高校IPV6解决方案全面版.docx

1、高校IPV6解决方案全面版IPV6解决方案2020年6月2日前言 3政策及背景 4政策解读 41.高教IPv6的演进阶段需求 62. 高校IPv6升级改造面临的问题和挑战 73. 极简校园网IPV6解决方案设计 83.1 高校IPV6使用现状 83.2 方案设计概览 93.3 扁平化IPV6设计 103.4 IPV6地址设计 113.5 IPv6实名认证设计 143.5.1双栈认证代理方案设计 153.5.2 IPv6无感知认证设计 163.6 IPv6出口选路设计 173.7 IPv6日志与审计 193.7.1 IPV6日志审计 193.7.2 出口审计 193.8 IPv6业务支撑设计 2

2、04.方案设计价值分析 235.方案整体周期设计 24前言随着移动互联网、物联网、工业4.0等新兴产业迅速发展，现今互联网（IPv4）地址已分配殆尽，而下一代互联网（IPv6）拥有128位的IP地址长度，广阔的网络地址空间完全满足发展需要。IPv6经过二十多年的发展，目前IPv6技术应用完全成熟，已经成为全球通用标准，具备较高的机密性和完整性，为国家网络提供安全保障。政策及背景截止到2017年7月，下一代互联网全球的部署率已经超过20.14%，短短半年增长了3.14%，如果以同样的速度增长，下一代互联网部署率将在2018年达到50。截至2016年12月，美国下一代互联网用户普及率为45.16%

3、；比利时部署率更高达59%；同在亚洲地区的印度下一代互联网用户普及率为32.59%；而中国这一比例数据不到10%，整体发展相对滞后。国家重大政策推进下一代互联网发展，用5到10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络，实现下一代互联网在经济社会各领域深度融合应用，成为全球下一代互联网发展的重要主导力量。政策解读IPv6行动计划的具体节点目标到2018年末，市场驱动的良性发展环境基本形成，IPv6活跃用户数达到2亿，在互联网用户中的占比不低于20%到2020年末，市场驱动的良性发展环境日臻完善，IPv6活跃用户数超过5亿，在互联网用户中的占比超过50

4、%，新增网络地址不再使用私有IPv4地址到2025年末，我国IPv6网络规模、用户规模、流量规模位居世界第一位，网络、应用、终端全面支持IPv6，全面完成向下一代互联网的平滑演进升级，形成全球领先的下一代互联网技术产业体系三年规划（先设备后应用）2018IPv6安全硬件设备和软件平台的升级改造中国教育和科研计算机网完成升级改造，支持IPv6接入2019完成域名解析系统IPv6改造核心业务信息系统和网站完成IPv6改造2020教育系统的各类网络、门户网站和重要应用系统完成升级改造，支持IPv6访问基于IPv6的安全保障体系基本形成；1.高教IPv6的演进阶段需求初始阶段需求实现IPv6连通，基础

5、网络具备IPv6转发能力；接入IPv6教育网（Cernet2），提供校内用户使用IPv6免费访问教育网资源；二阶段需求初步实现IPv6访问可管、可控；具体可以通过IPv4身份认证后IPv6放行的方式；校内部分服务器资源逐步具备提供IPv6服务的能力，即提供IPv4和IPv6双栈服务能力；三阶段需求全校IPv6连通，校内所有业务可以通过IPv6访问；IPv6业务可管、可控、可追溯，做到IPv6的身份认证、实名审计、日志溯源；为校外提供IPv6相应服务的发布，如官网门户、专用APP服务；2. 高校IPv6升级改造面临的问题和挑战IPv6安全防护IPv6通道访问如何控制IPv6通道如何做好审计工作I

6、Pv6通道如何满足网络安全法IPv6平滑过渡如何尽量不改动现网结构如何尽量让用户无感知如何投资代价最小IPv6网络开通设备双栈开启IPv6地址如何获取IPv6地址如何分配IPv6 DNS如何获得IPv6业务支撑IPv6业务怎么上线IPv6业务怎么保障IPv6应用识别和过滤3. 极简校园网IPV6解决方案设计3.1 高校IPV6使用现状大部分高校园区内已经开启IPv6的使用或者具备IPv6的能力；校园内部大都采用双栈的模式；多数使用IPv6访问国内外教育资源，极少数校内提供IPv6服务；大多高校没有IPv6实名认证和审计，前期使用IPv4认证，IPv6 放通，缺乏审计手段；针对IPv6安全防护暂

7、无特殊考虑；目前IPv6的出口带宽较少，一般只有几十兆；3.2 方案设计概览网络： 1、采用扁平化架构，仅核心，出口支持IPv6即可快速实现全网IPv6 支持； 2、承载接入网络（有线，无线，专网）天然支持IPv6透明传输； 3、IPv6地址分配采用DHCPv6/无状态地址自动分配方式结合； 安全及认证： 1、安全设备选型完全支持IPv6 ； 2、出口日志支持IPv6 ； 3、部署IPv6实名认证和认证计费系统联动实现实名审计，N18K支持SAVI； 应用： 1、改造或建设一批支持IPv6的应用； 2、保留一批纯IPv4应用，通WG 进行IPv6代理转换，实现快速的IPv6业务资源上线； 3、

8、部署IPv6缓存加速，提升访问体验，节约出口带宽投入； 4、DNS支持IPv6 ；3.3 扁平化IPV6设计传统IPV6部署扁平化架构传统三层架构核心*1需部署IPV6配置、IPV6路由部署、安全IPV6配置、IPV6路由部署汇聚*20台需部署无需配置IPV6配置、IPV6路由部署接入*500台无需配置安全改造本方案建议采用N18K做扁平化IPv4/IPv6核心，支持扁平化SAVI功能（N18K开启SAVI，接入汇聚无需配置，支持6W双栈终端地址，无状态支持4.5W双栈终端）；中高职院校可选RSR77-X做扁平化IPv4/IPv6核心；扁平化架构具备：维护简单、业务上线块、安全隔离、策略集中部

9、署等特性；其中安全隔离锐捷特有，支持Supervlan/QinQ每端口隔离技术。 传统三层架构，目前核心交换、路由设备均支持双栈协议，支持客户IPv6升级改造；3.4 IPV6地址设计目前大量版本的Android手机不支持DHCPv6有状态地址分配，如下图所示。本方案终端地址分配模式的设计推荐：1.无状态获取 : 部署最多，适合全场景（推荐无线场景） 无状态地址自动配置是指不需要DHCP服务器进行管理，客户端根据网关RA（路由通告），并根据自己的MAC地址计算出自己的IPv6地址。 优势：终端即插即用，部署简单，终端支持度广。2.有状态地址分配：部署受限制，适合PC（推荐有线场景） 有状态是指

10、地址由网关设备或者DHCP服务器分配 优势：地址按照顺序分配，有规则分配，便于地址管理 问题：安卓终端不支持有状态获取地址3.5 IPv6实名认证设计网络安全法、公安部82号令明确指出，网络用户应该实名制接入用户对于IPv6站点的访问，同样需要进行实名认证。现有IPV6认证存在的问题：双栈&认证：1.双栈客户端的DNS解析会解析IPv4的DNS记录&IPv6的DNS记录2.客户端优先采用IPv6连接 （RFC6724 ） Default Address Selection for Internet Protocol version 6 (IPv6)问题： 1.用户优先访问web会默认进行IPv

11、6认证，当前众多设备不支持IPv6认证；2.双栈客户端在等待20S-70S不等的时间内才进行IPv4重定向访问，用户感受网络很慢； 3.部分厂家IPv4和IPv6都需要各做一次认证，体验不好；3.5.1双栈认证代理方案设计IPv6 WEB认证解决用户IPv6优先，长时间无法弹出认证页面问题N18K响应终端IPv6认证请求，封装IPv4 Portal地址给终端，后续流程通过IPv4认证完成；解决Portal、Radius、NAS不支持纯IPv6认证，导致用户认证长时间无响应问题。认证方案优势：强安全：解决IPv6实名安全问题；高性能：支持10w的IPv6认证噪音，支持6W双栈，业界水平20倍以上

12、；体验强：用户认证秒弹，支持10w的IPv6认证噪音；开放兼容：无需改造Portal，改造只需要1台18K，同时支持各个厂商的radius,portal；如果Radius或Portal不支持IPv6，N18K支持进行IPv6转换，用户端发出的IPv6的请求，N18K会采用IPv6 TCP的伪链接回复终端（内含IPv4Portal地址），后续认证流程切换到IPv4，会携带IPv4和IPv6地址送到Radius；3.5.2 IPv6无感知认证设计若IPv6地址变化在同一网段内，通过无感知迁移方式自动完成IPv6认证，解决用户掉线问题；IPv6认证：用户端优先IPv6，N18K响应IPv6报文，如果

13、Radius或Portal不支持IPv6，N18K支持进行IPv6转换，用户端发出的IPv6的请求，N18K会采用IPv6 TCP的伪链接回复终端（内含IPv4Portal地址），后续认证流程切换到IPv4，会携带IPv4和IPv6地址送到Radius；IPv4认证：通过兼容模式支持，IPv4认证通过后，IPv6放行；3.6 IPv6出口选路设计随着互联网企业的V6应用改造，外部资源会逐步增多，部分流量牵引至教育网V6出口，存在拥塞风险，影响体验。本方案提供流量智能调度方案，IPv6出口高峰拥塞前自动引流到IPv4出口，低峰期切换回IPv6出口，保障用户体验；SDN设置对IPv6的流量监控，当

14、流量超过接口带宽的90%SDN通过OPENFLOW通告N18k需要进行业务切换核心上触发将IPv6 DNS请求送CPU，并且丢弃正常的V6转发核心上伪造DNS,回应报文客户端一个DNS NO-DATA消息客户端判断无DNS回应，会快速启动IPv4服务后续用户访问的流量走IPv4报文，完成出口调度优势：省成本:无需升级V6带宽高体验：根据用户体验智能调度业务减少用户不必要投诉智能：无需人工干预，全自动化监控3.7 IPv6日志与审计3.7.1 IPV6日志审计出口设备将用户的上网行为信息发给日志设备，包括用户的IPv6地址和访问网络的URL，日志设备再将从SAM端获取到的用户实名信息和用户行为信

15、息整合，得到用户的实名日志信息。SAM和elog、BDS配合实现实名日志；支持安全问题追溯到人。3.7.2 出口审计内容审计URL、网络搜索外发文件、邮件微博等内容审计行为管控邮件收发管理、邮件附件过滤、不良网站封堵、异常行为告警；实名制上网行为审计与实名认证系统对接3.8 IPv6业务支撑设计本方案设计一下两种业务上线模式：方案一：网站防火墙通过代理模式提供IPv6业务，IPv4应用服务器无需做任何修改，快速提供IPv6服务；方案二：网站防火墙支持灵活的代理模式，可同时对老旧IPv4服务器和新增IPv6服务器组成的集群提供统一的对外IPv6业务访问，后逐步下架IPv4服务，保障平滑迁移；IP

16、v6业务缓存加速减轻出口压力（IPv6带宽紧张、费用昂贵)节省30%-50%的带宽资源提升用户体验畅享如内网般的极速体验把握网络热点动向缓存资源统计、分析，提供网络规划和数据挖掘依据4.方案设计价值分析极简架构扁平化架构，轻松升级IPv6只需要维护一台核心，核心和出口支持IPv6即可快速升级IPv6接入网有线无线全兼容SDN可视化IPv6管理安全合规符合网络安全法建设，实名审计IPv6实名认证，SAVI源地址安全过滤IPv6实名访问日志IPv6实名审计IPv6安全态势感知整体解决方案业务加速 平滑过渡场景化IPv6方案设计，保障v6体验IPv6加速IPv6出口流量调度Powercache IPv6业务加速业务体验保障双栈代理认证，一次认证体验WG代理IPv4应用无需改造快速上线IPv6IPv4IPv6混合集群，平滑过渡5.方案整体周期设计双栈支持业务系统升级IPv6 全面上线第一期校内网全面开启双栈支持，启用IPv4+IPv6实名认证和计费；IPv6选路策略，日志审计-第二期校内业务系统逐步改造提供IPv6服务，可以从门户网站开始；其他业务系统根据重要性逐步改造；部分应用可通过代理方式不修改快速提供IPv6服务第三期对IPv6资源提供优先服务，资源倾向和业务质量保障；逐步全面迁移到纯IPv6支持