高校向IPv6過(guò)渡場(chǎng)景解決方案
近日��,深入推進(jìn)IPv6規(guī)模部署和應(yīng)用貫徹落實(shí)會(huì)議召開(kāi),IPv6規(guī)模部署相關(guān)文件連續(xù)發(fā)布���。其中�,《IPv6流量提升三年專項(xiàng)行動(dòng)計(jì)劃(2021-2023年)》(簡(jiǎn)稱“專項(xiàng)行動(dòng)計(jì)劃”)提出����,用三年時(shí)間,推動(dòng)我國(guó)IPv6規(guī)模部署從“通路”走向“通車”��,從“能用”走向“好用”��。
在此背景下�����,清華大學(xué)教授���、CERNET網(wǎng)絡(luò)中心副主任李星分析了高校推進(jìn)IPv6規(guī)模部署的技術(shù)方案�����。他表示����,CERNET和廣大接入高校要充分利用IPv6發(fā)展的歷史機(jī)遇,為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)做出貢獻(xiàn)���。
李星 CERNET網(wǎng)絡(luò)中心副主任�、清華大學(xué)教授
IPv6規(guī)模部署
和應(yīng)用落實(shí)建議
總的來(lái)說(shuō)�,IPv6規(guī)模部署可以概括為五大任務(wù):網(wǎng)站改造、活躍用戶�、IPv6流量、IPv6單棧��、創(chuàng)新應(yīng)用���。下面從這五方面探討高校向IPv6過(guò)渡的落實(shí)建議。
網(wǎng)站IPv6過(guò)渡場(chǎng)景分為三種情況:現(xiàn)有IPv4網(wǎng)站���、雙棧網(wǎng)站�、新建純IPv6網(wǎng)站�����。
實(shí)際上�,雙棧網(wǎng)站的改造目前已很少見(jiàn)。
對(duì)于現(xiàn)有IPv4網(wǎng)站�,可以采用“IPv4 + IVI網(wǎng)站升級(jí)方案(X7000或云服務(wù))”過(guò)渡�。在保持現(xiàn)有IPv4網(wǎng)絡(luò)����、路由不變的情況下,在純IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)出口之間部署IVI(無(wú)狀態(tài)IPv4/IPv6翻譯技術(shù))設(shè)備���。
在此情況下����,原IPv4網(wǎng)站不需要做改造�,就可以被IPv6用戶訪問(wèn)。其優(yōu)勢(shì)是:保持原IPv4安全等保等級(jí)���,只要IPv4不被黑��,IPv6不可能被黑�。
此外�����,根據(jù)“專項(xiàng)行動(dòng)計(jì)劃”要求��,到2030年左右,完成向IPv6單棧的演進(jìn)過(guò)渡��。因此�,各高校新建網(wǎng)站應(yīng)采用“純IPv6”解決方案,這符合純IPv6發(fā)展趨勢(shì)����。
圖1 網(wǎng)站IPv6過(guò)渡場(chǎng)景
用戶IPv6過(guò)渡場(chǎng)景也分為三種情況:現(xiàn)有IPv4用戶接入、雙棧用戶接入�、新建純IPv6用戶接入。
在這三種場(chǎng)景中�,現(xiàn)有IPv4用戶接入的升級(jí)能真正“多快好省”地提升IPv6活躍用戶。此時(shí)可以采用“IPv4 + IVI用戶網(wǎng)絡(luò)升級(jí)方案(X2000)”�����。在保持現(xiàn)有IPv4網(wǎng)絡(luò)�����、用戶終端不變的情況下��,將IVI設(shè)備部署在IPv4和IPv6 網(wǎng)絡(luò)出口之間�����,所有IPv4活躍用戶都能轉(zhuǎn)化成IPv6活躍用戶?�,F(xiàn)階段���,IPv6認(rèn)證在準(zhǔn)入控制方面還不太成熟�����,成本也較高��。而此方案支持原有IPv4認(rèn)證系統(tǒng)��,不需要升級(jí)�����。從安全和成本方面看�,對(duì)高校提升IPv6活躍用戶都非常實(shí)用����。
與網(wǎng)站改造一樣,新建純IPv6用戶接入符合純IPv6發(fā)展趨勢(shì)�,并能與SAVA(下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu))技術(shù)平滑集成。
圖2 用戶IPv6過(guò)渡場(chǎng)景
IPv6流量的提升��,主要依賴于活躍用戶和網(wǎng)站兩方面,尤其是活躍用戶的IPv6改造�。提升高校的IPv6活躍用戶數(shù),才能促進(jìn)IPv6流量規(guī)模持續(xù)提升�。
向IPv6單棧過(guò)渡,也即推進(jìn)IPv6規(guī)模部署向純IPv6發(fā)展�,主要包括網(wǎng)站升級(jí)和用戶升級(jí)兩方面。
網(wǎng)站升級(jí)可采用“IPv6 + IVI 網(wǎng)站升級(jí)方案(X8000)”��,通過(guò)在新建的純IPv6服務(wù)器和IPv4網(wǎng)絡(luò)之間部署IVI翻譯器�,支持純 IPv4 終端可以訪問(wèn) IPv6 服務(wù)器,由此平滑過(guò)渡到純IPv6 互聯(lián)網(wǎng)����。
用戶升級(jí)可采用“IPv6 + IVI 用戶網(wǎng)絡(luò)升級(jí)方案(X3000)”。新建的純IPv6網(wǎng)絡(luò)和IPv6終端���,通過(guò)部署IVI設(shè)備���,可以訪問(wèn)IPv4網(wǎng)絡(luò)資源。此方案可應(yīng)用于新建大規(guī)模純IPv6無(wú)線網(wǎng)接入����。由于iOS系統(tǒng)和Android系統(tǒng)都已經(jīng)集成了IVI翻譯技術(shù)����,通過(guò)在無(wú)線校園網(wǎng)添加IPv6 SSID(服務(wù)集標(biāo)識(shí))即可實(shí)現(xiàn)�����,這對(duì)高校來(lái)說(shuō)非常實(shí)用��。
高校在IPv6創(chuàng)新應(yīng)用上���,要落實(shí)“發(fā)展安全并重,滿足國(guó)家急需”���。
首先���,要學(xué)習(xí)貫徹習(xí)近平總書(shū)記重要講話精神。掌握我國(guó)互聯(lián)網(wǎng)發(fā)展主動(dòng)權(quán)����,保障互聯(lián)網(wǎng)安全、國(guó)家安全��,就必須突破核心技術(shù)難題�����,即要抓住“命門”。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全���,要“以安全保發(fā)展����,以發(fā)展促安全”���。
同時(shí)���,網(wǎng)絡(luò)科技進(jìn)步與網(wǎng)絡(luò)空間安全協(xié)同發(fā)展。在網(wǎng)絡(luò)科技進(jìn)步方面���,要達(dá)到世界一流���,爭(zhēng)取國(guó)際話語(yǔ)權(quán);在網(wǎng)絡(luò)空間安全方面����,要滿足國(guó)家急需,解決重大安全問(wèn)題���。
新形勢(shì)下推動(dòng)IPv6發(fā)展���,可以概括為“三部曲”。
1.平滑過(guò)渡���,互聯(lián)互通����,逐步推進(jìn)
在IPv6過(guò)渡技術(shù)方面��,基于雙棧的IPv6過(guò)渡技術(shù)(硬著陸)���,將演進(jìn)成基于翻譯的IPv6過(guò)渡技術(shù)(軟著陸)����。
“平滑過(guò)渡”是向IPv6過(guò)渡的基本原則����,也就是,不能因?yàn)橄騃Pv6升級(jí)而影響用戶體驗(yàn)�����。而通過(guò)IVI翻譯技術(shù)的“軟著陸”過(guò)渡技術(shù)����,可以實(shí)現(xiàn)IPv4向IPv6的平滑過(guò)渡�����。
現(xiàn)有的IPv4服務(wù)器或客戶端�,通過(guò)IVI(6aaS)翻譯���,與IPv6網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通���,其對(duì)外特性表現(xiàn)為雙棧,對(duì)內(nèi)特性仍是純IPv4��;同理��,新建的純IPv6網(wǎng)絡(luò)����,也可以通過(guò)(4aaS)IVI翻譯,與IPv4網(wǎng)絡(luò)保持互通��。
實(shí)際上����,盡管按照規(guī)劃�,我國(guó)將向純IPv6網(wǎng)絡(luò)過(guò)渡�����,但由于長(zhǎng)尾效應(yīng)�,在全球范圍內(nèi)��,IPv4網(wǎng)絡(luò)將會(huì)長(zhǎng)期存在����。尤其在高校,與國(guó)際網(wǎng)絡(luò)的互聯(lián)互通更是剛需����。因此,通過(guò)翻譯技術(shù)實(shí)現(xiàn)IPv4與IPv6互聯(lián)互通���,從長(zhǎng)遠(yuǎn)看來(lái)也將是硬需求�。
2.發(fā)展與安全同步�����,充分利用IPv4安全能力
要做到發(fā)展與安全同步�,首先要關(guān)注IPv6的網(wǎng)絡(luò)空間安全���。
由清華大學(xué)研發(fā)的下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)SAVA主要用于解決下一代互聯(lián)網(wǎng)的可信安全問(wèn)題。
SAVA支持互聯(lián)網(wǎng)真實(shí)源地址的精確定位和地址溯源�,突破了下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的安全可信關(guān)鍵核心技術(shù),近日被中國(guó)電子學(xué)會(huì)授予2020年度科學(xué)技術(shù)特等獎(jiǎng)����。將SAVA技術(shù)落地落實(shí),是當(dāng)前高校在網(wǎng)絡(luò)安全方面應(yīng)重點(diǎn)關(guān)注�,全力部署實(shí)施的工作。
此外��,IPv6的防火墻應(yīng)該怎么做��?
現(xiàn)階段��,IPv6的防火墻很難實(shí)現(xiàn)跟IPv4的防火墻一樣的防護(hù)強(qiáng)度�����??紤]到這一點(diǎn),在IPv6安全保障上�,我們可以采取另一種思路:通過(guò)虛擬的翻譯技術(shù),充分利用IPv4的安全能力。
可以將IPv6網(wǎng)絡(luò)和IPv6主機(jī)之間的防火墻設(shè)想成一個(gè)“盒子”�����,盒子內(nèi)部是具有雙重“虛擬翻譯”功能的IPv4防火墻�。
防護(hù)的過(guò)程是,將IPv6映射成IPv4�����,經(jīng)過(guò)IPv4的防火墻���,再映射成IPv6。這樣�,就可以讓純IPv6網(wǎng)絡(luò)充分利用IPv4成熟的安全保障能力。
實(shí)際上���,用這種方法設(shè)計(jì)的IPv6防火墻�����,并不一定真的采用IVI翻譯設(shè)備��,而是充分利用了IVI技術(shù)的翻譯“思路”�。
3.跨越式發(fā)展,構(gòu)建切片和零信任體系結(jié)構(gòu)
(1)用不同于IPv4的思路做IPv6
傳統(tǒng)的校園網(wǎng)為了保安全��,通常采用“糖葫蘆”式的串通方式�����,在校園網(wǎng)的出口處設(shè)置各種安全設(shè)備��。而高校有聯(lián)網(wǎng)��、高性能�����、安全�、科研等多方面的網(wǎng)絡(luò)需求,采用“串聯(lián)”的方式很難滿足所有需求���,并存在不少安全隱患�。
我們可以將校園網(wǎng)的需求進(jìn)行如下分類:
? 用戶上網(wǎng):包括有線����、無(wú)線(多SSID)上網(wǎng);
? 信息系統(tǒng):學(xué)校的信息系統(tǒng)通常在校園內(nèi)部專網(wǎng)使用�����,從外部訪問(wèn)時(shí)需要使用VPN;
? 視頻系統(tǒng):無(wú)論是廣播/點(diǎn)播系統(tǒng)還是視頻會(huì)議系統(tǒng)���,都用于教學(xué)�、研討����;
? 對(duì)外宣傳:也就是通常的學(xué)校網(wǎng)站,采用CDN(Content Delivery Network�,內(nèi)容分發(fā)網(wǎng)絡(luò))、WAF(Web Application Firewall�,網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng))等技術(shù);
? 科學(xué)研究:包括超算專網(wǎng)���、存儲(chǔ)專網(wǎng)、備份專網(wǎng)等�����;
? 物聯(lián)網(wǎng):包括門禁專網(wǎng)��、視頻監(jiān)控專網(wǎng)�����、井蓋專網(wǎng)等。
有了清晰的分類�,再來(lái)看IPv6升級(jí)。實(shí)際上�����,與傳統(tǒng)的IPv4網(wǎng)絡(luò)相比�����,IPv6擁有的海量地址使其能更容易實(shí)現(xiàn)網(wǎng)絡(luò)切片等功能��,滿足校園網(wǎng)的多種需求��,并保障網(wǎng)絡(luò)安全�����。
概括來(lái)說(shuō)��,就是要用不同于IPv4的思路來(lái)做IPv6����。
也就是�����,按照網(wǎng)絡(luò)切片的思路將高校各種校園網(wǎng)需求拆分�,采用不同的方法分別滿足不同的需求�����。如此以來(lái)���,CERNET可以將提供給高校的萬(wàn)兆接入網(wǎng)絡(luò)“定制化”��,比如���,針對(duì)各校的網(wǎng)站監(jiān)測(cè)能力參差不齊,提供高質(zhì)量的網(wǎng)站監(jiān)測(cè)外包服務(wù)��;針對(duì)用戶上網(wǎng)�,可以提供日志保障等�����。
反過(guò)來(lái)���,高校也可按照這種思路���,將校園網(wǎng)的功能拆分升級(jí)��。比如���,對(duì)于信息系統(tǒng)、視頻系統(tǒng)�����、超算專網(wǎng)等專供學(xué)校內(nèi)部使用的功能需求����,不宜采用傳統(tǒng)的“串聯(lián)”方式進(jìn)行安全防護(hù);而對(duì)于其他與外部網(wǎng)絡(luò)互連的功能需求����,則可以采用“外包”方式保障安全。
(2)SRv6和dIVI
根據(jù)上述思路推動(dòng)IPv6發(fā)展�,有兩個(gè)技術(shù)非常重要:SRv6(Segment Routing IPv6,IPv6分段路由)和dIVI(雙重翻譯技術(shù))��。比如���,對(duì)基于IPv4的超算專網(wǎng)��,如果將其應(yīng)用系統(tǒng)改造成IPv6�,成本很高,而采用dIVI雙重翻譯技術(shù)��,可以直接利用私有的IPv4地址建網(wǎng)����;而新建的純IPv6應(yīng)用,則可以直接用SRv6技術(shù)進(jìn)行網(wǎng)絡(luò)切片���,來(lái)滿足特定需求���;同時(shí),SRv6和dIVI技術(shù)也可以結(jié)合使用����。
滿足該思路的方案有如下特點(diǎn):支持IPv4,無(wú)需重新編程����,無(wú)需優(yōu)化IPv4鏈路��,利用IVI翻譯技術(shù)轉(zhuǎn)換為IPv6流量;支持IPv4雙向通信�,校園網(wǎng)無(wú)需提供公有IPv4地址;外特性完全為IPv6單棧��。
對(duì)于未來(lái)的互聯(lián)網(wǎng)發(fā)展���,總的趨勢(shì)是“大道至簡(jiǎn)�、返璞歸真”����。即從一個(gè)以O(shè)SS/BSS(電信業(yè)務(wù))為支撐的,包含IPv4�����、IPv6�、MPLS、DHCP等多種技術(shù)的復(fù)雜系統(tǒng)�����,轉(zhuǎn)變?yōu)榧僆Pv6(IPv6-only)的簡(jiǎn)單系統(tǒng)����。
這個(gè)系統(tǒng)包含IPv6路由轉(zhuǎn)發(fā)�、SRv6切片�、IVI翻譯、Encapsulation(封裝)���、SSM 框架集等功能技術(shù)���,并以零信任網(wǎng)絡(luò)安全防護(hù)理念為基礎(chǔ)。長(zhǎng)遠(yuǎn)看來(lái)��,IPv4會(huì)長(zhǎng)期存在�,但會(huì)成為純IPv6網(wǎng)絡(luò)的一個(gè)“子集”,通過(guò)無(wú)狀態(tài)翻譯技術(shù)����,對(duì)外展示為IPv6。
(3)464BGP
復(fù)旦大學(xué)校園網(wǎng)IVI部署實(shí)踐是一個(gè)典型案例����。通過(guò)部署高效路由機(jī)制464BGP,即從IPv4地址翻譯到IPv6地址路由��,再轉(zhuǎn)化回IPv4的地址����,借由CERNET2完成傳輸����,提高CERNET2的使用率�,并可以有效提升國(guó)際教育資源的訪問(wèn)體驗(yàn)���。
其特點(diǎn)為:雖然復(fù)旦大學(xué)校園網(wǎng)是多出口����,但使用464BGP技術(shù)����,可以由學(xué)校自主調(diào)度特定子網(wǎng),通過(guò)CERNET與Internet2的專有信道�����,高性能地與合作高校進(jìn)行通信��。特別是���,雖然現(xiàn)有技術(shù)可以在某種程度上調(diào)度復(fù)旦大學(xué)的出流量�。但只有464BGP技術(shù),可以在不需要對(duì)方大學(xué)配合的情況下���,自動(dòng)調(diào)度入流量��。
純IPv6(IPv6單棧)是互聯(lián)網(wǎng)發(fā)展的技術(shù)方向�����,也是中國(guó)政府的既定策略�,按照“網(wǎng)信辦”的文件規(guī)定�����,到2030年中國(guó)的互聯(lián)網(wǎng)將是IPv6單棧�����。歷史上�,CERNET和廣大接入高校在IPv6的研究、部署和推廣方面為國(guó)家和世界做出了重要貢獻(xiàn)��。新形勢(shì)下�����,必須再接再厲,充分利用IPv6發(fā)展的歷史機(jī)遇����,為把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)做出貢獻(xiàn)。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://nblsxs.com/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
