高校基于SDN 網絡的IPv6 規模部署

文/李滿龍 蔡運記 黃思樂

項目背景和實現目標

隨著信息技術的發展，通信網絡已成為校園信息化的關鍵基礎設施，支撐各信息系統的建設與應用。傳統IPv4 網絡面臨越來越多的瓶頸和風險，新IPv6 網絡則擁有更大的地址空間、更好的安全性，基于IPv6 協議的下一代互聯網能夠很好地彌補IPv4 網絡的不足。

2017 年11 月，兩辦印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》，開啟大規模普及IPv6 的序幕。同時，各運營商也完成IPv6 骨干網絡改造，為高校IPv6 改造提供了條件和保障。

北京理工大學珠海學院園區網絡采用SDN+VxLAN 的管理架構，基于H3C Director 控制器實現對校園網基礎運維、用戶認證、安全管理等多功能的統一平臺管理；在一套SDN 管理平臺下分別構建學生運營網、教學辦公網、設備專網的多Fabrics 園區網絡。

為實現校園網的可運維、更高速和強安全，學校基于SDN網絡的IPv6升級改造，將圍繞以下目標開展部署實踐：一是基于SDN 網絡實現IPv6 業務的自動化部署，二是實現校園網絡IPv6 接入和訪問服務的全覆蓋，三是構建更靈活的IPv6 安全防護體系，四是探索IPv6 的創新應用。

做法與經驗

1.強化組織領導，統籌安排落實

校園網IPv6 規模化部署工作在學校信息化工作領導小組的統籌安排下，開展項目的調研與論證，明確責任分工，要求定期報告工作進展，確保IPv6 規模部署工作按要求完成。

2.明確技術路線，做好網絡規劃

經充分的技術論證，結合不同的IPv6升級方案（純IPv6、雙棧、翻譯和隧道）特點，學校采用網絡雙棧的升級方案逐步過渡到純IPv6 網絡的技術路線，保證業務的平滑升級。本次校園網IPv6 升級保持網絡整體架構不變，按業務功能及用戶分組進行IPv6 的子網劃分；基于現有SDN 網絡的管理架構，實現對IPv6 用戶的精細化管理和策略管控，為終端和應用開啟雙棧網絡服務（圖1）。

圖1 基于SDN 網絡架構的IPv6 網絡拓撲

3.制定升級計劃，分步開展實施

結合學校實際，為了降低IPv6 網絡升級對業務的影響，要求升級過渡期不能中斷業務使用。為確保各業務正常平穩運行，在升級部署時需要做如下工作：

第一，資產盤點，確認IPv6 功能特性。在進行IPv6 網絡升級前對全網設備進行盤點，以確認設備是否支持IPv6 協議及其功能特性，近幾年設備通過版本升級的方式解決，早期設備不支持版本升級的，需要更換解決,替換設備可利舊用于網絡接入。

第二，基礎先行，IPv6 安全同步升級。先進行基礎骨干網絡的IPv6 升級部署，開啟終端及應用網關的IPv6/IPv4 雙棧網絡，搭建IPv6 的DNS 和DHCP 基礎網絡服務。同時支撐IPv6 網絡安全的體系也做同步升級，包括網絡認證、防火墻、審計系統、安全態勢感知、堡壘機等。

此外，學校IPv6 網絡安全管理與IPv4 有較大不同，在于終端及服務器分配的IPv6 地址都是互聯網IP，不需要NAT可以直接訪問互聯網或被互聯網訪問。基于IPv6 的網絡安全體系，除了延續IPv4的安全策略外，對終端IPv6 地址做互聯網的訪問限制，不允許互聯網訪問內網IPv6 主機及端口。

第三，局部試點，分批起用IPv6 網絡。在早期的IPv6 網絡建設中，各服務商開通域名的IPv6解析，由于網絡不可達，導致IPv6 終端不能正常訪問。為避免IPv6 網絡啟用初期產生的網絡波動，影響用戶上網體驗，學校采取的方案是：先在局部開啟終端IPv6 網絡試點（純IPv6 和雙棧網絡），再擴大應用范圍，最終完成全校終端及應用系統IPv6 網絡的啟用。

此外，由于學校互聯網出口是多運營商（聯通、移動、教科網）多出口的復雜網絡，同時學校還面臨IPv6 應用及終端活躍率的指標考核，因此要在特定的互聯網出口做基于IPv6 的策略路由以及NAT 轉換。

成效與亮點

1.實現IPv6 網絡的自動化部署

通過SDN 網絡控制器可以進行IPv6網絡的快速部署與業務開通上線。相比于傳統的IPv6 改造方式，基于SDN 網絡的IPv6 開通以及維護更智能、敏捷，同時支持設備的自動化部署以及終端的自動上線，極大地提升了網絡的運維與效率。

2.實現IPv6 網絡的全覆蓋

截至目前，基于SDN網絡的校園IPv6 網絡升級部署工作已取得階段性成效，基本完成全校IPv6 網絡的升級改造，為各類終端及系統應用提供雙棧的網絡接入和訪問，為后期物聯網的大規模應用提供更好的網絡環境。此外，從教育系統網絡態勢IPv6 監測平臺的數據來看，學校的門戶網站及二三級的IPv6 鏈接支持率達到100%，終端日活躍用戶數高達1.5萬以上。

3.探索基于IPv6 的5G 專網

為提高師生對校內資源的訪問體驗，營造更好的網絡學習空間，學校與運營商（聯通、移動）協商開通校園5G 專網服務，師生通過5G 手機即可隨時隨地安全接入校園網進行高速訪問。

校園5G 專網（圖2）的設計由學校與運營商協同進行IPv6 網絡規劃，終端手機全面支持IPv6/IPv4 雙棧網絡接入，在運營商側的MEC 服務器和學校側服務器應用也同時支持IPv6/IPv4 雙棧訪問。

圖2 校園5G 專網雙棧網絡拓撲

4.構建更靈活的IPv6 網絡安全體系

利用SDN 網絡的微分段功能，可設置基于IPv6南北（東西）向業務流量的服務鏈，實現IPv6 流量的南北（東西）業務流量按需引流到安全防火墻，從而靈活地實現基于IPv6 的安全服務鏈，保障IPv6 業務的安全訪問。服務鏈本身也可以做到服務資源彈性擴容，靈活、按需分配（圖3）。

圖3 基于SDN 網絡的IPv6 安全服務鏈

雖然，基于IPv6 協議棧的安全設計，可以從根本上解決IPv4 在網絡層的攻擊，如掃描泛濫、ARP 攻擊、DDoS 攻擊、IP Spoofing 攻擊等。但為了加強對內網終端的安全管控，避免個人終端受到互聯網的直接攻擊和私建應用服務，在學校互聯網出口防火墻對內網終端的IPv6 地址前綴進行NAT66 的地址轉換，達到隱藏內部IPv6 地址的效果。

此外，對于服務器的應用訪問，基于IPv6 的安全策略管控，仍然以ACL 的五元組為基礎，根據應用的協議、端口和服務進行最小條件策略的開放訪問。

5.統一的DNS 域名解析與管理

基于IPv4 網絡的應用訪問，由于服務器存在內外網IP 的訪問差異，需要搭建2 套IPv4 的集群DNS 域名解析系統，來分別滿足內網和外網各類終端，通過域名訪問校園的應用。但基于IPv6 網絡的服務器均分配全球可訪問的IPv6 地址，對服務器應用的IPv6 域名解析，只需搭建1 套集群DNS 域名解析系統即可滿足不同的網絡環境下多場景的域名解析訪問，實現統一的DNS 域名解析與管理。

總結

得益于學校對IPv6 規模化部署工作的高度重視，積極響應上級部門的要求，經過一年多的努力，完成基于校園SDN網絡的IPv6 升級改造，實現一套SDN 管理平臺下分別構建學生運營網、教學辦公網、設備專網，支持IPv6/IPv4 網絡的自動化部署；并在校區網絡全面開啟IPv6/IPv4 雙棧網絡的接入和安全訪問服務，相關工作也得到上級肯定，榮獲2022 年度IPv6 規模部署工作“優秀單位”。

網絡建設路漫長，今后IPv6 網絡的建設工作依然任重道遠；IPv6 網絡如何更好地支撐和融入到5G、物聯網、大數據、人工智能等下一代新技術的發展，需要網絡建設者更多的思考和不倦的探索。