文/胡燕玲 王康

建設(shè)背景

2017 年，中共中央辦公廳、國(guó)務(wù)院辦公廳發(fā)布《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》（簡(jiǎn)稱“兩辦行動(dòng)計(jì)劃”），實(shí)現(xiàn)互聯(lián)網(wǎng)向IPv6 演進(jìn)升級(jí)，用5 到10 年構(gòu)建高速、移動(dòng)、安全、泛在的新一代信息基礎(chǔ)設(shè)施，促進(jìn)互聯(lián)網(wǎng)與經(jīng)濟(jì)社會(huì)深度融合，構(gòu)筑未來(lái)發(fā)展新優(yōu)勢(shì)，為網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。

2018 年4 月，工信部發(fā)布關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知。

2019 年4 月，工信部發(fā)布《工業(yè)與信息化部關(guān)于開展2019 年IPv6 網(wǎng)絡(luò)就緒專項(xiàng)行動(dòng)的通知》（簡(jiǎn)稱“工信部專項(xiàng)行動(dòng)”），要求部屬各高校于2019 年完成門戶網(wǎng)站IPv6 改造，新建網(wǎng)站及外部系統(tǒng)應(yīng)全面支持IPv6 訪問(wèn)。

在此背景下，西北工業(yè)大學(xué)（簡(jiǎn)稱“西工大”）全面開展校園網(wǎng)IPv6 升級(jí)部署工作。

建設(shè)現(xiàn)狀及規(guī)劃

西工大校園網(wǎng)在建設(shè)初期就充分考慮了IPv6 接入需求，校園網(wǎng)出口擁有教育網(wǎng)CERNET2 10G 的IPv6 接入鏈路，使用帶寬3Gbps，以及電信 20G 的IPv4/IPv6雙棧接入鏈路，使用帶寬15Gbps。校園有線網(wǎng)絡(luò)支持IPv4/IPv6 雙棧協(xié)議。校內(nèi)師生使用校園網(wǎng)時(shí)能夠同時(shí)獲取IPv4 和IPv6 地址。

圖1 下一代互聯(lián)網(wǎng)國(guó)家工程中心IPv6 DNS 部署

實(shí)現(xiàn)用戶端和校內(nèi)資源向IPv6 全面升級(jí)是必然趨勢(shì)，但需要經(jīng)歷一個(gè)較長(zhǎng)的過(guò)渡階段。兩辦行動(dòng)計(jì)劃中著重強(qiáng)調(diào)門戶網(wǎng)站需要支持IPv6，但從學(xué)校目前網(wǎng)站及應(yīng)用系統(tǒng)的現(xiàn)狀而言，仍需要花費(fèi)大量的精力。不同應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)、Web 中間件、CMS 要全面支持IPv6,可能涉及到軟硬件及代碼中IPv6 地址函數(shù)的改動(dòng)，存在一定的改造難度和未知的安全隱患。因此，西工大計(jì)劃先通過(guò)雙棧技術(shù)及地址翻譯設(shè)備實(shí)現(xiàn)網(wǎng)站和應(yīng)用系統(tǒng)的IPv6 過(guò)渡，加快落實(shí)工信部文件的重點(diǎn)目標(biāo)要求，逐步推進(jìn)完成以下工作：完善網(wǎng)絡(luò)基礎(chǔ)設(shè)施IPv6 能力，為全面對(duì)接IPv6 互聯(lián)網(wǎng)做好支撐；著力推廣IPv6 家用路由器使用，增強(qiáng)校內(nèi)用戶IPv6 訪問(wèn)活力；加快推進(jìn)校內(nèi)網(wǎng)站及業(yè)務(wù)系統(tǒng)向IPv6 升級(jí)，不斷提升IPv6 應(yīng)用生態(tài)容量；完善IPv6 網(wǎng)絡(luò)安全管理制度體系，涵蓋IPv6 防護(hù)技術(shù)和管理相關(guān)要求。

地址申請(qǐng)和管理

西工大在目前出口做NAT 內(nèi)外網(wǎng)地址轉(zhuǎn)換的基礎(chǔ)上，擁有教育網(wǎng)三段/48 IPv6 地址，積極向教育網(wǎng)和運(yùn)營(yíng)商申請(qǐng)IPv6 地址，為后期全面建設(shè)并推廣IPv6獲取充足的地址資源。

1.教育網(wǎng)IPv6 地址

西 工 大 已 于2019 年6 月28 日 成功申請(qǐng)到教育網(wǎng)新一段/32 IPv6 地址240C:C283::/32。未來(lái)可滿足校園網(wǎng)、業(yè)務(wù)專網(wǎng)、物聯(lián)網(wǎng)建設(shè)過(guò)程中對(duì)獨(dú)立子網(wǎng)的需求。

2.基礎(chǔ)運(yùn)營(yíng)商IPv6 地址

西工大已于2019 年5 月6 日成功申請(qǐng)到電信新/48 的IPv6 地址240E:0658:0A21::/48和240E:0658:0A22::/48。

3.IPv6 地址管理

圖2 雙協(xié)議棧技術(shù)

西工大校園網(wǎng)針對(duì)IPv6 計(jì)劃采用有狀態(tài)地址自動(dòng)配置機(jī)制，使用DHCPv6 為用戶主機(jī)和服務(wù)器開通并分配IPv6 地址、IPv6 前綴、DNS 服務(wù)器等網(wǎng)絡(luò)配置參數(shù)，解決常見(jiàn)的IP 地址沖突問(wèn)題，實(shí)現(xiàn)IPv6地址的生命周期管理，滿足用戶行為審計(jì)和安全管理需求。

DNS 部署

1.下一代互聯(lián)網(wǎng)國(guó)家工程中心IPv6 DNS 部署

為響應(yīng)國(guó)家下一代互聯(lián)網(wǎng)發(fā)展計(jì)劃相關(guān)文件，西工大同下一代互聯(lián)網(wǎng)國(guó)家工程中心積極推進(jìn)教育網(wǎng)“一省一根”工作。

“根服務(wù)器”是全球互聯(lián)網(wǎng)控制中樞，是互聯(lián)網(wǎng)重要的戰(zhàn)略資源，支持著全球互聯(lián)網(wǎng)的信息查詢和訪問(wèn)，是互聯(lián)網(wǎng)最關(guān)鍵的信息資源庫(kù)。國(guó)家發(fā)改委于2016 年6月將IPv6 根服務(wù)器列入國(guó)家“互聯(lián)網(wǎng)+”產(chǎn)業(yè)重大支撐項(xiàng)目。西工大于2018 年11月同下一代互聯(lián)網(wǎng)國(guó)家工程中心完成IPv6遞歸DNS部署，并在校園網(wǎng)內(nèi)部測(cè)試運(yùn)行。目前，正在積極推動(dòng)教育行業(yè)IPv6 根鏡像服務(wù)器的部署，計(jì)劃為陜西地區(qū)教育網(wǎng)內(nèi)部用戶提供穩(wěn)定高效的IPv6 DNS服務(wù)，如圖1 所示。

2.校內(nèi)IPv6 DNS 部署

由于互聯(lián)網(wǎng)用戶訪問(wèn)DNS 服務(wù)必須依賴全球DNS 系統(tǒng)，因此需要基礎(chǔ)電信企業(yè)及各應(yīng)用提供單位加快部署解析服務(wù)器和授權(quán)服務(wù)器。

西工大于2019 年5 月部署完成獨(dú)立的IPv6 DNS，支持AAAA 記錄、A6 記錄和純IPv6 的DNS 請(qǐng)求，提供多出口狀態(tài)下IPv6 域名的智能解析業(yè)務(wù)，滿足學(xué)校IPv6 權(quán)威域名解析及遞歸域名解析需要。IPv6 DNS 在過(guò)渡階段能夠支持IPv6 與IPv4 之間的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)IPv4 到IPv6 的平穩(wěn)過(guò)渡。

升級(jí)方案及實(shí)踐

1.校園網(wǎng)IPv6 站群升級(jí)

網(wǎng)站及應(yīng)用系統(tǒng)的IPv6 升級(jí)可選擇雙協(xié)議棧和七層反向代理兩種實(shí)現(xiàn)方式。

雙協(xié)議棧技術(shù)要求涉及到用戶同業(yè)務(wù)交互的站群系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、域名解析服務(wù)及后臺(tái)支撐系統(tǒng)（AAA 和網(wǎng)管）能夠同時(shí)運(yùn)行IPv4 和IPv6 協(xié)議，是改造最為徹底的網(wǎng)站IPv6 升級(jí)改造技術(shù)，如圖2 所示。

反向代理技術(shù)是通過(guò)服務(wù)器代理用戶請(qǐng)求實(shí)現(xiàn)互聯(lián)網(wǎng)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。反向代理服務(wù)器能夠在內(nèi)網(wǎng)網(wǎng)站及應(yīng)用系統(tǒng)保持IPv4 環(huán)境不變的基礎(chǔ)上，滿足IPv6 用戶對(duì)業(yè)務(wù)的訪問(wèn)需求。

西工大針對(duì)站群系統(tǒng)上的門戶及二級(jí)網(wǎng)站采用雙協(xié)議棧技術(shù)進(jìn)行IPv6 升級(jí)改造，對(duì)原有B/S 架構(gòu)（或基于RDP、TELNET、SSH 的C/S 架構(gòu)）的應(yīng)用系統(tǒng)通過(guò)反向代理實(shí)現(xiàn)IPv6 過(guò)渡，同時(shí)對(duì)新建網(wǎng)站及應(yīng)用系統(tǒng)提出IPv6 協(xié)議支持需求。

2.校園網(wǎng)IPv6 安全建設(shè)

兩辦行動(dòng)計(jì)劃提出了“兩并舉三同步”原則：“發(fā)展與安全并舉，同步推進(jìn)網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行?！?/p>

西工大在開展站群IPv6 升級(jí)工作前期就已經(jīng)完成校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)改造，全面支持IPv6 網(wǎng)絡(luò)環(huán)境下用戶的接入身份驗(yàn)證和計(jì)費(fèi)；完成IPv6 出口改造，將IPv6 教育網(wǎng)鏈路并入出口防火墻做統(tǒng)一防護(hù)和行為審計(jì)；完成IPv6 DNS 權(quán)威解析及云防護(hù)，IPv6 DNS 能夠解析外部用戶對(duì)內(nèi)網(wǎng)站群的訪問(wèn)請(qǐng)求，通過(guò)AAAA 記錄將這些請(qǐng)求解析到云防護(hù)節(jié)點(diǎn)進(jìn)行流量清洗，有效阻擊DDoS 攻擊和病毒入侵；完成數(shù)據(jù)中心站群IPv6 訪問(wèn)流量獨(dú)立路由的部署，在不影響IPv4 業(yè)務(wù)訪問(wèn)的前提下，為IPv6 流量建立了抗DDoS、防火墻及WAF 三層防護(hù)體系。

3.校園網(wǎng)IPv6 建設(shè)成果

目前，西工大站群系統(tǒng)IPv6 已全面升級(jí)， 學(xué)校門戶主頁(yè)www.nwpu.edu.cn 通過(guò)全球IPv6 Forum 的IPv6 Enabled Phase-2 Logo 認(rèn)證，Logo ID:W2-CN-00000017。完成工信部專項(xiàng)行動(dòng)通知中對(duì)于部屬高校門戶網(wǎng)站IPv6 改造的工作時(shí)間要求。IPv6 Enabled Logo 動(dòng)態(tài)測(cè)試報(bào)告顯示西工大門戶主頁(yè)IPv6 支持情況，參見(jiàn)表1。

表1 西北工業(yè)大學(xué)門戶主頁(yè)IPv6 支持情況（2019 年11 月5 日）

西工大在本次站群升級(jí)中采用雙協(xié)議棧技術(shù)，除校外云防護(hù)以外，實(shí)現(xiàn)了校內(nèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、站群系統(tǒng)的整體IPv6 升級(jí)，加快了網(wǎng)絡(luò)資源從IPv4 到純IPv6 的過(guò)渡進(jìn)程，為后續(xù)已有應(yīng)用系統(tǒng)改造、新建應(yīng)用系統(tǒng)，提供了IPv6 基礎(chǔ)承載網(wǎng)絡(luò)。