2024年3月6日发(作者:)
解
决
方
案
2
2020年6月2日
IPV6
目 录
前言............................................................................................................................. 3
政策及背景 ................................................................................................................ 4
政策解读 .................................................................................................................... 4
1.高教IPv6的演进阶段需求 .................................................................................. 6
2. 高校IPv6升级改造面临的问题和挑战 ........................................................... 7
3. 极简校园网IPV6解决方案设计 ....................................................................... 8
3.1 高校IPV6使用现状 ......................................................................................... 8
3.2 方案设计概览 .................................................................................................... 9
3.3 扁平化IPV6设计 ........................................................................................... 10
3.4 IPV6地址设计 .................................................................................................. 11
3.5 IPv6实名认证设计 .......................................................................................... 14
3.5.1双栈认证代理方案设计 .................................................................... 15
3.5.2 IPv6无感知认证设计 ......................................................................... 16
3.6 IPv6出口选路设计 .......................................................................................... 17
3.7 IPv6日志与审计 .............................................................................................. 19
3.7.1 IPV6日志审计 ...................................................................................... 19
3.7.2 出口审计............................................................................................... 19
3.8 IPv6业务支撑设计 .......................................................................................... 20
4.方案设计价值分析 ............................................................................................. 23
5.方案整体周期设计 ............................................................................................. 24
2
前言
随着移动互联网、物联网、工业4.0等新兴产业迅速发展,现今互联网(IPv4)地址已分配殆尽,而下一代互联网(IPv6)拥有128位的IP地址长度,广阔的网络地址空间完全满足发展需要。
IPv6经过二十多年的发展,目前IPv6技术应用完全成熟,已经成为全球通用标准,具备较高的机密性和完整性,为国家网络提供安全保障。
2
政策及背景
截止到2017年7月,下一代互联网全球的部署率已经超过20.14%,短短半年增长了3.14%,如果以同样的速度增长,下一代互联网部署率将在2018年达到50%。截至2016年12月,美国下一代互联网用户普及率为45.16%;比利时部署率更高达59%;同在亚洲地区的印度下一代互联网用户普及率为32.59%;而中国这一比例数据不到10%,整体发展相对滞后。
国家重大政策推进下一代互联网发展,用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。
政策解读
《IPv6行动计划》的具体节点目标
➢ 到2018年末,市场驱动的良性发展环境基本形成,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%
2
➢ 到2020年末,市场驱动的良性发展环境日臻完善,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址
➢ 到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位,网络、应用、终端全面支持IPv6,全面完成向下一代互联网的平滑演进升级,形成全球领先的下一代互联网技术产业体系
三年规划(先设备后应用)
2018
IPv6安全硬件设备和软件平台的升级改造
中国教育和科研计算机网完成升级改造,支持IPv6接入
2019
完成域名解析系统IPv6改造
核心业务信息系统和网站完成IPv6改造
2020
教育系统的各类网络、门户网站和重要应用系统完成升级改造,支持IPv6访2
问
基于IPv6的安全保障体系基本形成;
1.高教IPv6的演进阶段需求
➢ 初始阶段需求
实现IPv6连通,基础网络具备IPv6转发能力;
接入IPv6教育网(Cernet2),提供校内用户使用IPv6免费访问教育网资源;
➢ 二阶段需求
初步实现IPv6访问可管、可控;具体可以通过IPv4身份认证后IPv6放行的方式;
校内部分服务器资源逐步具备提供IPv6服务的能力,即提供IPv4和IPv6双栈服务能力;
➢ 三阶段需求
全校IPv6连通,校内所有业务可以通过IPv6访问;
IPv6业务可管、可控、可追溯,做到IPv6的身份认证、实名审计、日志溯源;
为校外提供IPv6相应服务的发布,如官网门户、专用APP服务;
2
2.
高校IPv6升级改造面临的问题和挑战
IPv6安全防护
IPv6通道访问如何控制
IPv6通道如何做好审计工作
IPv6通道如何满足网络安全法 IPv6平滑过渡
如何尽量不改动现网结构
如何尽量让用户无感知
如何投资代价最小
IPv6网络开通
设备双栈开启
IPv6地址如何获取
IPv6地址如何分配
IPv6 DNS如何获得
IPv6业务支撑
IPv6业务怎么上线
IPv6业务怎么保障
IPv6应用识别和过滤
2
3.
极简校园网IPV6解决方案设计
3.1 高校IPV6使用现状
大部分高校园区内已经开启IPv6的使用或者具备IPv6的能力;
校园内部大都采用双栈的模式;
多数使用IPv6访问国内外教育资源,极少数校内提供IPv6服务; 大多高校没有IPv6实名认证和审计,前期使用IPv4认证,IPv6
通,缺乏审计手段;
针对IPv6安全防护暂无特殊考虑;
目前IPv6的出口带宽较少,一般只有几十兆;
2
放
3.2 方案设计概览
网络:
1、采用扁平化架构,仅核心,出口支持IPv6即可快速实现全网IPv6 支持;
2、承载接入网络(有线,无线,专网)天然支持IPv6透明传输;
3、IPv6地址分配采用DHCPv6/无状态地址自动分配方式结合;
安全及认证:
1、安全设备选型完全支持IPv6 ;
2、出口日志支持IPv6 ;
3、部署IPv6实名认证和认证计费系统联动实现实名审计,N18K支持SAVI;
应用:
1、改造或建设一批支持IPv6的应用;
2
2、保留一批纯IPv4应用,通WG 进行IPv6代理转换,实现快速的IPv6业务资源上线;
3、部署IPv6缓存加速,提升访问体验,节约出口带宽投入;
4、DNS支持IPv6 ;
3.3 扁平化IPV6设计
传统IPV6部署
核心*1需部署
扁平化架构 传统三层架构
IPV6配置、IPV6路由部IPV6配置、IPV6路由部署、安全 署
IPV6配置、IPV6路由部署
2
汇聚*20台需部署 无需配置
接入*>500台 无需配置 安全改造
本方案建议采用N18K做扁平化IPv4/IPv6核心,支持扁平化SAVI功能(N18K开启SAVI,接入汇聚无需配置,支持6W双栈终端地址,无状态支持4.5W双栈终端);中高职院校可选RSR77-X做扁平化IPv4/IPv6核心;
扁平化架构具备:维护简单、业务上线块、安全隔离、策略集中部署等特性;其中安全隔离锐捷特有,支持Supervlan/QinQ每端口隔离技术。
传统三层架构,目前核心交换、路由设备均支持双栈协议,支持客户IPv6升级改造;
3.4 IPV6地址设计
目前大量版本的Android手机不支持DHCPv6有状态地址分配,如下图所示。
2
本方案终端地址分配模式的设计推荐:
1.无状态获取 : 部署最多,适合全场景(推荐无线场景)
无状态地址自动配置是指不需要DHCP服务器进行管理,客户端根据网关RA(路由通告),并根据自己的MAC地址计算出自己的IPv6地址。
优势:终端即插即用,部署简单,终端支持度广。
2
2.有状态地址分配:部署受限制,适合PC(推荐有线场景)
有状态是指地址由网关设备或者DHCP服务器分配
优势:地址按照顺序分配,有规则分配,便于地址管理
问题:安卓终端不支持有状态获取地址
2
3.5 IPv6实名认证设计
《网络安全法》、《公安部82号令》明确指出,网络用户应该实名制接入用户对于IPv6站点的访问,同样需要进行实名认证。
现有IPV6认证存在的问题:
双栈&认证:
1.双栈客户端的DNS解析会解析IPv4的DNS记录&IPv6的DNS记录
2.客户端优先采用IPv6连接 (RFC6724 ) Default Address Selection for
Internet Protocol version 6 (IPv6)
问题:
1.用户优先访问web会默认进行IPv6认证,当前众多设备不支持IPv6认证;
2.双栈客户端在等待20S-70S不等的时间内才进行IPv4重定向访问,用户感受网络很慢;
3.部分厂家IPv4和IPv6都需要各做一次认证,体验不好;
2
3.5.1双栈认证代理方案设计
IPv6 WEB认证
解决用户IPv6优先,长时间无法弹出认证页面问题
N18K响应终端IPv6认证请求,封装IPv4 Portal地址给终端,后续流程通过IPv4认证完成;解决Portal、Radius、NAS不支持纯IPv6认证,导致用户认证长时间无响应问题。
认证方案优势:
➢ 强安全:解决IPv6实名安全问题;
➢ 高性能:支持10w的IPv6认证噪音,支持6W双栈,业界水平20倍以上;
➢ 体验强:用户认证秒弹,支持10w的IPv6认证噪音;
2
➢ 开放兼容:无需改造Portal,改造只需要1台18K,同时支持各个厂商的radius,portal;
如果Radius或Portal不支持IPv6,N18K支持进行IPv6转换,用户端发出的IPv6的请求,N18K会采用IPv6 TCP的伪链接回复终端(内含IPv4Portal地址),后续认证流程切换到IPv4,会携带IPv4和IPv6地址送到Radius;
3.5.2 IPv6无感知认证设计
若IPv6地址变化在同一网段内,通过无感知迁移方式自动完成IPv6认证,解决用户掉线问题;
IPv6认证:
用户端优先IPv6,N18K响应IPv6报文,如果Radius或Portal不支持IPv6,N18K支持进行IPv6转换,用户端发出的IPv6的请求,N18K会采用IPv6 TCP的伪链接回复终端(内含IPv4Portal地址),后续认证流程切换到IPv4,会携带IPv4和IPv6地址送到Radius;
2
IPv4认证:通过兼容模式支持,IPv4认证通过后,IPv6放行;
3.6 IPv6出口选路设计
随着互联网企业的V6应用改造,外部资源会逐步增多,部分流量牵引至教育网V6出口,存在拥塞风险,影响体验。
本方案提供流量智能调度方案,IPv6出口高峰拥塞前自动引流到IPv4出口,低峰期切换回IPv6出口,保障用户体验;
✓ SDN设置对IPv6的流量监控,当流量超过接口带宽的90%
✓ SDN通过OPENFLOW通告N18k需要进行业务切换
✓ 核心上触发将IPv6 DNS请求送CPU,并且丢弃正常的V6转发
✓ 核心上伪造DNS,回应报文客户端一个DNS NO-DATA消息
✓ 客户端判断无DNS回应,会快速启动IPv4服务
✓ 后续用户访问的流量走IPv4报文,完成出口调度
2
优势:
➢ 省成本:无需升级V6带宽
➢ 高体验:根据用户体验智能调度业务减少用户不必要投诉
➢ 智能:无需人工干预,全自动化监控
2
3.7 IPv6日志与审计
3.7.1 IPV6日志审计
出口设备将用户的上网行为信息发给日志设备,包括用户的IPv6地址和访问网络的URL,日志设备再将从SAM端获取到的用户实名信息和用户行为信息整合,得到用户的实名日志信息。
SAM和elog、BDS配合实现实名日志;支持安全问题追溯到人。
3.7.2 出口审计
内容审计
URL、网络搜索外发文件、邮件微博等内容审计
行为管控
邮件收发管理、邮件附件过滤、不良网站封堵、异常行为告警;
实名制上网行为审计
与实名认证系统对接
2
3.8 IPv6业务支撑设计
本方案设计一下两种业务上线模式:
方案一:
网站防火墙通过代理模式提供IPv6业务,IPv4应用服务器无需做任何修改,快速提供IPv6服务;
方案二:
网站防火墙支持灵活的代理模式,可同时对老旧IPv4服务器和新增IPv6服务器组成的集群提供统一的对外IPv6业务访问,后逐步下架IPv4服务,保障平2
滑迁移;
IPv6业务缓存加速
减轻出口压力(IPv6带宽紧张、费用昂贵)
节省30%-50%的带宽资源
2
提升用户体验
畅享如内网般的极速体验
把握网络热点动向
缓存资源统计、分析,提供网络规划和数据挖掘依据
2
4.方案设计价值分析
极简架构
扁平化架构,轻松升级IPv6
➢ 只需要维护一台核心,核心和出口支持IPv6即可快速升级IPv6
➢ 接入网有线无线全兼容
➢ SDN可视化IPv6管理
安全合规
符合网络安全法建设,实名审计
➢ IPv6实名认证,SAVI源地址安全过滤
➢ IPv6实名访问日志
➢ IPv6实名审计
➢ IPv6安全态势感知整体解决方案
业务加速 平滑过渡
场景化IPv6方案设计,保障v6体验
IPv6加速
➢ IPv6出口流量调度
➢ Powercache IPv6业务加速
业务体验保障
➢ 双栈代理认证,一次认证体验
➢ WG代理IPv4应用无需改造快速上线IPv6
➢ IPv4IPv6混合集群,平滑过渡
2
5.方案整体周期设计
第一期
双栈支持 业务系统升级 IPv6 全面上线
校内网全面开启-
双栈支持,启用IPv4+IPv6实名认证和计费;IPv6选路策略,日志审计
第二期
校内业务系统逐
步改造提供IPv6服务,可以从门户网站开始;其他业务系统根据重要性逐步改造;部分应用可通过代理方式不修改快速提供IPv6服务
第三期
对IPv6资源提供优先服务,资源倾向和业务质量保障;逐步全面迁移2
到纯IPv6支持
2
发布评论