北京郵電大學(xué)信息化技術(shù)中心主任安杰：IPv6認(rèn)證重要性日益凸顯

在“2018中國高校CIO論壇”開放論壇中，北京郵電大學(xué)信息化技術(shù)中心主任安杰作了《北京郵電大學(xué)校園網(wǎng)建設(shè)及機(jī)房安全工作經(jīng)驗(yàn)分享》的報(bào)告。

他對(duì)北京郵電大學(xué)校園網(wǎng)建設(shè)現(xiàn)狀、無線網(wǎng)絡(luò)建設(shè)情況及下一代互聯(lián)網(wǎng)IPv6北郵節(jié)點(diǎn)的情況進(jìn)行了介紹。以下是主要內(nèi)容。

校園網(wǎng)整體建設(shè)情況

2018年初，北京郵電大學(xué)完成西土城路、沙河、宏福三校區(qū)環(huán)狀光纖網(wǎng)，校園網(wǎng)已成為全校師生教學(xué)、科研、辦公、生活服務(wù)的多業(yè)務(wù)承載的多校區(qū)大規(guī)模寬帶網(wǎng)絡(luò)。

圖1 IPv4出口

圖2 IPv6出口

從整體上來看，北京郵電大學(xué)西土城路、沙河、宏福三校區(qū)網(wǎng)絡(luò)通過裸光纜兩兩直連，在西土城路校區(qū)統(tǒng)一接入互聯(lián)網(wǎng)，以此來實(shí)現(xiàn)校區(qū)間網(wǎng)絡(luò)互聯(lián)互通、接入IPv4和IPv6出口。目前校園網(wǎng)骨干帶寬40G/80G，IPv4接入教育網(wǎng)以及聯(lián)通、移動(dòng)、電信運(yùn)營商，IPv6接入教育網(wǎng)。

傳統(tǒng)的校園網(wǎng)結(jié)構(gòu)存在一系列問題，如出口串接多個(gè)設(shè)備，一個(gè)設(shè)備出現(xiàn)問題全網(wǎng)癱瘓；多出口時(shí)流量調(diào)度管理策略及安全策略復(fù)雜；所有設(shè)備都需要大容量接口，費(fèi)用昂貴等。問題產(chǎn)生的本質(zhì)原因在于所有流量全部使用同一套出口策略進(jìn)行管理。為解決這一問題，北郵將校園網(wǎng)流量分成用戶互聯(lián)網(wǎng)流量、數(shù)據(jù)中心外網(wǎng)流量、數(shù)據(jù)中心內(nèi)網(wǎng)流量以及數(shù)據(jù)中心VPN流量四大類型，把校園網(wǎng)按照出口、用戶上網(wǎng)區(qū)、數(shù)據(jù)中心區(qū)劃分，將用戶上網(wǎng)的流量和數(shù)據(jù)中心流量以及用戶訪問數(shù)據(jù)中心的流量分開。在收費(fèi)問題上，北郵為在校師生提供20G免費(fèi)IPv4流量，超過部分收費(fèi)1元/G或者使用運(yùn)營商代撥路線，IPv6則不計(jì)費(fèi)。

此外，校園網(wǎng)用戶網(wǎng)絡(luò)行為數(shù)據(jù)的收集和管理非常重要，一方面，《網(wǎng)絡(luò)安全法》要求學(xué)校保留日志數(shù)據(jù)備查溯源，另外一方面通過對(duì)這些數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，可以為下一步建設(shè)和網(wǎng)絡(luò)優(yōu)化做支撐。傳統(tǒng)的日志收集方法只是將各類數(shù)據(jù)格式化存儲(chǔ)，在使用的時(shí)候再進(jìn)行關(guān)聯(lián)查詢，效率很低，北郵則是事先將各種有關(guān)聯(lián)的數(shù)據(jù)建立好存儲(chǔ)模型，將數(shù)據(jù)分成行為數(shù)據(jù)和標(biāo)簽數(shù)據(jù)兩大類，在行為數(shù)據(jù)產(chǎn)生的同時(shí)把標(biāo)簽關(guān)聯(lián)到行為數(shù)據(jù)直接統(tǒng)一存儲(chǔ)。實(shí)現(xiàn)了將網(wǎng)絡(luò)行為數(shù)據(jù)從以IP地址作為標(biāo)識(shí)轉(zhuǎn)化為以賬號(hào)、終端作為標(biāo)識(shí) ，無論是溯源查詢還是統(tǒng)計(jì)分析都會(huì)大大提升效率。

無線網(wǎng)絡(luò)建設(shè)情況

圖3 網(wǎng)絡(luò)行為數(shù)據(jù)分析部分成果展示

北郵的無線網(wǎng)絡(luò)建設(shè)已完成復(fù)用線路、集中轉(zhuǎn)發(fā)、準(zhǔn)入認(rèn)證、計(jì)費(fèi)聯(lián)動(dòng)；在AP方面，5000個(gè)已建，5000個(gè)在建；在終端方面，并發(fā)近2萬個(gè)，總量超過6萬個(gè)。對(duì)高校而言，無線網(wǎng)絡(luò)建設(shè)非常有必要，現(xiàn)在北郵沙河校區(qū)已做到全無線覆蓋，在教室、圖書館、宿舍、食堂等區(qū)域只提供無線接入服務(wù)。SSID類型包括 BUPT-portal、BUPT-mobile、BUPT-guest、Eduroam、BUPT-iot。其中BUPT-portal收費(fèi)，采用Web認(rèn)證，基于MAC的無感知認(rèn)證（準(zhǔn)入），所有無線終端都可使用；BUPT-mobile免費(fèi)，采用802.1x認(rèn)證，面向移動(dòng)終端（IOS， Android），PC不能使用；BUPT-guest收費(fèi)，采用Web認(rèn)證，手機(jī)號(hào)申請(qǐng)，每月免費(fèi)8小時(shí)使用；eduroam免費(fèi)，采用安全的環(huán)球跨域無線漫游認(rèn)證服務(wù)（面向科研和教育機(jī)構(gòu)），802.1x認(rèn)證；BUPT-iot不能訪問互聯(lián)網(wǎng)，僅用于物聯(lián)網(wǎng)設(shè)備（如無線打印機(jī)、無線攝像頭、無線自助服務(wù)機(jī)等）與三校區(qū)內(nèi)校園網(wǎng)用戶之間的通信，通過MAC地址做認(rèn)證，只有網(wǎng)絡(luò)管理員允許的物聯(lián)網(wǎng)設(shè)備才能接入使用。

圖4 北京郵電大學(xué)校園網(wǎng)2005年拓?fù)?

圖5 北京郵電大學(xué)校園網(wǎng)2018年拓?fù)?/p>

教育網(wǎng)北郵核心節(jié)點(diǎn)IPv6建設(shè)總體情況

北京地區(qū)高校主頁使用官方對(duì)外域名IPv6開通數(shù)量不多，截止到2018年11月，包括教育部在內(nèi)僅13所高校官方域名可以通過IPv6訪問。

北郵IPv6升級(jí)改造分為四個(gè)部分，一是網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、路由子網(wǎng)規(guī)劃，二是IPv6的地址分配，三是域名系統(tǒng)建設(shè)，四是用戶網(wǎng)絡(luò)認(rèn)證。2005年，北郵只有部分設(shè)備不支持IPv6，當(dāng)時(shí)學(xué)校通過兩張網(wǎng)絡(luò)在二層打通的方式實(shí)現(xiàn)全校開通IPv6，目前學(xué)校已經(jīng)全部使用雙棧設(shè)備，所有子網(wǎng)也都是IPv4/IPv6雙棧。

北郵采用路由宣告（自動(dòng)配置）和DHCPv6兩種地址分配方式并存，無線網(wǎng)兩種地址分配方式都在使用（安卓系統(tǒng)不支持DHCPv6），有線網(wǎng)大部分使用DHCPv6方式分配地址，兩種方式都使用/64的子網(wǎng)，DHCPv6的地址池使用/112。

域名系統(tǒng)對(duì)IPv6的支持可以分為三個(gè)層次，第一個(gè)層次是提供AAAA記錄解析服務(wù)，一般DNS系統(tǒng)都能做到，不需要特殊設(shè)置；第二個(gè)層次是給DNS服務(wù)器增加IPv6地址，用戶可以通過IPv6做域名解析；第三個(gè)層次是注冊(cè)IPv6的NS記錄，讓純IPv6網(wǎng)的用戶能夠解析到自己發(fā)布的資源。主頁等重要服務(wù)在原有域名的基礎(chǔ)上直接添加AAAA記錄，用戶網(wǎng)絡(luò)如果有IPv6瀏覽器則會(huì)優(yōu)先使用IPv6進(jìn)行訪問。

網(wǎng)絡(luò)建設(shè)除了路由子網(wǎng)規(guī)劃、地址分配、域名建設(shè)以外還有一個(gè)特別重要的內(nèi)容就是認(rèn)證系統(tǒng)建設(shè)，特別是IPv6從實(shí)驗(yàn)網(wǎng)轉(zhuǎn)為正式商用，越來越多的應(yīng)用可以通過IPv6訪問以后，認(rèn)證變得越來越重要。與傳統(tǒng)的IPv4認(rèn)證相比， IPv6存在地址變化以及安卓系統(tǒng)不支持的問題。目前較好的解決辦法就是與網(wǎng)絡(luò)設(shè)備配合進(jìn)行基于終端的準(zhǔn)入認(rèn)證，認(rèn)證通過后放行終端所有的IPv4和IPv6地址，用戶在一次認(rèn)證過程中使用多個(gè)IPv6地址，這些使用的IPv6地址都會(huì)被認(rèn)證系統(tǒng)記錄下來，用于審計(jì)和溯源。

圖6 高校主頁IPv6和HTTPS使用情況排名

應(yīng)用系統(tǒng)原生IPv6的升級(jí)改造則需要考慮服務(wù)器操作系統(tǒng)支持、Web Server支持、應(yīng)用自身支持三個(gè)方面問題，目前主流的操作系統(tǒng)和Web Server都能夠支持升級(jí)改造，重點(diǎn)需要解決的是應(yīng)用自身支持，尤其是日志格式兼容的問題；此外，安全問題也是需要考慮的一個(gè)重要因素。

通過反向代理方式實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的IPv6升級(jí)是實(shí)現(xiàn)升級(jí)改造最快速的一種途徑。反向代理通過HA方式部署，能夠保證業(yè)務(wù)高可靠持續(xù)運(yùn)行，同時(shí)還支持IPv6和多個(gè)運(yùn)營商線路的發(fā)布，支持IPv4/IPv6雙棧的HTTPS、HTTP2。反向代理使用瀏覽器信任的HTTPS證書，用戶使用現(xiàn)代瀏覽器也不會(huì)有安全提示，同時(shí)所有的業(yè)務(wù)都能實(shí)現(xiàn)天然監(jiān)控和一鍵斷網(wǎng)，所有的訪問數(shù)據(jù)通過反向代理統(tǒng)一匯總分析。北郵目前包括校主頁在內(nèi)的大部分系統(tǒng)都通過反向代理對(duì)外發(fā)布，一共168個(gè)。

視頻直播點(diǎn)播服務(wù)是IPv6的特色應(yīng)用，包括活動(dòng)直播、網(wǎng)絡(luò)電視、視頻點(diǎn)播。直播后的視頻可以用于點(diǎn)播，內(nèi)容積累到一定量以后可以給學(xué)校提供一個(gè)寶貴的視頻影像資料庫。這種服務(wù)可以有效地提高在校教職工和學(xué)生的IPv6使用率，降低校園網(wǎng)出口的壓力，更好地服務(wù)于學(xué)生活動(dòng)和學(xué)術(shù)講座。

網(wǎng)絡(luò)和系統(tǒng)建設(shè)完畢后，網(wǎng)管系統(tǒng)（IT資源管理系統(tǒng)）需要提供運(yùn)維支撐保證，IPv6的設(shè)備管理、IPv6的子網(wǎng)和IP管理、IPv6的終端管理、IPv6的業(yè)務(wù)運(yùn)行狀態(tài)監(jiān)控要重點(diǎn)考察管理。從安全和審計(jì)的角度來講，IPv6需要考量IDS/IPS(入侵檢測(cè)和入侵防御)、DPI（深度包檢測(cè)）、基于狀態(tài)的防火墻、WAF、日志審計(jì)幾個(gè)方面，本質(zhì)上和IPv4沒有太大區(qū)別?；谥鳈C(jī)和基于服務(wù)的安全審計(jì)工作只需要關(guān)注用戶來源兼容IPv6地址格式即可，而基于網(wǎng)絡(luò)需要的硬件設(shè)備支持問題，目前比較好的解決辦法是優(yōu)先采用反向代理在應(yīng)用層處理轉(zhuǎn)換，這樣可以暫時(shí)規(guī)避掉一些安全風(fēng)向，因?yàn)楹蠖藢?duì)IPv4支持的安全手段都可以使用。

基礎(chǔ)設(shè)施建設(shè)和運(yùn)行遇到的問題和對(duì)策

北郵沙河新校區(qū)信息化建設(shè)過程中也遇到了一些問題。在設(shè)計(jì)階段主要面臨以下問題：1. 圖紙缺少無線點(diǎn)位示意圖或大樣圖，導(dǎo)致開孔位置不統(tǒng)一，建議圖紙附點(diǎn)位示意圖，無線點(diǎn)位采用單孔面板或網(wǎng)絡(luò)模板，另外弱電間或弱電機(jī)房旋轉(zhuǎn)樓層居中位置，遠(yuǎn)離水源。2.弱電橋架暴露在室外平臺(tái)，橋架和線纜容易遭受日曬雨林的腐蝕，建議修改弱電井位置，將橋架和線纜設(shè)計(jì)在室內(nèi)，使用獨(dú)立的弱電機(jī)房，取消非必要的UPS 系統(tǒng)等。

在施工階段，出現(xiàn)校方與施工方的圖紙版本不一致問題，導(dǎo)致合理需求只能通過洽商變更或二次立項(xiàng)改正；安裝設(shè)施期間，樓內(nèi)設(shè)施有損壞，導(dǎo)致總包方不愿意免費(fèi)修復(fù)等問題。因此，需要對(duì)于 UPS及機(jī)房管理實(shí)行現(xiàn)場(chǎng)巡檢、監(jiān)測(cè)溫濕度等，一旦出現(xiàn)事故，采用應(yīng)急處理方法，如現(xiàn)場(chǎng)處理（斷電、消防、查看損失），部門協(xié)調(diào)（黨政辦上報(bào)信息、保衛(wèi)處協(xié)調(diào)消防、后勤處恢復(fù)電力、宣傳部對(duì)外輿情、學(xué)生處對(duì)內(nèi)輿情），盡快恢復(fù)（網(wǎng)絡(luò)、服務(wù)），總結(jié)教訓(xùn)（完善預(yù)案、加強(qiáng)演練）等。

另外，在信息化基礎(chǔ)設(shè)施的保障方面則存在UPS蓄電池超期使用、消防措施不完善、人員配備不足、管理制度不健全、缺少專題培訓(xùn)、災(zāi)備體系不健全等問題，建議完善制度保障，做到24小時(shí)值班，每年進(jìn)行消防培訓(xùn)和演練，對(duì)于設(shè)備進(jìn)行定期維保等等。