中國科學技術大學張煥杰IPv6在校園網的應用實踐

張煥杰 中國科學技術大學網絡信息中心副主任

在2018 ISC互聯網安全大會——IPv6規模化部署與安全論壇上，中國科學技術大學網絡信息中心副主任張煥杰在《中國科大IPv6應用實踐》的演講中，從校園網最終用戶的管理員身份出發，介紹了中國科技大學校園網絡和安徽省教育科研網的發展情況。

中國科大校園網簡介

中國科大校園網建設已經20多年了，目前覆蓋了校園的各個角落。同時在11年前開始建設超算設施，服務重點科研方向。近年來學校的建設思路是加大平臺建設，增強服務能力。

在校園網絡方面，承載上網流量、一卡通、視頻監控、能源監控等10余套業務；7×24小時保障全校師生的正常使用，保障谷歌學術一直可用；是大陸第一家全面開通eduroam學術無線網絡漫游服務的高校；同時，也提供學術寬帶，近代物理系與歐洲核子研究中心CERN的帶寬使用在國內都是前列的；參與北京、上海、蘇州校區以及先進技術研究院的網絡規劃設計和對接。

安徽省教育和科研計算機網覆蓋16個城市，連接教育廳、考試院和省內近80所高校；保障歷年高招錄取、視頻會議等關鍵應用。

超算中心是“研究組-校級共享-國家級”三級超算服務模式，支持的高水平科研成果不斷涌現，發表在Nature等一流期刊。初步統計全校約10%的高水平論文受超算平臺支持。

一個學校的校園網結構可以很簡單，也可以非常復雜。中國科大校園網物理結構上非常簡單，只有兩三臺核心設備，但是所有線路的邏輯連接并不簡單。中國科大校園網有充足的網絡資源，擁有多樣的網絡出口和豐富的可用寬帶。2005年5月起全校（含OpenVPN用戶）網絡支持IPv4+IPv6雙棧，穩定運行了13年，目前超過二分之一的用戶使用IPv6。從2000年起，就選擇了2層為主的校園網，2層VLAN覆蓋合肥校區和上海研究院。

中國科大校園網最大的特色是用戶可以自主選擇出口路由，隨時可以更改。2002年，學校開發了一個系統——網絡通，用戶在出校認證時，使用完全權限的網絡通，可以有9種出口選擇方式。

校園網IPv6應用與管理

中國科大校園網IPv6歷史可以追溯到1999年，李津生教授承擔863課題《中國科大IPv6示范網》；2000年， 采用純IPv6鏈路和隧道技術相結合的組網技術，建成校內IPv6測試網；2004年，CNGI-CERNET2中國科學技術大學節點建成；2005年，校園網改造為萬兆主干，校內全面支持IPv6，包括OpenVPN的遠程用戶均支持IPv6；2017年，反向代理支持IPv6，600余個網站正式提供IPv6服務。

在網絡管理理念上，第一是以用戶為中心，接入方式豐富，滿足各種用戶需要，使用方便快捷，盡量少設置障礙；第二是開放的校園網絡，使用標準協議，只要是TCP/IP系統，都可以接入；只要不違反法律法規、不影響網絡運行，都應該支持；第三是支持技術研究，如支持LUG（學生Linnux協會）開展PXE啟動、開源軟件鏡像等技術探究。

對于用戶接入而言，用戶IPv6在校內接入是沒有認證的，并且使用無狀態地址分配方式，只要接入設備安裝IPv6協議就能分到地址，最大程度方便用戶。

在校內，還有子網用戶接入。不少實驗室/辦公室建立子網，通過地址轉換設備連接到校園網，有接入IPv6需求。可以將IPv6數據包橋接到內網，讓內部用戶使用IPv6，也可以分配到獨立網段，設置靜態路由。子網用戶的獨立網段IPv6接入，可以給子網分配IPv6/64前綴，核心交換機設置靜態路由。子網管理員在子網的網關設備上設置內外接口IPv6地址，默認路由；設置內部RA廣播；啟動路由功能。

中國科大校園IPv6應用服務基礎IPv6環境有DNS、OpenVPN，現有應用的IPv6原生支持包括BBS/IPTV/FTP/個人主頁/高性能計算等。 學校沒有設置防火墻，但并不代表沒有安全措施。學校設有IP黑名單系統，可以直接封禁違法或有問題的IP；針對校外發給校內的流量，也有IP黑洞系統，快速有效地防范受影響的IP地址對校園網的威脅。