1. 引言
我校针对信息化发展制定“十四五”规划,以加快校园数字化发展、制定IPv6发展的相关战略规划。目前处于跨越拐点的关键阶段,不断提升对IPv6发展与能力的认识,多措并举重,推动我校IPv6规模部署和应用走向深入,为师生提供良好的网络环境和信息支撑 [1] 。
随着我校智慧校园的推进,一站式服务办公的上线和微服务的不断更迭,对业务数据的安全和业务带宽大要求越来越高,加之物联网业务的不断普及导致校内IPv4资源严重不足,师生对IPv6资源的需求越来越高,尤其是在科研和实验平台搭建上,由此推出IPv6网络。但在IPv6部署时,因地址规划凌乱、终端、内容源处理机制、网络适配、安全认证等问题,面临网络质量劣化、投诉定位难,影响运维和用户感知等挑站。为顺利落实国家IPv6战略规划,设计IPv6+校园网络体系,利用SRv6、网络切片、IFIT、BIERv6等扩展协议,网络分析、自动调优等网络技术,在智能、安全、超宽、广联接、确定性和低时延六个维度全面提升校园IPv6网络能力,助力打造无处不在的智能IPv6联接,构建万物互联的智能世界。
根据IPv6+层次化的网络结构和它独特的报文结构、灵活的扩展性等,在校园内构建一套符合我校IPv6+网络的全新网络规划,通过顶层规划IPv6地址、打通IPv6网络隧道,实现终端无感知认证从而构建IPv6+网络的全新网络规划体系。
2. 相关模块设计
2.1. IPv6地址设计模块
目前申请到的是全球单播地址(GUA地址)有教育网统一分配,该地址所在网络信息可以被发布到Internet上,也是我们通常所说的公网地址;表示形式是:IPv6地址/前缀长度。其中“前缀长度”是一个十六进制数,表示改地址的前多少位是地址前缀,根据收到地址进行层次化规划,设计原则如下。
1) 层次化原则
减少IPv6网络地址碎片,增强路由聚合能力,提高网络路由效率,将IPv6地址段划分为相对独立的几个字段,每个字段可以单独规划,实现路由汇聚。
2) 安全性原则
相同业务属性具有相同的安全要求,业务之间的互访需要进行安全控制,同一种业务属性划分到同一段地址空间,有利于安全设计和策略管理。
3) 连续性原则
IPv6地址段之间,段内地址保持连续,避免地址浪费,有利于管理和地址汇总,减小路由表,提高路由效率。
4) 可扩展性原则
地址分配预留一定的余量,预留扩展字段,满足后续网络扩展时的需求。
按照固定前缀 + 1级区域 + 2级区域 + 3级区域 + 接口地址的思路,对网络地址、平台地址、用户地址、接入网地址进行整体规划,所有地址的前48位为申请的固定前缀。Loopback口地址使用/128,点到点链路建议使用/127,VRRP链路建议使用/112,整体规划按照表1设计 [2] 。
Table 1. IPv6 Network address scheme
表1. IPv6地址规划
1级区域:占用1位,4 bit,1代表本校区,2代表新校区,3-F预留。
2级区域:占用1位,8 bit,根据学校业务需求进行设计。
3级区域:占用;两位,8 bit,划分具体业务需求。
接口地址:可根据需求按照IPv4地址,用后8位进行类比取值。
学校按照设计规则颁发IPv6地址并以文本形式形成记录,同时借助IPv6地址管理工具做到有效管理。
2.2. IPv6地址获取模块
2.2.1. 调查研究
1) 获取方式分析:
SLAAC (Stateless Address Auto Configuration,无状态地址自动配置):根据网关设备通告RA (Router Advertisement,路由器通告)报文中携带的网络前缀生成网络ID,根据EUI-64算法生成接口ID,通过两者结合生成一个IPv6地址。
DHCPv6:配置DHCPv6 Server硬件服务器并配置IPv6 PD地址池,地址池给DHCPv6客户端分配IPv6地址前缀。
PD场景中包括两个角色:Delegating Router和Requesting Router。Requesting Router根据实际需要到Delegating Router上申请、释放IPv6前缀。Delegating Router实现IPv6网段的配置,并根据Requesting Router的请求分配地址段。
2) 终端环境分析:校园终端各式各样,通过调查Android 5.0或以上版本,Win 10 (v1709)以上版本和IOS支持从SLAAC获取地址,但是不支持DHCPv6。
3) IPv6+相关报文分析:IPv6 ND报文用于地址发现,NS/NA报文主要用于地址解析,RS/RA报文主要用于无状态地址自动配置,Redirect报文用于路由器重定向
4) 采用关键技术
路由器发现:路由器在与其相连的链路上发布网络参数等信息,主机捕获次信息后,可以获得全球单播IPv6地址前缀、默认路由、链路参数(链路MTU)等信息。
接口ID自动生成:主机根据EUI-64规范或其他方式为借口自动生成借口标识符。
重复地址检测:根据前缀信息生成IPv6地址或手动配置IPv6地址后,为保证地址的唯一性,在这个地址可以使用之前,主机需要检验此IPv6地址是否已经被链路上的其他节点所使用。
前缀重新编址:当网络前缀变化时,路由器再与其相连的链路上发布新的网络参数信息,主机捕获这些信息,重新配置前缀,链路MTU等地址相关信息。
2.2.2. 具体实现
部署DHCPv6服务器和SLAAC混合模式实现在特殊环境下的模块设计,具体过程如下:
1) 数据中心服务器配置IPv6静态地址。
2) 终端通过DHCPv6 Server服务器获取地址,配置网瑞达DHCPv6 Server服务器并在网关设备上设置M标记为1和其它路由参数配置。
3) 终端通过SLAAC地址获取分配实现:在网关设备上设置O标记为1和其它路由参数。思路为网关设备通告RA (路由器通告)报文中携带的网络前缀生成网络ID,根据EUI-64算法生成接口ID,通过两者结合生成一个IPv6地址,配置如图1。
在核心交换机上配置发送RA消息来通告网络前缀,让不支持DHCPv6的终端通过SLAAC进行地址获取,分别以利旧IPv4网关为基础,并配置DHCPv6 Server服务器,部分特殊终端地址通过DHCPv6分配,配置如图2。
针对DHCPv6和SLAAC两种形态具体配置如图3和图4。
核心交换机(作为网关):需要承载DHCPv6终端以及SLAAC终端的网关工作
需要同时开启上述接入交换机的安全功能,比如DHCPv6 Snooping、ND Snooping以及SAVI功能攻击者仿冒网关设备恶意发送的RA报文可以认为是非法报文,私自设置DHCPv6服务器的行为称作私设DHCPv6 Server。对于非法RA以及私设DHCPv6 Server的解决措施,其核心在于直接丢弃非法设备发送过来的报文,从根源上解决问题。
Figure 1. SLAAC implementation methodology
图1. SLAAC实现方法
Figure 3. Accessing the switch DHCPv6 settings
图3. 接入交换机DHCPv6设置
Figure 4. Access switch SLAAC settings
图4. 接入交换机SLAAC设置
2.3. 网络通道模块
1) IPv4基础架构保持不变,在原有IPv4网络的基础之上所有设备升级为IPv4/IPv6双栈网络,所有设备的二、三层组网模式及角色不变,即L2、L3与IPv4网络保持一致,IPv6的路由协议设计与原IPv4网络保持一致,核心设备与汇聚层启用OSPFv3,设置开销值,分的若干网络区域路由聚合收敛,划入Area0区域,所有的L3设备运行IPv4、IPv6双栈协议,保证存在高数据链路数据优先走。
2) 按照IPv6的地址分配遵循聚类(Aggregation)的原则,校园网路由通过OSPFv3或者静态路由相结合的方法,建立全网IPv6通道,在路由表中可以用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度,使IPv6通道速度更快。
3) 利用IPv6IPSEC拓展协议,对网络层的数据进行加密并对IP报文进行校验,增强了网络安全。
4) 通道安全防火方面建立被屏蔽子网体系结构,设置外部路由防火墙、数据中心防火墙、堡垒主机构成校内防火墙系统,数据中心防火墙保护数据中心安全,堡垒机保护数据中心应用系统的安全,同时在各个应用系统之前放置IPv4/IPv6反代设备,对于不支持IPv6的应用系统通过反代进行转换,实现IPv6网络的畅通和数据中心相对的安全 [3] 。
5) 有线无线网络建设
从AC-核心交换-POE交换整体模块改造和升级,部分终端通过双栈技术打通IPv6有线无线隧道。特殊终端利用ISATAP自动建立隧道的过渡技术,通过将IPv4地址嵌入到IPv6地址当中,将IPv6包封装在IPv4中传送,在主机相互通信中抽出IPv4地址建立隧道,从而实现被IPv4隔离的IPv6孤岛之间的连接。实现IPv6有线无线一体化管理,FitAP可以通过IPv6网络注册到IPv6AC模块,并建立CAPWAP(无线控制器与AP设备通讯协议),利用集中转发模块,实现IPv6 AC无线控制器对IPv6 AP的配置自从下发,实现IPv6+有线无线体系。终端通过IPv6正常访问IPv6网络及IPv6业务。利用IPv6扩展性性进行网络融合,打造IPv6+的有线无线融合网络,师生无感知的体验IPv6带来的便捷性 [4] 。
2.4. 安全认证模块
我校原认证接入方式主要为IPv4 802.1X接入认证方式。随着学校信息化建设的深入发展,接入方式已逐渐显现出其弊端,IP冲突、ARP病毒攻击、广播风暴等日益凸显,导致认证慢、上网卡等问题 [5] ,考虑更换认证方式Portal认证。
1) Portal采用先获取地址,在进行拨号上网;
2) Portal认证后,师生每人一个用户名,每个用户名注册后全校通用,能够实现精准溯源;
3) IPv6不存在ARP报文,由ND报文取代ARP报文,消除ARP病毒攻击;
4) IPv6用的是任播协议,不存在广播类型,消除广播风暴。
为保证终端认证和安全可靠传输设计IPv4/IPv6双栈体系认证体系,把固定IP接入及802.1X认证升级为Portal认证,并搭建IPv4/IPv6双栈体系认证平台,建设思路为配置网瑞达DHCPv4/DHCPv6设备数据推送到华为BRAS设备,华为BRAS Radius服务器报文重定向至城市热点Portal IPv6服务器进行弹框认证,BRAS设置为AAA认证,城市热点为Portal弹框及计费功能,利用IPv6的隐私保护机制实现在WEB认证情况下对用户IPv4联动IPv6无感知认证,为IPv6指定了支持身份验证、数据完整性和数据保密性的扩展。最终实现IPv6终端认证、端到端认证、服务端认证 [4] ,认证拓扑如图5。
Figure 5. IPv6 authentication network architecture diagram
图5. IPv6认证网络结构图
校园内实现网络认证策略执行点的统一,通过城市热点计费系统,同一个账号实现不同的上网方式,不同认证区域的计费认证,认证过程由BRAS、认证服务器、Portal服务器完成,在办公区和教学区校园网无线用户免费使用,学生在宿舍区采用有偿,教师用户免费,多个运营商网络跟学校AC采用光纤连接,对应运营商用户SSID的相应VLAN数据包通过Trunk口,透传到BRAS [6] 。
终端认证:配置网瑞达DHCP IPv4/IPv6系统实现全网IPv4/IPv6用户的IP实名准入,系统通过与校园统一身份认证系统的单点登陆对接,用户使用统一身份认证系统账号完成实名绑定MAC后,获取到IPv4/IPv6地址接入网络,大大加强了网络接入安全管理。
服务端认证:通过城市热点计费认证系统与华为BRAS对接,实现不同认证方式的IPv4/IPv6地址通知机制,通过与BRAS的Radius报文交互实现v4v6联动上下线,交互报文包括上下线、CoA、计费更新报文等,通过AC本地或者集中转发模式中,在AP或者AC上设置与认证平台的联动机制,在AP/AC上过滤非法报文。
端到端认证:保证端到端数据数据安全传输,在传输网络中进行认证,在网络端开启验证和信任机制,防止非法接入,实现端到端安全无感知认证 [7] ,效果如图6。
3. 结语
学校建得好不好看,主要看基建;建得好不好用,主要看信息化。我校基于IPv4/IPv6高速融合网络,充分利用大数据、物联网、人工智能等新一代信息技术,推进信息技术与学校事业发展深度融合、致力建设“安全、可靠、精准、可扩展”的IPv4/IPv6网络 [8] 。
利用IPv6+扩展协议,通过4个模块的研究和设计,建立了一套符合IPv6+校园网络体系标准,师生通过IPv6+校园网络平台快速访问IPv6网络资源,同时做到认证溯源,实现IPv6终端精准定界,推动校内IPv6 转化,支撑网络、终端、业务等发展,提高IPv6校内师生业务感知。
在此基础之上我校搭建IPv6+实验室,不断完善开发IPv6+相关特性,推动IPv6稳步向前发展。
我校通过各个模块的构建,能够更好的完成IPv6网络的一体化运维,但是做好网络安全运维,是一个持续的过程,要持续不断加强策略部署、安全防范,如安全设备对IPv6环境过滤。网络隔离设计、IPv6报文捕获、入侵事件等要深入研究,只有持续不断的完善研究才能更好的推进IPv6的网络建设;目前我们属于IPv6+ 1.0时期,也就是IPv4/IPv6双栈时期,可以利用IPv6自身的特性来简化网络的业务部署,但是针对这个时期我们更应该用这个良好的契机打造和稳固网络底层机构;建立一张完整的IPv6体系是校园网IPv6发展的重要一步,在这个基础上我们才能向2.0甚至3.0时代迈进 [9] ,要持之以恒的向智能、安全、超宽、广联接、确定性和低时延六个维度来推动IPv6发展和全面提升校园网IPv6网络能力。
基金项目
伊犁师范大学校级科研项目(2023YSYY008)。
参考文献
NOTES
*通讯作者。