區縣教育系統IPv6部署與實踐

蔣繼紅 王海峰

摘? 要? 為貫徹落實教育部、浙江省教育廳關于推進IPv6規模部署的文件精神，安吉縣教育局通過研讀文件、分析現狀和實踐部署，以《安吉縣教育系統IPv6規模部署和應用實施方案》為指導，成功完成區縣教育系統IPv6規模部署的改造。

關鍵詞? 安吉教育系統；IPv6；IPv4；雙棧技術

中圖分類號：G527.55? ? 文獻標識碼：B

文章編號：1671-489X（2022）09-0040-04

0? 引言

近年來，隨著云計算、大數據、人工智能、5G、物聯網、區塊鏈等新一代信息技術的不斷發展，我國IP地址的需求迅速增長，造成IPv4（互聯網協議第4版）不堪重負，難以為繼。為此，教育部辦公廳于2018年9月下發《教育部辦公廳關于貫徹落實〈推進互聯網協議第六版（IPv6）規模部署行動計劃〉的通知》，要求到2020年底，教育系統的各類網絡、門戶網站和重要應用系統完成升級改造，支持IPv6訪問。同年9月，浙江省教育廳出臺《浙江省推進互聯網協議第六版（IPv6）規模部署和應用實施行動計劃》，計劃用三年時間，完成全省教育系統的各類網絡、門戶網站和重要應用系統的升級改造，支持IPv6訪問。2019年，為貫徹落實相關文件精神，安吉縣教育局經過認真研討后，出臺《安吉縣教育系統IPv6規模部署和應用實施方案》，開始進行安吉縣教育系統的IPv6部署。

1? 安吉縣IPv6建設

1.1? 網絡與系統建設的必要性

安吉縣位于浙江省西北部，全縣有各級各類學校91所，教職工6 467人，在校生79 282人。安吉教育網（www.ajedu.com）作為安吉教育的門戶網站，是浙江省首批優秀教育網站，日訪問量達五萬人次，是安吉教育宣傳的主陣地。安吉教育網的服務器均為IPv4私網地址通過防火墻以NET方式映射到IPv4互聯網地址，需要通過域名解析實現對外服務，不支持IPv6訪問，無法滿足國家及省市要求，無法支持未來智慧教育發展。此外，由于網站中心機房的數據庫、災備等應用系統都是以IPv4地址進行互聯，政務網、財政專網所提供的應用系統同樣是以IPv4地址提供服務，且不支持域名及IPv6訪問，因此，若要在純IPv6環境下運行各類應用系統，就必須對各個系統進行代碼重構，需要投入巨大的時間、人力、資金成本。

1.1.1? 網絡鏈路? 2014年，安吉縣完成省千兆計算機內網的建設，實現萬兆主干、千兆到校，但千兆內網的地址是浙江省教育技術中心統一規劃，各市縣再根據學校規模逐級規劃分配的。2016年，安吉縣又通過集中部署AC控制器、各校只部署AP的形式完成全縣校園無線全覆蓋項目，但由于各校有線、無線客戶端地址均由EG網關DHCP自動分配，且部分客戶端還在使用Windows XP操作系統，因此無法自動獲取IPv6地址。

1.1.2? 網絡及安全設備支持度? 全縣教育系統的網絡設備、學校EG網關、無線設備和安全等設備均支持IPv6，但要搭建純IPv6環境，需要將防火墻里原基于IPv4的應用策略全部改為基于IPv6的應用策略，因此需要重新規劃下屬學校所有IP地址分配，并在近千臺設備上逐一進行配置、測試，這就會造成整個教育系統教學應用、管理業務停擺，影響巨大。

1.1.3? IPv6相關資源情況? 由于經濟、地域、社會發展等因素影響，電信、移動、聯通三大運營商尚未提供IPv6地址業務，IPv6地址只能先采用中國教育和科研計算機網（CERNET）提供的地址段，并由浙江省教育技術中心統一進行規劃。

1.2? IPv6建設方案及特點

1.2.1? 建設方案? 為貫徹國家、省市要求，促進安吉教育發展，安吉縣教育局經研究認為，安吉縣IPv6的建設方案應充分支持多業務平臺資源的IPv4/IPV6的雙棧支撐能力與多種業務的同步支持能力；同時，方案還應具有可擴展、易管理維護等特性，能夠平滑地升級、擴容以適應目前及未來應用服務的需要；在安吉教育系統中的所有應用系統均應同步支持雙棧訪問，并承載數據、語音、視頻、監控等多媒體應用，且網絡應具有豐富的QoS支持、組播、MPLS-VPN等網絡支持能力。

1.2.2? 方案特點? 安吉縣教育系統IPv6的建設，是結合原有已建成的城域網，在不修改原網絡拓撲的前提下，建設支持IPv4/IPv6雙棧的教育城域網，這種建設模式不但能滿足網絡IPv6升級的需求，也能夠提升安吉教育系統基于IPv6的應用服務能力。這種IPv6改造方案，既可滿足教育部、浙江省教育廳對安吉教育系統的考核要求，也符合等保2.0的相關合規要求。由于建設改造工作采用目前主流的IPv6—IPv4翻譯轉換技術，不但可以實現IPv6的快速、便捷部署，還可以免去對原業務系統改造的成本，同時減少IPv6設備的投入，用戶體驗方面也無須額外添加任何客戶端和插件。方案的主要特點如下。

1）協議智能轉換。在使用IPv6轉換平臺之前，安吉教育系統只能通過整體IPv6新建的方式，且IPv6用戶只能訪問安吉教育系統中IPv6資源，而無法訪問安吉教育系統中原有的IPv4資源；在使用IPv6轉換平臺之后，安吉教育系統不需要改造原有的基于IPv4的應用系統，只需將該IPv6轉換平臺與安吉教育系統中原有的IPv4業務對接，即可正常訪問，具體如圖1所示。

2）完美解決天窗問題。在使用IPv6轉換平臺之前，如果通過IPv6訪問安吉教育系統，部分頁面會出現外鏈“天窗”的問題，給用戶帶來不良的使用體驗；使用IPv6轉換平臺后，能夠完美解決外鏈“天窗”這個問題，再通過IPv6轉換平臺訪問安吉教育系統，就不會出現這種現象，給用戶帶來良好的使用體驗。

1.3? IPv6建設

IPv6技術的推出是為了解決IPv4地址分配耗盡的問題，但就目前來說，由于IPv6本身并不兼容IPv4，如果大規模部署IPv6則會面臨如轉發表項容量、IPv4與IPv6互通、兩張網運維等諸多問題。因此，在對周期性、成本、技術難度、部署的便捷性等因素進行綜合考評后，為將縣教育系統的IPv4逐漸升級到IPv6，安吉縣教育局從目前三種主流過渡技術（表1）中選擇雙棧技術作為技術方案。

基于雙棧技術的Ipv6改造方案的建設主要分為三個階段：

第一階段是針對內網進行部分改造，也就是在繼續保留原有的IPv4內部網絡的基礎上，重新建立一套IPv6的網絡，兩套網絡之間獨立而互不影響；

第二階段是網絡的完全替代，重新建設，即將整個網絡中包括終端設備、網絡中各節點設備、各類應用系統在內的設備，都更換為同時運行IPv4和IPv6協議棧（雙棧技術），從而實現分別與IPv4或IPv6節點間的信息互通：

第三階段則是滿足短期內學校業務及相關網站能夠被外部IPv6訪問。

由于資金、技術、人員等方面的原因，安吉教育系統的IPv6建設，主要從網絡改造、安全改造，核心服務改造等幾個方面著手。

1）網絡改造。鑒于目前互聯網上IPv6資源較少，內網用戶純IPv6訪問互聯網IPv6資源也很少，因此，安吉縣將IPv6網絡接入后形成終端雙棧網絡。基礎網絡接入的改造涉及以下幾部分工作。

①物理鏈路。原有鏈路可以繼續使用，但需要更換萬兆接口模塊。

②IP地址準備。根據省教育技術中心統一分配的IPv6地址段，按學校規模再進行劃分。

③各校EG網關。設備開啟網絡雙棧配置命令，配置基于IPv6的路由策略。

④內網IPv6地址使用。通過雙棧地址分配，使終端同時獲得IPv4和IPv6兩個地址。

2）安全改造。

①需要對傳統的安全設備進行升級和改造，使其能與網絡同步。

②針對原有的防火墻、WAF、安全防護等各類安全防護系統或者設備，需要具備開啟IPv6安全防護能力，且能夠達到針對IPv6網絡攻擊快速適配相應網絡環境的要求。

③需要對相應安全設備的IPv6支持度進行評估，如果可以通過升級解決，則讓廠商進行設備升級；如無法升級，則只能考慮更換設備。

④需要依據新的網絡安全等級保護2.0標準要求，全面地對網絡區域進行安全防護，包括安全邊界的確認、基于身份的準入控制、各類系統和訪問行為的日志留存等，以適應IPv6的安全事件分析及溯源和處理。

3）核心服務改造。核心服務改造主要包括DNS系統、DHCP系統、IP地址管理系統等網絡基礎核心服務的升級改造工作。

①DNS系統方面需要能提供IPv6地址為用戶提供服務，同時要支持IPv6域名AAAA記錄的解析。

②在DHCP系統方面，需要提供DHCP的服務支持，以便將IPv6地址順利地下發給各個設備終端。

③IP地址管理方面，由于IPv6地址長度和分配方式與IPv4差異較大，因此需要做好地址的統一管理和規劃。

4）應用改造。為實現IPv6的升級改造，并盡快達到IPv6后期的發展規劃，需要對原有業務系統進行IPv6改造。

①要對應用系統和網站進行純IPv6的代碼升級改造，改造完成后，應用系統可以直接提供純IPv6服務，能夠滿足未來長期規劃的需要。

②通過IPv6轉換服務，可以讓外網IPv4用戶訪問改造成純IPv6的應用系統，實現純IPv6應用提供給外網IPv4用戶訪問。

③內網IPv6用戶通過DNS解析AAAA，可以直接訪問內部的純IPv6應用系統。

5）運維改造。隨著IPv6網絡改造，維護人員必然面臨要同時運維IPv4和IPv6兩張網絡的工作，而隨著運維工作量的激增，網管系統的升級也成為必然。因此，系統需要支持IPv6網絡設備的信息采集、告警、呈現，網管數據以及IPv4/IPv6信息的兼容呈現。

2? 問題及解決辦法

在項目建設改造中，安吉縣主要遇到兩方面的問題：1）IPv6地址分配的問題；2）IPv6網絡環境下的行為審計問題。

2.1? IPv6地址的分配

由城域網各學校出口網關作DHCP和DNS的服務，進行IPv6地址分配和管理。如終端都支持DHCPv6，并且對終端的IPv6地址有可視化或明確管控的要求，則使用有狀態DHCPv6分配IPv6地址。如無特殊計劃，也可以使用無狀態自動配置的方式為終端分配IPv6地址。

2.2? IPv6網絡環境下的行為審計

IPv6改造后，由于沒有了以前NAT的轉換，相當于為整個城域網提供了另外一條數據通路，對該數據通路的管控目前處于空白狀態，全部放行，通過IPv6可以隨意訪問各種網站，同時無法做到實名認證和實名上網行為審計，這就違反了網絡安全法對實名制的要求。為解決這個問題，安吉縣通過和設備廠商商洽，讓出口設備EG網關全面支持IPv6下的各種上網行為審計，將日志記錄到本地并同步到統一部署的行為審計日志服務器，遵守網絡安全法規的要求。

3? 結束語

IPv6建設改造工作的完成，對于安吉縣推動人工智能實驗區、數字化改革區域教育場景應用集成創新試點建設具有重要意義。下一步，安吉縣將緊緊圍繞浙江省數字化改革大會精神，充分利用5G、物聯網、區塊鏈等技術在IPv6環境下不斷提升教育教學的數字化水平，勇于創新、真抓實干、不斷趕超，為構建高質量教育體系、打造優質教育持續奮斗。

作者：蔣繼紅，安吉縣實驗初級中學，一級教師；王海峰，安吉縣教育保障中心副主任，副研究員（313300）。