前言:为贯彻落实两办《推进互联网协议第六版(IPv6)规模部署行动计划》精神,深入推进《山东省推进互联网协议第六版(IPv6)规模部署行动计划的实施方案》的要求,让更多师生了解下一代互联网,在IPv6平台上开展各类教学科研活动,2017年,烟台市教育装备与技术研究中心研究并制订了IPv6部署计划,并筹备建设覆盖全市的IPv6基础教育城域网。
烟台市教育城域网是烟台市教育装备与技术研究中心建设维护的基础教育城域网,网络规模庞大,覆盖全市6区8市(县级市)市区及乡镇所有中小学以及基础教育主管部门,网内用户达15万人以上。烟台市教育城域网互联网出口采用全市统一出口集中管理的方式。目前,互联网出口包括移动、联通、电信和教育网四家运营商线路,总出口带宽达25G。
图1:烟台市教育城域网网络拓扑图
自2016年起,烟台市教育城域网的运维工作由赛尔网络有限公司(以下简称“赛尔网络”)承担。除日常运维工作外,赛尔网络还参与制订了烟台市教育装备与技术研究中心下一代互联网升级改造方案,在IPv6部署制订计划阶段,对已在高校实施的不同的部署方案进行论证。由于基础教育和城域网规模、覆盖面积的特殊性,烟台市教育城域网IPv6部署的着力点主要集中于三个方面,一是以点带面逐步覆盖,二是提升现网设备IPv6支持能力,三是制定最佳的IPv6网络演进方案。
IPv6部署四大基本原则
- 以点带面:选取部署条件较好的县市区作为试点单位,部署成功后以点带面逐步推广,全面覆盖。
- 兼顾现网:兼顾教育城域网网络现状,选择最优部署方案。
- 保障业务:保障现网业务无影响,充分继承IPv4业务丰富性,促进IPv6业务快速发展。
- 降低成本:低成本和低风险建网,保护现网投资,兼顾新业务开展的成本。
具体部署情况如下:
1、以点带面,全面覆盖
烟台市教育城域网规模庞大,涉及21个直属学校和6个区8个县级市教体局,每个教体局连接各自县市区所有学校。网络规模之庞大,覆盖面积之广,导致实现IPv6全覆盖的时间跨度太大。为了解决这个问题,烟台市教育装备与技术研究中心选取了三个试点单位进行规模部署,积累了较多经验之后,再向其他县市区进行推广。
待三个试点单位成功完成部署任务后,烟台市教育装备与技术研究中心组织技术力量,面向所有县市区技术负责人进行了一场IPv6技术培训会,涉及IPv6基础知识、地址规划、分配、路由、IPv6环境下的安全意识和能力等内容。会议也明确了烟台市教育装备与技术研究中心负责制订IPv6实施指导文档和技术解答、各县市区自行实施部署的原则。同时,为了确保尽快实现IPv6全面覆盖,IPv6部署实施情况被纳入当年年底考核指标。
图2:县市区技术人员IPv6技术培训会
2、网络创新,安全为重
随着针对教育系统的攻击日益频繁,已发现被利用的漏洞和威胁变种也越来越多,政府监管难度日益加重。因此,部署IPv6,必须确保网络安全。
(1)安全防护 通常情况下,防火墙出厂或升级版本后都可以支持IPv6防护策略。配置防护策略,放行从外到内访问IPv6服务器的HTTP服务,阻断一切从外到内主动发起的所有会话连接,从而在3-4层做好防护工作。据了解,市面上现有的IPS、WAF等应用层防护设备已基本支持IPv6。在部署完IPv6后,在数据中心应用层防护设备添加IPv6防护策略,做好7层防护。 
图3:IPv6安全防护策略
(2)安全审计 市面上现有审计类产品也已基本实现对IPv6网络的审计。经测试,烟台市教育局上网行为管理设备和综合日志审计设备均支持IPv6审计。利用安全审计类设备,目前已实现对IPv6用户数统计、流量统计和网络日志的审计。 
图4:IPv6安全审计
(3)实名认证 有线和无线网络启用IPv6,同时使用Portal做无感知认证,即:IPv4或IPv6一次认证通过后,不再重复认证,并在周期内无感知自动认证通过,对用户透明,后台能够同时记录用户名、MAC地址、IPv4地址、IPv6地址等满足审计要求。 
图5:IPv6用户认证
3、地址划分,大而有序
IPv6地址数量巨大,合理对IPv6地址进行规划能够保证IPv6网络安全稳定运行,也能够大大减少后期的维护管理工作。
IPv6地址规划原则
- 连续性原则:数据中心、直属学校和县市区划分为同一层级,按照连续性原则分配连续地址块,方便后期进行路由汇聚。
- 可扩展性原则:分配至每个县市区的地址均预留1/4数量,后期可扩展部署。
- 统一地址块大小原则:除预留地址外,按学校数量将地址平均分割分配,确保每个县市区每个学校分配的地址数量相同。
按照IPv6地址规划原则,要合理分配CERNET提供的4段前缀是/48的IPv6地址段。具体规划为:
6区和8县各占用一段;地址分为用户地址、互联地址、数据中心地址,互联地址单独做设备互联用;统一分配给各区县/51的地址段,各区县分配给城域网内的中小学、幼儿园等单位/58的地址段,对师生数量多的,给予多段/58的地址段,其中/58中的后16个地址段分配给无线使用;每区县可预留/53的地址段满足可扩展性。通过这种地址分配方式,保障每个接入学校的地址段都是/58,方便技术培训和实施。
例:分配给某区教育局的IPv6地址段为:
2001:xxxx:xxxx:C000::/51(用户地址),2001:xxxx:xxxx:1600::/56(互联地址) 。
按照每个学校均分配/58前缀的网段全市通一规划:
2001:xxxx:xxxx:C000::/51可分为2001:xxxx:xxxx:C000::/52和2001:xxxx:xxxx:D000::/52
D000::/52可分配给64个接入学校使用,C000::/52预留。
如A学校:2001:xxxx:xxxx:D000::/58,其D030-D03F给该校无线用户使用。
4、全面部署,应用前行
目前,教育城域网已部署DNSv6、DHCPv6系统。 部署DNSv6可以实现IPv6互联网域名系统的全面改造,具备域名解析、管理全链条IPv6支持能力。在DNSv6系统中新增AAAA解析记录可实现IPv6的域名解析。 部署DHCPv6可实现终端地址分配,但需考虑可溯源性和可管理性。IPv6的地址分配方式有三种:无状态自动分配、有状态分配DHCPv6、静态配置。其中,静态配置适用于服务器;无状态配置相对部署简单,开启ND邻居发现即可,但是溯源较为困难;通过测试和对比,采用DHCPv6有状态分配的方式,可以通过记录DHCPv6的分配日志实现终端地址的溯源。同时,在DHCPv6中可对IPv6地址批量绑定,让终端每次都能获取到相同的IPv6地址。
5、出现问题,研究解决
(1)IPv6地址冲突 在为某单位部署IPv6过程中,出现了300余台电脑报IPv6地址冲突的现象:“系统检测到IP地址xx:xx:xx:xx::x和网络硬件地址xx-xx-xx-xx-xx-xx发生地址冲突”。待找到该MAC的终端,经过查看发现IPv6地址并没有冲突,对比发现DUID全部相同,为此,我们通过删除注册表中DUID表项,然后重启终端让其自动生成新的DUID的方式解决了该问题,考虑到终端较多,使用脚本较快解决,reg delete HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters /v Dhcpv6DUID 保存到.bat文件,双击运行即可。
(2)IPv6临时地址 无论是无状态还是DHCPv6,电脑始终会产生临时IPv6地址,抓包发现终端对外的通信都是通过此临时IPv6地址发起的,临时IPv6经常改变,不便于管理。为此,我们通过在交换机用户VLAN接口下使用ipv6 nd prefix xx:xx:xx::/64 no-advertise禁止交换机通告前缀,从而抑制终端生成临时IPv6地址。注意:在无线网络中,安卓的手机将无法获取IPv6地址。
(3)汇聚交换机不支持IPv6 部署IPv6的过程中,我们遇到不少老的汇聚设备不支持IPv6的问题。解决思路是,改变传统的三层网络架构,把用户的网关上移至核心,trunk放行用户vlan,以满足支持。 思科Catalyst 3560交换机启用IPv6配置 1)配置SDM,需要重启交换机 Switch(config)# sdm prefer dual-ipv4-and-ipv6 default Switch(config)# wr Switch(config)# reload 2)重启完成后,可以启用IPv6了 Switch(config)# ipv6 unicast-routing 烟台市教育城域网的升级改造具有全国示范意义,IPv4网络和IPv6网络运行平稳,IPv6活跃用户超过3万人。
图6:IPv6实时在网用户数
未来,烟台市教育局计划将下一代互联网IPv6同教育信息化2.0深度融合,利用城域网的视讯平台实现资源普及、空间普及,在机器人大赛等人工智能、物联网等领域,推进基于IPv6的融合创新。
(姜静 尹磊,作者单位为烟台市教育装备与技术研究中心)
声明:本文来自赛尔网络市场动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
