內(nèi)部專網(wǎng)使用,從外部訪問(wèn)時(shí)需要使用VPN;
? 視頻系統(tǒng):無(wú)論是廣播/點(diǎn)播系統(tǒng)還是視頻會(huì)議系統(tǒng),都用于教學(xué)、研討;
? 對(duì)外宣傳:也就是通常的學(xué)校網(wǎng)站,采用CDN(Content Delivery Network,內(nèi)容分發(fā)網(wǎng)絡(luò))、WAF(Web Application Firewall,網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng))等技術(shù);
? 科學(xué)研究:包括超算專網(wǎng)、存儲(chǔ)專網(wǎng)、備份專網(wǎng)等;
? 物聯(lián)網(wǎng):包括門禁專網(wǎng)、視頻監(jiān)控專網(wǎng)、井蓋專網(wǎng)等。
有了清晰的分類,再來(lái)看IPv6升級(jí)。實(shí)際上,與傳統(tǒng)的IPv4網(wǎng)絡(luò)相比,IPv6擁有的海量地址使其能更容易實(shí)現(xiàn)網(wǎng)絡(luò)切片等功能,滿足校園網(wǎng)的多種需求,并保障網(wǎng)絡(luò)安全。
概括來(lái)說(shuō),就是要用不同于IPv4的思路來(lái)做IPv6。
也就是,按照網(wǎng)絡(luò)切片的思路將高校各種校園網(wǎng)需求拆分,采用不同的方法分別滿足不同的需求。如此以來(lái),CERNET可以將提供給高校的萬(wàn)兆接入網(wǎng)絡(luò)“定制化”,比如,針對(duì)各校的網(wǎng)站監(jiān)測(cè)能力參差不齊,提供高質(zhì)量的網(wǎng)站監(jiān)測(cè)外包服務(wù);針對(duì)用戶上網(wǎng),可以提供日志保障等。
反過(guò)來(lái),高校也可按照這種思路,將校園網(wǎng)的功能拆分升級(jí)。比如,對(duì)于信息系統(tǒng)、視頻系統(tǒng)、超算專網(wǎng)等專供學(xué)校內(nèi)部使用的功能需求,不宜采用傳統(tǒng)的“串聯(lián)”方式進(jìn)行安全防護(hù);而對(duì)于其他與外部網(wǎng)絡(luò)互連的功能需求,則可以采用“外包”方式保障安全。
(2)SRv6和dIVI
根據(jù)上述思路推動(dòng)IPv6發(fā)展,有兩個(gè)技術(shù)非常重要:SRv6(Segment Routing IPv6,IPv6分段路由)和dIVI(雙重翻譯技術(shù))。比如,對(duì)基于IPv4的超算專網(wǎng),如果將其應(yīng)用系統(tǒng)改造成IPv6,成本很高,而采用dIVI雙重翻譯技術(shù),可以直接利用私有的IPv4地址建網(wǎng);而新建的純IPv6應(yīng)用,則可以直接用SRv6技術(shù)進(jìn)行網(wǎng)絡(luò)切片,來(lái)滿足特定需求;同時(shí),SRv6和dIVI技術(shù)也可以結(jié)合使用。
滿足該思路的方案有如下特點(diǎn):支持IPv4,無(wú)需重新編程,無(wú)需優(yōu)化IPv4鏈路,利用IVI翻譯技術(shù)轉(zhuǎn)換為IPv6流量;支持IPv4雙向通信,校園網(wǎng)無(wú)需提供公有IPv4地址;外特性完全為IPv6單棧。
對(duì)于未來(lái)的互聯(lián)網(wǎng)發(fā)展,總的趨勢(shì)是“大道至簡(jiǎn)、返璞歸真”。即從一個(gè)以O(shè)SS/BSS(電信業(yè)務(wù))為支撐的,包含IPv4、IPv6、MPLS、DHCP等多種技術(shù)的復(fù)雜系統(tǒng),轉(zhuǎn)變?yōu)榧僆Pv6(IPv6-only)的簡(jiǎn)單系統(tǒng)。
這個(gè)系統(tǒng)包含IPv6路由轉(zhuǎn)發(fā)、SRv6切片、IVI翻譯、Encapsulation(封裝)、SSM 框架集等功能技術(shù),并以零信任網(wǎng)絡(luò)安全防護(hù)理念為基礎(chǔ)。長(zhǎng)遠(yuǎn)看來(lái),IPv4會(huì)長(zhǎng)期存在,但會(huì)成為純IPv6網(wǎng)絡(luò)的一個(gè)“子集”,通過(guò)無(wú)狀態(tài)翻譯技術(shù),對(duì)外展示為IPv6。
(3)464BGP
復(fù)旦大學(xué)校園網(wǎng)IVI部署實(shí)踐是一個(gè)典型案例。通過(guò)部署高效路由機(jī)制464BGP,即從IPv4地址翻譯到IPv6地址路由,再轉(zhuǎn)化回IPv4的地址,借由CERNET2完成傳輸,提高CERNET2的使用率,并可以有效提升國(guó)際教育資源的訪問(wèn)體驗(yàn)。
其特點(diǎn)為:雖然復(fù)旦大學(xué)校園網(wǎng)是多出口,但使用464BGP技術(shù),可以由學(xué)校自主調(diào)度特定子網(wǎng),通過(guò)CERNET與Internet2的專有信道,高性能地與合作高校進(jìn)行通信。特別是,雖然現(xiàn)有技術(shù)可以在某種程度上調(diào)度復(fù)旦大學(xué)的出流量。但只有464BGP技術(shù),可以在不需要對(duì)方大學(xué)配合的情況下,自動(dòng)調(diào)度入流量。
小結(jié)
純IPv6(IPv6單棧)是互聯(lián)網(wǎng)發(fā)展的技術(shù)方向,也是中國(guó)政府的既定策略,按照“網(wǎng)信辦”的文件規(guī)定,到2030年中國(guó)的互聯(lián)網(wǎng)將是IPv6單棧。歷史上,CERNET和廣大接入高校在IPv6的研究、部署和推廣方面為國(guó)家和世界做出了重要貢獻(xiàn)。新形勢(shì)下,必須再接再厲,充分利用IPv6發(fā)展的歷史機(jī)遇,為把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)做出貢獻(xiàn)。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://nblsxs.com/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)