• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    縣區(qū)教育城域網(wǎng)IPv6 規(guī)模部署實(shí)踐

    2022-08-24 12:27:52劉東波
    中國教育網(wǎng)絡(luò) 2022年5期
    關(guān)鍵詞:城域網(wǎng)部署分配

    文 / 劉東波

    教育城域網(wǎng)發(fā)展現(xiàn)狀

    近年來,各級教育城域網(wǎng)的高速發(fā)展為教育信息化應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)保障??h(市區(qū))級教育城域網(wǎng)作為我國教育科研網(wǎng)基礎(chǔ)設(shè)施的重要組成部分,以其規(guī)模適中、受眾面大,縱向可上聯(lián)至CERNET 主干網(wǎng)及省市各級教育業(yè)務(wù)主管部門,下接各級各類學(xué)校,橫向可溝通本區(qū)域教育系統(tǒng)內(nèi)各學(xué)校,面向各級各類教育部門、學(xué)校和社會公眾提供便捷的管理和應(yīng)用服務(wù),越來越得到廣泛關(guān)注。

    然而,各縣(市區(qū))教育城域網(wǎng)在發(fā)展中存在下述問題:第一,IPv4 地址資源問題,無法滿足日益增長的網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求;第二,網(wǎng)絡(luò)資產(chǎn)管理雜亂,負(fù)載大,造成網(wǎng)絡(luò)運(yùn)行緩慢,導(dǎo)致用戶體驗(yàn)差;第三,經(jīng)費(fèi)投入不足,使區(qū)縣教育網(wǎng)絡(luò)的安全管理無保障;第四,由于地址資源匱乏,作為底層網(wǎng)絡(luò)部署只能采用多級NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)方式,為終端配置私有地址,造成了很多設(shè)備處于透明狀態(tài),無法進(jìn)行有效的安全管理和維護(hù);第五,技術(shù)人員缺乏,管理難度大。

    2020 年,受新冠肺炎疫情影響,億萬學(xué)生開啟居家學(xué)習(xí)模式,我國教育信息化經(jīng)受了一場史無前例的大考驗(yàn),讓我們看到了“互聯(lián)網(wǎng)+教育”的活力,在線教育一度成為廣大師生、家長及社會關(guān)注的熱點(diǎn)。但突如其來的網(wǎng)絡(luò)壓力,也讓我們感受到了教育城域網(wǎng)面臨升級換代的緊迫需要。特別是在當(dāng)前“雙減”政策下,如何利用信息化手段實(shí)現(xiàn)“減負(fù)增效”,保障專遞課堂、視頻會議、名校網(wǎng)絡(luò)課堂直播、網(wǎng)絡(luò)閱卷、資源點(diǎn)播與下載順暢,如何確保教育云平臺在高峰期并發(fā)運(yùn)行穩(wěn)定,都是各級教育城域網(wǎng)亟待解決的問題。

    同時,日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅,不僅會導(dǎo)致斷網(wǎng)崩潰,更會因?yàn)槟抉R病毒、勒索軟件等威脅造成數(shù)據(jù)丟失和師生個人隱私泄露等現(xiàn)象的發(fā)生,也對區(qū)縣城域網(wǎng)安全升級提出了更高的要求。

    IPv6 規(guī)模部署背景及發(fā)展歷程

    5G 技術(shù)、移動互聯(lián)、物聯(lián)網(wǎng)的發(fā)展使得教育城域網(wǎng)接入的設(shè)備越來越多,網(wǎng)絡(luò)的地址需求正在呈指數(shù)級增長。據(jù)相關(guān)機(jī)構(gòu)預(yù)測,2025 年,物聯(lián)網(wǎng)的連接數(shù)將超過270 億。發(fā)展IPv6 的主要目的是解決IPv4 地址耗盡的問題,同時,由于IPv6 的設(shè)計(jì)更加高效、安全、可擴(kuò)展,使IPv6 成為未來網(wǎng)絡(luò)發(fā)展的大趨勢。近年來,隨著國家多項(xiàng)政策的落地,IPv6 規(guī)模部署有了長足發(fā)展。

    綜觀部署IPv6的歷史經(jīng)驗(yàn),總體來看,從IPv4 向IPv6 升級改造的過程有以下三個階段。

    第一階段:純IPv4 網(wǎng)絡(luò)。

    第二階段:IPv4 向IPv6 過渡階段,提供IPv4/IPv6雙棧接入、認(rèn)證和管理服務(wù)。技術(shù)實(shí)現(xiàn)方式為:

    1.雙棧。雙棧方法是IPv4 和IPv6 的協(xié)議棧在網(wǎng)絡(luò)設(shè)備上的共存共生。包括各類路由器和其他基礎(chǔ)設(shè)備、應(yīng)用服務(wù)器、終端用戶設(shè)備等在內(nèi)的所有硬件設(shè)施均需支持同時接入兩種協(xié)議網(wǎng)絡(luò)層的技術(shù)。這些設(shè)備需要同時配置IPv4 和IPv6 兩種協(xié)議地址,或通過管理員授權(quán)對應(yīng)不同協(xié)議。

    2.隧道。主要包括在IPv6 上的IPv4和在IPv4 上的IPv6 兩種模式。有手工配置或自動配置兩種方式,手工配置隧道是預(yù)先定義的,一旦配置完成,不會隨意改動;而自動配置隧道(也被稱為“軟線隧道”)的建立和拆除則是動態(tài)進(jìn)行的。

    3.轉(zhuǎn)換。通過IPv6 與IPv4 的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換(將IP 報(bào)文在IPv4 和IPv6之間進(jìn)行轉(zhuǎn)化),實(shí)現(xiàn)雙棧網(wǎng)絡(luò)的互聯(lián)互通。起初可以IPv4 網(wǎng)絡(luò)為主,加掛“IPv4轉(zhuǎn)IPv6”翻譯設(shè)備,保障IPv6 的正常訪問;隨著IPv6 網(wǎng)絡(luò)逐漸成為主流,可以安裝支持IVI 技術(shù)的IPv6 與IPv4 協(xié)議轉(zhuǎn)換設(shè)備,實(shí)現(xiàn)兩種IP 協(xié)議之間的互聯(lián)互通。

    第三階段:純IPv6 網(wǎng)絡(luò)。

    區(qū)域教育城域網(wǎng)IPv6 部署策略

    由于基礎(chǔ)教育城域網(wǎng)涵蓋的范圍更廣,網(wǎng)絡(luò)設(shè)備、終端更復(fù)雜,應(yīng)用更多樣,因此在充分借鑒高校及外地經(jīng)驗(yàn)的基礎(chǔ)上,還要針對本地實(shí)際,因地制宜、科學(xué)規(guī)劃、借助推進(jìn)IPv6 規(guī)模部署的契機(jī),促進(jìn)網(wǎng)絡(luò)提檔升級,構(gòu)建高速、快捷、覆蓋面廣、智能化的新一代教育城域網(wǎng),加快技術(shù)的融合應(yīng)用。下文以山東省鄒城市教育城域網(wǎng)為例,對以區(qū)域?yàn)閱挝贿M(jìn)行IPv6 規(guī)?;渴?,促進(jìn)區(qū)域教育城域網(wǎng)提檔升級的可行性與現(xiàn)實(shí)意義進(jìn)行探索。

    基本情況

    鄒城市教育城域網(wǎng)組建于2003 年,采用裸光纖直連方式,上聯(lián)濟(jì)寧教育信息中心,至下覆蓋全市中小學(xué),形成市、縣、校三級教育網(wǎng)主干傳輸網(wǎng)絡(luò)。歷經(jīng)多次升級改造,為廣大師生開展信息化教學(xué)研究提供了較好的網(wǎng)絡(luò)服務(wù)。然而,隨著5G、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的普及,智慧教育發(fā)展對網(wǎng)絡(luò)提出了更高的需求,鄒城市教育城域網(wǎng)也面臨著IPv4 地址不足、網(wǎng)絡(luò)運(yùn)行速度慢、缺乏整體運(yùn)維、系統(tǒng)設(shè)備安全風(fēng)險(xiǎn)大等問題。

    根據(jù)上級有關(guān)要求,確定了在原有教育城域網(wǎng)IPv4 的基礎(chǔ)上部署IPv6 的升級改造方案(如圖1 所示),實(shí)現(xiàn)雙棧接入,部署范圍向下輻射到各鎮(zhèn)街及所屬學(xué)校,同時做好IPv6 地址規(guī)劃及其他配套應(yīng)用,如DNSv6、DHCPv6 等。

    建設(shè)目標(biāo)

    通過對現(xiàn)有網(wǎng)絡(luò)進(jìn)行IPv6 升級改造,實(shí)現(xiàn)IPv4 與IPv6 雙棧運(yùn)行,逐步推動IPv6單棧演進(jìn)過渡。進(jìn)一步建立完善標(biāo)準(zhǔn)統(tǒng)一、運(yùn)行規(guī)范的鄒城市教育城域網(wǎng),實(shí)現(xiàn)“泛在智能、安全穩(wěn)定、可管可控、極簡運(yùn)維”的總體目標(biāo),為促進(jìn)教育優(yōu)質(zhì)均衡發(fā)展提供支撐。升級改造內(nèi)容包括以下五方面。

    1.基礎(chǔ)網(wǎng)絡(luò)擴(kuò)容升級。實(shí)現(xiàn)主干網(wǎng)絡(luò)萬兆接入,支撐教育資源共建共享,能夠在保證IPv4 終端仍然和以前一樣接入網(wǎng)絡(luò)的同時,為整個教育城域網(wǎng)提供靈活的IPv6 網(wǎng)絡(luò)接入方式,實(shí)現(xiàn)用戶無感知過渡。

    2.以應(yīng)用為先導(dǎo),提升數(shù)字化應(yīng)用水平。針對三個課堂、視頻會議、網(wǎng)絡(luò)閱卷、資源點(diǎn)播、教育云平臺應(yīng)用特點(diǎn),實(shí)現(xiàn)業(yè)務(wù)策略調(diào)度的智能閉環(huán)管理。

    3.完善身份認(rèn)證體系建設(shè),實(shí)現(xiàn)精準(zhǔn)管控。支持根據(jù)師生角色的不同制定靈活的策略,構(gòu)建城域網(wǎng)綠色上網(wǎng)環(huán)境。與山東省統(tǒng)一身份認(rèn)證體系貫通,將網(wǎng)絡(luò)和用戶身份數(shù)據(jù)統(tǒng)一標(biāo)識,實(shí)現(xiàn)互聯(lián)互通。

    4.實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維可視化,方便實(shí)時掌握網(wǎng)絡(luò)運(yùn)營狀況。信息中心能夠及時掌握核心網(wǎng)絡(luò)、出口、資源使用、業(yè)務(wù)系統(tǒng)運(yùn)行、無線網(wǎng)絡(luò)的軟硬件資源健康狀況,實(shí)現(xiàn)統(tǒng)一綜合管理。保障城域網(wǎng)出口設(shè)備的安全,能夠及時跟蹤修補(bǔ)系統(tǒng)漏洞,有效防御攻擊行為,防止病毒、木馬的互相傳播。

    5.強(qiáng)化人才培養(yǎng)。通過對各學(xué)校網(wǎng)絡(luò)技術(shù)人員進(jìn)行IPv6 技術(shù)培訓(xùn)(包括IPv6 網(wǎng)絡(luò)基礎(chǔ)、IPv6 網(wǎng)絡(luò)故障排查、IPv6路由協(xié)議、IPv6 網(wǎng)絡(luò)安全等)提升整體網(wǎng)絡(luò)運(yùn)維管理能力。

    遵循原則

    1.因地制宜。在不影響現(xiàn)有網(wǎng)絡(luò)運(yùn)行的前提下,制定切實(shí)可行的實(shí)施方案,讓IPv6 部署可操作、可演進(jìn),無論是雙棧架構(gòu)部署,還是最終過渡到純IPv6,均確保平穩(wěn)推進(jìn),盡量對用戶無感知。

    2.設(shè)計(jì)科學(xué)。充分考慮可持續(xù)發(fā)展和可管可控,為教育城域網(wǎng)未來承載各類多元化業(yè)務(wù)系統(tǒng)提供基礎(chǔ)保障。

    3.堅(jiān)持節(jié)約和設(shè)備利舊。對能夠支持IPv6 部署的設(shè)備,原則上繼續(xù)使用。

    部署設(shè)計(jì)

    以鄒城市教育城域網(wǎng)核心設(shè)備S10510與濟(jì)寧市核心設(shè)備S12508 運(yùn)行OSPFv3 路由協(xié)議,宣告直連、靜態(tài)及默認(rèn)路由,下聯(lián)市(縣)直及鄉(xiāng)鎮(zhèn)中小學(xué)和教育機(jī)構(gòu),通過靜態(tài)路由下發(fā)IPv6 地址段到各單位,各單位IPv6 默認(rèn)路由指向上聯(lián)市(縣)核心設(shè)備,同時部署相應(yīng)的網(wǎng)絡(luò)安全防控設(shè)備(見圖2)。

    圖2 網(wǎng)絡(luò)安全升級部署拓?fù)?/p>

    IP 地址規(guī)劃

    為保證互通互聯(lián)和管理,網(wǎng)絡(luò)地址的分配需要按照省、地市、縣的網(wǎng)絡(luò)規(guī)劃進(jìn)行。由此,IP 地址分配按照教育城域網(wǎng)省、地市、區(qū)縣(市)的管理層級進(jìn)行規(guī)劃分配,以便于統(tǒng)一管理和路由調(diào)度。

    1.管理地址段規(guī)劃

    管理地址可用于對城域網(wǎng)設(shè)備的管理,同時也可作為網(wǎng)絡(luò)設(shè)備的標(biāo)識。為了便于管理,對管理地址進(jìn)行統(tǒng)一規(guī)劃。鄒城市教育城域網(wǎng)管理地址段統(tǒng)一采用XXXX:XXXX:XXXX:XXXX::/52 前綴的地址塊,可以按照以下分配原則將管理地址段進(jìn)一步劃分給轄內(nèi)各學(xué)校:例如,/52 前綴后的4 位用于標(biāo)識鄉(xiāng)鎮(zhèn),接下來的4 位用于標(biāo)識每個學(xué)校,如圖3 所示。實(shí)施過程中也可以根據(jù)實(shí)際需要對子網(wǎng)的劃分進(jìn)行調(diào)整。此外,根據(jù)RFC 6164 要求,原則上每一對點(diǎn)對點(diǎn)互聯(lián),獨(dú)立采用/127 前綴地址。

    圖3 管理地址段分配示意

    2.業(yè)務(wù)地址規(guī)劃

    業(yè)務(wù)地址基本規(guī)劃規(guī)則是盡量保證為每個學(xué)校分配1 個/48 前綴的IPv6 地址塊(如:XXXX:XXXX:XXXX::/48,根據(jù)規(guī)劃具體分配到的IPv6 網(wǎng)絡(luò)地址加以確定)作為業(yè)務(wù)地址段。例如,從上級分配單位得到前綴為/40 的地址塊,可利用上文中設(shè)備的規(guī)劃編碼方法對前綴后的8 位進(jìn)行劃分,每個學(xué)??煞峙浍@得一塊/48 大小的地址,如圖4 所示。學(xué)校則根據(jù)校內(nèi)實(shí)際不同網(wǎng)絡(luò)功能區(qū)域(如有線區(qū)域、無線區(qū)域、教學(xué)區(qū)域等)再進(jìn)一步劃分,以滿足不同網(wǎng)絡(luò)功能區(qū)域使用需要。

    圖4 業(yè)務(wù)地址段分配示意

    3.核心設(shè)備出口配置

    在市教育信息中心配置專業(yè)EMNDHCP 設(shè)備,為市(縣)下屬學(xué)校終端統(tǒng)一下發(fā)IPv6 地址及相關(guān)網(wǎng)絡(luò)配置參數(shù),實(shí)現(xiàn)集中管理與維護(hù)。針對不同終端類型,考慮到服務(wù)器業(yè)務(wù)系統(tǒng)長期對外開放業(yè)務(wù)需保持穩(wěn)定的要求,采取靜態(tài)分配IPv6地址方法,手工配置。

    學(xué)校端設(shè)備配置靜態(tài)路由指向核心設(shè)備,配置DHCPv6 服務(wù)器或配置終端無狀態(tài)獲取地址,方便師生用PC 終端或移動終端使用。此方式需要在各學(xué)校三層網(wǎng)關(guān)交換機(jī)上啟用DHCPv6 Relay 功能,以便實(shí)現(xiàn)DHCPv6 Client 與DHCPv6 Server 之間的報(bào)文中繼(如圖5 所示)。

    圖5 DHCP 設(shè)備部署框架設(shè)計(jì)

    通過DHCPv6 添加IPv6 地址池,來保障電腦正常獲取IPv6 地址。

    4.網(wǎng)絡(luò)安全防護(hù)

    IPv6 規(guī)模部署雖然能夠降低部分網(wǎng)絡(luò)風(fēng)險(xiǎn),但依然會面臨來自多方面的攻擊,所以在保證原網(wǎng)絡(luò)安全策略不變的基礎(chǔ)上,必須同時解決網(wǎng)絡(luò)層、應(yīng)用層針對IPv6 的攻擊防護(hù)問題。一是改進(jìn)防火墻的策略,對IPv4 延續(xù)原有防御規(guī)則,增加對非法的IPv6 入站報(bào)文過濾,利用防火墻進(jìn)行互聯(lián)網(wǎng)出口防御,在防火墻上終結(jié)ISATAP(站內(nèi)自動隧道尋址協(xié)議),對隧道內(nèi)址進(jìn)行過濾,避免非法地址訪問IPv6 網(wǎng)絡(luò)。二是部署IP 地址識別系統(tǒng)的安全控制,如SIEM(安全信息與事件管理),威脅情報(bào)(TI)和脆弱性管理系統(tǒng)/掃描器。三是改進(jìn)入侵檢測系統(tǒng)的配置,加強(qiáng)用戶身份認(rèn)證和權(quán)限驗(yàn)證。四是建立主動的網(wǎng)絡(luò)安全防范體系,做好安全審計(jì)、控制,確保網(wǎng)絡(luò)信息安全。五是制定完善的IPv6安全規(guī)則制度,普及IPv6 網(wǎng)絡(luò)安全知識,定期進(jìn)行安全培訓(xùn)或宣傳,提高人員的安全意識。從過程、源頭以及機(jī)制上保證網(wǎng)絡(luò)信息的安全(如圖6 所示)。

    圖6 網(wǎng)絡(luò)安全防護(hù)部署拓?fù)?/p>

    5.綜合測試

    IPv6 連通性測試。網(wǎng)絡(luò)配置完成后,可通過運(yùn)行ping -6 www.edu.cn 和tracert-6 www.edu.cn 測試網(wǎng)絡(luò)連通是否正常。

    Web 應(yīng)用服務(wù)測試。例如,查看北郵IPv6 高清視頻、世界數(shù)字圖書館https://www.wdl.org/zh/等測試是否正常。

    安全測試??梢允褂镁W(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)或賽爾綠盟安全云平臺等第三方技術(shù)支撐來進(jìn)行安全風(fēng)險(xiǎn)探測。一旦發(fā)現(xiàn)存在安全風(fēng)險(xiǎn),及時進(jìn)行處置。定期對教育網(wǎng)絡(luò)運(yùn)行情況進(jìn)行綜合評估,以便整體掌握風(fēng)險(xiǎn)狀態(tài)及安全趨勢。

    存在問題及反思

    1.做好摸底調(diào)研,確定設(shè)備的支持性和適用性。

    由于基礎(chǔ)教育城域網(wǎng)規(guī)模大、覆蓋廣、設(shè)備雜等原因,必須做好前期摸底調(diào)研,理清各學(xué)校網(wǎng)絡(luò)信息資產(chǎn),確定設(shè)備可用性,對不支持IPv6 的設(shè)備要及時進(jìn)行固件升級或更換設(shè)備,方便做好設(shè)備利舊和更新方案,節(jié)約成本。

    2.采用合理方式解決因地址空間過大造成的地址溯源難度增大問題。

    IPv6 地址分配的兩種常用方式各有利弊,無狀態(tài)地址分配使用ND 協(xié)議(RFC2461),優(yōu)點(diǎn)是能夠高效進(jìn)行海量地址分配;缺點(diǎn)是網(wǎng)絡(luò)側(cè)不管理IPv6 地址的狀態(tài),隨機(jī)分配的地址變化頻繁,用戶除了獲取一個相對固定的IPv6 地址外,還會獲得多個臨時地址,管理和溯源難度大。有狀態(tài)地址分配方式使用DHCPv6 協(xié)議,優(yōu)點(diǎn)是能夠有效解決溯源和管理問題;缺點(diǎn)是對部分終端、設(shè)備支持不夠。因此,建議采用有狀態(tài)地址分配方式,通過DHCPv6 設(shè)備記錄IPv6 地址分配時的客戶端唯一標(biāo)識符DUID,確保能夠準(zhǔn)確識別IPv6 地址和人員、設(shè)備的對應(yīng)關(guān)系。假如使用無狀態(tài)分配方式,則需要相應(yīng)的日志系統(tǒng)來保證溯源。

    3.做好教育城域網(wǎng)與互聯(lián)網(wǎng)的協(xié)議(AS)對接。

    通常情況下,申請教育網(wǎng)的IPv6地址,內(nèi)部部署完畢后,還需要通過省級通訊管理部門備案,與運(yùn)營商的互聯(lián)網(wǎng)打通,彼此互認(rèn)地址,保證用戶訪問的高效便捷。對于一般的縣區(qū)級教育城域網(wǎng),只需與上級教育主干網(wǎng)對接即可,如果是獨(dú)立的教育城域網(wǎng),則需要走相關(guān)業(yè)務(wù)管理流程實(shí)現(xiàn)對接。

    4.逐步推進(jìn)智慧校園物聯(lián)網(wǎng)終端的IPv6 配置。

    對于耗費(fèi)帶寬資源比較大的應(yīng)用系統(tǒng),如“三個課堂”、高考指揮管理系統(tǒng)、校園安全監(jiān)控系統(tǒng)等,則可采取劃分VPN 專區(qū)子網(wǎng)的方式,實(shí)現(xiàn)負(fù)載均衡,確保教育城域網(wǎng)安全、高效運(yùn)行。

    猜你喜歡
    城域網(wǎng)部署分配
    IP城域網(wǎng)/智能城域網(wǎng)BGP收斂震蕩的分析方法
    科學(xué)家(2022年5期)2022-05-13 21:42:18
    一種基于Kubernetes的Web應(yīng)用部署與配置系統(tǒng)
    晉城:安排部署 統(tǒng)防統(tǒng)治
    部署
    應(yīng)答器THR和TFFR分配及SIL等級探討
    遺產(chǎn)的分配
    一種分配十分不均的財(cái)富
    績效考核分配的實(shí)踐與思考
    IP城域網(wǎng)建設(shè)中技術(shù)及應(yīng)用情況分析
    電子制作(2017年20期)2017-04-26 06:57:55
    部署“薩德”意欲何為?
    太空探索(2016年9期)2016-07-12 10:00:02
    永新县| 鄂温| 桐城市| 玉溪市| 麦盖提县| 滁州市| 毕节市| 大兴区| 罗田县| 衡山县| 哈尔滨市| 西吉县| 阿拉善左旗| 和静县| 库车县| 呼图壁县| 海门市| 万宁市| 平安县| 云南省| 通化市| 奈曼旗| 琼海市| 保靖县| 岫岩| 枣强县| 砀山县| 浠水县| 家居| 旬邑县| 博爱县| 遂平县| 新安县| 和顺县| 砚山县| 永城市| 郑州市| 黑河市| 屏东县| 忻州市| 扎鲁特旗|