近日,中央网信办、国家发展改革委、工业和信息化部印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(以下简称《通知》)。《通知》落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求,明确了“十四五”时期深入推进IPv6规模部署和应用的主要目标、重点任务和时间表,是各地区、各部门推进IPv6部署应用工作的指导性文件。
《通知》指出,推动IPv6与教育新型基础设施融合发展,开展教育信息化IPv6支持能力建设,推动IPv6在数字教育资源公共服务体系中的应用,深化在线教育等商业平台IPv6改造。
高校校园网改革作为国家基础教育建设重要的一环,响应政策进行IPv6改造义不容辞。重庆大学早在2009年便已意识到部署IPv6的重要性,一直积极推进校园网进行IPv6改造,使校园网支持IPv4/v6双栈使用,同时还建设了纯IPv6学科专网,用于学科实验室科研使用,和IPv6组网技术及典型应用示范。
重庆大学坐落于长江上游地区经济和金融中心、美丽的山水都市——中央直辖市重庆,是中央直管、教育部直属的副部级全国重点大学,国家“211工程”、“985工程”首批重点建设的大学,“2011计划”、“111计划”入选高校,“卓越大学联盟”的主要成员。教职工5300余人,在校学生47000余人,其中研究生20000余人,本科生26000余人,来华留学生1700余人。校园占地面积5200余亩,有A校区、B校区、C校区和虎溪校区。
但随着IPv6规模化部署和资源应用开始普及,IPv6活跃用户和流量增长迅猛,重庆大学的IPv6改造之路遇到了重大问题:
IPv6安全合规运营存在漏洞学校现有的IPv6网络属全开放的实验网,缺少实名认证、访问日志、监测预警等安全运营设施;IPv6的地址也需要进行分配及管理,包括终端类型的采集,网络各设备的日志及用户行为分析,及无线用户认证。
只有实现了运营安全合规,才能有力推进IPv6用户规模化接入。经过严格的招投标程序和专家评审,城市热点的
IPv6实名安全运营支撑系统系列产品成功中标,该系列产品和原有的IPv4计费认证系统统一规划、统一管理、统一接入认证,构建一套安全、可管、可控的IPv4/IPv6双栈网络。
重庆大学本次部署的IPv6安全运营支撑系统,不仅限于认证环节,而是贯穿于实名用户从地址分配、接入认证到日志审计的全环节,涉及IPv6地址分配管理、认证计费网关、日志管理和portal认证服务。
系统主要功能
系统各组成部分功能
组网拓扑图
在IPv6改造前,城市热点针对重庆大学双栈校园网出口复杂的环境,进行全面了解:
・老校区有一个IPv6教育网出口和两个IPv4电信互联网出口
・新校区有一个IPv4电信互联网出口
・新校区的IPv6流量通过出口防火墙的双栈互通,返回老校区的教育网出口
・新系统需兼容IPv4网络原有使用习惯
针对上述情况,城市热点给出如下解决方案:
01 每个出口部署独立认证网关所有认证网关设置双栈地址,获取用户双栈地址,并启用双栈联动认证,即双栈用户IPv4地址认证上线时,自动将其IPv6地址上线,用户访问IPv6资源时无需再次登录。当用户IPv6地址中途变化,页面会重定向到注销页主动上线更新IPv6地址,上述部署使得校园网内单栈v4、单栈v6、IPv4/6双栈的终端都能实现流畅的接入认证体验。
02 对IPv4、IPv6分别精细化管理认证网关同时对IPv4、IPv6分别精细化管理,如独立的IPv6用户在线分析、活跃分析;对IPv4实行限速和流量计费,对IPv6只做认证控制,IPv6流量不做计费不限速。
03 智能DHCP联动IPv6无感知认证智能DHCP系统将用户DHCP指纹信息(如:IPv4、IPv6、MAC、终端名称、终端类型等)通过接口,实时推送给认证计费系统。认证计费系统收到信息后对比该DHCP指纹信息绑定的账号,通知认证网关进行无感知认证。
04 网络设备日志统一可视化管理,满足网络安全法要求日志管理平台基于Hadoop大数据平台,负责保存认证网关系统采集用户上网日志、智能DHCP系统日志和设备系统运行日志。同时支持第三方主流厂商设备:AC、NAT、DNS、交换机、防火墙、行为审计设备、Linux/Windows主机等syslog日志采集分析,通过可视化存储管理,满足网络安全法180天的保存要求。
05 网络设备日志与认证系统实名身份关联这是日志管理平台一个重要特点,支持认证网关的用户在线表同步接口,可对日志源的用户IP字段实名标签自动关联,实现对校园网各种业务系统和路由器、交换机、安全设备的日志均可进行实名用户溯源。
重庆大学IPv6实名安全运营支撑系统的成功部署,使重庆大学IPv6双栈校园网能够建立完善的满足网络安全法及等保要求的实名网络安全运营支撑体系,目前重庆大学全网用户都能获得IPv6地址,
平均在线活跃用户达到3万人,IPv6出口评价流量5G,峰值达到7G。
重庆大学校园网能够代表我国相当一部分高校校园网的基本特点,即IPv4多出口、IPv6独立出口、多校区、网络完成双栈改造、三层汇聚等,重庆大学IPv6实名安全运营支撑系统的成功经验,为高校校园网IPv6规模化部署的安全合规运营提供有益的参考借鉴,这些经验主要有以下几点:
1. 只有实现了运营安全合规, 才能有效促进IPv6规模化部署,特别是IPv6用户规模化接入。
2. IPv6安全运营支撑系统需围绕实名制,贯穿从地址分配、接入认证、访问控制到日志审计的全环节进行系统规划,才能确保IPv6安全运营支撑系统的完整性。
3. IPv4与IPv6分散独立出口,是高校三层汇聚校园网常态,重庆大学案例提供了单栈v4、单栈v6、IPv4/6双栈混合场景下,如何实现多出口之间双栈和地址变更联动认证,和结合智能DHCP实现无感知认证的成功经验。
4. 基于双栈网络环境下,用户IP地址构成更加复杂,实名溯源是安全运营的重要组成部分,重庆大学IPv6安全运营支撑系统中的日志管理平台,通过与认证网关的用户在线接口,和第三方设备日志集中统一管理,有效对海量日志进行完整的校内轨迹实名溯源。
近年来,国家出台了一系列政策快速推进IPv6规模部署,高校校园网进行IPv6升级改造,是时代发展的需求,也是顺应国家政策发展的需要。未来,城市热点将携手更多高校进行IPv6升级改造,共同促进智慧高校进入下一个黄金发展阶段。