高校網絡IPv6雙棧部署與反向代理應用實踐

◆廖學斌 張玉才

高校網絡IPv6雙棧部署與反向代理應用實踐

◆廖學斌 張玉才

（嘉興學院 浙江 314001）

下一代互聯網IPv6是拓展網絡空間和解決網絡空間安全問題的重要發展機遇，高校校園網絡從純IPv4向純IPv6升級是一場大規模網絡工程，運用適合的技術平滑過渡使IPv4資源與IPv6資源互聯互通很重要。本文從雙棧技術和反向代理技術的部署實踐中，介紹相關的工具和配置方法，講述如何實現網站資源在IPv6環境下訪問使用。

校園網；IPv6；雙棧技術；反向代理

0 引言

新一代互聯網技術IPv6在教育系統的應用近年來加速展開，各大高校的校園網建設和管理工作迎來了新機遇與挑戰，以IPv6技術為代表的下一代互聯網建設是大勢所趨。近十年來，我國相關研究機構、高校、廠商及運營商緊跟IPv6技術發展，投入技術和產品研發，為下一代互聯網的大規模實施奠定了較好的基礎。自2017年11月中共中央辦公廳、國務院辦公廳印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》，相繼又出臺了多項政策措施推動IPv6規模部署和快速發展。

為貫徹落實行動計劃，教育系統制定目標在2020年底各類門戶網站和重要應用業務系統完成升級改造，實現IPv6環境下的訪問使用。本文以某高校校園有線網絡的IPv4/IPv6雙棧部署和Nginx反向代理技術應用案例為基礎，介紹相關的技術和關鍵問題，提供高校校園網絡IPv4向IPv6過渡的實踐經驗。

1 網絡與應用現狀

目前，本實踐中的校園網絡環境為基于QinQ技術的扁平化大二層結構，與傳統的“核心-匯聚-接入”的三層交換型組網模式相比，網絡管理更簡單和精細化，該網絡扁平化改造后已平穩運行6年，BRAS設備采用的是Juniper的MX960。校園網絡的出口有電信、聯通、移動和教育網四家ISP，其中教育網CERNET2為教育系統接入純IPv6網絡提供了最佳入口，截至2019年1月，CERNET已接入IPv6的高校用戶達1795個，用戶超千萬人。

本校園網絡此前一直提供純IPv4業務支持，物理拓撲結構簡單清晰，如圖1所示。為實現網絡平穩升級至純IPv6環境，經過對現有條件和技術進行分析，本網絡采用雙棧技術作為IPv4向IPv6升級的過渡階段，目標是實現校園有線網用戶終端體驗IPv6上網和網站服務器提供雙棧web訪問服務。

圖1 校園網絡物理拓撲結構圖

2 IPv6升級改造關鍵技術與反向代理

2.1 三大過渡技術

自2004年CNGI-CERNET2實驗網開通以來，國內教育系統IPv6網絡的部署實踐從未停歇，為實現兩種網絡協議的平穩過渡，目前的三大技術策略為雙棧技術、隧道技術、翻譯技術。

雙棧技術即雙協議棧技術，特點是網絡環境中骨干網設備同時運行IPv4和IPv6兩套協議，問題是對硬件環境改造升級任務較多，成本較大，同時增加了現階段網絡的復雜性，但為升級到純IPv6網絡準備了良好基礎，本實踐中采用此技術。雙棧方案是引入IPv6并實現其與IPv4共存的最直接、最簡單的方案，成為推動IPv6演進的基礎[1]。隧道技術特點是以現有的IPv4路由體系來傳遞IPv6數據，缺點是不能解決IPv4和IPv6網絡的互通，該技術是過渡階段較為常見易用的。翻譯技術是在通信中間設備完成IPv4和IPv6網絡之間分組地址轉換和協議翻譯的統稱，包括有狀態的翻譯技術NAT-PT、NAT-64和無狀態的翻譯技術IVI等，用戶單位可以采購IVI翻譯器、IPv6云解析服務等方式實現應用的IPv6訪問，但現有網絡環境并沒有改造。

2.2 IPv6地址設計

在校園網絡進行部署規劃前，通常需要先對IPv6地址進行設計。建議從已申請的IPv6地址中分出一段地址專門用于設備管理和互聯地址，例如2001:xxx:4801::/48管理地址用2001:xxx:4801:1001::/64，互聯地址用2001:xxx:4801:FFFF::/64。在劃分IPv6業務子網時，采用64位前綴作為網絡地址，在第49—64位地址為IPv4 VLAN編號，格式為：2001:xxx:4801:1002::1/64，后64位地址為用戶主機編號。

IPv6地址分配方式可分為手工配置和自動配置，自動配置又分為有狀態地址自動分配（DHCPv6）以及無狀態地址自動分配。有狀態地址分配方式和DHCPv4類似，依賴DHCPv6協議從DHCPv6 Server的地址池中獲取可用的IPv6地址，優點是策略可控，便于溯源，缺點是原生安卓系統不支持獲取，若IPv6部署在無線網絡中，多數安卓系統的移動終端無法正常獲取地址。無狀態地址自動配置擺脫了復雜的DHCPv6協議，依賴ND（Neighbor Discovery，鄰居發現）協議即可完成地址自動配置，支持所有終端，配置簡單，缺點是無法下發IPv6 DNS且地址變化頻繁，本實踐給客戶端分配的是無狀態地址。

2.3 IPv6環境下的反向代理

反向代理（Reverse Proxy）是從目標內容服務器上抓取內容返回給請求客戶端的技術，代理服務器充當一個中介功能。反向代理技術在提高服務器集群訪問速度、保護真實服務器安全等方面應用越來越廣泛，同時也能夠在IPv6環境下解決服務器支持雙棧訪問服務問題發揮重要作用。如果內部網絡暫時沒有IPv6網絡，可以把代理服務器部署在其他支持IPv4與IPv6的網絡機房，從而實現IPv4與IPv6的同時訪問[2]。主流的反向代理工具有Squid、Nginx、HAProxy等，其中Nginx支持多核、集群、代理插件、熱啟動，通過插件可以充當多角色服務器，性能較強，雖不支持外部文件正則匹配，但業務可塑性很強。

3 部署實施主要過程

3.1 網絡主干雙棧打通

校園網絡IPv6部署前首先需明確主干各設備對IPv6支持情況，在盡量不改變現有網絡拓撲的原則上對網絡升級進行設計，盡量不影響用戶的上網體驗，升級應充分考慮可持續發展性和可管理性。網絡主干從內到外通常包括核心交換、安全防火墻、鏈路負載均衡等串行設備，這些設備對IPv4和IPv6的雙協議支持很關鍵。若此前采購的設備不具一定的先進性，只能更換新設備或者增加IPv6專用物理鏈路繞過不支持IPv6的串行設備。本校出口所使用的鏈路負載均衡設備Radware Linkproof升級系統版本也無法解決IPv6的支持問題，為消除此瓶頸，在考慮經濟成本的基礎上，將鏈路負載均衡功能和防火墻功能集合在一個設備上，采購一臺性能更佳的山石網科防火墻，淘汰Radware設備和已使用6年的出口防火墻。另外，網絡核心為Juniper MX960，該設備的路由轉發性能強大，完全支持IPv6、組播等功能。至此，后續的IPv6配置工作可以順暢推進了。

3.2 IPv6路由配置

按照規劃好的IPv6地址分別配置在出口設備各端口上，配置相應的路由，測試路由可達。首先配置好教育網接入交換機上的IPv6路由，然后配置出口防火墻的靜態路由，如圖2所示。

圖2 出口防火墻IPv6靜態路由示意圖

3.3 網絡核心配置

本校扁平化大二層網絡結構簡化了IPv4/IPv6雙棧部署工作，對于核心BRAS設備而言，IPv6接入支持IPv4所有接入方式及應用，只是獲取地址的協議發生了變化，認證、授權和計費機制基本沒有變化。按照IPv6地址規劃，可對Juniper MX960上的接口配置和DHCP配置進行預先文本編輯，再一次性導入運行。MX960上的DHCP配置有2種方式，1種是手工建立各子接口，1種是使用demux動態建立子接口。配置步驟包括：指定地址池、配置radius服務器、建立子接口、將子接口和地址池相關聯等。其中具體配置地址池范例如下：

set access address-assignment pool ipv6-yuexiu family inet6 prefix 2001:da8:****:1000::/64

set access address-assignment pool ipv6-yuexiu family inet6 range 1 low 2001:da8:****:1000::100/128

set access address-assignment pool ipv6-yuexiu family inet6 range 1 high 2001:da8:****:1000:ffff::fffe/128

set access address-assignment pool ipv6-yuexiu family inet6 dhcp-attributes maximum-lease-time 7200

3.4 Nginx反向代理搭建

校園網絡的服務器區部署著WAF、負載均衡等物理設備，且實體服務器和虛擬服務器上都運行著各類業務系統。在選擇IPv6改造方案時，應盡力隔離IPv6網絡和現有IPv4網絡，避免IPv6網絡的未知威脅對現有IPv4網絡造成沖擊[3]。同時為避免業務中斷和大幅度調整設備配置，目前決定使用反向代理技術能最快速使業務系統支持雙棧訪問，在一定程度上也能夠保護目標服務器的安全，本次采用Nginx反向代理工具。首先，創建一臺虛擬機，安裝的是Ubuntu 18.04.2 Linux系統，網卡上配置好IPv4和IPv6地址之后，進行重定向配置，如下所示：

DNS解析方面，需要在DNS服務器上添加相關IPv6訪問的AAAA記錄，當用戶端在IPv6環境訪問域名時，自動解析并訪問反向代理服務器的IPv6地址。值得注意的是，針對一些特殊應用，使用非 80 端口，如 8080 等，只需要在反向代理服務中配置對應回源端口，并在服務器中監聽相應端口即可實現端口轉發功能。

4 結語

經過以上IPv4/IPv6雙棧技術和反向代理技術在校園網絡的部署實踐，實現了門戶網站通過IPv6環境對外提供訪問，當然，其他業務系統也可以添加實現。在一段時間內，我國計算機網絡將會處于純IPv4網絡、雙棧網絡和純IPv6網絡并存的時期。本改造實踐案例充分利用現有多種改造技術的優點，既能實現預期改造目標，又能節省資金成本，為逐步過渡到純IPv6環境打下良好基礎。相信IPv6的通路問題只是邁向下一代互聯網時代的第一步，教育系統在IPv6技術的規模部署和創新應用等方面會做得越來越好，重點互聯網應用的升級將進一步提速。

[1]張亞舟. IPv6遷移部署過程中的技術策略分析和研究[J].金融科技時代,2019.

[2]吳金堂,耿方方.IPv6環境下反向代理IPv4網站及安全防護的研究與實現[J].中小企業管理與科技,2019.

[3]何黎明,梅洪.省級電子政務外網互聯網區IPv6改造研究[J].江西通信科技,2019.