高校向IPv6過渡場景解決方案
近日���,深入推進IPv6規(guī)模部署和應用貫徹落實會議召開,IPv6規(guī)模部署相關(guān)文件連續(xù)發(fā)布�����。其中��,《IPv6流量提升三年專項行動計劃(2021-2023年)》(簡稱“專項行動計劃”)提出���,用三年時間����,推動我國IPv6規(guī)模部署從“通路”走向“通車”����,從“能用”走向“好用”。
在此背景下��,清華大學教授����、CERNET網(wǎng)絡中心副主任李星分析了高校推進IPv6規(guī)模部署的技術(shù)方案��。他表示���,CERNET和廣大接入高校要充分利用IPv6發(fā)展的歷史機遇,為建設網(wǎng)絡強國做出貢獻�����。
李星 CERNET網(wǎng)絡中心副主任���、清華大學教授
總的來說���,IPv6規(guī)模部署可以概括為五大任務:網(wǎng)站改造、活躍用戶�����、IPv6流量���、IPv6單棧�����、創(chuàng)新應用���。下面從這五方面探討高校向IPv6過渡的落實建議。
網(wǎng)站IPv6過渡場景分為三種情況:現(xiàn)有IPv4網(wǎng)站����、雙棧網(wǎng)站、新建純IPv6網(wǎng)站���。
實際上��,雙棧網(wǎng)站的改造目前已很少見�。
對于現(xiàn)有IPv4網(wǎng)站����,可以采用“IPv4 + IVI網(wǎng)站升級方案(X7000或云服務)”過渡。在保持現(xiàn)有IPv4網(wǎng)絡�����、路由不變的情況下�,在純IPv4網(wǎng)絡和IPv6網(wǎng)絡出口之間部署IVI(無狀態(tài)IPv4/IPv6翻譯技術(shù))設備。
在此情況下�,原IPv4網(wǎng)站不需要做改造,就可以被IPv6用戶訪問�。其優(yōu)勢是:保持原IPv4安全等保等級���,只要IPv4不被黑,IPv6不可能被黑�。
此外,根據(jù)“專項行動計劃”要求�����,到2030年左右��,完成向IPv6單棧的演進過渡���。因此�����,各高校新建網(wǎng)站應采用“純IPv6”解決方案�,這符合純IPv6發(fā)展趨勢���。
用戶IPv6過渡場景也分為三種情況:現(xiàn)有IPv4用戶接入���、雙棧用戶接入、新建純IPv6用戶接入。
在這三種場景中����,現(xiàn)有IPv4用戶接入的升級能真正“多快好省”地提升IPv6活躍用戶。此時可以采用“IPv4 + IVI用戶網(wǎng)絡升級方案(X2000)”�。在保持現(xiàn)有IPv4網(wǎng)絡、用戶終端不變的情況下���,將IVI設備部署在IPv4和IPv6 網(wǎng)絡出口之間,所有IPv4活躍用戶都能轉(zhuǎn)化成IPv6活躍用戶?��,F(xiàn)階段�,IPv6認證在準入控制方面還不太成熟����,成本也較高。而此方案支持原有IPv4認證系統(tǒng)���,不需要升級����。從安全和成本方面看�,對高校提升IPv6活躍用戶都非常實用。
與網(wǎng)站改造一樣,新建純IPv6用戶接入符合純IPv6發(fā)展趨勢���,并能與SAVA(下一代互聯(lián)網(wǎng)真實源地址驗證體系結(jié)構(gòu))技術(shù)平滑集成���。
IPv6流量的提升,主要依賴于活躍用戶和網(wǎng)站兩方面�����,尤其是活躍用戶的IPv6改造��。提升高校的IPv6活躍用戶數(shù)����,才能促進IPv6流量規(guī)模持續(xù)提升。
向IPv6單棧過渡�����,也即推進IPv6規(guī)模部署向純IPv6發(fā)展��,主要包括網(wǎng)站升級和用戶升級兩方面�����。
網(wǎng)站升級可采用“IPv6 + IVI 網(wǎng)站升級方案(X8000)”,通過在新建的純IPv6服務器和IPv4網(wǎng)絡之間部署IVI翻譯器�,支持純 IPv4 終端可以訪問 IPv6 服務器,由此平滑過渡到純IPv6 互聯(lián)網(wǎng)�。
用戶升級可采用“IPv6 + IVI 用戶網(wǎng)絡升級方案(X3000)”。新建的純IPv6網(wǎng)絡和IPv6終端����,通過部署IVI設備,可以訪問IPv4網(wǎng)絡資源����。此方案可應用于新建大規(guī)模純IPv6無線網(wǎng)接入����。由于iOS系統(tǒng)和Android系統(tǒng)都已經(jīng)集成了IVI翻譯技術(shù),通過在無線校園網(wǎng)添加IPv6 SSID(服務集標識)即可實現(xiàn)����,這對高校來說非常實用。
高校在IPv6創(chuàng)新應用上���,要落實“發(fā)展安全并重�����,滿足國家急需”���。
首先�,要學習貫徹習近平總書記重要講話精神�����。掌握我國互聯(lián)網(wǎng)發(fā)展主動權(quán)����,保障互聯(lián)網(wǎng)安全、國家安全��,就必須突破核心技術(shù)難題����,即要抓住“命門”。沒有網(wǎng)絡安全就沒有國家安全��,要“以安全保發(fā)展����,以發(fā)展促安全”。
同時��,網(wǎng)絡科技進步與網(wǎng)絡空間安全協(xié)同發(fā)展。在網(wǎng)絡科技進步方面���,要達到世界一流�,爭取國際話語權(quán)�;在網(wǎng)絡空間安全方面,要滿足國家急需�����,解決重大安全問題��。
新形勢下推動IPv6發(fā)展�,可以概括為“三部曲”。
1.平滑過渡�,互聯(lián)互通��,逐步推進
在IPv6過渡技術(shù)方面�����,基于雙棧的IPv6過渡技術(shù)(硬著陸)���,將演進成基于翻譯的IPv6過渡技術(shù)(軟著陸)�����。
“平滑過渡”是向IPv6過渡的基本原則���,也就是���,不能因為向IPv6升級而影響用戶體驗。而通過IVI翻譯技術(shù)的“軟著陸”過渡技術(shù)�����,可以實現(xiàn)IPv4向IPv6的平滑過渡��。
現(xiàn)有的IPv4服務器或客戶端�����,通過IVI(6aaS)翻譯��,與IPv6網(wǎng)絡實現(xiàn)互聯(lián)互通�����,其對外特性表現(xiàn)為雙棧�����,對內(nèi)特性仍是純IPv4;同理�����,新建的純IPv6網(wǎng)絡�����,也可以通過(4aaS)IVI翻譯��,與IPv4網(wǎng)絡保持互通����。
實際上,盡管按照規(guī)劃�����,我國將向純IPv6網(wǎng)絡過渡��,但由于長尾效應��,在全球范圍內(nèi)���,IPv4網(wǎng)絡將會長期存在����。尤其在高校���,與國際網(wǎng)絡的互聯(lián)互通更是剛需�����。因此��,通過翻譯技術(shù)實現(xiàn)IPv4與IPv6互聯(lián)互通�,從長遠看來也將是硬需求�����。
2.發(fā)展與安全同步��,充分利用IPv4安全能力
要做到發(fā)展與安全同步���,首先要關(guān)注IPv6的網(wǎng)絡空間安全���。
由清華大學研發(fā)的下一代互聯(lián)網(wǎng)真實源地址驗證體系結(jié)構(gòu)SAVA主要用于解決下一代互聯(lián)網(wǎng)的可信安全問題��。
SAVA支持互聯(lián)網(wǎng)真實源地址的精確定位和地址溯源��,突破了下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的安全可信關(guān)鍵核心技術(shù)�,近日被中國電子學會授予2020年度科學技術(shù)特等獎���。將SAVA技術(shù)落地落實�,是當前高校在網(wǎng)絡安全方面應重點關(guān)注��,全力部署實施的工作��。
此外����,IPv6的防火墻應該怎么做?
現(xiàn)階段��,IPv6的防火墻很難實現(xiàn)跟IPv4的防火墻一樣的防護強度����。考慮到這一點�,在IPv6安全保障上,我們可以采取另一種思路:通過虛擬的翻譯技術(shù)����,充分利用IPv4的安全能力。
可以將IPv6網(wǎng)絡和IPv6主機之間的防火墻設想成一個“盒子”�,盒子內(nèi)部是具有雙重“虛擬翻譯”功能的IPv4防火墻。
防護的過程是��,將IPv6映射成IPv4����,經(jīng)過IPv4的防火墻,再映射成IPv6����。這樣,就可以讓純IPv6網(wǎng)絡充分利用IPv4成熟的安全保障能力����。
實際上,用這種方法設計的IPv6防火墻���,并不一定真的采用IVI翻譯設備����,而是充分利用了IVI技術(shù)的翻譯“思路”。
3.跨越式發(fā)展��,構(gòu)建切片和零信任體系結(jié)構(gòu)
(1)用不同于IPv4的思路做IPv6
傳統(tǒng)的校園網(wǎng)為了保安全�,通常采用“糖葫蘆”式的串通方式,在校園網(wǎng)的出口處設置各種安全設備�����。而高校有聯(lián)網(wǎng)�����、高性能�、安全、科研等多方面的網(wǎng)絡需求�,采用“串聯(lián)”的方式很難滿足所有需求,并存在不少安全隱患����。
我們可以將校園網(wǎng)的需求進行如下分類:
? 用戶上網(wǎng):包括有線、無線(多SSID)上網(wǎng)�;
? 信息系統(tǒng):學校的信息系統(tǒng)通常在校園內(nèi)部專網(wǎng)使用,從外部訪問時需要使用VPN��;
? 視頻系統(tǒng):無論是廣播/點播系統(tǒng)還是視頻會議系統(tǒng)���,都用于教學�����、研討����;
? 對外宣傳:也就是通常的學校網(wǎng)站�����,采用CDN(Content Delivery Network��,內(nèi)容分發(fā)網(wǎng)絡)�、WAF(Web Application Firewall,網(wǎng)站應用級入侵防御系統(tǒng))等技術(shù)����;
? 科學研究:包括超算專網(wǎng)、存儲專網(wǎng)�、備份專網(wǎng)等;
? 物聯(lián)網(wǎng):包括門禁專網(wǎng)�、視頻監(jiān)控專網(wǎng)、井蓋專網(wǎng)等��。
有了清晰的分類,再來看IPv6升級���。實際上���,與傳統(tǒng)的IPv4網(wǎng)絡相比,IPv6擁有的海量地址使其能更容易實現(xiàn)網(wǎng)絡切片等功能��,滿足校園網(wǎng)的多種需求��,并保障網(wǎng)絡安全���。
概括來說��,就是要用不同于IPv4的思路來做IPv6�。
也就是�����,按照網(wǎng)絡切片的思路將高校各種校園網(wǎng)需求拆分��,采用不同的方法分別滿足不同的需求�。如此以來,CERNET可以將提供給高校的萬兆接入網(wǎng)絡“定制化”��,比如,針對各校的網(wǎng)站監(jiān)測能力參差不齊�����,提供高質(zhì)量的網(wǎng)站監(jiān)測外包服務���;針對用戶上網(wǎng),可以提供日志保障等�����。
反過來��,高校也可按照這種思路�����,將校園網(wǎng)的功能拆分升級����。比如,對于信息系統(tǒng)����、視頻系統(tǒng)�����、超算專網(wǎng)等專供學校內(nèi)部使用的功能需求�����,不宜采用傳統(tǒng)的“串聯(lián)”方式進行安全防護��;而對于其他與外部網(wǎng)絡互連的功能需求�,則可以采用“外包”方式保障安全�。
(2)SRv6和dIVI
根據(jù)上述思路推動IPv6發(fā)展,有兩個技術(shù)非常重要:SRv6(Segment Routing IPv6�,IPv6分段路由)和dIVI(雙重翻譯技術(shù))。比如����,對基于IPv4的超算專網(wǎng),如果將其應用系統(tǒng)改造成IPv6�����,成本很高����,而采用dIVI雙重翻譯技術(shù)�����,可以直接利用私有的IPv4地址建網(wǎng)���;而新建的純IPv6應用,則可以直接用SRv6技術(shù)進行網(wǎng)絡切片����,來滿足特定需求;同時�,SRv6和dIVI技術(shù)也可以結(jié)合使用����。
滿足該思路的方案有如下特點:支持IPv4,無需重新編程��,無需優(yōu)化IPv4鏈路���,利用IVI翻譯技術(shù)轉(zhuǎn)換為IPv6流量��;支持IPv4雙向通信���,校園網(wǎng)無需提供公有IPv4地址����;外特性完全為IPv6單棧�。
對于未來的互聯(lián)網(wǎng)發(fā)展,總的趨勢是“大道至簡����、返璞歸真”。即從一個以OSS/BSS(電信業(yè)務)為支撐的����,包含IPv4、IPv6����、MPLS、DHCP等多種技術(shù)的復雜系統(tǒng)�,轉(zhuǎn)變?yōu)榧僆Pv6(IPv6-only)的簡單系統(tǒng)。
這個系統(tǒng)包含IPv6路由轉(zhuǎn)發(fā)�����、SRv6切片��、IVI翻譯、Encapsulation(封裝)���、SSM 框架集等功能技術(shù)�����,并以零信任網(wǎng)絡安全防護理念為基礎(chǔ)����。長遠看來�,IPv4會長期存在,但會成為純IPv6網(wǎng)絡的一個“子集”����,通過無狀態(tài)翻譯技術(shù),對外展示為IPv6��。
(3)464BGP
復旦大學校園網(wǎng)IVI部署實踐是一個典型案例��。通過部署高效路由機制464BGP�����,即從IPv4地址翻譯到IPv6地址路由����,再轉(zhuǎn)化回IPv4的地址,借由CERNET2完成傳輸��,提高CERNET2的使用率���,并可以有效提升國際教育資源的訪問體驗��。
其特點為:雖然復旦大學校園網(wǎng)是多出口��,但使用464BGP技術(shù)�,可以由學校自主調(diào)度特定子網(wǎng)�����,通過CERNET與Internet2的專有信道����,高性能地與合作高校進行通信。特別是����,雖然現(xiàn)有技術(shù)可以在某種程度上調(diào)度復旦大學的出流量。但只有464BGP技術(shù)�����,可以在不需要對方大學配合的情況下,自動調(diào)度入流量�����。
純IPv6(IPv6單棧)是互聯(lián)網(wǎng)發(fā)展的技術(shù)方向��,也是中國政府的既定策略�,按照“網(wǎng)信辦”的文件規(guī)定,到2030年中國的互聯(lián)網(wǎng)將是IPv6單棧�。歷史上,CERNET和廣大接入高校在IPv6的研究��、部署和推廣方面為國家和世界做出了重要貢獻���。新形勢下�,必須再接再厲����,充分利用IPv6發(fā)展的歷史機遇��,為把我國建設成為網(wǎng)絡強國做出貢獻�。
江蘇國駿-打造安全可信的網(wǎng)絡世界
為IT提升價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務
