高校向IPv6過渡場景解決方案
近日�,深入推進(jìn)IPv6規(guī)模部署和應(yīng)用貫徹落實(shí)會議召開,IPv6規(guī)模部署相關(guān)文件連續(xù)發(fā)布���。其中�,《IPv6流量提升三年專項(xiàng)行動(dòng)計(jì)劃(2021-2023年)》(簡稱“專項(xiàng)行動(dòng)計(jì)劃”)提出��,用三年時(shí)間,推動(dòng)我國IPv6規(guī)模部署從“通路”走向“通車”,從“能用”走向“好用”。
在此背景下,清華大學(xué)教授����、CERNET網(wǎng)絡(luò)中心副主任李星分析了高校推進(jìn)IPv6規(guī)模部署的技術(shù)方案���。他表示,CERNET和廣大接入高校要充分利用IPv6發(fā)展的歷史機(jī)遇���,為建設(shè)網(wǎng)絡(luò)強(qiáng)國做出貢獻(xiàn)。
李星 CERNET網(wǎng)絡(luò)中心副主任�、清華大學(xué)教授
IPv6規(guī)模部署
和應(yīng)用落實(shí)建議
總的來說����,IPv6規(guī)模部署可以概括為五大任務(wù):網(wǎng)站改造、活躍用戶����、IPv6流量、IPv6單棧��、創(chuàng)新應(yīng)用�����。下面從這五方面探討高校向IPv6過渡的落實(shí)建議。
網(wǎng)站IPv6過渡場景分為三種情況:現(xiàn)有IPv4網(wǎng)站、雙棧網(wǎng)站����、新建純IPv6網(wǎng)站�。
實(shí)際上�,雙棧網(wǎng)站的改造目前已很少見���。
對于現(xiàn)有IPv4網(wǎng)站,可以采用“IPv4 + IVI網(wǎng)站升級方案(X7000或云服務(wù))”過渡。在保持現(xiàn)有IPv4網(wǎng)絡(luò)�、路由不變的情況下�,在純IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)出口之間部署IVI(無狀態(tài)IPv4/IPv6翻譯技術(shù))設(shè)備。
在此情況下,原IPv4網(wǎng)站不需要做改造��,就可以被IPv6用戶訪問�。其優(yōu)勢是:保持原IPv4安全等保等級���,只要IPv4不被黑�����,IPv6不可能被黑。
此外�,根據(jù)“專項(xiàng)行動(dòng)計(jì)劃”要求�����,到2030年左右,完成向IPv6單棧的演進(jìn)過渡�����。因此��,各高校新建網(wǎng)站應(yīng)采用“純IPv6”解決方案���,這符合純IPv6發(fā)展趨勢。
用戶IPv6過渡場景也分為三種情況:現(xiàn)有IPv4用戶接入��、雙棧用戶接入�����、新建純IPv6用戶接入��。
在這三種場景中�,現(xiàn)有IPv4用戶接入的升級能真正“多快好省”地提升IPv6活躍用戶�����。此時(shí)可以采用“IPv4 + IVI用戶網(wǎng)絡(luò)升級方案(X2000)”。在保持現(xiàn)有IPv4網(wǎng)絡(luò)��、用戶終端不變的情況下�,將IVI設(shè)備部署在IPv4和IPv6 網(wǎng)絡(luò)出口之間,所有IPv4活躍用戶都能轉(zhuǎn)化成IPv6活躍用戶?,F(xiàn)階段,IPv6認(rèn)證在準(zhǔn)入控制方面還不太成熟,成本也較高�����。而此方案支持原有IPv4認(rèn)證系統(tǒng)���,不需要升級�����。從安全和成本方面看����,對高校提升IPv6活躍用戶都非常實(shí)用��。
與網(wǎng)站改造一樣��,新建純IPv6用戶接入符合純IPv6發(fā)展趨勢���,并能與SAVA(下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu))技術(shù)平滑集成。
IPv6流量的提升���,主要依賴于活躍用戶和網(wǎng)站兩方面�,尤其是活躍用戶的IPv6改造�����。提升高校的IPv6活躍用戶數(shù),才能促進(jìn)IPv6流量規(guī)模持續(xù)提升。
向IPv6單棧過渡����,也即推進(jìn)IPv6規(guī)模部署向純IPv6發(fā)展��,主要包括網(wǎng)站升級和用戶升級兩方面。
網(wǎng)站升級可采用“IPv6 + IVI 網(wǎng)站升級方案(X8000)”,通過在新建的純IPv6服務(wù)器和IPv4網(wǎng)絡(luò)之間部署IVI翻譯器����,支持純 IPv4 終端可以訪問 IPv6 服務(wù)器�����,由此平滑過渡到純IPv6 互聯(lián)網(wǎng)�。
用戶升級可采用“IPv6 + IVI 用戶網(wǎng)絡(luò)升級方案(X3000)”�。新建的純IPv6網(wǎng)絡(luò)和IPv6終端,通過部署IVI設(shè)備�,可以訪問IPv4網(wǎng)絡(luò)資源�����。此方案可應(yīng)用于新建大規(guī)模純IPv6無線網(wǎng)接入�����。由于iOS系統(tǒng)和Android系統(tǒng)都已經(jīng)集成了IVI翻譯技術(shù)����,通過在無線校園網(wǎng)添加IPv6 SSID(服務(wù)集標(biāo)識)即可實(shí)現(xiàn)����,這對高校來說非常實(shí)用����。
高校在IPv6創(chuàng)新應(yīng)用上,要落實(shí)“發(fā)展安全并重�����,滿足國家急需”。
首先���,要學(xué)習(xí)貫徹習(xí)近平總書記重要講話精神。掌握我國互聯(lián)網(wǎng)發(fā)展主動(dòng)權(quán)���,保障互聯(lián)網(wǎng)安全、國家安全��,就必須突破核心技術(shù)難題��,即要抓住“命門”���。沒有網(wǎng)絡(luò)安全就沒有國家安全,要“以安全保發(fā)展���,以發(fā)展促安全”��。
同時(shí)�,網(wǎng)絡(luò)科技進(jìn)步與網(wǎng)絡(luò)空間安全協(xié)同發(fā)展����。在網(wǎng)絡(luò)科技進(jìn)步方面��,要達(dá)到世界一流,爭取國際話語權(quán)�;在網(wǎng)絡(luò)空間安全方面,要滿足國家急需����,解決重大安全問題。
新形勢下推動(dòng)IPv6發(fā)展�,可以概括為“三部曲”。
1.平滑過渡�����,互聯(lián)互通���,逐步推進(jìn)
在IPv6過渡技術(shù)方面��,基于雙棧的IPv6過渡技術(shù)(硬著陸)��,將演進(jìn)成基于翻譯的IPv6過渡技術(shù)(軟著陸)����。
“平滑過渡”是向IPv6過渡的基本原則����,也就是,不能因?yàn)橄騃Pv6升級而影響用戶體驗(yàn)。而通過IVI翻譯技術(shù)的“軟著陸”過渡技術(shù)���,可以實(shí)現(xiàn)IPv4向IPv6的平滑過渡�����。
現(xiàn)有的IPv4服務(wù)器或客戶端�����,通過IVI(6aaS)翻譯��,與IPv6網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通�����,其對外特性表現(xiàn)為雙棧����,對內(nèi)特性仍是純IPv4�;同理,新建的純IPv6網(wǎng)絡(luò)����,也可以通過(4aaS)IVI翻譯����,與IPv4網(wǎng)絡(luò)保持互通�。
實(shí)際上��,盡管按照規(guī)劃��,我國將向純IPv6網(wǎng)絡(luò)過渡����,但由于長尾效應(yīng),在全球范圍內(nèi)�����,IPv4網(wǎng)絡(luò)將會長期存在����。尤其在高校,與國際網(wǎng)絡(luò)的互聯(lián)互通更是剛需�。因此,通過翻譯技術(shù)實(shí)現(xiàn)IPv4與IPv6互聯(lián)互通�����,從長遠(yuǎn)看來也將是硬需求。
2.發(fā)展與安全同步�,充分利用IPv4安全能力
要做到發(fā)展與安全同步,首先要關(guān)注IPv6的網(wǎng)絡(luò)空間安全�。
由清華大學(xué)研發(fā)的下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)SAVA主要用于解決下一代互聯(lián)網(wǎng)的可信安全問題。
SAVA支持互聯(lián)網(wǎng)真實(shí)源地址的精確定位和地址溯源�����,突破了下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的安全可信關(guān)鍵核心技術(shù)�����,近日被中國電子學(xué)會授予2020年度科學(xué)技術(shù)特等獎(jiǎng)�。將SAVA技術(shù)落地落實(shí),是當(dāng)前高校在網(wǎng)絡(luò)安全方面應(yīng)重點(diǎn)關(guān)注���,全力部署實(shí)施的工作���。
此外,IPv6的防火墻應(yīng)該怎么做�?
現(xiàn)階段,IPv6的防火墻很難實(shí)現(xiàn)跟IPv4的防火墻一樣的防護(hù)強(qiáng)度���?����?紤]到這一點(diǎn)����,在IPv6安全保障上�����,我們可以采取另一種思路:通過虛擬的翻譯技術(shù)�����,充分利用IPv4的安全能力�����。
可以將IPv6網(wǎng)絡(luò)和IPv6主機(jī)之間的防火墻設(shè)想成一個(gè)“盒子”���,盒子內(nèi)部是具有雙重“虛擬翻譯”功能的IPv4防火墻�。
防護(hù)的過程是��,將IPv6映射成IPv4�,經(jīng)過IPv4的防火墻���,再映射成IPv6。這樣�����,就可以讓純IPv6網(wǎng)絡(luò)充分利用IPv4成熟的安全保障能力���。
實(shí)際上�,用這種方法設(shè)計(jì)的IPv6防火墻���,并不一定真的采用IVI翻譯設(shè)備�,而是充分利用了IVI技術(shù)的翻譯“思路”�����。
3.跨越式發(fā)展���,構(gòu)建切片和零信任體系結(jié)構(gòu)
(1)用不同于IPv4的思路做IPv6
傳統(tǒng)的校園網(wǎng)為了保安全����,通常采用“糖葫蘆”式的串通方式�,在校園網(wǎng)的出口處設(shè)置各種安全設(shè)備�。而高校有聯(lián)網(wǎng)����、高性能、安全��、科研等多方面的網(wǎng)絡(luò)需求�,采用“串聯(lián)”的方式很難滿足所有需求,并存在不少安全隱患�。
我們可以將校園網(wǎng)的需求進(jìn)行如下分類:
? 用戶上網(wǎng):包括有線��、無線(多SSID)上網(wǎng)����;
? 信息系統(tǒng):學(xué)校的信息系統(tǒng)通常在校園內(nèi)部專網(wǎng)使用,從外部訪問時(shí)需要使用VPN�;
? 視頻系統(tǒng):無論是廣播/點(diǎn)播系統(tǒng)還是視頻會議系統(tǒng),都用于教學(xué)�、研討;
? 對外宣傳:也就是通常的學(xué)校網(wǎng)站��,采用CDN(Content Delivery Network��,內(nèi)容分發(fā)網(wǎng)絡(luò))�����、WAF(Web Application Firewall,網(wǎng)站應(yīng)用級入侵防御系統(tǒng))等技術(shù)��;
? 科學(xué)研究:包括超算專網(wǎng)��、存儲專網(wǎng)���、備份專網(wǎng)等���;
? 物聯(lián)網(wǎng):包括門禁專網(wǎng)、視頻監(jiān)控專網(wǎng)�、井蓋專網(wǎng)等。
有了清晰的分類�����,再來看IPv6升級�。實(shí)際上,與傳統(tǒng)的IPv4網(wǎng)絡(luò)相比�,IPv6擁有的海量地址使其能更容易實(shí)現(xiàn)網(wǎng)絡(luò)切片等功能,滿足校園網(wǎng)的多種需求����,并保障網(wǎng)絡(luò)安全���。
概括來說,就是要用不同于IPv4的思路來做IPv6�����。
也就是����,按照網(wǎng)絡(luò)切片的思路將高校各種校園網(wǎng)需求拆分,采用不同的方法分別滿足不同的需求�����。如此以來�����,CERNET可以將提供給高校的萬兆接入網(wǎng)絡(luò)“定制化”���,比如,針對各校的網(wǎng)站監(jiān)測能力參差不齊�,提供高質(zhì)量的網(wǎng)站監(jiān)測外包服務(wù);針對用戶上網(wǎng),可以提供日志保障等���。
反過來�,高校也可按照這種思路�,將校園網(wǎng)的功能拆分升級。比如��,對于信息系統(tǒng)����、視頻系統(tǒng)、超算專網(wǎng)等專供學(xué)校內(nèi)部使用的功能需求����,不宜采用傳統(tǒng)的“串聯(lián)”方式進(jìn)行安全防護(hù);而對于其他與外部網(wǎng)絡(luò)互連的功能需求�����,則可以采用“外包”方式保障安全�。
(2)SRv6和dIVI
根據(jù)上述思路推動(dòng)IPv6發(fā)展,有兩個(gè)技術(shù)非常重要:SRv6(Segment Routing IPv6���,IPv6分段路由)和dIVI(雙重翻譯技術(shù))��。比如�,對基于IPv4的超算專網(wǎng),如果將其應(yīng)用系統(tǒng)改造成IPv6����,成本很高,而采用dIVI雙重翻譯技術(shù)�����,可以直接利用私有的IPv4地址建網(wǎng)����;而新建的純IPv6應(yīng)用,則可以直接用SRv6技術(shù)進(jìn)行網(wǎng)絡(luò)切片����,來滿足特定需求;同時(shí)���,SRv6和dIVI技術(shù)也可以結(jié)合使用。
滿足該思路的方案有如下特點(diǎn):支持IPv4���,無需重新編程�����,無需優(yōu)化IPv4鏈路���,利用IVI翻譯技術(shù)轉(zhuǎn)換為IPv6流量�����;支持IPv4雙向通信����,校園網(wǎng)無需提供公有IPv4地址���;外特性完全為IPv6單棧���。
對于未來的互聯(lián)網(wǎng)發(fā)展,總的趨勢是“大道至簡��、返璞歸真”���。即從一個(gè)以O(shè)SS/BSS(電信業(yè)務(wù))為支撐的����,包含IPv4、IPv6����、MPLS、DHCP等多種技術(shù)的復(fù)雜系統(tǒng)�����,轉(zhuǎn)變?yōu)榧僆Pv6(IPv6-only)的簡單系統(tǒng)��。
這個(gè)系統(tǒng)包含IPv6路由轉(zhuǎn)發(fā)���、SRv6切片�����、IVI翻譯��、Encapsulation(封裝)�、SSM 框架集等功能技術(shù)�,并以零信任網(wǎng)絡(luò)安全防護(hù)理念為基礎(chǔ)。長遠(yuǎn)看來����,IPv4會長期存在,但會成為純IPv6網(wǎng)絡(luò)的一個(gè)“子集”�����,通過無狀態(tài)翻譯技術(shù)�����,對外展示為IPv6���。
(3)464BGP
復(fù)旦大學(xué)校園網(wǎng)IVI部署實(shí)踐是一個(gè)典型案例���。通過部署高效路由機(jī)制464BGP,即從IPv4地址翻譯到IPv6地址路由�����,再轉(zhuǎn)化回IPv4的地址�����,借由CERNET2完成傳輸�����,提高CERNET2的使用率,并可以有效提升國際教育資源的訪問體驗(yàn)����。
其特點(diǎn)為:雖然復(fù)旦大學(xué)校園網(wǎng)是多出口,但使用464BGP技術(shù)����,可以由學(xué)校自主調(diào)度特定子網(wǎng),通過CERNET與Internet2的專有信道��,高性能地與合作高校進(jìn)行通信��。特別是�����,雖然現(xiàn)有技術(shù)可以在某種程度上調(diào)度復(fù)旦大學(xué)的出流量�。但只有464BGP技術(shù),可以在不需要對方大學(xué)配合的情況下�����,自動(dòng)調(diào)度入流量��。
純IPv6(IPv6單棧)是互聯(lián)網(wǎng)發(fā)展的技術(shù)方向,也是中國政府的既定策略�����,按照“網(wǎng)信辦”的文件規(guī)定��,到2030年中國的互聯(lián)網(wǎng)將是IPv6單棧����。歷史上����,CERNET和廣大接入高校在IPv6的研究、部署和推廣方面為國家和世界做出了重要貢獻(xiàn)���。新形勢下���,必須再接再厲,充分利用IPv6發(fā)展的歷史機(jī)遇���,為把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國做出貢獻(xiàn)��。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費(fèi)咨詢和安全服務(wù)
