縣區教育城域網IPv6 規模部署實踐

文 / 劉東波

教育城域網發展現狀

近年來，各級教育城域網的高速發展為教育信息化應用提供了堅實的基礎保障。縣（市區）級教育城域網作為我國教育科研網基礎設施的重要組成部分，以其規模適中、受眾面大，縱向可上聯至CERNET 主干網及省市各級教育業務主管部門，下接各級各類學校，橫向可溝通本區域教育系統內各學校，面向各級各類教育部門、學校和社會公眾提供便捷的管理和應用服務，越來越得到廣泛關注。

然而，各縣（市區）教育城域網在發展中存在下述問題：第一，IPv4 地址資源問題，無法滿足日益增長的網絡和業務應用需求；第二，網絡資產管理雜亂，負載大，造成網絡運行緩慢，導致用戶體驗差；第三，經費投入不足，使區縣教育網絡的安全管理無保障；第四，由于地址資源匱乏，作為底層網絡部署只能采用多級NAT（網絡地址轉換）方式，為終端配置私有地址，造成了很多設備處于透明狀態，無法進行有效的安全管理和維護；第五，技術人員缺乏，管理難度大。

2020 年，受新冠肺炎疫情影響，億萬學生開啟居家學習模式，我國教育信息化經受了一場史無前例的大考驗，讓我們看到了“互聯網+教育”的活力，在線教育一度成為廣大師生、家長及社會關注的熱點。但突如其來的網絡壓力，也讓我們感受到了教育城域網面臨升級換代的緊迫需要。特別是在當前“雙減”政策下，如何利用信息化手段實現“減負增效”，保障專遞課堂、視頻會議、名校網絡課堂直播、網絡閱卷、資源點播與下載順暢，如何確保教育云平臺在高峰期并發運行穩定，都是各級教育城域網亟待解決的問題。

同時，日益嚴峻的網絡安全威脅，不僅會導致斷網崩潰，更會因為木馬病毒、勒索軟件等威脅造成數據丟失和師生個人隱私泄露等現象的發生，也對區縣城域網安全升級提出了更高的要求。

IPv6 規模部署背景及發展歷程

5G 技術、移動互聯、物聯網的發展使得教育城域網接入的設備越來越多，網絡的地址需求正在呈指數級增長。據相關機構預測，2025 年，物聯網的連接數將超過270 億。發展IPv6 的主要目的是解決IPv4 地址耗盡的問題，同時，由于IPv6 的設計更加高效、安全、可擴展，使IPv6 成為未來網絡發展的大趨勢。近年來，隨著國家多項政策的落地，IPv6 規模部署有了長足發展。

綜觀部署IPv6的歷史經驗，總體來看，從IPv4 向IPv6 升級改造的過程有以下三個階段。

第一階段：純IPv4 網絡。

第二階段：IPv4 向IPv6 過渡階段，提供IPv4/IPv6雙棧接入、認證和管理服務。技術實現方式為：

1.雙棧。雙棧方法是IPv4 和IPv6 的協議棧在網絡設備上的共存共生。包括各類路由器和其他基礎設備、應用服務器、終端用戶設備等在內的所有硬件設施均需支持同時接入兩種協議網絡層的技術。這些設備需要同時配置IPv4 和IPv6 兩種協議地址，或通過管理員授權對應不同協議。

2.隧道。主要包括在IPv6 上的IPv4和在IPv4 上的IPv6 兩種模式。有手工配置或自動配置兩種方式，手工配置隧道是預先定義的，一旦配置完成，不會隨意改動；而自動配置隧道（也被稱為“軟線隧道”）的建立和拆除則是動態進行的。

3.轉換。通過IPv6 與IPv4 的網絡地址與協議轉換（將IP 報文在IPv4 和IPv6之間進行轉化），實現雙棧網絡的互聯互通。起初可以IPv4 網絡為主，加掛“IPv4轉IPv6”翻譯設備，保障IPv6 的正常訪問；隨著IPv6 網絡逐漸成為主流，可以安裝支持IVI 技術的IPv6 與IPv4 協議轉換設備，實現兩種IP 協議之間的互聯互通。

第三階段：純IPv6 網絡。

區域教育城域網IPv6 部署策略

由于基礎教育城域網涵蓋的范圍更廣，網絡設備、終端更復雜，應用更多樣，因此在充分借鑒高校及外地經驗的基礎上，還要針對本地實際，因地制宜、科學規劃、借助推進IPv6 規模部署的契機，促進網絡提檔升級，構建高速、快捷、覆蓋面廣、智能化的新一代教育城域網，加快技術的融合應用。下文以山東省鄒城市教育城域網為例，對以區域為單位進行IPv6 規模化部署，促進區域教育城域網提檔升級的可行性與現實意義進行探索。

基本情況

鄒城市教育城域網組建于2003 年，采用裸光纖直連方式，上聯濟寧教育信息中心，至下覆蓋全市中小學，形成市、縣、校三級教育網主干傳輸網絡。歷經多次升級改造，為廣大師生開展信息化教學研究提供了較好的網絡服務。然而，隨著5G、大數據、物聯網等技術的普及，智慧教育發展對網絡提出了更高的需求，鄒城市教育城域網也面臨著IPv4 地址不足、網絡運行速度慢、缺乏整體運維、系統設備安全風險大等問題。

根據上級有關要求，確定了在原有教育城域網IPv4 的基礎上部署IPv6 的升級改造方案（如圖1 所示），實現雙棧接入，部署范圍向下輻射到各鎮街及所屬學校，同時做好IPv6 地址規劃及其他配套應用，如DNSv6、DHCPv6 等。

建設目標

通過對現有網絡進行IPv6 升級改造，實現IPv4 與IPv6 雙棧運行，逐步推動IPv6單棧演進過渡。進一步建立完善標準統一、運行規范的鄒城市教育城域網，實現“泛在智能、安全穩定、可管可控、極簡運維”的總體目標，為促進教育優質均衡發展提供支撐。升級改造內容包括以下五方面。

1.基礎網絡擴容升級。實現主干網絡萬兆接入，支撐教育資源共建共享，能夠在保證IPv4 終端仍然和以前一樣接入網絡的同時，為整個教育城域網提供靈活的IPv6 網絡接入方式，實現用戶無感知過渡。

2.以應用為先導，提升數字化應用水平。針對三個課堂、視頻會議、網絡閱卷、資源點播、教育云平臺應用特點，實現業務策略調度的智能閉環管理。

3.完善身份認證體系建設，實現精準管控。支持根據師生角色的不同制定靈活的策略，構建城域網綠色上網環境。與山東省統一身份認證體系貫通，將網絡和用戶身份數據統一標識，實現互聯互通。

4.實現網絡運維可視化，方便實時掌握網絡運營狀況。信息中心能夠及時掌握核心網絡、出口、資源使用、業務系統運行、無線網絡的軟硬件資源健康狀況，實現統一綜合管理。保障城域網出口設備的安全，能夠及時跟蹤修補系統漏洞，有效防御攻擊行為，防止病毒、木馬的互相傳播。

5.強化人才培養。通過對各學校網絡技術人員進行IPv6 技術培訓（包括IPv6 網絡基礎、IPv6 網絡故障排查、IPv6路由協議、IPv6 網絡安全等）提升整體網絡運維管理能力。

遵循原則

1.因地制宜。在不影響現有網絡運行的前提下，制定切實可行的實施方案，讓IPv6 部署可操作、可演進，無論是雙棧架構部署，還是最終過渡到純IPv6，均確保平穩推進，盡量對用戶無感知。

2.設計科學。充分考慮可持續發展和可管可控，為教育城域網未來承載各類多元化業務系統提供基礎保障。

3.堅持節約和設備利舊。對能夠支持IPv6 部署的設備，原則上繼續使用。

部署設計

以鄒城市教育城域網核心設備S10510與濟寧市核心設備S12508 運行OSPFv3 路由協議，宣告直連、靜態及默認路由，下聯市（縣）直及鄉鎮中小學和教育機構，通過靜態路由下發IPv6 地址段到各單位，各單位IPv6 默認路由指向上聯市（縣）核心設備，同時部署相應的網絡安全防控設備（見圖2）。

圖2 網絡安全升級部署拓撲

IP 地址規劃

為保證互通互聯和管理，網絡地址的分配需要按照省、地市、縣的網絡規劃進行。由此，IP 地址分配按照教育城域網省、地市、區縣（市）的管理層級進行規劃分配，以便于統一管理和路由調度。

1.管理地址段規劃

管理地址可用于對城域網設備的管理，同時也可作為網絡設備的標識。為了便于管理，對管理地址進行統一規劃。鄒城市教育城域網管理地址段統一采用XXXX:XXXX:XXXX:XXXX::/52 前綴的地址塊，可以按照以下分配原則將管理地址段進一步劃分給轄內各學校：例如，/52 前綴后的4 位用于標識鄉鎮，接下來的4 位用于標識每個學校，如圖3 所示。實施過程中也可以根據實際需要對子網的劃分進行調整。此外，根據RFC 6164 要求，原則上每一對點對點互聯，獨立采用/127 前綴地址。

圖3 管理地址段分配示意

2.業務地址規劃

業務地址基本規劃規則是盡量保證為每個學校分配1 個/48 前綴的IPv6 地址塊（如：XXXX:XXXX:XXXX::/48，根據規劃具體分配到的IPv6 網絡地址加以確定）作為業務地址段。例如，從上級分配單位得到前綴為/40 的地址塊，可利用上文中設備的規劃編碼方法對前綴后的8 位進行劃分，每個學校可分配獲得一塊/48 大小的地址，如圖4 所示。學校則根據校內實際不同網絡功能區域（如有線區域、無線區域、教學區域等）再進一步劃分，以滿足不同網絡功能區域使用需要。

圖4 業務地址段分配示意

3.核心設備出口配置

在市教育信息中心配置專業EMNDHCP 設備，為市（縣）下屬學校終端統一下發IPv6 地址及相關網絡配置參數，實現集中管理與維護。針對不同終端類型，考慮到服務器業務系統長期對外開放業務需保持穩定的要求，采取靜態分配IPv6地址方法，手工配置。

學校端設備配置靜態路由指向核心設備，配置DHCPv6 服務器或配置終端無狀態獲取地址，方便師生用PC 終端或移動終端使用。此方式需要在各學校三層網關交換機上啟用DHCPv6 Relay 功能，以便實現DHCPv6 Client 與DHCPv6 Server 之間的報文中繼（如圖5 所示）。

圖5 DHCP 設備部署框架設計

通過DHCPv6 添加IPv6 地址池，來保障電腦正常獲取IPv6 地址。

4.網絡安全防護

IPv6 規模部署雖然能夠降低部分網絡風險，但依然會面臨來自多方面的攻擊，所以在保證原網絡安全策略不變的基礎上，必須同時解決網絡層、應用層針對IPv6 的攻擊防護問題。一是改進防火墻的策略，對IPv4 延續原有防御規則，增加對非法的IPv6 入站報文過濾，利用防火墻進行互聯網出口防御，在防火墻上終結ISATAP（站內自動隧道尋址協議），對隧道內址進行過濾，避免非法地址訪問IPv6 網絡。二是部署IP 地址識別系統的安全控制，如SIEM（安全信息與事件管理），威脅情報（TI）和脆弱性管理系統/掃描器。三是改進入侵檢測系統的配置，加強用戶身份認證和權限驗證。四是建立主動的網絡安全防范體系，做好安全審計、控制，確保網絡信息安全。五是制定完善的IPv6安全規則制度，普及IPv6 網絡安全知識，定期進行安全培訓或宣傳，提高人員的安全意識。從過程、源頭以及機制上保證網絡信息的安全（如圖6 所示）。

圖6 網絡安全防護部署拓撲

5.綜合測試

IPv6 連通性測試。網絡配置完成后，可通過運行ping -6 www.edu.cn 和tracert-6 www.edu.cn 測試網絡連通是否正常。

Web 應用服務測試。例如，查看北郵IPv6 高清視頻、世界數字圖書館https://www.wdl.org/zh/等測試是否正常。

安全測試。可以使用網絡安全態勢感知系統或賽爾綠盟安全云平臺等第三方技術支撐來進行安全風險探測。一旦發現存在安全風險，及時進行處置。定期對教育網絡運行情況進行綜合評估，以便整體掌握風險狀態及安全趨勢。

存在問題及反思

1.做好摸底調研，確定設備的支持性和適用性。

由于基礎教育城域網規模大、覆蓋廣、設備雜等原因，必須做好前期摸底調研，理清各學校網絡信息資產，確定設備可用性，對不支持IPv6 的設備要及時進行固件升級或更換設備，方便做好設備利舊和更新方案，節約成本。

2.采用合理方式解決因地址空間過大造成的地址溯源難度增大問題。

IPv6 地址分配的兩種常用方式各有利弊，無狀態地址分配使用ND 協議（RFC2461），優點是能夠高效進行海量地址分配；缺點是網絡側不管理IPv6 地址的狀態，隨機分配的地址變化頻繁，用戶除了獲取一個相對固定的IPv6 地址外，還會獲得多個臨時地址，管理和溯源難度大。有狀態地址分配方式使用DHCPv6 協議，優點是能夠有效解決溯源和管理問題；缺點是對部分終端、設備支持不夠。因此，建議采用有狀態地址分配方式，通過DHCPv6 設備記錄IPv6 地址分配時的客戶端唯一標識符DUID，確保能夠準確識別IPv6 地址和人員、設備的對應關系。假如使用無狀態分配方式，則需要相應的日志系統來保證溯源。

3.做好教育城域網與互聯網的協議（AS）對接。

通常情況下，申請教育網的IPv6地址，內部部署完畢后，還需要通過省級通訊管理部門備案，與運營商的互聯網打通，彼此互認地址，保證用戶訪問的高效便捷。對于一般的縣區級教育城域網，只需與上級教育主干網對接即可，如果是獨立的教育城域網，則需要走相關業務管理流程實現對接。

4.逐步推進智慧校園物聯網終端的IPv6 配置。

對于耗費帶寬資源比較大的應用系統，如“三個課堂”、高考指揮管理系統、校園安全監控系統等，則可采取劃分VPN 專區子網的方式，實現負載均衡，確保教育城域網安全、高效運行。