1. 引言
目前IPv6技术逐渐走向成熟,在教育行业IPv6地址已经分发,很多高校和企事业单位已经完成IPv6初步建设,随着伊犁师范大学规模扩大,IPv4资源产生了制约性,伊犁师范大学按照教育部改革要求和跟进IPv6步伐 [1],在友校建立IPv6网络的启发和帮助下,数据中心阶段性由IPv4过渡IPv6 [2],建设过程充分利用扩展性和安全性。在IPv6扩展性方面,在IPv6扩展报头加入相关字段,实现快速传输;在IPv6安全机制方面,利用IPsec字段,确保端到端的安全传输;打造安全可控的IPv6网络环境。
截止2022年9月,我校师生20,000人,IPv4节点3000个,教育网分配的IPv4网络地址不足,随着智慧校园的建设和部分物联网设备的初步运行,跟随教育部严格要求下IPv6的部署指日可待,在此背景下,数据中心阶段性由IPv4过渡到IPv6,本文以伊犁师范大学为研究对象,探索IPv4过渡到IPv6的方法,为偏远地区高校的IPv6网络建设管理提供参考。
1) 建立IPv6双栈 [3] 数据中心,完成对外公众服务的双栈的改造工作,部署在学校数据中心,范围涉及互联网络出口区域、DMZ区域、及相应的对外服务应用系统。
2) 学校广域网连接校园内部和数据中心,内部业务和内部应用互访的关键通道,内网采用SRv6,部署双栈隧道满足过渡期间IPv4和IPv6的承载诉求。
3) 构建IPv6端到端的实验田,为后续的循序演进构建基础,学校数据中心的内部应用需要逐步的开发改造,以信息中心为试点站,信息中心和数据中心的测试区进行IPv6改造,打通试点站和数据中心的IPv6互访通道,为应用系统的改造提供端到端 [4] 的测试验证环境,为内部应用的平滑升级奠定基础,同时也可以基于端到端的网络积累IPv6的技术经验。
2. IPv4 to IPv6过渡网络模型
2.1. 地址规划
2.1.1. 地址规划分析
1) 实施IPv6语义化建模及地址规划,基于组织、业务、机构语义化建模,多极化地址规划管理 [5]。
2) 实施IPv6地址分配与流程管理,快速IPv6地址分配,静态 + 动态方式基于工单流程的地址分配管理。
3) 实施IPv6地址扫描与检测分析,IPv6地址扫描发现,状态检测IPv6自动定位,安全基线管控。
4) IPv6地址回收及重分配,制定IPv6可视化回收流程。
2.1.2. 地址安全分配方式
1) 终端配置IPv6SLAAC无状态分配方式
在IPv6SLAAC模式下,无网关只分配链路本地地址,采用RS-133和RS-134路由器请求,当IPv6SLAAC存在网关时网络终端自动向网关发送路由请求信息,配置IPv6地址的网关收到请求,发送路由通告,终端会生成IPv6地址采用EUI-64配置方式:将接口的MAC地址转换为IPv6接口标识,16进制的MAC地址转换为2进制-->第7bit如果为0,表示该MAC地址是全局管理地址,将其取反-->在MAC地址中间插入FFFE-->48bit+16bit=64bit-->2进制转换为16进制。
主机获得网络部分 + 自己的MAC地址构造IPv6地址,通过RA抑制报文,避免占用更多带宽。
配置:Switch(config)#ipv6unicast-routing
Switch(config)#Interfacevlan1
Switch(config-vlan)#ipv6address2001:13::1/64
Undoipv6ndrahalt(RA抑制报文)
目前安卓系统不支持DHCPV6EUI-64配置,安卓操作终端配置SLAAC方式。
2) 配置HCPv6服务器
为弥补了IPv6无状态地址自动配置的不足,配置HCPv6服务器为DHCPv6客户端分配IPv6地址。客户端向服务器发送配置申请报文(申请包括IPv6地址、DNS服务器地址等参数),服务器根据策略返回携带相应配置信息的报文。
DHCPv6服务器分配一个完整的IPv6地址给主机,并提供DNS服务器地址等其它网络配置信息。DHCPv6服务器也能提供无状态DHCPv6服务,即DHCPv6服务器不分配IPv6地址,仅需向主机提供DNS服务器地址和域名等其它配置信息,主机IPv6地址仍然通过路由器公告方式自动生成。
在路由器中如果M标记 = 1,终端会向DHCP服务器请求IPv6地址,当O标记 = 1,终端会向DHCP其他设备比如DNS、搜索后缀请求其他数据地址,地址是否冲突是有DAD检测机制来评估。
配置
Switch#interfacevlan1
#ipv6ndmanaged-config-flag
#ipv6ndother-config-flag
根据学校应用按照如下表1对终端地址进行规划:
2.2. 快速网络转发模型
1) 利用双栈、隧道协议实现数据中心IPv4/IPv6的共存应用。
2) 建立安全端到端通道,IPSec [6] 集成到网络双栈传输中,将双栈网络配置为仅允许在建立了安全通道之后再进行数据包传输。数据中心配置为只处理通过安全通道发来的数据包。在这个系统中,实际上已经在两个主机之间创建了一个“安全的虚拟专线”,只有安全的流量才能通过。
3) 双栈网络的基础之上,拓展IPv6报文结构,扩展头插入SRH,并压入一个显式的IPv6地址栈,在核心交换节点不断的进行更新网络目的地址和偏移地址栈的操作来完成IPv4/IPv6逐跳转发,建立业务驱动网络模型,数据快速到达目的,将多个路由路径标识模块组合起来,形成SRv6路径,路径可编程。利用网络编程中的网络指令,数据转向下一个目的地,具体为在网络出口侧和核心交换侧开启SRv6,中间节点采用传统IPv4/IPv6双栈结构。
2.3. 零信任网络安全模型
根据图1数据中心DNS系统和站群服务器同时开启双栈协议,建立安全边界安零信任模型,在数据中心和网络出口各建一堵墙,确保数据中心安全和出口安全。整个网络不可信,无论从本地网络还是互联网络通过任意协议访问双栈资源,需提供正确的身份标识,经过双栈认证、网络流量加密、应用层无感知实现数据中心零信任模型体系。假定攻击者可以使用任意IP地址进行通信,仅使用IP地址或物理位置作为标识符来保护资源是不够的。所有主机,甚至处于相同“可信区域”的主机,都必须提供正确的身份标识。对于攻击者发起主动攻击或者被动攻击,通过监听网络流量获取相关信息,进行风险处置。
Figure 1. Dual-stack architecture diagram of data center deployment
图1. 数据中心部署双栈体系图
2.4. 信息中心隧道模型
按照图2信息中心部分终端配置纯IPv6地址与数据中心站群系统和其它应用服务器进行通讯,站群和DNS系统配置双栈协议,其余的保持网络结构不变,对信息中心网关设备和数据中心网关设备配置IPV4toIPv6隧道协议 [7],实现纯IPv6业务的访问和IPV4toIPv6的互访。配置上配置静态地址隧道,降低动态隧道的伪造和非法接入威胁,并且设定精细的过滤策略。零信任用户采用客户端模式和隧道认证方式利用加密包过滤等手段规避IPV4与IPv6之间的交叉感染。
IPv6网关不开启DHCP服务器,在路由器中设置M标记 = 1,终端向单独配置DHCP服务器请求IPv6地址,实现IPv4区域终端快速获取IPv6地址并且与IPv6区域终端地址互联互通,实现教学区、实验室安全快速访问IPv6网络,为智慧化校园、智慧化课堂、物联网发展提供基础。IPv6建设完成将会急速提升对数据中心的访问速率,同时相对IPv4网络极大降低丢包率,且扩展性极强,终端获取地址快,不会出现广播风暴、ARP攻击等网络攻击,方便运维管理人与维护,增强稳定性和安全性。
Figure 2. Data center deployment tunnel diagram
图2. 信息中心部署隧道体系图
2.5. 网络出口模型
IPv6不进行NAT转换,采用IVI [8] 动态翻译技术云服务器模式,实现对外发布的IPv6资源共享。在网络出口实行转发层面和控制平面分离,保持原有IPv4策略安全基础,出口防火墙、IPS、WAF全设备同步支持IPv6,扩展内外网资源实行零信任机制,减少内外网访问者的身份和策略合规性,把应用资源从公共领域消失,关闭所有双栈不必要的TCP端口,拒绝非必要的接入,通过身份认证访问,确保内外网双栈资源安全溯源。
2.6. 核心参数
2.6.1. 站群系统
把学校主站和各个子网站集成到站群平台,建立主站和子站集成的网站体系,通过双栈协议实现各个网站集成,主站和子站形式上相互独立,逻辑上独立交叉 [9]。分别配置IPv4/ IPv6双栈前端Web服务器、发布服务器、数据库服务器。
1) 前端Web服务器部署WEB、视频、附件等资源
2) 发布服务器配置静态页面服务
3) 数据库服务器提供数据支撑
4) 相关参数
SOCKET参数:打开IPv6SOCKET功能,并绑定对应接口和地址。
地址参数:把程序或网页中以IPv6地址直接写入的文件URL或链接URL更换成域名。
函数参数:把程序或网页代码中存在无法处理IPv6地址的函数更换成同时支持IPv4和IPv6的函数。
结构参数:把程序中存储IP地址的数据空间(IPv4为32位)更换为同时支持IPv4 (32位)和IPv6的变量结构、数据库结构或(128位) API。
5) 访问方式:通过IVI无状态翻译实现互联网通过IPv4网络访问校内IPv6站群系统。校内访问通过IPv6或者IPv4的网络访问,教育网络平台可以直接通过IPv6访问校园网站群系统。
2.6.2. DNS系统
通过权威和递归解析实现DNS系统双栈解析 [10],DNS主机系统开启双栈协议,添加AAAA记录,对外发布IPv6解析地址,记录类型为AAAA,主机记录为域名的前缀 。
以下是DNS系统规划的IPv6域名地址
host:dns1.ylnu.edu.cn
ipnum:219.247.32.342001:250:1813:1003::2
host:dns2.ylnu.edu.cn
ipnum:219.247.32.352001:250:1813:1003::3
1) 权威DNS分析
开通DNS系统IPv6网络,在DNS启用ylnu.edu.cn域名解析,解析记录内容与IPv4DNS服务器中ylnu.edu.cn域名下的解析记录一致,在站群上发布的站点配置AAAA记录,记录值为站群发布机地址。
学校现有权威域名为ylnu.edu.cn域名记录都是A记录,那么首先需要建一个ylnu.edu.cn的权威域,把主机头对应的AAAA记录添加上。
2) 添加地址库
预留IPv6运营商地址库,关闭对外解析线路的递归解析,防止外部DNS攻击和对外业务的开放而导致的设备压力增加问题。
3. 实施效果
根据教育部统计检测结果,伊犁师范大学二三级链达到百分之百。从校园网入口到门户网站和DNS系统支持IPv6的访问,其安全性保持的到保障。
通过https://ipw.cn/ipv6webcheck/?site=ylnu.edu.cn等相关网站进行IPv6测试,实现了资源共享,表2为校园网主站平台,https://www.ylnu.edu.cn/的测试结果。
4. 展望
通过建立数据中心IPv4过渡IPv6网络运行机制,有效推动我校IPv6共享工作,在方便教师教学、科研工作的同时,也积累了宝贵经验。自运行机制建立以来,我校IPv6认可度不断提高,通过双栈网络端到端设置–零信任数据中心搭建–站群双栈建设–DNS双栈建设等,有效推动数据中心IPv6资源共享,为偏远地区高校网络做借鉴。IPv6数字化校园网络演进之路漫长,未来要充分利用其扩展性和可编程性,加速下阶段IPv6推进工作。
1) 校园可同步启动办公园区网络的IPv6改造工作,建办公区优先改造,制作样板积累经验,形成改造规范指南,指导各个校区和院系IPv6改造,指定广域网双栈隧道切换单栈的时间节点,推动学院和各校区积极进行改造。
2) 随着智能制造的发展物联网应用系统将在企业生产网络大规模部署,大量的终端需要接入企业的生产网络,所以学校物联网络应及时IPv6的改造,为海量终端的接入提供充足的地址空间。
3) 数据中心内部应用访问逐渐切换IPv6通道,对外物联网访问按需保留IPv6通讯能力,在本阶段,应主要聚焦IPv6的逐步迁移工作,工作结束之后,学校的数据中心网络、数据中心内部应用系统、广域网以及办公园区全面完成IPv6改造,从办公园区到数据中心的应用系统访问实质上已经切换到IPv6单栈通道,此时数据中心网络和应用系统可直接切换到IPv6的单栈运行。
4) 等到外部的互联网全面IPv6化以后,老旧的生产园区公共终端和系统退网即可实现全面IPv6网络的单栈。
基金项目
伊犁师范大学校级科研项目(2021YSYB094)。
NOTES
*通讯作者。