利用DNS實施IPv6安全管理實例研究

上官斌

摘要：128位冗長的IPv6地址難以記憶和管理，如何將內(nèi)網(wǎng)服務(wù)器IPv6地址采用DNS域名解析服務(wù)設(shè)計，轉(zhuǎn)換成方便記憶的域名進行管理。可以使得研發(fā)人員不必記憶IPv6，而實現(xiàn)業(yè)務(wù)程序開發(fā)的快速迭代，也可以使得運維人員在發(fā)生業(yè)務(wù)及設(shè)備故障時，快速知曉某一IPv6地址準(zhǔn)確對應(yīng)的物理設(shè)備，快速定位故障點及識別受影響的業(yè)務(wù)范圍。筆者在實際生產(chǎn)中通過主持物聯(lián)網(wǎng)IPv6網(wǎng)絡(luò)改造及智能DNS項目建設(shè)實踐，實現(xiàn)了IPv6的單棧運行，有效提升IPv6地址支撐研發(fā)及運維管理效率。文章總結(jié)了其中一些實踐性經(jīng)驗，供從業(yè)者參考。

關(guān)鍵詞：DNS;IPv6;安全管理

中圖分類號：TP393? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2022）12-0033-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 運營商IPv6建設(shè)背景

為貫徹落實中辦、國辦《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》及中央網(wǎng)信辦、工信部、國資委等國家部委相關(guān)要求，結(jié)合中國移動自身發(fā)展需要，2020年5月26日，總部下發(fā)《關(guān)于開展2020年IPv6規(guī)模部署工作的通知》，統(tǒng)籌IPv6規(guī)模部署，并對各省公司、各專業(yè)公司的具體相關(guān)工作提出新的高要求，具體要求包括：

1）加強對包括中小型數(shù)據(jù)中心和機房的IPv6改造，全部IDC均應(yīng)支持IPv6。

2）至2020年底，完成全部自營網(wǎng)站、應(yīng)用的IPv6改造，其各級內(nèi)部鏈接及內(nèi)部資源均應(yīng)100%支持IPv6并優(yōu)先通過IPv6訪問，應(yīng)支持IPv6單棧獨立運行。

相關(guān)部門繼續(xù)推進IPv6規(guī)模部署納入各單位年度經(jīng)營業(yè)績考核管理控制事項，中央網(wǎng)信辦、工信部、國資委等相關(guān)部委專項督察、通報，將給各相關(guān)單位造成較大負面影響的情況。基于此，IPv6基礎(chǔ)設(shè)施建設(shè)、應(yīng)用改造等，已經(jīng)成為一項突破技術(shù)瓶頸，拓展業(yè)務(wù)需要，以及國家管理要求三方結(jié)合的當(dāng)務(wù)之急。

2 IPv6管理痛點

[IPv6優(yōu)勢 IPv4 IPv6 更大的地址空間 地址長度：32 位;地址數(shù)量：2^32;地址編碼：十進制 地址長度：128 位;地址數(shù)量：2^128;地址編碼：十六進制 地址格式：

192.168.1.1 地址格式：2001：0db8：3c4d：0015：0000：0000：1a2f：1a2b 更小的路由表 / 聚類原則，路由表1條記錄表示1片子網(wǎng) 增強的組播支持 單播，多播，廣播 單播，多播，任意播 其他 / 更高的安全性，更高的QoS，對自動配置的支持，對流的支持，…… ]

IPv6對應(yīng)IPv4而言，有許多優(yōu)勢，包括幾乎“可以為地球上每一顆沙子”配置專用地址這樣近乎無限大的地址容量空間，帶來更高的安全性、Qos以及更靈活的增強組播方式。

但同時，由于IPv6超長的地址位，在運維管理上會帶來更多的挑戰(zhàn)：

1）難以人腦記憶： 對于IPv4，32位點分10進制來講，例如常用的：192.168.1.1，僅4組阿拉伯?dāng)?shù)字，運維人員可以熟記關(guān)鍵服務(wù)器、網(wǎng)關(guān)、出口網(wǎng)段地址，甚至在腦中記憶著基本網(wǎng)絡(luò)拓撲圖及關(guān)鍵IP地址。但128位的長度16進制，比如：2001：0db8：3c4d：0015：0000：0000：1a2f：1a2b，看得人頭暈眼花，基本上人腦記不住。大量的終端設(shè)備、主機服務(wù)器如何進行分配IP地址，手工進行還是自動配置？

2）如何進行內(nèi)網(wǎng)保護：有的人認為在內(nèi)網(wǎng)中采用IPv6公網(wǎng)地址，會導(dǎo)致整個內(nèi)網(wǎng)將近乎“全裸”地直接暴露在整個互聯(lián)網(wǎng)環(huán)境下，黑客可以毫不費力地拉取出內(nèi)網(wǎng)環(huán)境拓撲并對任一設(shè)備進行攻擊。實際上通過出口防火墻進行外部訪問源控制，拒絕所有不對外提供服務(wù)網(wǎng)元的訪問請求，對外提供服務(wù)的網(wǎng)元只按“最小化需求”提供IPv6+端口開放許可，即可有效保護內(nèi)網(wǎng)隱私。

3）終端設(shè)備IP地址分配：難以記憶，當(dāng)有大量終端需要接入時，導(dǎo)致IPv6分配難以通過運維人員手工方式進行，更加依賴DHCPv6機制來自動分配生成各終端的IPv6地址。

4）服務(wù)器IPv6地址管理：將服務(wù)器IPv6采用DNS域名解析服務(wù)，把冗長的IPv6地址，轉(zhuǎn)換成方便記憶的域名進行管理。可以使得研發(fā)人員不必記憶IPv6，在實現(xiàn)代碼中不用綁定IPv6，便于業(yè)務(wù)程序開發(fā)及實現(xiàn)功能的快速迭代。也可以使得運維人員快速知曉某一IPv6地址準(zhǔn)確對應(yīng)的物理設(shè)備，接口，對應(yīng)的承載。在發(fā)生業(yè)務(wù)及設(shè)備故障時快速定位故障點及識別受影響的業(yè)務(wù)范圍。

3 智能DNS建設(shè)方案

3.1物聯(lián)網(wǎng)DNS主要業(yè)務(wù)場景

物聯(lián)網(wǎng)現(xiàn)有IDC1、2兩個異址機房，承載了幾十套業(yè)務(wù)系統(tǒng)，各系統(tǒng)之間每天十幾萬次的互訪通過靜態(tài)IP地址進行互訪，以及對外提供訪問服務(wù)。IP地址調(diào)整或者演進至IPv6網(wǎng)絡(luò)時代，都無法滿足現(xiàn)有的業(yè)務(wù)需要。需要DNS系統(tǒng)能夠處理來自物聯(lián)網(wǎng)各業(yè)務(wù)平臺的域名查詢請求，能夠向權(quán)威域名服務(wù)器發(fā)送查詢并接收結(jié)果，通過DNS服務(wù)靈活實現(xiàn)各業(yè)務(wù)平臺的業(yè)務(wù)地址解析，物聯(lián)網(wǎng)各業(yè)務(wù)平臺不再配置固定IP地址實現(xiàn)業(yè)務(wù)訪問。

3.2智能DNS要實現(xiàn)的主要目標(biāo)

在IDC1、2兩個物聯(lián)網(wǎng)數(shù)據(jù)機房各建設(shè)一套統(tǒng)一的DNS域名解析系統(tǒng)，負責(zé)各自區(qū)域物聯(lián)網(wǎng)業(yè)務(wù)平臺的權(quán)威及域名解析業(yè)務(wù)，同時實現(xiàn)兩套DNS域名解析系統(tǒng)的業(yè)務(wù)負載及容災(zāi)備份，當(dāng)任何一個節(jié)點的DNS域名解析系統(tǒng)出現(xiàn)問題，另一個節(jié)點能夠立刻承載業(yè)務(wù)。系統(tǒng)防護要求支持DNS安全加固、支持解析限速技術(shù)，預(yù)防DNS DDOS攻擊。

3.3 DNS部署遵循以下原則

1）DNS高安全性

DNS系統(tǒng)是物聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施，應(yīng)充分保障DNS系統(tǒng)的安全性，系統(tǒng)應(yīng)采用安全、可信加固操作系統(tǒng)，規(guī)避各種已知安全漏洞及風(fēng)險，避免采用開源軟件。系統(tǒng)還應(yīng)具備DPI深度包檢測能力，對DNS異常流量進行實時識別，并采取有效手段進行阻斷。

2）DNS高可靠性

DNS系統(tǒng)應(yīng)該達到運營商級高可靠性99.999%，同時系統(tǒng)應(yīng)充分考慮全冗余性，同機房應(yīng)實現(xiàn)雙機熱備，支持HA及雙Active模式。

3）可擴展性原則

系統(tǒng)具備平滑升級、擴展的能力，易于實現(xiàn)容量及功能的擴展，增加設(shè)備不應(yīng)增加管理的復(fù)雜度。另外系統(tǒng)還應(yīng)提供第三方接口API能力，能夠?qū)⑾到y(tǒng)主要指標(biāo)通過接口方式開放給第三方系統(tǒng)。

4）易管理性原則

系統(tǒng)應(yīng)采用中文圖形化管理界面，日常的監(jiān)控、配置、審計等管理都能夠方便便捷進行管理，提升維護人員使用效率。

3.4 組網(wǎng)原則

1）采用主備或者負載均衡的組網(wǎng)方式，最大限度提升系統(tǒng)的安全性;

2）系統(tǒng)的2臺DNS解析設(shè)備同時對loopback地址進行監(jiān)聽，使用OSPF進行路由廣播，對外發(fā)布Loopback地址為對外服務(wù)地址;

3）DNS解析設(shè)備網(wǎng)卡采用主備模式，雙上聯(lián)到接入路由器;

4）2臺DNS解析設(shè)備實現(xiàn)節(jié)點內(nèi)冗余備份，兩個業(yè)務(wù)節(jié)點之間實現(xiàn)節(jié)點業(yè)務(wù)備份。

硬件設(shè)備根據(jù)要求采用DNS專用服務(wù)器，上圖網(wǎng)絡(luò)拓撲示意圖。在IDC1、2分別設(shè)置節(jié)點，各新增2臺服務(wù)器作為物聯(lián)網(wǎng)業(yè)務(wù)平臺DNS設(shè)備，雙上聯(lián)接入網(wǎng)絡(luò)交換機，組建主備的網(wǎng)絡(luò)設(shè)備方案，IDC1、2發(fā)布同樣的DNS業(yè)務(wù)地址，若是網(wǎng)絡(luò)通過VPN隔離，則IDC1、2節(jié)點接入同樣的VPN中，實現(xiàn)雙中心業(yè)務(wù)切換。正常業(yè)務(wù)在IDC1節(jié)點提供，當(dāng)IDC1節(jié)點出現(xiàn)異常，則網(wǎng)絡(luò)切換至IDC2節(jié)點。提供DNS授權(quán)、遞歸、緩存等功能，同時集成日志和網(wǎng)管功能，實現(xiàn)物聯(lián)網(wǎng)業(yè)務(wù)平臺DNS的智能解析和系統(tǒng)管理。可以較好地通過DNS實現(xiàn)兩地多中心的備份機制。

4 管理實踐

定義物聯(lián)網(wǎng)專網(wǎng)域內(nèi)根DNS服務(wù)地址為2409：XXXX：0：XXXX：0001。需要DNS服務(wù)的，可以直接在主機上配置該DNS服務(wù)地址，并向管理部門申請配置域名及地址信息;后續(xù)拓展IDC機房，可自建域名服務(wù)系統(tǒng)的，向管理部門申請符合命名規(guī)范的二級域名，并設(shè)置遞歸至物聯(lián)網(wǎng)專網(wǎng)根DNS。

域名規(guī)則：為和公網(wǎng)域名規(guī)范區(qū)分，物聯(lián)網(wǎng)專網(wǎng)VPN內(nèi)的域名規(guī)定“.m2m”為一級域名，定義為該VPN統(tǒng)一使用，各網(wǎng)元根據(jù)網(wǎng)元名稱向管理部門申請使用二級域名或具體域名，如下。

5 成效評估

利用DNS實施IPv6管理獲得了三個方面的好處：

1）提升用戶服務(wù)感知：內(nèi)網(wǎng)服務(wù)器各網(wǎng)元對外不直接暴露IP地址，均通過使用符合規(guī)范的域名對外提供服務(wù)，方便用戶不再記憶IP地址，只需要記憶域名;

2）提升網(wǎng)絡(luò)安全性：網(wǎng)絡(luò)安全性得到進一步提高，外網(wǎng)攻擊明顯減少;

3）提升管理便捷性：開發(fā)人員、運維人員通過域名開發(fā)及維護管理便捷性明顯提高，代碼通用性大大提高，不再因IP地址割接導(dǎo)致代碼重寫及割接升級，只需要進行DNS域名動態(tài)更新即可0業(yè)務(wù)中斷實現(xiàn)IP地址變更及擴容。

6 結(jié)束語

實踐中，通過智能DNS建設(shè)及域名規(guī)劃，研發(fā)人員不必再記憶IPv6，在實現(xiàn)代碼中不用綁定IPv6，而采用對應(yīng)域名（如：XXX.onelink.m2m）替代，便于業(yè)務(wù)程序開發(fā)及實現(xiàn)功能的快速迭代。也可以使得運維人員在發(fā)生業(yè)務(wù)及設(shè)備故障時，快速匹配出某一IPv6地址準(zhǔn)確對應(yīng)的物理設(shè)備，接口，對應(yīng)的業(yè)務(wù)承載（如：OneLink或IT），便于快速定位故障點及識別受影響的業(yè)務(wù)范圍，極大提高了研發(fā)，運維人員工作效率及管理的便捷性。以上是筆者在實踐基礎(chǔ)上的一些總結(jié)，對IPv6網(wǎng)絡(luò)及業(yè)務(wù)服務(wù)改造后如何實現(xiàn)IPv6地址科學(xué)管理，具有積極的借鑒意義。

參考文獻：

[1] 中國移動蜂窩物聯(lián)網(wǎng)技術(shù)體制[S]（QB-A-048-2019）

[2] 中華人民共和國工業(yè)和信息化部.域名系統(tǒng)遞歸服務(wù)器運行技術(shù)要求， YD/T 2137-2010

[3] 趙翠湯，新坤，歐陽峰. IPv6地址管理系統(tǒng)方案研究與設(shè)計[J].廣播電視信息，2021，28（5）： 85-87.

[4] 紀(jì)德偉，柏成勇.IPv6地址規(guī)劃及管理實踐[J].信息通信技術(shù)與政策，2020（6）：91-96.

[5] 賴敬坤，梅洪.電子政務(wù)外網(wǎng)IPv6網(wǎng)絡(luò)部署安全風(fēng)險及對策探究[J]. 江西通信科技，2019（4）：32-35.

【通聯(lián)編輯：王力】