高校IPV6解决方案全面版.docx
《高校IPV6解决方案全面版.docx》由会员分享,可在线阅读,更多相关《高校IPV6解决方案全面版.docx(18页珍藏版)》请在冰豆网上搜索。
高校IPV6解决方案全面版
IPV6
解
决
方
案
2020年6月2日
前言3
政策及背景4
政策解读4
1.高教IPv6的演进阶段需求6
2.高校IPv6升级改造面临的问题和挑战7
3.极简校园网IPV6解决方案设计8
3.1高校IPV6使用现状8
3.2方案设计概览9
3.3扁平化IPV6设计10
3.4IPV6地址设计11
3.5IPv6实名认证设计14
3.5.1双栈认证代理方案设计15
3.5.2IPv6无感知认证设计16
3.6IPv6出口选路设计17
3.7IPv6日志与审计19
3.7.1IPV6日志审计19
3.7.2出口审计19
3.8IPv6业务支撑设计20
4.方案设计价值分析23
5.方案整体周期设计24
前言
随着移动互联网、物联网、工业4.0等新兴产业迅速发展,现今互联网(IPv4)地址已分配殆尽,而下一代互联网(IPv6)拥有128位的IP地址长度,广阔的网络地址空间完全满足发展需要。
IPv6经过二十多年的发展,目前IPv6技术应用完全成熟,已经成为全球通用标准,具备较高的机密性和完整性,为国家网络提供安全保障。
政策及背景
截止到2017年7月,下一代互联网全球的部署率已经超过20.14%,短短半年增长了3.14%,如果以同样的速度增长,下一代互联网部署率将在2018年达到50%。
截至2016年12月,美国下一代互联网用户普及率为45.16%;比利时部署率更高达59%;同在亚洲地区的印度下一代互联网用户普及率为32.59%;而中国这一比例数据不到10%,整体发展相对滞后。
国家重大政策推进下一代互联网发展,用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。
政策解读
《IPv6行动计划》的具体节点目标
Ø到2018年末,市场驱动的良性发展环境基本形成,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%
Ø到2020年末,市场驱动的良性发展环境日臻完善,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址
Ø到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位,网络、应用、终端全面支持IPv6,全面完成向下一代互联网的平滑演进升级,形成全球领先的下一代互联网技术产业体系
三年规划(先设备后应用)
●2018
IPv6安全硬件设备和软件平台的升级改造
中国教育和科研计算机网完成升级改造,支持IPv6接入
●2019
完成域名解析系统IPv6改造
核心业务信息系统和网站完成IPv6改造
●2020
教育系统的各类网络、门户网站和重要应用系统完成升级改造,支持IPv6访问
基于IPv6的安全保障体系基本形成;
1.高教IPv6的演进阶段需求
Ø初始阶段需求
实现IPv6连通,基础网络具备IPv6转发能力;
接入IPv6教育网(Cernet2),提供校内用户使用IPv6免费访问教育网资源;
Ø二阶段需求
初步实现IPv6访问可管、可控;具体可以通过IPv4身份认证后IPv6放行的方式;
校内部分服务器资源逐步具备提供IPv6服务的能力,即提供IPv4和IPv6双栈服务能力;
Ø三阶段需求
全校IPv6连通,校内所有业务可以通过IPv6访问;
IPv6业务可管、可控、可追溯,做到IPv6的身份认证、实名审计、日志溯源;
为校外提供IPv6相应服务的发布,如官网门户、专用APP服务;
2.高校IPv6升级改造面临的问题和挑战
✧IPv6安全防护
IPv6通道访问如何控制
IPv6通道如何做好审计工作
IPv6通道如何满足网络安全法
✧IPv6平滑过渡
如何尽量不改动现网结构
如何尽量让用户无感知
如何投资代价最小
✧IPv6网络开通
设备双栈开启
IPv6地址如何获取
IPv6地址如何分配
IPv6DNS如何获得
✧IPv6业务支撑
IPv6业务怎么上线
IPv6业务怎么保障
IPv6应用识别和过滤
3.极简校园网IPV6解决方案设计
3.1高校IPV6使用现状
●大部分高校园区内已经开启IPv6的使用或者具备IPv6的能力;
●校园内部大都采用双栈的模式;
●多数使用IPv6访问国内外教育资源,极少数校内提供IPv6服务;
●大多高校没有IPv6实名认证和审计,前期使用IPv4认证,IPv6放通,缺乏审计手段;
●针对IPv6安全防护暂无特殊考虑;
●目前IPv6的出口带宽较少,一般只有几十兆;
3.2方案设计概览
网络:
1、采用扁平化架构,仅核心,出口支持IPv6即可快速实现全网IPv6支持;
2、承载接入网络(有线,无线,专网)天然支持IPv6透明传输;
3、IPv6地址分配采用DHCPv6/无状态地址自动分配方式结合;
安全及认证:
1、安全设备选型完全支持IPv6;
2、出口日志支持IPv6;
3、部署IPv6实名认证和认证计费系统联动实现实名审计,N18K支持SAVI;
应用:
1、改造或建设一批支持IPv6的应用;
2、保留一批纯IPv4应用,通WG进行IPv6代理转换,实现快速的IPv6业务资源上线;
3、部署IPv6缓存加速,提升访问体验,节约出口带宽投入;
4、DNS支持IPv6;
3.3扁平化IPV6设计
传统IPV6部署
扁平化架构
传统三层架构
核心*1需部署
IPV6配置、IPV6路由部署、安全
IPV6配置、IPV6路由部署
汇聚*20台需部署
无需配置
IPV6配置、IPV6路由部署
接入*>500台
无需配置
安全改造
本方案建议采用N18K做扁平化IPv4/IPv6核心,支持扁平化SAVI功能(N18K开启SAVI,接入汇聚无需配置,支持6W双栈终端地址,无状态支持4.5W双栈终端);中高职院校可选RSR77-X做扁平化IPv4/IPv6核心;
扁平化架构具备:
维护简单、业务上线块、安全隔离、策略集中部署等特性;其中安全隔离锐捷特有,支持Supervlan/QinQ每端口隔离技术。
传统三层架构,目前核心交换、路由设备均支持双栈协议,支持客户IPv6升级改造;
3.4IPV6地址设计
目前大量版本的Android手机不支持DHCPv6有状态地址分配,如下图所示。
本方案终端地址分配模式的设计推荐:
1.无状态获取:
部署最多,适合全场景(推荐无线场景)
无状态地址自动配置是指不需要DHCP服务器进行管理,客户端根据网关RA(路由通告),并根据自己的MAC地址计算出自己的IPv6地址。
优势:
终端即插即用,部署简单,终端支持度广。
2.有状态地址分配:
部署受限制,适合PC(推荐有线场景)
有状态是指地址由网关设备或者DHCP服务器分配
优势:
地址按照顺序分配,有规则分配,便于地址管理
问题:
安卓终端不支持有状态获取地址
3.5IPv6实名认证设计
《网络安全法》、《公安部82号令》明确指出,网络用户应该实名制接入用户对于IPv6站点的访问,同样需要进行实名认证。
现有IPV6认证存在的问题:
双栈&认证:
1.双栈客户端的DNS解析会解析IPv4的DNS记录&IPv6的DNS记录
2.客户端优先采用IPv6连接(RFC6724)DefaultAddressSelectionforInternetProtocolversion6(IPv6)
问题:
1.用户优先访问web会默认进行IPv6认证,当前众多设备不支持IPv6认证;
2.双栈客户端在等待20S-70S不等的时间内才进行IPv4重定向访问,用户感受网络很慢;
3.部分厂家IPv4和IPv6都需要各做一次认证,体验不好;
3.5.1双栈认证代理方案设计
●IPv6WEB认证
●解决用户IPv6优先,长时间无法弹出认证页面问题
●N18K响应终端IPv6认证请求,封装IPv4Portal地址给终端,后续流程通过IPv4认证完成;解决Portal、Radius、NAS不支持纯IPv6认证,导致用户认证长时间无响应问题。
认证方案优势:
Ø强安全:
解决IPv6实名安全问题;
Ø高性能:
支持10w的IPv6认证噪音,支持6W双栈,业界水平20倍以上;
Ø体验强:
用户认证秒弹,支持10w的IPv6认证噪音;
Ø开放兼容:
无需改造Portal,改造只需要1台18K,同时支持各个厂商的radius,portal;
如果Radius或Portal不支持IPv6,N18K支持进行IPv6转换,用户端发出的IPv6的请求,N18K会采用IPv6TCP的伪链接回复终端(内含IPv4Portal地址),后续认证流程切换到IPv4,会携带IPv4和IPv6地址送到Radius;
3.5.2IPv6无感知认证设计
若IPv6地址变化在同一网段内,通过无感知迁移方式自动完成IPv6认证,解决用户掉线问题;
IPv6认证:
用户端优先IPv6,N18K响应IPv6报文,如果Radius或Portal不支持IPv6,N18K支持进行IPv6转换,用户端发出的IPv6的请求,N18K会采用IPv6TCP的伪链接回复终端(内含IPv4Portal地址),后续认证流程切换到IPv4,会携带IPv4和IPv6地址送到Radius;
IPv4认证:
通过兼容模式支持,IPv4认证通过后,IPv6放行;
3.6IPv6出口选路设计
随着互联网企业的V6应用改造,外部资源会逐步增多,部分流量牵引至教育网V6出口,存在拥塞风险,影响体验。
本方案提供流量智能调度方案,IPv6出口高峰拥塞前自动引流到IPv4出口,低峰期切换回IPv6出口,保障用户体验;
✓SDN设置对IPv6的流量监控,当流量超过接口带宽的90%
✓SDN通过OPENFLOW通告N18k需要进行业务切换
✓核心上触发将IPv6DNS请求送CPU,并且丢弃正常的V6转发
✓核心上伪造DNS,回应报文客户端一个DNSNO-DATA消息
✓客户端判断无DNS回应,会快速启动IPv4服务
✓后续用户访问的流量走IPv4报文,完成出口调度
优势:
Ø省成本:
无需升级V6带宽
Ø高体验:
根据用户体验智能调度业务减少用户不必要投诉
Ø智能:
无需人工干预,全自动化监控
3.7IPv6日志与审计
3.7.1IPV6日志审计
出口设备将用户的上网行为信息发给日志设备,包括用户的IPv6地址和访问网络的URL,日志设备再将从SAM端获取到的用户实名信息和用户行为信息整合,得到用户的实名日志信息。
SAM和elog、BDS配合实现实名日志;支持安全问题追溯到人。
3.7.2出口审计
内容审计
URL、网络搜索外发文件、邮件微博等内容审计
行为管控
邮件收发管理、邮件附件过滤、不良网站封堵、异常行为告警;
实名制上网行为审计
与实名认证系统对接
3.8IPv6业务支撑设计
本方案设计一下两种业务上线模式:
方案一:
网站防火墙通过代理模式提供IPv6业务,IPv4应用服务器无需做任何修改,快速提供IPv6服务;
方案二:
网站防火墙支持灵活的代理模式,可同时对老旧IPv4服务器和新增IPv6服务器组成的集群提供统一的对外IPv6业务访问,后逐步下架IPv4服务,保障平滑迁移;
IPv6业务缓存加速
减轻出口压力(IPv6带宽紧张、费用昂贵)
节省30%-50%的带宽资源
提升用户体验
畅享如内网般的极速体验
把握网络热点动向
缓存资源统计、分析,提供网络规划和数据挖掘依据
4.方案设计价值分析
极简架构
扁平化架构,轻松升级IPv6
Ø只需要维护一台核心,核心和出口支持IPv6即可快速升级IPv6
Ø接入网有线无线全兼容
ØSDN可视化IPv6管理
安全合规
符合网络安全法建设,实名审计
ØIPv6实名认证,SAVI源地址安全过滤
ØIPv6实名访问日志
ØIPv6实名审计
ØIPv6安全态势感知整体解决方案
业务加速平滑过渡
场景化IPv6方案设计,保障v6体验
IPv6加速
ØIPv6出口流量调度
ØPowercacheIPv6业务加速
业务体验保障
Ø双栈代理认证,一次认证体验
ØWG代理IPv4应用无需改造快速上线IPv6
ØIPv4IPv6混合集群,平滑过渡
5.方案整体周期设计
双栈支持
业务系统升级
IPv6全面上线
第一期
校内网全面开启双栈支持,启用IPv4+IPv6实名认证和计费;IPv6选路策略,日志审计
-
第二期
校内业务系统逐步改造提供IPv6服务,可以从门户网站开始;其他业务系统根据重要性逐步改造;部分应用可通过代理方式不修改快速提供IPv6服务
第三期
对IPv6资源提供优先服务,资源倾向和业务质量保障;逐步全面迁移到纯IPv6支持
升级会员 