高校校園網(wǎng)IPv6 的部署與管理策略
——以攀枝花學(xué)院IPv6建設(shè)為例

攀枝花學(xué)院 張杰

為徹底解決IPv4 地址枯竭問(wèn)題，形成互聯(lián)網(wǎng)技術(shù)領(lǐng)先產(chǎn)業(yè)，解決新技術(shù)問(wèn)題，確保網(wǎng)絡(luò)信息安全，高校應(yīng)加強(qiáng)下一代互聯(lián)網(wǎng)技術(shù)的應(yīng)用和研究，從IPv6 建設(shè)原則、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)過(guò)渡、網(wǎng)站改造、網(wǎng)絡(luò)安全分析及策略等方面提供建設(shè)經(jīng)驗(yàn)和方法，為廣泛發(fā)展IPv6 提供建設(shè)思路和建設(shè)策略。

高等學(xué)校作為新技術(shù)應(yīng)用的創(chuàng)新地和應(yīng)用場(chǎng)所，是下一代互聯(lián)網(wǎng)技術(shù)的創(chuàng)新和應(yīng)用的主戰(zhàn)場(chǎng)。為適應(yīng)新時(shí)代高校的教學(xué)環(huán)境要求，全面落實(shí)教學(xué)應(yīng)用的深度融合，快速搭建下一代互聯(lián)網(wǎng)，安全有效地解決教育業(yè)務(wù)管理系統(tǒng)、門(mén)戶(hù)網(wǎng)絡(luò)系統(tǒng)、安全管理業(yè)務(wù)系統(tǒng)的IPv6 升級(jí)和訪問(wèn)。

1 IPv6 的部署應(yīng)用的背景

為徹底解決IPv4 地址枯竭問(wèn)題，形成領(lǐng)先全球的互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)，保證我國(guó)信息安全，高校應(yīng)加速發(fā)展IPv6，解決發(fā)展滯后、發(fā)展緩慢的現(xiàn)狀，迎頭開(kāi)展下一代互聯(lián)網(wǎng)IPv6 的網(wǎng)絡(luò)部署和建設(shè)，建立協(xié)同、優(yōu)化、規(guī)范發(fā)展的環(huán)境，實(shí)現(xiàn)IPv6 部署平穩(wěn)安全推進(jìn)[1]。

目前，我國(guó)IPv6 技術(shù)上有一定的技術(shù)儲(chǔ)備，但發(fā)展較晚，普及率較低，在世界上占有率較低，近年來(lái)國(guó)家大力推廣，發(fā)展速度顯著提升，但與之配套建設(shè)與管理經(jīng)驗(yàn)明顯不足。我國(guó)的本土IPv6 發(fā)展模式和建設(shè)模式與國(guó)際上優(yōu)勢(shì)國(guó)家發(fā)展方式和方法有所區(qū)別，相關(guān)研究成果的共享不是很暢通，所以我國(guó)只有讓高校積極參與IPv6 的升級(jí)改造，在IPv6 的部署和管理中不斷積累相關(guān)的技術(shù)和管理經(jīng)驗(yàn)，為下一步廣泛發(fā)展IPv6 提供建設(shè)思路和建設(shè)策略。

2 IPv6 建設(shè)與部署

2.1 校園網(wǎng)IPv6 建設(shè)原則

建設(shè)IPv6 應(yīng)樹(shù)立高質(zhì)量發(fā)展理念，嚴(yán)格遵循統(tǒng)籌規(guī)劃、突出重點(diǎn)、注重實(shí)效為總原則。根據(jù)學(xué)校發(fā)展情況、應(yīng)用情況和經(jīng)濟(jì)實(shí)情做出總體規(guī)劃和分步實(shí)施，建議設(shè)計(jì)上適度超前的原則，保持技術(shù)先進(jìn)性。突出重點(diǎn)是緊密結(jié)合高校的教學(xué)和科研特點(diǎn)，融合校園教學(xué)信息化應(yīng)用，突出滿(mǎn)足業(yè)務(wù)需求。注重實(shí)效是考慮IPv6 建設(shè)可擴(kuò)展性、經(jīng)濟(jì)型、利用效率等因素，處理好滿(mǎn)足現(xiàn)在、面向未來(lái)的關(guān)系[2]。

2.2 IPv6 網(wǎng)絡(luò)架構(gòu)

IPv6 發(fā)展將經(jīng)歷純IPv4 階段、IPv4 向IPv6 過(guò)渡階段和純IPv6 階段，但一般升級(jí)IPv6 都將處于IPv4 向IPv6 過(guò)渡階段，隨著時(shí)間和使用習(xí)慣的改變逐步實(shí)現(xiàn)純IPv6 升級(jí)換代，如圖1 所示。

圖1 IPv6 發(fā)展階段圖Fig.1 IPv6 development phase diagram

2.3 IPv4 向IPv6 過(guò)渡階段

根據(jù)我國(guó)互聯(lián)網(wǎng)建設(shè)的現(xiàn)狀，IPv4 和IPv6 網(wǎng)絡(luò)將會(huì)保持共存的情況，根據(jù)發(fā)展的要求，實(shí)施逐步發(fā)展，最終實(shí)現(xiàn)升級(jí)換代的目標(biāo)。在IPv4 和IPv6 共存的情況下，必然要解決IPv4 和IPv6 互聯(lián)互通的組網(wǎng)技術(shù)。目前主要有雙棧技術(shù)、隧道技術(shù)和翻譯技術(shù)等。要實(shí)現(xiàn)IPv6 的順利過(guò)渡，必須解決鏈路過(guò)渡、終端過(guò)渡和網(wǎng)站過(guò)渡等問(wèn)題。

2.3.1 鏈路過(guò)渡

用戶(hù)首先是向CNNIC（中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心）申請(qǐng)IPv6 地址；然后就是將網(wǎng)絡(luò)接入到IPv6 互聯(lián)網(wǎng)當(dāng)中，用戶(hù)需要通過(guò)自有AS 與IPv6 網(wǎng)絡(luò)建立連接，搭建IPv6的硬件和系統(tǒng)環(huán)境，通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)做好地址轉(zhuǎn)換，配置IPv6 運(yùn)行的基礎(chǔ)網(wǎng)絡(luò)服務(wù)，如網(wǎng)絡(luò)認(rèn)證、自動(dòng)分配IP 地址、域名解析等系統(tǒng)服務(wù)。

2.3.2 終端過(guò)渡

雙棧網(wǎng)是基于現(xiàn)有網(wǎng)絡(luò)的升級(jí)，為用戶(hù)提供便捷的IPv4/IPv6 雙棧網(wǎng)接入、認(rèn)證和管理功能。IPv6 升級(jí)方案需要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和路由規(guī)劃具體確定，一般情況下，使用OSPFv3 的路由技術(shù)可以有效連接核心層網(wǎng)，將劃分的若干網(wǎng)絡(luò)區(qū)域路由聚合收斂，提高數(shù)據(jù)信號(hào)發(fā)送效率。IPv4 路由采用OSPFv2，IPv6 路由采用OSPFv3，可在不同接口上配置OSPFv3 的鏈路開(kāi)銷(xiāo)值，從而影響路由的計(jì)算，保證存在萬(wàn)兆鏈路數(shù)據(jù)優(yōu)先走萬(wàn)兆鏈路。網(wǎng)絡(luò)出口可采用靜態(tài)缺省路由或BGP4 與IPv6 網(wǎng)絡(luò)核心節(jié)點(diǎn)相連[3]。

在IPv6 地址的全面部署前，應(yīng)構(gòu)建具備可管理、可持續(xù)發(fā)展的IPv6 地址科學(xué)規(guī)劃策略，避免IPv6 地址語(yǔ)義過(guò)載帶來(lái)負(fù)面影響。IPv6 地址實(shí)現(xiàn)方式可采用自動(dòng)分配IP 地址（DHCPv6）技術(shù)方法，將經(jīng)過(guò)注冊(cè)的IPv6 自動(dòng)分配給用戶(hù)，同時(shí)可以部署SAVI 等網(wǎng)絡(luò)安全技術(shù)。在一些特殊需求的交換機(jī)、服務(wù)器、物聯(lián)設(shè)備等，為了便于管理，可以配置靜態(tài)IPv6 地址，方便設(shè)備的有效管理。

2.3.3 網(wǎng)站過(guò)渡

雙棧升級(jí)包括網(wǎng)絡(luò)層改造、設(shè)備層改造、業(yè)務(wù)系統(tǒng)改造和網(wǎng)站代碼改造等方面內(nèi)容。網(wǎng)站過(guò)渡首先做好網(wǎng)絡(luò)層和設(shè)備層改造，在網(wǎng)站的網(wǎng)絡(luò)區(qū)域配置IPV6 可運(yùn)行的物理環(huán)境，做好相應(yīng)地址策略和基礎(chǔ)服務(wù)，調(diào)研在用的各應(yīng)用系統(tǒng)，如各業(yè)務(wù)管理系統(tǒng)、網(wǎng)絡(luò)安全系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)，開(kāi)啟IPv6 協(xié)議，支持IPv4/IPv6 協(xié)議。對(duì)網(wǎng)站代碼不支持IPv6 協(xié)議棧的網(wǎng)站，修改前要做好備份，修改工作較為復(fù)雜，需要謹(jǐn)慎處理，拓?fù)鋱D如圖2 所示。

圖2 “翻譯”模式的IPv6 網(wǎng)絡(luò)拓?fù)鋱DFig.2 IPv6 network topology diagram in "translation" mode

2.4 網(wǎng)站安全

高校網(wǎng)絡(luò)升級(jí)IPv6 后，較IPv4 網(wǎng)絡(luò)安全性有了較大提升，IPv6 自身在網(wǎng)絡(luò)的安全性上進(jìn)行了嚴(yán)密的設(shè)計(jì)，IPSec 技術(shù)能有效提升IPv6 網(wǎng)絡(luò)安全性，這是IPv6網(wǎng)絡(luò)的優(yōu)勢(shì)。但也會(huì)面臨基于IPv4/IPv6 網(wǎng)絡(luò)非法入侵、嗅探和攻擊，這些攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓，因此，安全防護(hù)工作是升級(jí)后網(wǎng)絡(luò)必須要重點(diǎn)考慮的問(wèn)題，尤其是IPv4/IPv6 模式，面臨著雙重壓力。目前絕大部分網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)都號(hào)稱(chēng)已支持IPv6 協(xié)議，但由于運(yùn)營(yíng)商網(wǎng)絡(luò)一直沒(méi)有啟用IPv6，這些設(shè)備基本都沒(méi)有在運(yùn)營(yíng)商IPv6 生產(chǎn)網(wǎng)上經(jīng)過(guò)實(shí)戰(zhàn)檢驗(yàn)。當(dāng)開(kāi)通IPv6 之后，這些網(wǎng)絡(luò)安全設(shè)備用戶(hù)需要在網(wǎng)絡(luò)環(huán)境中共同驗(yàn)證設(shè)備的完善性和可靠性，發(fā)現(xiàn)BUG 和修補(bǔ)BUG，在試錯(cuò)中不斷改進(jìn)。

高校信息部門(mén)大多數(shù)都沒(méi)有專(zhuān)業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)，網(wǎng)管人員對(duì)設(shè)備如何配置優(yōu)化IPv6 策略也缺乏經(jīng)驗(yàn)，包含廠商技術(shù)人員可能同樣存在這個(gè)問(wèn)題，因此，采取一步到位升級(jí)v4/v6 雙棧的做法可能比較激進(jìn)，風(fēng)險(xiǎn)有點(diǎn)大。

高校網(wǎng)站應(yīng)該盡量采購(gòu)已在大規(guī)模IPv6 網(wǎng)絡(luò)上運(yùn)行滿(mǎn)一年、軟件經(jīng)過(guò)一次或多次大版本迭代、解決很多問(wèn)題、功能完善、性能可靠的網(wǎng)絡(luò)安全設(shè)備。雖然IPv6 升級(jí)改造比商業(yè)ICP 網(wǎng)站慢一步，但是更為穩(wěn)妥和安全。

根據(jù)國(guó)家規(guī)定，網(wǎng)站必須通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)認(rèn)證。但目前新的國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)制度（IPv6 版）還未推出，因此不能對(duì)網(wǎng)站IPv6 升級(jí)工作提供實(shí)施指導(dǎo)。在這種情況下，比較穩(wěn)妥的辦法是采用“兩步走”策略:

第一步，網(wǎng)站采用“IPv4 源站+翻譯設(shè)備”的模式。這種模式下，IPv4 源站的防護(hù)還是通過(guò)傳統(tǒng)模式防護(hù)，防護(hù)方法較為成熟。但對(duì)于IPv6 的防護(hù)，主要會(huì)針對(duì)翻譯設(shè)備的攻擊。

第二步，待國(guó)家發(fā)布關(guān)于IPv6 的信息系統(tǒng)安全等級(jí)保護(hù)制度文件，關(guān)于IPV6 的安全防護(hù)技術(shù)會(huì)更加成熟，防護(hù)手段變得更加可操作性，升級(jí)為純IPv6 的網(wǎng)站，對(duì)于IPv4 用戶(hù)訪問(wèn)將會(huì)變得很少，采用外掛“v6 轉(zhuǎn)v4”翻譯設(shè)備方案，使網(wǎng)站IPv6 支持IPv4 訪問(wèn)。

網(wǎng)站采用“IPv4 源站+翻譯設(shè)備”的模式，是可以解決IPv4 向IPv6 過(guò)渡的有效而經(jīng)濟(jì)的方案，完成IPv6網(wǎng)站的快速訪問(wèn)，實(shí)現(xiàn)過(guò)渡階段的網(wǎng)絡(luò)需求。后期可以安排充足的預(yù)算和時(shí)間，從容推進(jìn)網(wǎng)站升級(jí)為網(wǎng)站IPv6。

3 IPv6 管理與措施

3.1 安全人員需要有關(guān)IPv6 協(xié)議的教育和培訓(xùn)

IPv6 屬于下一代互聯(lián)網(wǎng)技術(shù)，屬于新技術(shù)范疇，技術(shù)應(yīng)用與傳統(tǒng)網(wǎng)絡(luò)技術(shù)有較大的變化，需要加強(qiáng)技術(shù)人員的認(rèn)識(shí)，提高技術(shù)管理水平，快速適應(yīng)新技術(shù)發(fā)展需求。

3.2 安全設(shè)備及系統(tǒng)需要升級(jí)

IPv6 網(wǎng)絡(luò)的升級(jí)與建設(shè)，原來(lái)的網(wǎng)絡(luò)安全設(shè)備是基于IPv4 技術(shù)的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)架構(gòu)變化后，必須基于網(wǎng)絡(luò)邊界保護(hù)、網(wǎng)絡(luò)區(qū)域劃分等作出相應(yīng)地調(diào)整，分析網(wǎng)絡(luò)的路由和安全，調(diào)整安全設(shè)備位置，升級(jí)路由器、防火墻、堡壘機(jī)、日志服務(wù)器、入侵檢測(cè)系統(tǒng)、認(rèn)證服務(wù)器等安全設(shè)備軟硬件，確保兼容IPv6。

隧道協(xié)議是IPv6 較為方便的部署，是將IPv4 數(shù)據(jù)流在隧道協(xié)議下把IPv4 通過(guò)軟件封裝成IPv6 隧道進(jìn)行通信。雖然只需布置IPv6 的隧道服務(wù)器，即可實(shí)現(xiàn)IPv4與IPv6 的穿透網(wǎng)絡(luò)通信，但缺陷是訪問(wèn)必須安裝相應(yīng)的支持IPv6 隧道協(xié)議的軟件，也無(wú)法解決由于訪問(wèn)速度引起的網(wǎng)站打不開(kāi)或內(nèi)容缺失的問(wèn)題。

IPv6 的網(wǎng)絡(luò)自動(dòng)分配IP 地址（DHCPv6）技術(shù)便于用戶(hù)自動(dòng)尋址，在協(xié)議支持下自動(dòng)獲得一個(gè)網(wǎng)絡(luò)地址，網(wǎng)絡(luò)管理上方便邊界，但由于用戶(hù)自行配置靜態(tài)的IP 地址等因素，無(wú)法辨識(shí)網(wǎng)絡(luò)地址的重復(fù)性，從網(wǎng)絡(luò)安全管理來(lái)看，跟蹤網(wǎng)絡(luò)資源情況顯得更加不易。

3.3 加強(qiáng)IPv6 信息安全的對(duì)策

IPv6 協(xié)議技術(shù)屬于新網(wǎng)絡(luò)技術(shù)，是下一代互聯(lián)網(wǎng)技術(shù)，和過(guò)去應(yīng)用IPv4 技術(shù)有較大的區(qū)別，在建設(shè)和應(yīng)用中都帶來(lái)了新的安全技術(shù)風(fēng)險(xiǎn)，因此，必須認(rèn)真對(duì)待，鉆研IPv6 的技術(shù)特點(diǎn)，提出防范的技術(shù)措施。

防范的技術(shù)措施主要是指IPv6 網(wǎng)絡(luò)架構(gòu)必須做好網(wǎng)絡(luò)防火墻的安裝和升級(jí)，以便于適應(yīng)新網(wǎng)絡(luò)環(huán)境，做好適用于IPv6 的DMZ 訪問(wèn)規(guī)則和安全過(guò)濾規(guī)則，做好訪問(wèn)用戶(hù)策略，有效控制網(wǎng)絡(luò)用戶(hù)權(quán)限，防止非法訪問(wèn)，做好網(wǎng)絡(luò)的隔離設(shè)計(jì)，遷移網(wǎng)絡(luò)安全設(shè)備，保障網(wǎng)絡(luò)的平穩(wěn)過(guò)渡。完善入侵檢測(cè)系統(tǒng)，以便于新網(wǎng)絡(luò)環(huán)境下自轉(zhuǎn)換和自適應(yīng)，做好IPv6 數(shù)據(jù)包捕獲、協(xié)議解析、規(guī)則解析和網(wǎng)絡(luò)入侵事件分析等，做好安全應(yīng)對(duì)技術(shù)措施。

改善技術(shù)手段主要是做好健全網(wǎng)絡(luò)管理制度，完善防護(hù)機(jī)制。提高相關(guān)人員的網(wǎng)絡(luò)安全意識(shí)，做好網(wǎng)絡(luò)安全管理流程，做好網(wǎng)絡(luò)安全應(yīng)急處置辦法，規(guī)范網(wǎng)絡(luò)管理行為，積極建立主動(dòng)性技術(shù)防范措施。開(kāi)展IPv6 的網(wǎng)絡(luò)認(rèn)證，實(shí)施網(wǎng)絡(luò)加密和認(rèn)證，保障網(wǎng)絡(luò)用戶(hù)權(quán)限，做好安全審計(jì)系統(tǒng)，便于記錄和規(guī)范網(wǎng)絡(luò)行為、審查和評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)。

4 建議

下一代互聯(lián)網(wǎng)的技術(shù)將在網(wǎng)絡(luò)的升級(jí)和建設(shè)中逐步成為主流網(wǎng)絡(luò)技術(shù)，成為支持信息化業(yè)務(wù)的主要關(guān)鍵技術(shù)。在建設(shè)與部署上要遵循總體的建設(shè)原則，根據(jù)高校網(wǎng)絡(luò)的建設(shè)實(shí)際情況，選擇適合的建設(shè)方案，采用IPv4，IPv4向IPv6 過(guò)渡階段和純IPv6 的分布建設(shè)方法，穩(wěn)步安全的建設(shè)IPv6。