高職多校區背景下IPv6反向代理應用探究

羅添耀 廖小群

高職多校區背景下IPv6反向代理應用探究

羅添耀 廖小群

（廣西國際商務職業技術學院，廣西 南寧 530007）

高職院校經過較長時間的發展，呈現多校區教學的情況，為了滿足多校區教學、教育資源共享的需求，基礎網絡架構通常沿用常規的IPv4組網。在新的網絡改造要求需要有效解決現有多校區網絡架構與信息站點資源的安全使用，并實現IPv6與IPv4資源的互相聯通的需求背景下，探究IPv6反向代理技術在高職院校的應用。

高職院校；校園網；IPv6；反向代理

引言

高職院校的不斷發展，校園規模不斷擴大，呈現多校區教學趨勢，為了平穩保障多校區網絡正常有效地運行，在IPv4網絡NAT網絡地址轉換的成熟運用的情況下，目前大多數學校仍然采用IPv4的網絡架構來保障網絡使用與信息系統發布。2019年底，IPv4地址已經消耗完，意味著全球網絡必須使用IPv6才能有效發展，在IP地址非常緊張的形勢下，教育部為加快教育與下一代互聯網的融合，推進IPv6的部署與應用系統的升級，貫徹落實《推進互聯網協議第六版（IPv6）規模部署行動計劃》。針對目前學校的網絡架構，為了能夠完成教育部對學校網絡改造和信息系統的使用IPv6的要求。本文對在現有網絡架構上使用反向代理技術打通教科網IPv6與學校現有信息系統的聯系，介紹相關的技術細節，提供網絡過渡的應用經驗。

1 學校多校區IPv6升級改造背景

1.1 學校整體網絡架構

學校由兩個校區組成，采用了不同校區局域網互聯成一個整體網絡的架構，每個校區網絡設計采用了傳統的三交換型組網設計，即“核心—匯聚—接入”。網絡結構層次分明，便于管理運維。兩校區通過網絡運營商虛擬專線進行連接，在充分考慮網絡的出口統一與運維方便的情況下，把在市區的老校區作為出口節點。出口從上往下依次部署的設備為：網絡負載均衡設備、下一代防火墻設備、上網行為管理設備、有線與無線網絡核心交換機設備、樓棟匯聚交換機、樓層接入交換機。老校區與新校區均采用有線網與無線網為辦公教學與宿舍區域提供網絡服務的雙網架構，核心交換機均設置在各自校區的數據中心機房。從方便管理的角度考慮，有線網與無線網的樓棟匯聚交換機與樓層的接入交換機，均設在相同的弱電間內，互相獨立且形成互相備份。校園主干光纜的鋪設均采用了環路設計，每個校區根據相鄰樓棟的距離與網絡用戶數量來劃分成若干個環網，無論環網中哪個節點故障，均可以使用另外的環路來保障網絡連通。在這樣的設計下能夠有效保證校園整體的網絡的可靠性，為IPv6升級改造打下堅實的基礎。

1.2 學校網絡IP地址架構

學校所有校區網絡建設均采用了IPv4地址。老校區規模較小，早期在設計的時候采用了C類私有地址（192.168.0.0/16），滿足約10000師生辦公學習需求。新校區規模較大，設計采用了A類私有地址（10.0.0.0/8），設計滿足約4萬師生辦公學習需求，同時還具備有冗余擴展。兩個校區均設計了校園無線網絡，共同采用了B類私有地址（172.16.0.0/12）。

學院出口鏈路有中國移動和教科網兩條線路是有固定IP地址，其中只有教科網有IPv4與IPv6兩種類型的地址。目前學院的信息系統架構全部是基于IPv4開放部署，對外開放的服務器均需要經過網絡地址轉換。

IPv6技術設計的時候，并未考慮到與IPv4的兼容性，導致基于IPv4的互聯網與基于IPv6的互聯網是無法直接互通。IPv4的客戶端無法訪問目標地址是IPv6的網絡中的應用，反之亦然。由于學校的信息系統與大量的網絡設備均使用IPv4，完全更換的所需成本較高，所以需要平穩過渡，分步驟完成。總共需要經歷3個階段：IPv4設備與信息系統為主階段；IPv4與IPv6設備與信息系統共存階段；IPv6設備與信息系統為主階段。

1.3 校園網絡IPv6過渡技術分析

1.3.1 隧道技術（Tunneling）

隧道技術主要是實現IPv6網絡間的數據通信，他的思想是在IPv6網絡之間建立一條能夠穿越IPv4的網絡數據通道。需要隧道出入口設備支持雙棧協議和隧道技術、而對中間的設備沒有要求。隧道技術盡管提供了IPv6網絡間的數據通信，若采用隧道技術進行過渡，會增加網絡通信的復雜性和安全風險，如果用戶使用非表態IPv4地址連接（如撥號），用戶的連接如果非正常中斷了，隧道服務器會繼續發送IPv6的隧道包到用戶原來的IPv4地址，而這個地址可能已經被分配給另一個主機使用，這樣就發生了數據泄露問題[1]。惡意用戶可以在IPv6子網內向服務器同時申請大量的隧道連接、耗盡隧道服務器的資源，目前還沒有合適的過濾策略。另外還需要統計每個隧道的帶寬使用情況，以盡快發現是否遭到DOS攻擊[2]。這就可能引起誤判或者漏判。

1.3.2 協議轉換技術（Translation）

IPv6協議轉換需要依賴網絡設備進行，IPv6網絡與IPv4網絡之前的網絡通信。連接IPv6和IPv4的網絡設備稱為協議轉換器。其工作的關鍵原理是通過修改網絡報文頭部信息實現協議轉換，從而實現兩網互聯。需要重點關注轉換設備的安全性能，否則協議轉換設備容易成為安全瓶頸。基于現實的業務情況，往往無法在短期內實現對內網現有的、支持IPv4協議的網絡設備、安全設備、網站代碼等進行全量升級。那么這種純IPv4與IPv6的轉換技術是無法為實際業務系統服務的。即使用戶重新投入大量資金構建內網的IPv6環境，IPsec在IPv4網絡中是可選項，但是IPv6網絡中是必選項，這樣的情況下，路由器在處理認證和加密等方面的時候需要消耗較多的計算資源，造成硬件負擔，同時全新的通信方式必然會引入新的安全挑戰，甚至會出現協議層面、設備層面的0day漏洞，而業務系統出口環境單一，無法保證高可靠性。

1.3.3 雙棧技術（Dual Stack）

雙棧協議模式是基于IPv4設備對IPv6的支持，在設備上同時開啟IPv4和IPv6協議棧，使設備既可以與IPv4通信，也可以與IPv6通信。雙棧技術出現較早、比其他過渡技術實現更容易，還是其他IPv6過渡技術的基礎。但是雙棧改造對站點要求高，要求服務器和信息系統改造升級。使用雙棧技術需要同時支持并配置IPv4和IPv6協議的網絡節點[3]。維護兩套不同IP地址協議的網絡，這種情況會使網絡架構變復雜，同時加大了運維的難度。適用于升級改造網絡架構和信息系統架構相對簡單的網絡。

2 校園網絡IPv6改造困難與需求分析

2.1 改造時間緊

2020年底，教育系統的各類網絡、門戶網站和重要應用系統完成升級改造，支持IPv6訪問；基于IPv6的安全保障體系基本形成。下一代互聯網相關學科專業人才培養、技術研發與創新工作顯著加強，教育系統人才保障和智力支撐能力大幅提升[4]。當時的時間緊，任務重，但是必須要做出整改的的規劃和動作。

2.2 改造范圍大

IPv6若全面改造涉及網絡層改造、設備層改造、業務系統改造、網絡代碼改造等多方面的改造。需要業務管理系統平臺、信息系統、網絡安全系統等多系統的協同，涉及全校軟件、硬件、與有線無線網絡，必須要做好升級工作的整體統籌規劃、多部門有效協同。一旦涉及系統整體升級，可能需要更新軟硬件設備，需要各信息系統使用部門做出對原有系統評估后進行升級改造，涉及資金資金較大。

2.3 改造對教學影響范圍廣

學校門戶網站與各類信息系統有較大的瀏覽量和廣泛的影響力，同時也是網絡攻擊者窺伺的重點目標。一旦發生網絡安全事故，可能產生嚴重后果。因此國家強制推行信息系統安全等級保護制度，來加強信息系統的網絡安全防御。學校門戶網站與各類信息系統升級支持IPv6訪問之后，很快會遇到來自IPv4和IPv6網絡的雙重嗅探和攻擊，既可能有網絡層、應用層的攻擊，也可能出現其它不可預期的攻擊形式。因此學校門戶網站與各類信息系統的IPv6升級工作必須預先考慮安全防護問題[5]。

2.4 改造需求分析

由于IPv6在網絡層和傳輸層與應用層上，面臨和IPv4同樣的安全威脅，常見會有應用層攻擊，如緩沖區溢出攻擊、CGI攻擊、病毒等。由于IPv6新增NS/NA/RS/RA，分片重組機制，以及海量的網絡IP地址，攻擊者可以輕松獲得海量僵尸網絡，用來發起DDoS攻擊。同時IPv6還面臨特有的安全威脅，如定向嗅探是通過IPv6前綴信息搜集、隧道地址猜測等啟發式掃描方式，嗅探IPv6主機，發起攻擊。欺騙攻擊是鄰居發現協議ND存在泛洪和地址欺騙風險。IPv6開啟自帶IPSec情況下，加大協議內容解析的難度。

基于面臨的種種網絡攻擊威脅，網絡安全需求在IPv6改造中是重中之重，安全設施升級是最基本的前提條件，安全設備必須支持雙棧技術與協議轉換技術。依據等保2.0的標準要求實現訪問控制、入侵防范、惡意代碼防范、個人信息保護等。改造完成后具備以下能力：安全域隔離、訪問控制、入侵檢測及防御、應用層防護及數據保護。實現獲取威脅情報、識別資產信息、檢測漏洞風險、風險識別與告警等。

由于全面改造的范圍較大，涉及到的網絡設備與信息系統資產較多，并且原有上網終端IPv4私有地址是根據部門與樓棟進行了編排，如果全面改造會對網絡使用者與管理造成不便，需求改造實施方案能夠化繁為簡，并且能在改造后完成運維簡單化。學校的教學活動是首要保障的事情，在改造過程中不能影響現有的教學秩序，需要最大程度地縮短改造所需時間。同時需要充分評估改造花費，分階段逐步實現IPv6應用目標。

3 校園網絡IPv6網絡改造實施方案

3.1 選用反向代理技術進行第一階段改造

基于這IPv6改造的困難與需求，第一階段的解決方案，用反向代理的方式實現協議轉換技術，即內部到外部的IPv4到IPv6的地址轉換，先實現運營商的線路改造，這樣的動作較小，同時滿足國家對于整改IPv6的要求，這樣業務內網改動小，對于內網的改造有一個緩沖的時間，用戶可保持原有服務器架構不變，內網可以繼續使用IPv4繼續提供業務。同時保證發生來自IPv6的網絡攻擊，只能攻擊到轉換設備，IPv4源站不會遭受IPv6網絡攻擊[5]。使學院網絡無縫進行IPv6業務切換改造。

3.2 方案部署實施

3.2.1 反向代理技術過程與部署

在出學校互聯網總出口部署具有IPv6反向代理功能的負載均衡設備，在負載均衡設備上實現協議轉換，當IPv6的客戶端訪問負載均衡設備上發布的IPv6的虛擬服務，負載均衡設備收到該虛擬服務的請求后做源目地址轉換，由負載均衡設備代理訪問IPv4的服務器資源。

轉換過程舉例如下：第一步IPv6客戶端發起對負載均衡上發布的IPv6虛擬服務的請求數據包源目IP：客戶端2406:100::1訪問負載均衡的2406:200::1。第二步負載均衡收到請求后將客戶端源目IP修改去訪問IPv4的服務器數據包源目IP：負載均衡的10.1.1.1到服務器的10.1.1.2。第三步服務器回包給負載均衡的IPv4地址數據包源目IP：服務器的10.1.1.2回給Add 10.1.1.1。第四步負載均衡修改服務器回包的源目IP將數據發給IPv6客戶端數據包源目IP：負載均衡的2406:200::1回給客戶端的2406:100::1。

操作步驟如下：第一步在應用負載中新建虛擬服務，虛擬服務IP地址為負載均衡設備可對外訪問的IPv6地址；服務類型http；端口范圍默認；節點池添加IPv4信息系統服務器內網IP地址與端口，啟用SNAT；第二步聯系域名服務商添加網站的AAAA記錄解析到負載均衡的外網口地址。第三步網絡部署的網絡接口中，選擇編輯IPv6線路，添加第一步中IPv6地址使用64位掩碼的以精確應用。

3.2.2 “天窗問題”與解決方案

“天窗問題”是指網站中引用了部分第三方資源，如JS、圖片、或者鏈接等。信息系統經過雖然經過反向代理的地址轉換IPv6改造后，這些第三方地址可能仍為IPv4地址。當客戶端通過網絡為純IPv6環境時，這些未經改造過的第三方資源就無法加載。產生“天窗問題”過程舉例如下：第一步Pv6客戶端發起web請求。第二步主站服務器返回含有子域名、二級單位的子鏈接或其他網站的鏈接（以下統一簡稱外鏈），但這些網站未進行IPv6改造。第三步客戶端瀏覽器向DNS服務器發起對外鏈的AAAA記錄查詢請求。第四步dns服務器無法響應外鏈的AAAA記錄，故返回失敗。客戶端得到網頁顯示，部分模塊無法顯示，如圖片加載失敗、視頻無法播放等。

解決“天窗問題”思路：第一步客戶端發起對主站的WEB訪問。第二步主站服務器返回含有外鏈的頁面，負載均衡替換頁面上的外鏈。第三步客戶端收到頁面后，發送外鏈的DNS查詢請求到負載均衡，查詢外鏈AAAA記錄。第四步客戶端收到DNS應答后發起對外鏈的訪問請求。第五步負載均衡向DNS服務器發起外鏈的A記錄查詢請求。第六步負載均衡收到DNS應答后，訪問目標站點。第七步負載均衡收到應答后，轉發給客戶端。最終實現IPv6客戶端可以通過負載均衡代理訪問到IPv4的外鏈資源。

解決“天窗問題”在負載均衡設備上操作過程如下：第一步編輯應用負載菜單下的ipro“天窗－域名方式”的ipro腳本，要對原有腳本根據具體信息系統做如下修改：第一步SCHEME修改為主站的訪問方式，可選http或https，依據為虛擬服務的類型。第二步DOMAIN為主站的根域名。第三步DOMAIN_EX改為申請的另一個公網域名，解析結果也要是可以到虛擬服務的，可復用為主站根域名。第四步AD_HOSTS為不做轉換的域名白名單列表，通常至少添加主站對外的域名，也可以添加一些已知的支持IPv6訪問的網站域名，可以填多個。第五步在應用負載菜單的虛擬服務應用已經修改好的ipro腳本。第六步在應用負載中配置DNS代理用于負載均衡自身代理解析外鏈域名。最后一步在域名服務商添加*.proxy.yourweb.edu.cn泛域名AAAA記錄，解析地址同樣為負載均衡對外的IPv6地址。

4 結束語

IPv6反向代理技術關鍵在于使用了協議轉換技術，實現學校在不改變現有總體IPv4的網絡架構與信息系統的情況下，以最小的資金成本與時間成本完成了第一階段的網絡改造，這次改造僅僅是將原有的IPv4架構下的信息系統通過協議轉換實現通過教科網的IPv6網絡對外提供服務。未來一段時間，我國高職院校網絡依舊會處在IPv4網絡與IPv6網絡共存發展的階段。隨著云計算、物聯網、移動網絡的不斷發展，萬物互聯是必然的趨勢。在IPv4地址用盡的情況下，發展IPv6網絡是歷史的必然選擇。通過第一階段的網絡改造為接下來的IPv6過渡打下了良好的基礎。相信教育系統的IPv6規模部署會有效推進，為全國互聯網升級改造做出示范性的作用。

[1] 張武軍. 基于IPv6的下一代網絡安全關鍵技術研究[D]. 西安: 西安電子科技大學，2006.

[2] 楊義先. 融合網絡安全綜論[J]. 中國計算機學會通訊，2006，2(6): 60-65.

[3] 常偉鵬，袁泉. 高校校園網的IPv6過渡策略研究[J]. 網絡安全技術與應用，2019(7): 76-78.

[4] 楊潔. 教育信息化2.0: 起步與挑戰[J]. 中國教育網絡，2019(1): 18-21.

[5] 尹立君，柴旭光. 淺談網絡對外發布業務IPv6整改方法[J]. 成都航空職業技術學院學報，2020，36(2): 52-53，57.

Research on IPv6 Reverse Proxy Application in the Context of Multi-Campus Higher Vocational Colleges

After a long period of development, higher vocational colleges present the situation of multi-campus teaching. In order to meet the needs of multi-campus teaching and educational resource sharing, the basic network architecture usually follows the conventional IPv4 networking. Under the context of the new network transformation requirements, we need to effectively solve the existing multi-campus network architecture and the safe use of information site resources, and realize the interconnection of IPv6 and IPv4 resources, this paper explores the application of IPv6 reverse proxy technology in higher vocational colleges.

higher vocational college; campus network; IPv6; reverse proxy

TP393.1

A

1008-1151(2022)08-0008-03

2022-03-25

羅添耀（1985－），男，廣西賓陽人，廣西國際商務職業技術學院工程師，研究方向為高職教育信息化、計算機網絡安全。

廖小群（1983－），男，廣西全州人，廣西國際商務職業技術學院講師，碩士，研究方向為高職教育信息化、計算機網絡安全。