高校如何部署一个安全可溯源的IPv6校园网?


  2018年5月3日,工业和信息化部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,这份文件,成为智慧校园发展的巨大引擎,文件对教育网的IPv6改造做了明确要求:
  到2018年底,教育网完成业务运营支撑系统升级改造,建立面向IPv6业务的运维管理体系和业务管理流程,具备IPv6用户统计、网络日志审计、流量统计以及IPv6业务受理、开通、运行维护等能力。
  到2019年底,省教育计算机网以及高等学校校园网完成IPv6升级改造。鼓励有条件的高等学校开展纯IPv6试验网建设;鼓励中小学、幼儿园积极推进校园网IPv6改造。



  国家政策虽然一直在强调校园网的IPv6改造,但就目前IPv6升级而言,高校仍旧没有找到相关IPv6安全合规且系统有效的解决方案。
  按照现有等级保护标准,网络安全主要有三个防护要求:访问控制、边界完整性和安全审计
  需要强调的是,访问控制是建立在实名认证的基础上,然后结合接入控制设备进行实名用户访问控制。
  而实名认证分为准入和准出认证,准入认证的好处是实现边界完整和IP实名审计,但要实现IPv6准入认证就意味着现有准入和汇聚网络设备要改造,这对很多高校来说需要很大的预算。

  网络设备仅仅简单支持IPv6准入认证还是不够,仍然需要解决很多细节才能建立安全的IPv6网络,这是由于IPv6的以下几个重要特性:

  1.终端兼容性。
  原生的安卓设备不支持DHCPv6,意味着无线网需使用无状态地址自动配置方式(SLAAC)配置IPv6。

  2.地址变化频繁。
  使用SLAAC后,所有PC和智能终端操作系统,因默认启用隐私保护策略(RFC4941、RFC7217),终端的IPv6地址就会每小时或切换网络时都会发生变化,目的是隐藏轨迹保护隐私,以防被跟踪攻击。

  3.NDP协议的组播特性。
  IPv6的一个主要增强特性是邻居发现(ND, Neighbor Discovery)。ND用一种更全面、统一的方法取代了IPv4使用的ICMP和ARP。IPv6无状态地址的自动配置和地址变更过程也是基于NDP协议,但NDP协议使用了组播方式通信,意味着终端的IPv6无状态地址和MAC地址对应日志分布在不同的汇聚交换机,传统基于SNMP网管方式难以有效快速采集大规模网络中变化频繁的IPv6地址日志。

  所以,校园网基础网络的IPv6改造,不是简单的网络设备改造,如果以上问题不能妥善解决,IPv6的校园场景应用,会面临以下挑战:

  1.安全无法溯源。
  难以实现有效的IPv6 IP实名审计,同时,当IPv6网络出现安全威胁,面对变化频繁的无状态地址,无法溯源终端的网络轨迹,难以找到元凶;

  2.用户体验差。
  在有IPv6准入认证的情况下,频繁变化的地址意味用户需要反复认证,使用体验很差,如果要实现无感知认证,要求认证系统能够兼容不同网络设备厂商的无感知认证方法。

  3.组网环境复杂。
  不同的组网方案也需要不同的整体解决方案。传统三层网络、扁平化网络和SDN网络, IPv6地址审计、无感知认证、准入认证等需要满足的条件就各有不同,比如纯二层扁平化网络,相对于传统三层网络,核心BRAS更容易实现IPv6地址审计。

  那么,高校面对国家政策要求和IPv6升级改造的诸多难题,应该怎么办?
  Dr.COM城市热点,作为网络实名安全解决方案的领导者,依据多年的实名安全经验,为高校的IPv6提供Dr.COM IPv6认证管理解决方案,整个方案贯穿IPv6用户从地址分配管理到日志审计的全环节,为校园网解决部署升级中所面临的认证体验、地址审计、实名认证、厂家兼容等多种棘手问题。



  1.实现无感知认证和实名审计。
  针对无状态地址变化频繁的特性,Dr.COM 认证系统配合Dr.COM智能DHCP系统,可实现终端IPv6隐私策略的无感知认证,解决IPv6地址变化带来的接入体验问题,并有效对用户进行合规实名审计。

  2.满足多场景化需求。
  支持各种复杂网络场景,无论传统三层、扁平化网络、SDN网络,还是认证网关、旁挂认证服务器及运营商PPPoE代拨,均能实现方案完整功能。

  3.广泛的兼容性。
  广泛的设备厂家IPv6兼容性,城市热点秉承一贯的兼容互通原则,支持包括华为、华三、锐捷、Juniper等的Portal v6协议、Radius v6厂家属性、v6无感知认证方法等IPv6相关业务功能特性,保障客户投资和方案灵活性。

  4.完善的IPv6运营支撑工具。
  除了独立的IPv6用户在线分析、活跃分析报表等的业务后台,还提供手机端IPv6助手,帮助用户一目了然IPv6地址情况和互联网联通状态,如有故障可一键提交后台快速分析定位,帮助网络管理者高效率可控的完成IPv6网络快速部署。




  5.选择多样化。
  支持2017版IPv6标准协议集(RFC8200),提供多样化的双栈联动认证方案,支持IPv6-Only部署。

  Dr.COM城市热点的IPv6综合性解决方案,提供IPv6升级改造中全环节的技术服务;相信不久之后,中国将会迎来IPv6发展浪潮,智慧高校也将在IPv6的大势所趋下,迎来全新的发展,我们要做的,就是以开放创新的姿态,拥抱IPv6的全面到来。