北京郵電大學信息化技術中心主任安杰：IPv6認證重要性日益凸顯

在“2018中國高校CIO論壇”開放論壇中，北京郵電大學信息化技術中心主任安杰作了《北京郵電大學校園網建設及機房安全工作經驗分享》的報告。

他對北京郵電大學校園網建設現狀、無線網絡建設情況及下一代互聯網IPv6北郵節點的情況進行了介紹。以下是主要內容。

校園網整體建設情況

2018年初，北京郵電大學完成西土城路、沙河、宏福三校區環狀光纖網，校園網已成為全校師生教學、科研、辦公、生活服務的多業務承載的多校區大規模寬帶網絡。

圖1 IPv4出口

圖2 IPv6出口

從整體上來看，北京郵電大學西土城路、沙河、宏福三校區網絡通過裸光纜兩兩直連，在西土城路校區統一接入互聯網，以此來實現校區間網絡互聯互通、接入IPv4和IPv6出口。目前校園網骨干帶寬40G/80G，IPv4接入教育網以及聯通、移動、電信運營商，IPv6接入教育網。

傳統的校園網結構存在一系列問題，如出口串接多個設備，一個設備出現問題全網癱瘓；多出口時流量調度管理策略及安全策略復雜；所有設備都需要大容量接口，費用昂貴等。問題產生的本質原因在于所有流量全部使用同一套出口策略進行管理。為解決這一問題，北郵將校園網流量分成用戶互聯網流量、數據中心外網流量、數據中心內網流量以及數據中心VPN流量四大類型，把校園網按照出口、用戶上網區、數據中心區劃分，將用戶上網的流量和數據中心流量以及用戶訪問數據中心的流量分開。在收費問題上，北郵為在校師生提供20G免費IPv4流量，超過部分收費1元/G或者使用運營商代撥路線，IPv6則不計費。

此外，校園網用戶網絡行為數據的收集和管理非常重要，一方面，《網絡安全法》要求學校保留日志數據備查溯源，另外一方面通過對這些數據進行大數據分析，可以為下一步建設和網絡優化做支撐。傳統的日志收集方法只是將各類數據格式化存儲，在使用的時候再進行關聯查詢，效率很低，北郵則是事先將各種有關聯的數據建立好存儲模型，將數據分成行為數據和標簽數據兩大類，在行為數據產生的同時把標簽關聯到行為數據直接統一存儲。實現了將網絡行為數據從以IP地址作為標識轉化為以賬號、終端作為標識 ，無論是溯源查詢還是統計分析都會大大提升效率。

無線網絡建設情況

圖3 網絡行為數據分析部分成果展示

北郵的無線網絡建設已完成復用線路、集中轉發、準入認證、計費聯動；在AP方面，5000個已建，5000個在建；在終端方面，并發近2萬個，總量超過6萬個。對高校而言，無線網絡建設非常有必要，現在北郵沙河校區已做到全無線覆蓋，在教室、圖書館、宿舍、食堂等區域只提供無線接入服務。SSID類型包括 BUPT-portal、BUPT-mobile、BUPT-guest、Eduroam、BUPT-iot。其中BUPT-portal收費，采用Web認證，基于MAC的無感知認證（準入），所有無線終端都可使用；BUPT-mobile免費，采用802.1x認證，面向移動終端（IOS， Android），PC不能使用；BUPT-guest收費，采用Web認證，手機號申請，每月免費8小時使用；eduroam免費，采用安全的環球跨域無線漫游認證服務（面向科研和教育機構），802.1x認證；BUPT-iot不能訪問互聯網，僅用于物聯網設備（如無線打印機、無線攝像頭、無線自助服務機等）與三校區內校園網用戶之間的通信，通過MAC地址做認證，只有網絡管理員允許的物聯網設備才能接入使用。

圖4 北京郵電大學校園網2005年拓撲

圖5 北京郵電大學校園網2018年拓撲

教育網北郵核心節點IPv6建設總體情況

北京地區高校主頁使用官方對外域名IPv6開通數量不多，截止到2018年11月，包括教育部在內僅13所高校官方域名可以通過IPv6訪問。

北郵IPv6升級改造分為四個部分，一是網絡基礎設施建設、路由子網規劃，二是IPv6的地址分配，三是域名系統建設，四是用戶網絡認證。2005年，北郵只有部分設備不支持IPv6，當時學校通過兩張網絡在二層打通的方式實現全校開通IPv6，目前學校已經全部使用雙棧設備，所有子網也都是IPv4/IPv6雙棧。

北郵采用路由宣告（自動配置）和DHCPv6兩種地址分配方式并存，無線網兩種地址分配方式都在使用（安卓系統不支持DHCPv6），有線網大部分使用DHCPv6方式分配地址，兩種方式都使用/64的子網，DHCPv6的地址池使用/112。

域名系統對IPv6的支持可以分為三個層次，第一個層次是提供AAAA記錄解析服務，一般DNS系統都能做到，不需要特殊設置；第二個層次是給DNS服務器增加IPv6地址，用戶可以通過IPv6做域名解析；第三個層次是注冊IPv6的NS記錄，讓純IPv6網的用戶能夠解析到自己發布的資源。主頁等重要服務在原有域名的基礎上直接添加AAAA記錄，用戶網絡如果有IPv6瀏覽器則會優先使用IPv6進行訪問。

網絡建設除了路由子網規劃、地址分配、域名建設以外還有一個特別重要的內容就是認證系統建設，特別是IPv6從實驗網轉為正式商用，越來越多的應用可以通過IPv6訪問以后，認證變得越來越重要。與傳統的IPv4認證相比， IPv6存在地址變化以及安卓系統不支持的問題。目前較好的解決辦法就是與網絡設備配合進行基于終端的準入認證，認證通過后放行終端所有的IPv4和IPv6地址，用戶在一次認證過程中使用多個IPv6地址，這些使用的IPv6地址都會被認證系統記錄下來，用于審計和溯源。

圖6 高校主頁IPv6和HTTPS使用情況排名

應用系統原生IPv6的升級改造則需要考慮服務器操作系統支持、Web Server支持、應用自身支持三個方面問題，目前主流的操作系統和Web Server都能夠支持升級改造，重點需要解決的是應用自身支持，尤其是日志格式兼容的問題；此外，安全問題也是需要考慮的一個重要因素。

通過反向代理方式實現業務系統的IPv6升級是實現升級改造最快速的一種途徑。反向代理通過HA方式部署，能夠保證業務高可靠持續運行，同時還支持IPv6和多個運營商線路的發布，支持IPv4/IPv6雙棧的HTTPS、HTTP2。反向代理使用瀏覽器信任的HTTPS證書，用戶使用現代瀏覽器也不會有安全提示，同時所有的業務都能實現天然監控和一鍵斷網，所有的訪問數據通過反向代理統一匯總分析。北郵目前包括校主頁在內的大部分系統都通過反向代理對外發布，一共168個。

視頻直播點播服務是IPv6的特色應用，包括活動直播、網絡電視、視頻點播。直播后的視頻可以用于點播，內容積累到一定量以后可以給學校提供一個寶貴的視頻影像資料庫。這種服務可以有效地提高在校教職工和學生的IPv6使用率，降低校園網出口的壓力，更好地服務于學生活動和學術講座。

網絡和系統建設完畢后，網管系統（IT資源管理系統）需要提供運維支撐保證，IPv6的設備管理、IPv6的子網和IP管理、IPv6的終端管理、IPv6的業務運行狀態監控要重點考察管理。從安全和審計的角度來講，IPv6需要考量IDS/IPS(入侵檢測和入侵防御)、DPI（深度包檢測）、基于狀態的防火墻、WAF、日志審計幾個方面，本質上和IPv4沒有太大區別?；谥鳈C和基于服務的安全審計工作只需要關注用戶來源兼容IPv6地址格式即可，而基于網絡需要的硬件設備支持問題，目前比較好的解決辦法是優先采用反向代理在應用層處理轉換，這樣可以暫時規避掉一些安全風向，因為后端對IPv4支持的安全手段都可以使用。

基礎設施建設和運行遇到的問題和對策

北郵沙河新校區信息化建設過程中也遇到了一些問題。在設計階段主要面臨以下問題：1. 圖紙缺少無線點位示意圖或大樣圖，導致開孔位置不統一，建議圖紙附點位示意圖，無線點位采用單孔面板或網絡模板，另外弱電間或弱電機房旋轉樓層居中位置，遠離水源。2.弱電橋架暴露在室外平臺，橋架和線纜容易遭受日曬雨林的腐蝕，建議修改弱電井位置，將橋架和線纜設計在室內，使用獨立的弱電機房，取消非必要的UPS 系統等。

在施工階段，出現校方與施工方的圖紙版本不一致問題，導致合理需求只能通過洽商變更或二次立項改正；安裝設施期間，樓內設施有損壞，導致總包方不愿意免費修復等問題。因此，需要對于 UPS及機房管理實行現場巡檢、監測溫濕度等，一旦出現事故，采用應急處理方法，如現場處理（斷電、消防、查看損失），部門協調（黨政辦上報信息、保衛處協調消防、后勤處恢復電力、宣傳部對外輿情、學生處對內輿情），盡快恢復（網絡、服務），總結教訓（完善預案、加強演練）等。

另外，在信息化基礎設施的保障方面則存在UPS蓄電池超期使用、消防措施不完善、人員配備不足、管理制度不健全、缺少專題培訓、災備體系不健全等問題，建議完善制度保障，做到24小時值班，每年進行消防培訓和演練，對于設備進行定期維保等等。