在“2018中國高校CIO論壇”開放論壇中，北京郵電大學信息化技術(shù)中心主任安杰作了《北京郵電大學校園網(wǎng)建設(shè)及機房安全工作經(jīng)驗分享》的報告。

他對北京郵電大學校園網(wǎng)建設(shè)現(xiàn)狀、無線網(wǎng)絡(luò)建設(shè)情況及下一代互聯(lián)網(wǎng)IPv6北郵節(jié)點的情況進行了介紹。以下是主要內(nèi)容。

校園網(wǎng)整體建設(shè)情況

2018年初，北京郵電大學完成西土城路、沙河、宏福三校區(qū)環(huán)狀光纖網(wǎng)，校園網(wǎng)已成為全校師生教學、科研、辦公、生活服務的多業(yè)務承載的多校區(qū)大規(guī)模寬帶網(wǎng)絡(luò)。

圖1 IPv4出口

圖2 IPv6出口

從整體上來看，北京郵電大學西土城路、沙河、宏福三校區(qū)網(wǎng)絡(luò)通過裸光纜兩兩直連，在西土城路校區(qū)統(tǒng)一接入互聯(lián)網(wǎng)，以此來實現(xiàn)校區(qū)間網(wǎng)絡(luò)互聯(lián)互通、接入IPv4和IPv6出口。目前校園網(wǎng)骨干帶寬40G/80G，IPv4接入教育網(wǎng)以及聯(lián)通、移動、電信運營商，IPv6接入教育網(wǎng)。

傳統(tǒng)的校園網(wǎng)結(jié)構(gòu)存在一系列問題，如出口串接多個設(shè)備，一個設(shè)備出現(xiàn)問題全網(wǎng)癱瘓；多出口時流量調(diào)度管理策略及安全策略復雜；所有設(shè)備都需要大容量接口，費用昂貴等。問題產(chǎn)生的本質(zhì)原因在于所有流量全部使用同一套出口策略進行管理。為解決這一問題，北郵將校園網(wǎng)流量分成用戶互聯(lián)網(wǎng)流量、數(shù)據(jù)中心外網(wǎng)流量、數(shù)據(jù)中心內(nèi)網(wǎng)流量以及數(shù)據(jù)中心VPN流量四大類型，把校園網(wǎng)按照出口、用戶上網(wǎng)區(qū)、數(shù)據(jù)中心區(qū)劃分，將用戶上網(wǎng)的流量和數(shù)據(jù)中心流量以及用戶訪問數(shù)據(jù)中心的流量分開。在收費問題上，北郵為在校師生提供20G免費IPv4流量，超過部分收費1元/G或者使用運營商代撥路線，IPv6則不計費。

此外，校園網(wǎng)用戶網(wǎng)絡(luò)行為數(shù)據(jù)的收集和管理非常重要，一方面，《網(wǎng)絡(luò)安全法》要求學校保留日志數(shù)據(jù)備查溯源，另外一方面通過對這些數(shù)據(jù)進行大數(shù)據(jù)分析，可以為下一步建設(shè)和網(wǎng)絡(luò)優(yōu)化做支撐。傳統(tǒng)的日志收集方法只是將各類數(shù)據(jù)格式化存儲，在使用的時候再進行關(guān)聯(lián)查詢，效率很低，北郵則是事先將各種有關(guān)聯(lián)的數(shù)據(jù)建立好存儲模型，將數(shù)據(jù)分成行為數(shù)據(jù)和標簽數(shù)據(jù)兩大類，在行為數(shù)據(jù)產(chǎn)生的同時把標簽關(guān)聯(lián)到行為數(shù)據(jù)直接統(tǒng)一存儲。實現(xiàn)了將網(wǎng)絡(luò)行為數(shù)據(jù)從以IP地址作為標識轉(zhuǎn)化為以賬號、終端作為標識 ，無論是溯源查詢還是統(tǒng)計分析都會大大提升效率。

無線網(wǎng)絡(luò)建設(shè)情況

圖3 網(wǎng)絡(luò)行為數(shù)據(jù)分析部分成果展示

北郵的無線網(wǎng)絡(luò)建設(shè)已完成復用線路、集中轉(zhuǎn)發(fā)、準入認證、計費聯(lián)動；在AP方面，5000個已建，5000個在建；在終端方面，并發(fā)近2萬個，總量超過6萬個。對高校而言，無線網(wǎng)絡(luò)建設(shè)非常有必要，現(xiàn)在北郵沙河校區(qū)已做到全無線覆蓋，在教室、圖書館、宿舍、食堂等區(qū)域只提供無線接入服務。SSID類型包括 BUPT-portal、BUPT-mobile、BUPT-guest、Eduroam、BUPT-iot。其中BUPT-portal收費，采用Web認證，基于MAC的無感知認證（準入），所有無線終端都可使用；BUPT-mobile免費，采用802.1x認證，面向移動終端（IOS， Android），PC不能使用；BUPT-guest收費，采用Web認證，手機號申請，每月免費8小時使用；eduroam免費，采用安全的環(huán)球跨域無線漫游認證服務（面向科研和教育機構(gòu)），802.1x認證；BUPT-iot不能訪問互聯(lián)網(wǎng)，僅用于物聯(lián)網(wǎng)設(shè)備（如無線打印機、無線攝像頭、無線自助服務機等）與三校區(qū)內(nèi)校園網(wǎng)用戶之間的通信，通過MAC地址做認證，只有網(wǎng)絡(luò)管理員允許的物聯(lián)網(wǎng)設(shè)備才能接入使用。

圖4 北京郵電大學校園網(wǎng)2005年拓撲

圖5 北京郵電大學校園網(wǎng)2018年拓撲

教育網(wǎng)北郵核心節(jié)點IPv6建設(shè)總體情況

北京地區(qū)高校主頁使用官方對外域名IPv6開通數(shù)量不多，截止到2018年11月，包括教育部在內(nèi)僅13所高校官方域名可以通過IPv6訪問。

北郵IPv6升級改造分為四個部分，一是網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、路由子網(wǎng)規(guī)劃，二是IPv6的地址分配，三是域名系統(tǒng)建設(shè)，四是用戶網(wǎng)絡(luò)認證。2005年，北郵只有部分設(shè)備不支持IPv6，當時學校通過兩張網(wǎng)絡(luò)在二層打通的方式實現(xiàn)全校開通IPv6，目前學校已經(jīng)全部使用雙棧設(shè)備，所有子網(wǎng)也都是IPv4/IPv6雙棧。

北郵采用路由宣告（自動配置）和DHCPv6兩種地址分配方式并存，無線網(wǎng)兩種地址分配方式都在使用（安卓系統(tǒng)不支持DHCPv6），有線網(wǎng)大部分使用DHCPv6方式分配地址，兩種方式都使用/64的子網(wǎng)，DHCPv6的地址池使用/112。

域名系統(tǒng)對IPv6的支持可以分為三個層次，第一個層次是提供AAAA記錄解析服務，一般DNS系統(tǒng)都能做到，不需要特殊設(shè)置；第二個層次是給DNS服務器增加IPv6地址，用戶可以通過IPv6做域名解析；第三個層次是注冊IPv6的NS記錄，讓純IPv6網(wǎng)的用戶能夠解析到自己發(fā)布的資源。主頁等重要服務在原有域名的基礎(chǔ)上直接添加AAAA記錄，用戶網(wǎng)絡(luò)如果有IPv6瀏覽器則會優(yōu)先使用IPv6進行訪問。

網(wǎng)絡(luò)建設(shè)除了路由子網(wǎng)規(guī)劃、地址分配、域名建設(shè)以外還有一個特別重要的內(nèi)容就是認證系統(tǒng)建設(shè)，特別是IPv6從實驗網(wǎng)轉(zhuǎn)為正式商用，越來越多的應用可以通過IPv6訪問以后，認證變得越來越重要。與傳統(tǒng)的IPv4認證相比， IPv6存在地址變化以及安卓系統(tǒng)不支持的問題。目前較好的解決辦法就是與網(wǎng)絡(luò)設(shè)備配合進行基于終端的準入認證，認證通過后放行終端所有的IPv4和IPv6地址，用戶在一次認證過程中使用多個IPv6地址，這些使用的IPv6地址都會被認證系統(tǒng)記錄下來，用于審計和溯源。

圖6 高校主頁IPv6和HTTPS使用情況排名

應用系統(tǒng)原生IPv6的升級改造則需要考慮服務器操作系統(tǒng)支持、Web Server支持、應用自身支持三個方面問題，目前主流的操作系統(tǒng)和Web Server都能夠支持升級改造，重點需要解決的是應用自身支持，尤其是日志格式兼容的問題；此外，安全問題也是需要考慮的一個重要因素。

通過反向代理方式實現(xiàn)業(yè)務系統(tǒng)的IPv6升級是實現(xiàn)升級改造最快速的一種途徑。反向代理通過HA方式部署，能夠保證業(yè)務高可靠持續(xù)運行，同時還支持IPv6和多個運營商線路的發(fā)布，支持IPv4/IPv6雙棧的HTTPS、HTTP2。反向代理使用瀏覽器信任的HTTPS證書，用戶使用現(xiàn)代瀏覽器也不會有安全提示，同時所有的業(yè)務都能實現(xiàn)天然監(jiān)控和一鍵斷網(wǎng)，所有的訪問數(shù)據(jù)通過反向代理統(tǒng)一匯總分析。北郵目前包括校主頁在內(nèi)的大部分系統(tǒng)都通過反向代理對外發(fā)布，一共168個。

視頻直播點播服務是IPv6的特色應用，包括活動直播、網(wǎng)絡(luò)電視、視頻點播。直播后的視頻可以用于點播，內(nèi)容積累到一定量以后可以給學校提供一個寶貴的視頻影像資料庫。這種服務可以有效地提高在校教職工和學生的IPv6使用率，降低校園網(wǎng)出口的壓力，更好地服務于學生活動和學術(shù)講座。

網(wǎng)絡(luò)和系統(tǒng)建設(shè)完畢后，網(wǎng)管系統(tǒng)（IT資源管理系統(tǒng)）需要提供運維支撐保證，IPv6的設(shè)備管理、IPv6的子網(wǎng)和IP管理、IPv6的終端管理、IPv6的業(yè)務運行狀態(tài)監(jiān)控要重點考察管理。從安全和審計的角度來講，IPv6需要考量IDS/IPS(入侵檢測和入侵防御)、DPI（深度包檢測）、基于狀態(tài)的防火墻、WAF、日志審計幾個方面，本質(zhì)上和IPv4沒有太大區(qū)別?；谥鳈C和基于服務的安全審計工作只需要關(guān)注用戶來源兼容IPv6地址格式即可，而基于網(wǎng)絡(luò)需要的硬件設(shè)備支持問題，目前比較好的解決辦法是優(yōu)先采用反向代理在應用層處理轉(zhuǎn)換，這樣可以暫時規(guī)避掉一些安全風向，因為后端對IPv4支持的安全手段都可以使用。

基礎(chǔ)設(shè)施建設(shè)和運行遇到的問題和對策

北郵沙河新校區(qū)信息化建設(shè)過程中也遇到了一些問題。在設(shè)計階段主要面臨以下問題：1. 圖紙缺少無線點位示意圖或大樣圖，導致開孔位置不統(tǒng)一，建議圖紙附點位示意圖，無線點位采用單孔面板或網(wǎng)絡(luò)模板，另外弱電間或弱電機房旋轉(zhuǎn)樓層居中位置，遠離水源。2.弱電橋架暴露在室外平臺，橋架和線纜容易遭受日曬雨林的腐蝕，建議修改弱電井位置，將橋架和線纜設(shè)計在室內(nèi)，使用獨立的弱電機房，取消非必要的UPS 系統(tǒng)等。

在施工階段，出現(xiàn)校方與施工方的圖紙版本不一致問題，導致合理需求只能通過洽商變更或二次立項改正；安裝設(shè)施期間，樓內(nèi)設(shè)施有損壞，導致總包方不愿意免費修復等問題。因此，需要對于 UPS及機房管理實行現(xiàn)場巡檢、監(jiān)測溫濕度等，一旦出現(xiàn)事故，采用應急處理方法，如現(xiàn)場處理（斷電、消防、查看損失），部門協(xié)調(diào)（黨政辦上報信息、保衛(wèi)處協(xié)調(diào)消防、后勤處恢復電力、宣傳部對外輿情、學生處對內(nèi)輿情），盡快恢復（網(wǎng)絡(luò)、服務），總結(jié)教訓（完善預案、加強演練）等。

另外，在信息化基礎(chǔ)設(shè)施的保障方面則存在UPS蓄電池超期使用、消防措施不完善、人員配備不足、管理制度不健全、缺少專題培訓、災備體系不健全等問題，建議完善制度保障，做到24小時值班，每年進行消防培訓和演練，對于設(shè)備進行定期維保等等。