高校網(wǎng)絡(luò)IPv6雙棧部署與反向代理應(yīng)用實(shí)踐

◆廖學(xué)斌 張玉才

高校網(wǎng)絡(luò)IPv6雙棧部署與反向代理應(yīng)用實(shí)踐

◆廖學(xué)斌 張玉才

（嘉興學(xué)院 浙江 314001）

下一代互聯(lián)網(wǎng)IPv6是拓展網(wǎng)絡(luò)空間和解決網(wǎng)絡(luò)空間安全問題的重要發(fā)展機(jī)遇，高校校園網(wǎng)絡(luò)從純IPv4向純IPv6升級(jí)是一場(chǎng)大規(guī)模網(wǎng)絡(luò)工程，運(yùn)用適合的技術(shù)平滑過渡使IPv4資源與IPv6資源互聯(lián)互通很重要。本文從雙棧技術(shù)和反向代理技術(shù)的部署實(shí)踐中，介紹相關(guān)的工具和配置方法，講述如何實(shí)現(xiàn)網(wǎng)站資源在IPv6環(huán)境下訪問使用。

校園網(wǎng)；IPv6；雙棧技術(shù)；反向代理

0 引言

新一代互聯(lián)網(wǎng)技術(shù)IPv6在教育系統(tǒng)的應(yīng)用近年來(lái)加速展開，各大高校的校園網(wǎng)建設(shè)和管理工作迎來(lái)了新機(jī)遇與挑戰(zhàn)，以IPv6技術(shù)為代表的下一代互聯(lián)網(wǎng)建設(shè)是大勢(shì)所趨。近十年來(lái)，我國(guó)相關(guān)研究機(jī)構(gòu)、高校、廠商及運(yùn)營(yíng)商緊跟IPv6技術(shù)發(fā)展，投入技術(shù)和產(chǎn)品研發(fā)，為下一代互聯(lián)網(wǎng)的大規(guī)模實(shí)施奠定了較好的基礎(chǔ)。自2017年11月中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，相繼又出臺(tái)了多項(xiàng)政策措施推動(dòng)IPv6規(guī)模部署和快速發(fā)展。

為貫徹落實(shí)行動(dòng)計(jì)劃，教育系統(tǒng)制定目標(biāo)在2020年底各類門戶網(wǎng)站和重要應(yīng)用業(yè)務(wù)系統(tǒng)完成升級(jí)改造，實(shí)現(xiàn)IPv6環(huán)境下的訪問使用。本文以某高校校園有線網(wǎng)絡(luò)的IPv4/IPv6雙棧部署和Nginx反向代理技術(shù)應(yīng)用案例為基礎(chǔ)，介紹相關(guān)的技術(shù)和關(guān)鍵問題，提供高校校園網(wǎng)絡(luò)IPv4向IPv6過渡的實(shí)踐經(jīng)驗(yàn)。

1 網(wǎng)絡(luò)與應(yīng)用現(xiàn)狀

目前，本實(shí)踐中的校園網(wǎng)絡(luò)環(huán)境為基于QinQ技術(shù)的扁平化大二層結(jié)構(gòu)，與傳統(tǒng)的“核心-匯聚-接入”的三層交換型組網(wǎng)模式相比，網(wǎng)絡(luò)管理更簡(jiǎn)單和精細(xì)化，該網(wǎng)絡(luò)扁平化改造后已平穩(wěn)運(yùn)行6年，BRAS設(shè)備采用的是Juniper的MX960。校園網(wǎng)絡(luò)的出口有電信、聯(lián)通、移動(dòng)和教育網(wǎng)四家ISP，其中教育網(wǎng)CERNET2為教育系統(tǒng)接入純IPv6網(wǎng)絡(luò)提供了最佳入口，截至2019年1月，CERNET已接入IPv6的高校用戶達(dá)1795個(gè)，用戶超千萬(wàn)人。

本校園網(wǎng)絡(luò)此前一直提供純IPv4業(yè)務(wù)支持，物理拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單清晰，如圖1所示。為實(shí)現(xiàn)網(wǎng)絡(luò)平穩(wěn)升級(jí)至純IPv6環(huán)境，經(jīng)過對(duì)現(xiàn)有條件和技術(shù)進(jìn)行分析，本網(wǎng)絡(luò)采用雙棧技術(shù)作為IPv4向IPv6升級(jí)的過渡階段，目標(biāo)是實(shí)現(xiàn)校園有線網(wǎng)用戶終端體驗(yàn)IPv6上網(wǎng)和網(wǎng)站服務(wù)器提供雙棧web訪問服務(wù)。

圖1 校園網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)圖

2 IPv6升級(jí)改造關(guān)鍵技術(shù)與反向代理

2.1 三大過渡技術(shù)

自2004年CNGI-CERNET2實(shí)驗(yàn)網(wǎng)開通以來(lái)，國(guó)內(nèi)教育系統(tǒng)IPv6網(wǎng)絡(luò)的部署實(shí)踐從未停歇，為實(shí)現(xiàn)兩種網(wǎng)絡(luò)協(xié)議的平穩(wěn)過渡，目前的三大技術(shù)策略為雙棧技術(shù)、隧道技術(shù)、翻譯技術(shù)。

雙棧技術(shù)即雙協(xié)議棧技術(shù)，特點(diǎn)是網(wǎng)絡(luò)環(huán)境中骨干網(wǎng)設(shè)備同時(shí)運(yùn)行IPv4和IPv6兩套協(xié)議，問題是對(duì)硬件環(huán)境改造升級(jí)任務(wù)較多，成本較大，同時(shí)增加了現(xiàn)階段網(wǎng)絡(luò)的復(fù)雜性，但為升級(jí)到純IPv6網(wǎng)絡(luò)準(zhǔn)備了良好基礎(chǔ)，本實(shí)踐中采用此技術(shù)。雙棧方案是引入IPv6并實(shí)現(xiàn)其與IPv4共存的最直接、最簡(jiǎn)單的方案，成為推動(dòng)IPv6演進(jìn)的基礎(chǔ)[1]。隧道技術(shù)特點(diǎn)是以現(xiàn)有的IPv4路由體系來(lái)傳遞IPv6數(shù)據(jù)，缺點(diǎn)是不能解決IPv4和IPv6網(wǎng)絡(luò)的互通，該技術(shù)是過渡階段較為常見易用的。翻譯技術(shù)是在通信中間設(shè)備完成IPv4和IPv6網(wǎng)絡(luò)之間分組地址轉(zhuǎn)換和協(xié)議翻譯的統(tǒng)稱，包括有狀態(tài)的翻譯技術(shù)NAT-PT、NAT-64和無(wú)狀態(tài)的翻譯技術(shù)IVI等，用戶單位可以采購(gòu)IVI翻譯器、IPv6云解析服務(wù)等方式實(shí)現(xiàn)應(yīng)用的IPv6訪問，但現(xiàn)有網(wǎng)絡(luò)環(huán)境并沒有改造。

2.2 IPv6地址設(shè)計(jì)

在校園網(wǎng)絡(luò)進(jìn)行部署規(guī)劃前，通常需要先對(duì)IPv6地址進(jìn)行設(shè)計(jì)。建議從已申請(qǐng)的IPv6地址中分出一段地址專門用于設(shè)備管理和互聯(lián)地址，例如2001:xxx:4801::/48管理地址用2001:xxx:4801:1001::/64，互聯(lián)地址用2001:xxx:4801:FFFF::/64。在劃分IPv6業(yè)務(wù)子網(wǎng)時(shí)，采用64位前綴作為網(wǎng)絡(luò)地址，在第49—64位地址為IPv4 VLAN編號(hào)，格式為：2001:xxx:4801:1002::1/64，后64位地址為用戶主機(jī)編號(hào)。

IPv6地址分配方式可分為手工配置和自動(dòng)配置，自動(dòng)配置又分為有狀態(tài)地址自動(dòng)分配（DHCPv6）以及無(wú)狀態(tài)地址自動(dòng)分配。有狀態(tài)地址分配方式和DHCPv4類似，依賴DHCPv6協(xié)議從DHCPv6 Server的地址池中獲取可用的IPv6地址，優(yōu)點(diǎn)是策略可控，便于溯源，缺點(diǎn)是原生安卓系統(tǒng)不支持獲取，若IPv6部署在無(wú)線網(wǎng)絡(luò)中，多數(shù)安卓系統(tǒng)的移動(dòng)終端無(wú)法正常獲取地址。無(wú)狀態(tài)地址自動(dòng)配置擺脫了復(fù)雜的DHCPv6協(xié)議，依賴ND（Neighbor Discovery，鄰居發(fā)現(xiàn)）協(xié)議即可完成地址自動(dòng)配置，支持所有終端，配置簡(jiǎn)單，缺點(diǎn)是無(wú)法下發(fā)IPv6 DNS且地址變化頻繁，本實(shí)踐給客戶端分配的是無(wú)狀態(tài)地址。

2.3 IPv6環(huán)境下的反向代理

反向代理（Reverse Proxy）是從目標(biāo)內(nèi)容服務(wù)器上抓取內(nèi)容返回給請(qǐng)求客戶端的技術(shù)，代理服務(wù)器充當(dāng)一個(gè)中介功能。反向代理技術(shù)在提高服務(wù)器集群訪問速度、保護(hù)真實(shí)服務(wù)器安全等方面應(yīng)用越來(lái)越廣泛，同時(shí)也能夠在IPv6環(huán)境下解決服務(wù)器支持雙棧訪問服務(wù)問題發(fā)揮重要作用。如果內(nèi)部網(wǎng)絡(luò)暫時(shí)沒有IPv6網(wǎng)絡(luò)，可以把代理服務(wù)器部署在其他支持IPv4與IPv6的網(wǎng)絡(luò)機(jī)房，從而實(shí)現(xiàn)IPv4與IPv6的同時(shí)訪問[2]。主流的反向代理工具有Squid、Nginx、HAProxy等，其中Nginx支持多核、集群、代理插件、熱啟動(dòng)，通過插件可以充當(dāng)多角色服務(wù)器，性能較強(qiáng)，雖不支持外部文件正則匹配，但業(yè)務(wù)可塑性很強(qiáng)。

3 部署實(shí)施主要過程

3.1 網(wǎng)絡(luò)主干雙棧打通

校園網(wǎng)絡(luò)IPv6部署前首先需明確主干各設(shè)備對(duì)IPv6支持情況，在盡量不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)涞脑瓌t上對(duì)網(wǎng)絡(luò)升級(jí)進(jìn)行設(shè)計(jì)，盡量不影響用戶的上網(wǎng)體驗(yàn)，升級(jí)應(yīng)充分考慮可持續(xù)發(fā)展性和可管理性。網(wǎng)絡(luò)主干從內(nèi)到外通常包括核心交換、安全防火墻、鏈路負(fù)載均衡等串行設(shè)備，這些設(shè)備對(duì)IPv4和IPv6的雙協(xié)議支持很關(guān)鍵。若此前采購(gòu)的設(shè)備不具一定的先進(jìn)性，只能更換新設(shè)備或者增加IPv6專用物理鏈路繞過不支持IPv6的串行設(shè)備。本校出口所使用的鏈路負(fù)載均衡設(shè)備Radware Linkproof升級(jí)系統(tǒng)版本也無(wú)法解決IPv6的支持問題，為消除此瓶頸，在考慮經(jīng)濟(jì)成本的基礎(chǔ)上，將鏈路負(fù)載均衡功能和防火墻功能集合在一個(gè)設(shè)備上，采購(gòu)一臺(tái)性能更佳的山石網(wǎng)科防火墻，淘汰Radware設(shè)備和已使用6年的出口防火墻。另外，網(wǎng)絡(luò)核心為Juniper MX960，該設(shè)備的路由轉(zhuǎn)發(fā)性能強(qiáng)大，完全支持IPv6、組播等功能。至此，后續(xù)的IPv6配置工作可以順暢推進(jìn)了。

3.2 IPv6路由配置

按照規(guī)劃好的IPv6地址分別配置在出口設(shè)備各端口上，配置相應(yīng)的路由，測(cè)試路由可達(dá)。首先配置好教育網(wǎng)接入交換機(jī)上的IPv6路由，然后配置出口防火墻的靜態(tài)路由，如圖2所示。

圖2 出口防火墻IPv6靜態(tài)路由示意圖

3.3 網(wǎng)絡(luò)核心配置

本校扁平化大二層網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)化了IPv4/IPv6雙棧部署工作，對(duì)于核心BRAS設(shè)備而言，IPv6接入支持IPv4所有接入方式及應(yīng)用，只是獲取地址的協(xié)議發(fā)生了變化，認(rèn)證、授權(quán)和計(jì)費(fèi)機(jī)制基本沒有變化。按照IPv6地址規(guī)劃，可對(duì)Juniper MX960上的接口配置和DHCP配置進(jìn)行預(yù)先文本編輯，再一次性導(dǎo)入運(yùn)行。MX960上的DHCP配置有2種方式，1種是手工建立各子接口，1種是使用demux動(dòng)態(tài)建立子接口。配置步驟包括：指定地址池、配置radius服務(wù)器、建立子接口、將子接口和地址池相關(guān)聯(lián)等。其中具體配置地址池范例如下：

set access address-assignment pool ipv6-yuexiu family inet6 prefix 2001:da8:****:1000::/64

set access address-assignment pool ipv6-yuexiu family inet6 range 1 low 2001:da8:****:1000::100/128

set access address-assignment pool ipv6-yuexiu family inet6 range 1 high 2001:da8:****:1000:ffff::fffe/128

set access address-assignment pool ipv6-yuexiu family inet6 dhcp-attributes maximum-lease-time 7200

3.4 Nginx反向代理搭建

校園網(wǎng)絡(luò)的服務(wù)器區(qū)部署著WAF、負(fù)載均衡等物理設(shè)備，且實(shí)體服務(wù)器和虛擬服務(wù)器上都運(yùn)行著各類業(yè)務(wù)系統(tǒng)。在選擇IPv6改造方案時(shí)，應(yīng)盡力隔離IPv6網(wǎng)絡(luò)和現(xiàn)有IPv4網(wǎng)絡(luò)，避免IPv6網(wǎng)絡(luò)的未知威脅對(duì)現(xiàn)有IPv4網(wǎng)絡(luò)造成沖擊[3]。同時(shí)為避免業(yè)務(wù)中斷和大幅度調(diào)整設(shè)備配置，目前決定使用反向代理技術(shù)能最快速使業(yè)務(wù)系統(tǒng)支持雙棧訪問，在一定程度上也能夠保護(hù)目標(biāo)服務(wù)器的安全，本次采用Nginx反向代理工具。首先，創(chuàng)建一臺(tái)虛擬機(jī)，安裝的是Ubuntu 18.04.2 Linux系統(tǒng)，網(wǎng)卡上配置好IPv4和IPv6地址之后，進(jìn)行重定向配置，如下所示：

DNS解析方面，需要在DNS服務(wù)器上添加相關(guān)IPv6訪問的AAAA記錄，當(dāng)用戶端在IPv6環(huán)境訪問域名時(shí)，自動(dòng)解析并訪問反向代理服務(wù)器的IPv6地址。值得注意的是，針對(duì)一些特殊應(yīng)用，使用非 80 端口，如 8080 等，只需要在反向代理服務(wù)中配置對(duì)應(yīng)回源端口，并在服務(wù)器中監(jiān)聽相應(yīng)端口即可實(shí)現(xiàn)端口轉(zhuǎn)發(fā)功能。

4 結(jié)語(yǔ)

經(jīng)過以上IPv4/IPv6雙棧技術(shù)和反向代理技術(shù)在校園網(wǎng)絡(luò)的部署實(shí)踐，實(shí)現(xiàn)了門戶網(wǎng)站通過IPv6環(huán)境對(duì)外提供訪問，當(dāng)然，其他業(yè)務(wù)系統(tǒng)也可以添加實(shí)現(xiàn)。在一段時(shí)間內(nèi)，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)將會(huì)處于純IPv4網(wǎng)絡(luò)、雙棧網(wǎng)絡(luò)和純IPv6網(wǎng)絡(luò)并存的時(shí)期。本改造實(shí)踐案例充分利用現(xiàn)有多種改造技術(shù)的優(yōu)點(diǎn)，既能實(shí)現(xiàn)預(yù)期改造目標(biāo)，又能節(jié)省資金成本，為逐步過渡到純IPv6環(huán)境打下良好基礎(chǔ)。相信IPv6的通路問題只是邁向下一代互聯(lián)網(wǎng)時(shí)代的第一步，教育系統(tǒng)在IPv6技術(shù)的規(guī)模部署和創(chuàng)新應(yīng)用等方面會(huì)做得越來(lái)越好，重點(diǎn)互聯(lián)網(wǎng)應(yīng)用的升級(jí)將進(jìn)一步提速。

[1]張亞舟. IPv6遷移部署過程中的技術(shù)策略分析和研究[J].金融科技時(shí)代,2019.

[2]吳金堂,耿方方.IPv6環(huán)境下反向代理IPv4網(wǎng)站及安全防護(hù)的研究與實(shí)現(xiàn)[J].中小企業(yè)管理與科技,2019.

[3]何黎明,梅洪.省級(jí)電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)IPv6改造研究[J].江西通信科技,2019.