高校校園網(wǎng)IPv6 的部署與管理策略
——以攀枝花學院IPv6建設為例

攀枝花學院 張杰

為徹底解決IPv4 地址枯竭問題，形成互聯(lián)網(wǎng)技術領先產(chǎn)業(yè)，解決新技術問題，確保網(wǎng)絡信息安全，高校應加強下一代互聯(lián)網(wǎng)技術的應用和研究，從IPv6 建設原則、網(wǎng)絡架構、網(wǎng)絡過渡、網(wǎng)站改造、網(wǎng)絡安全分析及策略等方面提供建設經(jīng)驗和方法，為廣泛發(fā)展IPv6 提供建設思路和建設策略。

高等學校作為新技術應用的創(chuàng)新地和應用場所，是下一代互聯(lián)網(wǎng)技術的創(chuàng)新和應用的主戰(zhàn)場。為適應新時代高校的教學環(huán)境要求，全面落實教學應用的深度融合，快速搭建下一代互聯(lián)網(wǎng)，安全有效地解決教育業(yè)務管理系統(tǒng)、門戶網(wǎng)絡系統(tǒng)、安全管理業(yè)務系統(tǒng)的IPv6 升級和訪問。

1 IPv6 的部署應用的背景

為徹底解決IPv4 地址枯竭問題，形成領先全球的互聯(lián)網(wǎng)技術產(chǎn)業(yè)，保證我國信息安全，高校應加速發(fā)展IPv6，解決發(fā)展滯后、發(fā)展緩慢的現(xiàn)狀，迎頭開展下一代互聯(lián)網(wǎng)IPv6 的網(wǎng)絡部署和建設，建立協(xié)同、優(yōu)化、規(guī)范發(fā)展的環(huán)境，實現(xiàn)IPv6 部署平穩(wěn)安全推進[1]。

目前，我國IPv6 技術上有一定的技術儲備，但發(fā)展較晚，普及率較低，在世界上占有率較低，近年來國家大力推廣，發(fā)展速度顯著提升，但與之配套建設與管理經(jīng)驗明顯不足。我國的本土IPv6 發(fā)展模式和建設模式與國際上優(yōu)勢國家發(fā)展方式和方法有所區(qū)別，相關研究成果的共享不是很暢通，所以我國只有讓高校積極參與IPv6 的升級改造，在IPv6 的部署和管理中不斷積累相關的技術和管理經(jīng)驗，為下一步廣泛發(fā)展IPv6 提供建設思路和建設策略。

2 IPv6 建設與部署

2.1 校園網(wǎng)IPv6 建設原則

建設IPv6 應樹立高質(zhì)量發(fā)展理念，嚴格遵循統(tǒng)籌規(guī)劃、突出重點、注重實效為總原則。根據(jù)學校發(fā)展情況、應用情況和經(jīng)濟實情做出總體規(guī)劃和分步實施，建議設計上適度超前的原則，保持技術先進性。突出重點是緊密結合高校的教學和科研特點，融合校園教學信息化應用，突出滿足業(yè)務需求。注重實效是考慮IPv6 建設可擴展性、經(jīng)濟型、利用效率等因素，處理好滿足現(xiàn)在、面向未來的關系[2]。

2.2 IPv6 網(wǎng)絡架構

IPv6 發(fā)展將經(jīng)歷純IPv4 階段、IPv4 向IPv6 過渡階段和純IPv6 階段，但一般升級IPv6 都將處于IPv4 向IPv6 過渡階段，隨著時間和使用習慣的改變逐步實現(xiàn)純IPv6 升級換代，如圖1 所示。

圖1 IPv6 發(fā)展階段圖Fig.1 IPv6 development phase diagram

2.3 IPv4 向IPv6 過渡階段

根據(jù)我國互聯(lián)網(wǎng)建設的現(xiàn)狀，IPv4 和IPv6 網(wǎng)絡將會保持共存的情況，根據(jù)發(fā)展的要求，實施逐步發(fā)展，最終實現(xiàn)升級換代的目標。在IPv4 和IPv6 共存的情況下，必然要解決IPv4 和IPv6 互聯(lián)互通的組網(wǎng)技術。目前主要有雙棧技術、隧道技術和翻譯技術等。要實現(xiàn)IPv6 的順利過渡，必須解決鏈路過渡、終端過渡和網(wǎng)站過渡等問題。

2.3.1 鏈路過渡

用戶首先是向CNNIC（中國互聯(lián)網(wǎng)絡信息中心）申請IPv6 地址；然后就是將網(wǎng)絡接入到IPv6 互聯(lián)網(wǎng)當中，用戶需要通過自有AS 與IPv6 網(wǎng)絡建立連接，搭建IPv6的硬件和系統(tǒng)環(huán)境，通過網(wǎng)絡節(jié)點做好地址轉(zhuǎn)換，配置IPv6 運行的基礎網(wǎng)絡服務，如網(wǎng)絡認證、自動分配IP 地址、域名解析等系統(tǒng)服務。

2.3.2 終端過渡

雙棧網(wǎng)是基于現(xiàn)有網(wǎng)絡的升級，為用戶提供便捷的IPv4/IPv6 雙棧網(wǎng)接入、認證和管理功能。IPv6 升級方案需要根據(jù)網(wǎng)絡拓撲結構和路由規(guī)劃具體確定，一般情況下，使用OSPFv3 的路由技術可以有效連接核心層網(wǎng)，將劃分的若干網(wǎng)絡區(qū)域路由聚合收斂，提高數(shù)據(jù)信號發(fā)送效率。IPv4 路由采用OSPFv2，IPv6 路由采用OSPFv3，可在不同接口上配置OSPFv3 的鏈路開銷值，從而影響路由的計算，保證存在萬兆鏈路數(shù)據(jù)優(yōu)先走萬兆鏈路。網(wǎng)絡出口可采用靜態(tài)缺省路由或BGP4 與IPv6 網(wǎng)絡核心節(jié)點相連[3]。

在IPv6 地址的全面部署前，應構建具備可管理、可持續(xù)發(fā)展的IPv6 地址科學規(guī)劃策略，避免IPv6 地址語義過載帶來負面影響。IPv6 地址實現(xiàn)方式可采用自動分配IP 地址（DHCPv6）技術方法，將經(jīng)過注冊的IPv6 自動分配給用戶，同時可以部署SAVI 等網(wǎng)絡安全技術。在一些特殊需求的交換機、服務器、物聯(lián)設備等，為了便于管理，可以配置靜態(tài)IPv6 地址，方便設備的有效管理。

2.3.3 網(wǎng)站過渡

雙棧升級包括網(wǎng)絡層改造、設備層改造、業(yè)務系統(tǒng)改造和網(wǎng)站代碼改造等方面內(nèi)容。網(wǎng)站過渡首先做好網(wǎng)絡層和設備層改造，在網(wǎng)站的網(wǎng)絡區(qū)域配置IPV6 可運行的物理環(huán)境，做好相應地址策略和基礎服務，調(diào)研在用的各應用系統(tǒng)，如各業(yè)務管理系統(tǒng)、網(wǎng)絡安全系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，開啟IPv6 協(xié)議，支持IPv4/IPv6 協(xié)議。對網(wǎng)站代碼不支持IPv6 協(xié)議棧的網(wǎng)站，修改前要做好備份，修改工作較為復雜，需要謹慎處理，拓撲圖如圖2 所示。

圖2 “翻譯”模式的IPv6 網(wǎng)絡拓撲圖Fig.2 IPv6 network topology diagram in "translation" mode

2.4 網(wǎng)站安全

高校網(wǎng)絡升級IPv6 后，較IPv4 網(wǎng)絡安全性有了較大提升，IPv6 自身在網(wǎng)絡的安全性上進行了嚴密的設計，IPSec 技術能有效提升IPv6 網(wǎng)絡安全性，這是IPv6網(wǎng)絡的優(yōu)勢。但也會面臨基于IPv4/IPv6 網(wǎng)絡非法入侵、嗅探和攻擊，這些攻擊可能導致網(wǎng)絡癱瘓，因此，安全防護工作是升級后網(wǎng)絡必須要重點考慮的問題，尤其是IPv4/IPv6 模式，面臨著雙重壓力。目前絕大部分網(wǎng)絡安全設備和系統(tǒng)都號稱已支持IPv6 協(xié)議，但由于運營商網(wǎng)絡一直沒有啟用IPv6，這些設備基本都沒有在運營商IPv6 生產(chǎn)網(wǎng)上經(jīng)過實戰(zhàn)檢驗。當開通IPv6 之后，這些網(wǎng)絡安全設備用戶需要在網(wǎng)絡環(huán)境中共同驗證設備的完善性和可靠性，發(fā)現(xiàn)BUG 和修補BUG，在試錯中不斷改進。

高校信息部門大多數(shù)都沒有專業(yè)的網(wǎng)絡安全團隊，網(wǎng)管人員對設備如何配置優(yōu)化IPv6 策略也缺乏經(jīng)驗，包含廠商技術人員可能同樣存在這個問題，因此，采取一步到位升級v4/v6 雙棧的做法可能比較激進，風險有點大。

高校網(wǎng)站應該盡量采購已在大規(guī)模IPv6 網(wǎng)絡上運行滿一年、軟件經(jīng)過一次或多次大版本迭代、解決很多問題、功能完善、性能可靠的網(wǎng)絡安全設備。雖然IPv6 升級改造比商業(yè)ICP 網(wǎng)站慢一步，但是更為穩(wěn)妥和安全。

根據(jù)國家規(guī)定，網(wǎng)站必須通過信息系統(tǒng)安全等級保護認證。但目前新的國家信息系統(tǒng)安全等級保護制度（IPv6 版）還未推出，因此不能對網(wǎng)站IPv6 升級工作提供實施指導。在這種情況下，比較穩(wěn)妥的辦法是采用“兩步走”策略:

第一步，網(wǎng)站采用“IPv4 源站+翻譯設備”的模式。這種模式下，IPv4 源站的防護還是通過傳統(tǒng)模式防護，防護方法較為成熟。但對于IPv6 的防護，主要會針對翻譯設備的攻擊。

第二步，待國家發(fā)布關于IPv6 的信息系統(tǒng)安全等級保護制度文件，關于IPV6 的安全防護技術會更加成熟，防護手段變得更加可操作性，升級為純IPv6 的網(wǎng)站，對于IPv4 用戶訪問將會變得很少，采用外掛“v6 轉(zhuǎn)v4”翻譯設備方案，使網(wǎng)站IPv6 支持IPv4 訪問。

網(wǎng)站采用“IPv4 源站+翻譯設備”的模式，是可以解決IPv4 向IPv6 過渡的有效而經(jīng)濟的方案，完成IPv6網(wǎng)站的快速訪問，實現(xiàn)過渡階段的網(wǎng)絡需求。后期可以安排充足的預算和時間，從容推進網(wǎng)站升級為網(wǎng)站IPv6。

3 IPv6 管理與措施

3.1 安全人員需要有關IPv6 協(xié)議的教育和培訓

IPv6 屬于下一代互聯(lián)網(wǎng)技術，屬于新技術范疇，技術應用與傳統(tǒng)網(wǎng)絡技術有較大的變化，需要加強技術人員的認識，提高技術管理水平，快速適應新技術發(fā)展需求。

3.2 安全設備及系統(tǒng)需要升級

IPv6 網(wǎng)絡的升級與建設，原來的網(wǎng)絡安全設備是基于IPv4 技術的網(wǎng)絡設備，網(wǎng)絡架構變化后，必須基于網(wǎng)絡邊界保護、網(wǎng)絡區(qū)域劃分等作出相應地調(diào)整，分析網(wǎng)絡的路由和安全，調(diào)整安全設備位置，升級路由器、防火墻、堡壘機、日志服務器、入侵檢測系統(tǒng)、認證服務器等安全設備軟硬件，確保兼容IPv6。

隧道協(xié)議是IPv6 較為方便的部署，是將IPv4 數(shù)據(jù)流在隧道協(xié)議下把IPv4 通過軟件封裝成IPv6 隧道進行通信。雖然只需布置IPv6 的隧道服務器，即可實現(xiàn)IPv4與IPv6 的穿透網(wǎng)絡通信，但缺陷是訪問必須安裝相應的支持IPv6 隧道協(xié)議的軟件，也無法解決由于訪問速度引起的網(wǎng)站打不開或內(nèi)容缺失的問題。

IPv6 的網(wǎng)絡自動分配IP 地址（DHCPv6）技術便于用戶自動尋址，在協(xié)議支持下自動獲得一個網(wǎng)絡地址，網(wǎng)絡管理上方便邊界，但由于用戶自行配置靜態(tài)的IP 地址等因素，無法辨識網(wǎng)絡地址的重復性，從網(wǎng)絡安全管理來看，跟蹤網(wǎng)絡資源情況顯得更加不易。

3.3 加強IPv6 信息安全的對策

IPv6 協(xié)議技術屬于新網(wǎng)絡技術，是下一代互聯(lián)網(wǎng)技術，和過去應用IPv4 技術有較大的區(qū)別，在建設和應用中都帶來了新的安全技術風險，因此，必須認真對待，鉆研IPv6 的技術特點，提出防范的技術措施。

防范的技術措施主要是指IPv6 網(wǎng)絡架構必須做好網(wǎng)絡防火墻的安裝和升級，以便于適應新網(wǎng)絡環(huán)境，做好適用于IPv6 的DMZ 訪問規(guī)則和安全過濾規(guī)則，做好訪問用戶策略，有效控制網(wǎng)絡用戶權限，防止非法訪問，做好網(wǎng)絡的隔離設計，遷移網(wǎng)絡安全設備，保障網(wǎng)絡的平穩(wěn)過渡。完善入侵檢測系統(tǒng)，以便于新網(wǎng)絡環(huán)境下自轉(zhuǎn)換和自適應，做好IPv6 數(shù)據(jù)包捕獲、協(xié)議解析、規(guī)則解析和網(wǎng)絡入侵事件分析等，做好安全應對技術措施。

改善技術手段主要是做好健全網(wǎng)絡管理制度，完善防護機制。提高相關人員的網(wǎng)絡安全意識，做好網(wǎng)絡安全管理流程，做好網(wǎng)絡安全應急處置辦法，規(guī)范網(wǎng)絡管理行為，積極建立主動性技術防范措施。開展IPv6 的網(wǎng)絡認證，實施網(wǎng)絡加密和認證，保障網(wǎng)絡用戶權限，做好安全審計系統(tǒng)，便于記錄和規(guī)范網(wǎng)絡行為、審查和評估網(wǎng)絡風險。

4 建議

下一代互聯(lián)網(wǎng)的技術將在網(wǎng)絡的升級和建設中逐步成為主流網(wǎng)絡技術，成為支持信息化業(yè)務的主要關鍵技術。在建設與部署上要遵循總體的建設原則，根據(jù)高校網(wǎng)絡的建設實際情況，選擇適合的建設方案，采用IPv4，IPv4向IPv6 過渡階段和純IPv6 的分布建設方法，穩(wěn)步安全的建設IPv6。