◆廖學(xué)斌 張玉才

高校網(wǎng)絡(luò)IPv6雙棧部署與反向代理應(yīng)用實踐

◆廖學(xué)斌 張玉才

（嘉興學(xué)院 浙江 314001）

下一代互聯(lián)網(wǎng)IPv6是拓展網(wǎng)絡(luò)空間和解決網(wǎng)絡(luò)空間安全問題的重要發(fā)展機遇，高校校園網(wǎng)絡(luò)從純IPv4向純IPv6升級是一場大規(guī)模網(wǎng)絡(luò)工程，運用適合的技術(shù)平滑過渡使IPv4資源與IPv6資源互聯(lián)互通很重要。本文從雙棧技術(shù)和反向代理技術(shù)的部署實踐中，介紹相關(guān)的工具和配置方法，講述如何實現(xiàn)網(wǎng)站資源在IPv6環(huán)境下訪問使用。

校園網(wǎng)；IPv6；雙棧技術(shù)；反向代理

0 引言

新一代互聯(lián)網(wǎng)技術(shù)IPv6在教育系統(tǒng)的應(yīng)用近年來加速展開，各大高校的校園網(wǎng)建設(shè)和管理工作迎來了新機遇與挑戰(zhàn)，以IPv6技術(shù)為代表的下一代互聯(lián)網(wǎng)建設(shè)是大勢所趨。近十年來，我國相關(guān)研究機構(gòu)、高校、廠商及運營商緊跟IPv6技術(shù)發(fā)展，投入技術(shù)和產(chǎn)品研發(fā)，為下一代互聯(lián)網(wǎng)的大規(guī)模實施奠定了較好的基礎(chǔ)。自2017年11月中共中央辦公廳、國務(wù)院辦公廳印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，相繼又出臺了多項政策措施推動IPv6規(guī)模部署和快速發(fā)展。

為貫徹落實行動計劃，教育系統(tǒng)制定目標在2020年底各類門戶網(wǎng)站和重要應(yīng)用業(yè)務(wù)系統(tǒng)完成升級改造，實現(xiàn)IPv6環(huán)境下的訪問使用。本文以某高校校園有線網(wǎng)絡(luò)的IPv4/IPv6雙棧部署和Nginx反向代理技術(shù)應(yīng)用案例為基礎(chǔ)，介紹相關(guān)的技術(shù)和關(guān)鍵問題，提供高校校園網(wǎng)絡(luò)IPv4向IPv6過渡的實踐經(jīng)驗。

1 網(wǎng)絡(luò)與應(yīng)用現(xiàn)狀

目前，本實踐中的校園網(wǎng)絡(luò)環(huán)境為基于QinQ技術(shù)的扁平化大二層結(jié)構(gòu)，與傳統(tǒng)的“核心-匯聚-接入”的三層交換型組網(wǎng)模式相比，網(wǎng)絡(luò)管理更簡單和精細化，該網(wǎng)絡(luò)扁平化改造后已平穩(wěn)運行6年，BRAS設(shè)備采用的是Juniper的MX960。校園網(wǎng)絡(luò)的出口有電信、聯(lián)通、移動和教育網(wǎng)四家ISP，其中教育網(wǎng)CERNET2為教育系統(tǒng)接入純IPv6網(wǎng)絡(luò)提供了最佳入口，截至2019年1月，CERNET已接入IPv6的高校用戶達1795個，用戶超千萬人。

本校園網(wǎng)絡(luò)此前一直提供純IPv4業(yè)務(wù)支持，物理拓撲結(jié)構(gòu)簡單清晰，如圖1所示。為實現(xiàn)網(wǎng)絡(luò)平穩(wěn)升級至純IPv6環(huán)境，經(jīng)過對現(xiàn)有條件和技術(shù)進行分析，本網(wǎng)絡(luò)采用雙棧技術(shù)作為IPv4向IPv6升級的過渡階段，目標是實現(xiàn)校園有線網(wǎng)用戶終端體驗IPv6上網(wǎng)和網(wǎng)站服務(wù)器提供雙棧web訪問服務(wù)。

圖1 校園網(wǎng)絡(luò)物理拓撲結(jié)構(gòu)圖

2 IPv6升級改造關(guān)鍵技術(shù)與反向代理

2.1 三大過渡技術(shù)

自2004年CNGI-CERNET2實驗網(wǎng)開通以來，國內(nèi)教育系統(tǒng)IPv6網(wǎng)絡(luò)的部署實踐從未停歇，為實現(xiàn)兩種網(wǎng)絡(luò)協(xié)議的平穩(wěn)過渡，目前的三大技術(shù)策略為雙棧技術(shù)、隧道技術(shù)、翻譯技術(shù)。

雙棧技術(shù)即雙協(xié)議棧技術(shù)，特點是網(wǎng)絡(luò)環(huán)境中骨干網(wǎng)設(shè)備同時運行IPv4和IPv6兩套協(xié)議，問題是對硬件環(huán)境改造升級任務(wù)較多，成本較大，同時增加了現(xiàn)階段網(wǎng)絡(luò)的復(fù)雜性，但為升級到純IPv6網(wǎng)絡(luò)準備了良好基礎(chǔ)，本實踐中采用此技術(shù)。雙棧方案是引入IPv6并實現(xiàn)其與IPv4共存的最直接、最簡單的方案，成為推動IPv6演進的基礎(chǔ)[1]。隧道技術(shù)特點是以現(xiàn)有的IPv4路由體系來傳遞IPv6數(shù)據(jù)，缺點是不能解決IPv4和IPv6網(wǎng)絡(luò)的互通，該技術(shù)是過渡階段較為常見易用的。翻譯技術(shù)是在通信中間設(shè)備完成IPv4和IPv6網(wǎng)絡(luò)之間分組地址轉(zhuǎn)換和協(xié)議翻譯的統(tǒng)稱，包括有狀態(tài)的翻譯技術(shù)NAT-PT、NAT-64和無狀態(tài)的翻譯技術(shù)IVI等，用戶單位可以采購IVI翻譯器、IPv6云解析服務(wù)等方式實現(xiàn)應(yīng)用的IPv6訪問，但現(xiàn)有網(wǎng)絡(luò)環(huán)境并沒有改造。

2.2 IPv6地址設(shè)計

在校園網(wǎng)絡(luò)進行部署規(guī)劃前，通常需要先對IPv6地址進行設(shè)計。建議從已申請的IPv6地址中分出一段地址專門用于設(shè)備管理和互聯(lián)地址，例如2001:xxx:4801::/48管理地址用2001:xxx:4801:1001::/64，互聯(lián)地址用2001:xxx:4801:FFFF::/64。在劃分IPv6業(yè)務(wù)子網(wǎng)時，采用64位前綴作為網(wǎng)絡(luò)地址，在第49—64位地址為IPv4 VLAN編號，格式為：2001:xxx:4801:1002::1/64，后64位地址為用戶主機編號。

IPv6地址分配方式可分為手工配置和自動配置，自動配置又分為有狀態(tài)地址自動分配（DHCPv6）以及無狀態(tài)地址自動分配。有狀態(tài)地址分配方式和DHCPv4類似，依賴DHCPv6協(xié)議從DHCPv6 Server的地址池中獲取可用的IPv6地址，優(yōu)點是策略可控，便于溯源，缺點是原生安卓系統(tǒng)不支持獲取，若IPv6部署在無線網(wǎng)絡(luò)中，多數(shù)安卓系統(tǒng)的移動終端無法正常獲取地址。無狀態(tài)地址自動配置擺脫了復(fù)雜的DHCPv6協(xié)議，依賴ND（Neighbor Discovery，鄰居發(fā)現(xiàn)）協(xié)議即可完成地址自動配置，支持所有終端，配置簡單，缺點是無法下發(fā)IPv6 DNS且地址變化頻繁，本實踐給客戶端分配的是無狀態(tài)地址。

2.3 IPv6環(huán)境下的反向代理

反向代理（Reverse Proxy）是從目標內(nèi)容服務(wù)器上抓取內(nèi)容返回給請求客戶端的技術(shù)，代理服務(wù)器充當一個中介功能。反向代理技術(shù)在提高服務(wù)器集群訪問速度、保護真實服務(wù)器安全等方面應(yīng)用越來越廣泛，同時也能夠在IPv6環(huán)境下解決服務(wù)器支持雙棧訪問服務(wù)問題發(fā)揮重要作用。如果內(nèi)部網(wǎng)絡(luò)暫時沒有IPv6網(wǎng)絡(luò)，可以把代理服務(wù)器部署在其他支持IPv4與IPv6的網(wǎng)絡(luò)機房，從而實現(xiàn)IPv4與IPv6的同時訪問[2]。主流的反向代理工具有Squid、Nginx、HAProxy等，其中Nginx支持多核、集群、代理插件、熱啟動，通過插件可以充當多角色服務(wù)器，性能較強，雖不支持外部文件正則匹配，但業(yè)務(wù)可塑性很強。

3 部署實施主要過程

3.1 網(wǎng)絡(luò)主干雙棧打通

校園網(wǎng)絡(luò)IPv6部署前首先需明確主干各設(shè)備對IPv6支持情況，在盡量不改變現(xiàn)有網(wǎng)絡(luò)拓撲的原則上對網(wǎng)絡(luò)升級進行設(shè)計，盡量不影響用戶的上網(wǎng)體驗，升級應(yīng)充分考慮可持續(xù)發(fā)展性和可管理性。網(wǎng)絡(luò)主干從內(nèi)到外通常包括核心交換、安全防火墻、鏈路負載均衡等串行設(shè)備，這些設(shè)備對IPv4和IPv6的雙協(xié)議支持很關(guān)鍵。若此前采購的設(shè)備不具一定的先進性，只能更換新設(shè)備或者增加IPv6專用物理鏈路繞過不支持IPv6的串行設(shè)備。本校出口所使用的鏈路負載均衡設(shè)備Radware Linkproof升級系統(tǒng)版本也無法解決IPv6的支持問題，為消除此瓶頸，在考慮經(jīng)濟成本的基礎(chǔ)上，將鏈路負載均衡功能和防火墻功能集合在一個設(shè)備上，采購一臺性能更佳的山石網(wǎng)科防火墻，淘汰Radware設(shè)備和已使用6年的出口防火墻。另外，網(wǎng)絡(luò)核心為Juniper MX960，該設(shè)備的路由轉(zhuǎn)發(fā)性能強大，完全支持IPv6、組播等功能。至此，后續(xù)的IPv6配置工作可以順暢推進了。

3.2 IPv6路由配置

按照規(guī)劃好的IPv6地址分別配置在出口設(shè)備各端口上，配置相應(yīng)的路由，測試路由可達。首先配置好教育網(wǎng)接入交換機上的IPv6路由，然后配置出口防火墻的靜態(tài)路由，如圖2所示。

圖2 出口防火墻IPv6靜態(tài)路由示意圖

3.3 網(wǎng)絡(luò)核心配置

本校扁平化大二層網(wǎng)絡(luò)結(jié)構(gòu)簡化了IPv4/IPv6雙棧部署工作，對于核心BRAS設(shè)備而言，IPv6接入支持IPv4所有接入方式及應(yīng)用，只是獲取地址的協(xié)議發(fā)生了變化，認證、授權(quán)和計費機制基本沒有變化。按照IPv6地址規(guī)劃，可對Juniper MX960上的接口配置和DHCP配置進行預(yù)先文本編輯，再一次性導(dǎo)入運行。MX960上的DHCP配置有2種方式，1種是手工建立各子接口，1種是使用demux動態(tài)建立子接口。配置步驟包括：指定地址池、配置radius服務(wù)器、建立子接口、將子接口和地址池相關(guān)聯(lián)等。其中具體配置地址池范例如下：

set access address-assignment pool ipv6-yuexiu family inet6 prefix 2001:da8:****:1000::/64

set access address-assignment pool ipv6-yuexiu family inet6 range 1 low 2001:da8:****:1000::100/128

set access address-assignment pool ipv6-yuexiu family inet6 range 1 high 2001:da8:****:1000:ffff::fffe/128

set access address-assignment pool ipv6-yuexiu family inet6 dhcp-attributes maximum-lease-time 7200

3.4 Nginx反向代理搭建

校園網(wǎng)絡(luò)的服務(wù)器區(qū)部署著WAF、負載均衡等物理設(shè)備，且實體服務(wù)器和虛擬服務(wù)器上都運行著各類業(yè)務(wù)系統(tǒng)。在選擇IPv6改造方案時，應(yīng)盡力隔離IPv6網(wǎng)絡(luò)和現(xiàn)有IPv4網(wǎng)絡(luò)，避免IPv6網(wǎng)絡(luò)的未知威脅對現(xiàn)有IPv4網(wǎng)絡(luò)造成沖擊[3]。同時為避免業(yè)務(wù)中斷和大幅度調(diào)整設(shè)備配置，目前決定使用反向代理技術(shù)能最快速使業(yè)務(wù)系統(tǒng)支持雙棧訪問，在一定程度上也能夠保護目標服務(wù)器的安全，本次采用Nginx反向代理工具。首先，創(chuàng)建一臺虛擬機，安裝的是Ubuntu 18.04.2 Linux系統(tǒng)，網(wǎng)卡上配置好IPv4和IPv6地址之后，進行重定向配置，如下所示：

DNS解析方面，需要在DNS服務(wù)器上添加相關(guān)IPv6訪問的AAAA記錄，當用戶端在IPv6環(huán)境訪問域名時，自動解析并訪問反向代理服務(wù)器的IPv6地址。值得注意的是，針對一些特殊應(yīng)用，使用非 80 端口，如 8080 等，只需要在反向代理服務(wù)中配置對應(yīng)回源端口，并在服務(wù)器中監(jiān)聽相應(yīng)端口即可實現(xiàn)端口轉(zhuǎn)發(fā)功能。

4 結(jié)語

經(jīng)過以上IPv4/IPv6雙棧技術(shù)和反向代理技術(shù)在校園網(wǎng)絡(luò)的部署實踐，實現(xiàn)了門戶網(wǎng)站通過IPv6環(huán)境對外提供訪問，當然，其他業(yè)務(wù)系統(tǒng)也可以添加實現(xiàn)。在一段時間內(nèi)，我國計算機網(wǎng)絡(luò)將會處于純IPv4網(wǎng)絡(luò)、雙棧網(wǎng)絡(luò)和純IPv6網(wǎng)絡(luò)并存的時期。本改造實踐案例充分利用現(xiàn)有多種改造技術(shù)的優(yōu)點，既能實現(xiàn)預(yù)期改造目標，又能節(jié)省資金成本，為逐步過渡到純IPv6環(huán)境打下良好基礎(chǔ)。相信IPv6的通路問題只是邁向下一代互聯(lián)網(wǎng)時代的第一步，教育系統(tǒng)在IPv6技術(shù)的規(guī)模部署和創(chuàng)新應(yīng)用等方面會做得越來越好，重點互聯(lián)網(wǎng)應(yīng)用的升級將進一步提速。

[1]張亞舟. IPv6遷移部署過程中的技術(shù)策略分析和研究[J].金融科技時代,2019.

[2]吳金堂,耿方方.IPv6環(huán)境下反向代理IPv4網(wǎng)站及安全防護的研究與實現(xiàn)[J].中小企業(yè)管理與科技,2019.

[3]何黎明,梅洪.省級電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)IPv6改造研究[J].江西通信科技,2019.