文/胡燕玲 王康

建設背景

2017 年，中共中央辦公廳、國務院辦公廳發(fā)布《推進互聯網協議第六版（IPv6）規(guī)模部署行動計劃》（簡稱“兩辦行動計劃”），實現互聯網向IPv6 演進升級，用5 到10 年構建高速、移動、安全、泛在的新一代信息基礎設施，促進互聯網與經濟社會深度融合，構筑未來發(fā)展新優(yōu)勢，為網絡強國建設奠定堅實基礎。

2018 年4 月，工信部發(fā)布關于貫徹落實《推進互聯網協議第六版（IPv6）規(guī)模部署行動計劃》的通知。

2019 年4 月，工信部發(fā)布《工業(yè)與信息化部關于開展2019 年IPv6 網絡就緒專項行動的通知》（簡稱“工信部專項行動”），要求部屬各高校于2019 年完成門戶網站IPv6 改造，新建網站及外部系統(tǒng)應全面支持IPv6 訪問。

在此背景下，西北工業(yè)大學（簡稱“西工大”）全面開展校園網IPv6 升級部署工作。

建設現狀及規(guī)劃

西工大校園網在建設初期就充分考慮了IPv6 接入需求，校園網出口擁有教育網CERNET2 10G 的IPv6 接入鏈路，使用帶寬3Gbps，以及電信 20G 的IPv4/IPv6雙棧接入鏈路，使用帶寬15Gbps。校園有線網絡支持IPv4/IPv6 雙棧協議。校內師生使用校園網時能夠同時獲取IPv4 和IPv6 地址。

圖1 下一代互聯網國家工程中心IPv6 DNS 部署

實現用戶端和校內資源向IPv6 全面升級是必然趨勢，但需要經歷一個較長的過渡階段。兩辦行動計劃中著重強調門戶網站需要支持IPv6，但從學校目前網站及應用系統(tǒng)的現狀而言，仍需要花費大量的精力。不同應用系統(tǒng)的數據庫、Web 中間件、CMS 要全面支持IPv6,可能涉及到軟硬件及代碼中IPv6 地址函數的改動，存在一定的改造難度和未知的安全隱患。因此，西工大計劃先通過雙棧技術及地址翻譯設備實現網站和應用系統(tǒng)的IPv6 過渡，加快落實工信部文件的重點目標要求，逐步推進完成以下工作：完善網絡基礎設施IPv6 能力，為全面對接IPv6 互聯網做好支撐；著力推廣IPv6 家用路由器使用，增強校內用戶IPv6 訪問活力；加快推進校內網站及業(yè)務系統(tǒng)向IPv6 升級，不斷提升IPv6 應用生態(tài)容量；完善IPv6 網絡安全管理制度體系，涵蓋IPv6 防護技術和管理相關要求。

地址申請和管理

西工大在目前出口做NAT 內外網地址轉換的基礎上，擁有教育網三段/48 IPv6 地址，積極向教育網和運營商申請IPv6 地址，為后期全面建設并推廣IPv6獲取充足的地址資源。

1.教育網IPv6 地址

西 工 大 已 于2019 年6 月28 日 成功申請到教育網新一段/32 IPv6 地址240C:C283::/32。未來可滿足校園網、業(yè)務專網、物聯網建設過程中對獨立子網的需求。

2.基礎運營商IPv6 地址

西工大已于2019 年5 月6 日成功申請到電信新/48 的IPv6 地址240E:0658:0A21::/48和240E:0658:0A22::/48。

3.IPv6 地址管理

圖2 雙協議棧技術

西工大校園網針對IPv6 計劃采用有狀態(tài)地址自動配置機制，使用DHCPv6 為用戶主機和服務器開通并分配IPv6 地址、IPv6 前綴、DNS 服務器等網絡配置參數，解決常見的IP 地址沖突問題，實現IPv6地址的生命周期管理，滿足用戶行為審計和安全管理需求。

DNS 部署

1.下一代互聯網國家工程中心IPv6 DNS 部署

為響應國家下一代互聯網發(fā)展計劃相關文件，西工大同下一代互聯網國家工程中心積極推進教育網“一省一根”工作。

“根服務器”是全球互聯網控制中樞，是互聯網重要的戰(zhàn)略資源，支持著全球互聯網的信息查詢和訪問，是互聯網最關鍵的信息資源庫。國家發(fā)改委于2016 年6月將IPv6 根服務器列入國家“互聯網+”產業(yè)重大支撐項目。西工大于2018 年11月同下一代互聯網國家工程中心完成IPv6遞歸DNS部署，并在校園網內部測試運行。目前，正在積極推動教育行業(yè)IPv6 根鏡像服務器的部署，計劃為陜西地區(qū)教育網內部用戶提供穩(wěn)定高效的IPv6 DNS服務，如圖1 所示。

2.校內IPv6 DNS 部署

由于互聯網用戶訪問DNS 服務必須依賴全球DNS 系統(tǒng)，因此需要基礎電信企業(yè)及各應用提供單位加快部署解析服務器和授權服務器。

西工大于2019 年5 月部署完成獨立的IPv6 DNS，支持AAAA 記錄、A6 記錄和純IPv6 的DNS 請求，提供多出口狀態(tài)下IPv6 域名的智能解析業(yè)務，滿足學校IPv6 權威域名解析及遞歸域名解析需要。IPv6 DNS 在過渡階段能夠支持IPv6 與IPv4 之間的網絡地址與協議轉換，實現IPv4 到IPv6 的平穩(wěn)過渡。

升級方案及實踐

1.校園網IPv6 站群升級

網站及應用系統(tǒng)的IPv6 升級可選擇雙協議棧和七層反向代理兩種實現方式。

雙協議棧技術要求涉及到用戶同業(yè)務交互的站群系統(tǒng)、網絡設備、安全設備、域名解析服務及后臺支撐系統(tǒng)（AAA 和網管）能夠同時運行IPv4 和IPv6 協議，是改造最為徹底的網站IPv6 升級改造技術，如圖2 所示。

反向代理技術是通過服務器代理用戶請求實現互聯網用戶對內部網絡的訪問。反向代理服務器能夠在內網網站及應用系統(tǒng)保持IPv4 環(huán)境不變的基礎上，滿足IPv6 用戶對業(yè)務的訪問需求。

西工大針對站群系統(tǒng)上的門戶及二級網站采用雙協議棧技術進行IPv6 升級改造，對原有B/S 架構（或基于RDP、TELNET、SSH 的C/S 架構）的應用系統(tǒng)通過反向代理實現IPv6 過渡，同時對新建網站及應用系統(tǒng)提出IPv6 協議支持需求。

2.校園網IPv6 安全建設

兩辦行動計劃提出了“兩并舉三同步”原則：“發(fā)展與安全并舉，同步推進網絡安全系統(tǒng)規(guī)劃、建設、運行。”

西工大在開展站群IPv6 升級工作前期就已經完成校園網認證計費系統(tǒng)改造，全面支持IPv6 網絡環(huán)境下用戶的接入身份驗證和計費；完成IPv6 出口改造，將IPv6 教育網鏈路并入出口防火墻做統(tǒng)一防護和行為審計；完成IPv6 DNS 權威解析及云防護，IPv6 DNS 能夠解析外部用戶對內網站群的訪問請求，通過AAAA 記錄將這些請求解析到云防護節(jié)點進行流量清洗，有效阻擊DDoS 攻擊和病毒入侵；完成數據中心站群IPv6 訪問流量獨立路由的部署，在不影響IPv4 業(yè)務訪問的前提下，為IPv6 流量建立了抗DDoS、防火墻及WAF 三層防護體系。

3.校園網IPv6 建設成果

目前，西工大站群系統(tǒng)IPv6 已全面升級， 學校門戶主頁www.nwpu.edu.cn 通過全球IPv6 Forum 的IPv6 Enabled Phase-2 Logo 認證，Logo ID:W2-CN-00000017。完成工信部專項行動通知中對于部屬高校門戶網站IPv6 改造的工作時間要求。IPv6 Enabled Logo 動態(tài)測試報告顯示西工大門戶主頁IPv6 支持情況，參見表1。

表1 西北工業(yè)大學門戶主頁IPv6 支持情況（2019 年11 月5 日）

西工大在本次站群升級中采用雙協議棧技術，除校外云防護以外，實現了校內網絡設備、安全設備、站群系統(tǒng)的整體IPv6 升級，加快了網絡資源從IPv4 到純IPv6 的過渡進程，為后續(xù)已有應用系統(tǒng)改造、新建應用系統(tǒng)，提供了IPv6 基礎承載網絡。