縣區(qū)教育城域網(wǎng)IPv6 規(guī)模部署實(shí)踐

文 / 劉東波

教育城域網(wǎng)發(fā)展現(xiàn)狀

近年來，各級教育城域網(wǎng)的高速發(fā)展為教育信息化應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)保障?？h（市區(qū)）級教育城域網(wǎng)作為我國教育科研網(wǎng)基礎(chǔ)設(shè)施的重要組成部分，以其規(guī)模適中、受眾面大，縱向可上聯(lián)至CERNET 主干網(wǎng)及省市各級教育業(yè)務(wù)主管部門，下接各級各類學(xué)校，橫向可溝通本區(qū)域教育系統(tǒng)內(nèi)各學(xué)校，面向各級各類教育部門、學(xué)校和社會公眾提供便捷的管理和應(yīng)用服務(wù)，越來越得到廣泛關(guān)注。

然而，各縣（市區(qū)）教育城域網(wǎng)在發(fā)展中存在下述問題：第一，IPv4 地址資源問題，無法滿足日益增長的網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求；第二，網(wǎng)絡(luò)資產(chǎn)管理雜亂，負(fù)載大，造成網(wǎng)絡(luò)運(yùn)行緩慢，導(dǎo)致用戶體驗(yàn)差；第三，經(jīng)費(fèi)投入不足，使區(qū)縣教育網(wǎng)絡(luò)的安全管理無保障；第四，由于地址資源匱乏，作為底層網(wǎng)絡(luò)部署只能采用多級NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）方式，為終端配置私有地址，造成了很多設(shè)備處于透明狀態(tài)，無法進(jìn)行有效的安全管理和維護(hù)；第五，技術(shù)人員缺乏，管理難度大。

2020 年，受新冠肺炎疫情影響，億萬學(xué)生開啟居家學(xué)習(xí)模式，我國教育信息化經(jīng)受了一場史無前例的大考驗(yàn)，讓我們看到了“互聯(lián)網(wǎng)+教育”的活力，在線教育一度成為廣大師生、家長及社會關(guān)注的熱點(diǎn)。但突如其來的網(wǎng)絡(luò)壓力，也讓我們感受到了教育城域網(wǎng)面臨升級換代的緊迫需要。特別是在當(dāng)前“雙減”政策下，如何利用信息化手段實(shí)現(xiàn)“減負(fù)增效”，保障專遞課堂、視頻會議、名校網(wǎng)絡(luò)課堂直播、網(wǎng)絡(luò)閱卷、資源點(diǎn)播與下載順暢，如何確保教育云平臺在高峰期并發(fā)運(yùn)行穩(wěn)定，都是各級教育城域網(wǎng)亟待解決的問題。

同時，日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，不僅會導(dǎo)致斷網(wǎng)崩潰，更會因?yàn)槟抉R病毒、勒索軟件等威脅造成數(shù)據(jù)丟失和師生個人隱私泄露等現(xiàn)象的發(fā)生，也對區(qū)縣城域網(wǎng)安全升級提出了更高的要求。

IPv6 規(guī)模部署背景及發(fā)展歷程

5G 技術(shù)、移動互聯(lián)、物聯(lián)網(wǎng)的發(fā)展使得教育城域網(wǎng)接入的設(shè)備越來越多，網(wǎng)絡(luò)的地址需求正在呈指數(shù)級增長。據(jù)相關(guān)機(jī)構(gòu)預(yù)測，2025 年，物聯(lián)網(wǎng)的連接數(shù)將超過270 億。發(fā)展IPv6 的主要目的是解決IPv4 地址耗盡的問題，同時，由于IPv6 的設(shè)計(jì)更加高效、安全、可擴(kuò)展，使IPv6 成為未來網(wǎng)絡(luò)發(fā)展的大趨勢。近年來，隨著國家多項(xiàng)政策的落地，IPv6 規(guī)模部署有了長足發(fā)展。

綜觀部署IPv6的歷史經(jīng)驗(yàn)，總體來看，從IPv4 向IPv6 升級改造的過程有以下三個階段。

第一階段：純IPv4 網(wǎng)絡(luò)。

第二階段：IPv4 向IPv6 過渡階段，提供IPv4/IPv6雙棧接入、認(rèn)證和管理服務(wù)。技術(shù)實(shí)現(xiàn)方式為：

1.雙棧。雙棧方法是IPv4 和IPv6 的協(xié)議棧在網(wǎng)絡(luò)設(shè)備上的共存共生。包括各類路由器和其他基礎(chǔ)設(shè)備、應(yīng)用服務(wù)器、終端用戶設(shè)備等在內(nèi)的所有硬件設(shè)施均需支持同時接入兩種協(xié)議網(wǎng)絡(luò)層的技術(shù)。這些設(shè)備需要同時配置IPv4 和IPv6 兩種協(xié)議地址，或通過管理員授權(quán)對應(yīng)不同協(xié)議。

2.隧道。主要包括在IPv6 上的IPv4和在IPv4 上的IPv6 兩種模式。有手工配置或自動配置兩種方式，手工配置隧道是預(yù)先定義的，一旦配置完成，不會隨意改動；而自動配置隧道（也被稱為“軟線隧道”）的建立和拆除則是動態(tài)進(jìn)行的。

3.轉(zhuǎn)換。通過IPv6 與IPv4 的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換（將IP 報(bào)文在IPv4 和IPv6之間進(jìn)行轉(zhuǎn)化），實(shí)現(xiàn)雙棧網(wǎng)絡(luò)的互聯(lián)互通。起初可以IPv4 網(wǎng)絡(luò)為主，加掛“IPv4轉(zhuǎn)IPv6”翻譯設(shè)備，保障IPv6 的正常訪問；隨著IPv6 網(wǎng)絡(luò)逐漸成為主流，可以安裝支持IVI 技術(shù)的IPv6 與IPv4 協(xié)議轉(zhuǎn)換設(shè)備，實(shí)現(xiàn)兩種IP 協(xié)議之間的互聯(lián)互通。

第三階段：純IPv6 網(wǎng)絡(luò)。

區(qū)域教育城域網(wǎng)IPv6 部署策略

由于基礎(chǔ)教育城域網(wǎng)涵蓋的范圍更廣，網(wǎng)絡(luò)設(shè)備、終端更復(fù)雜，應(yīng)用更多樣，因此在充分借鑒高校及外地經(jīng)驗(yàn)的基礎(chǔ)上，還要針對本地實(shí)際，因地制宜、科學(xué)規(guī)劃、借助推進(jìn)IPv6 規(guī)模部署的契機(jī)，促進(jìn)網(wǎng)絡(luò)提檔升級，構(gòu)建高速、快捷、覆蓋面廣、智能化的新一代教育城域網(wǎng)，加快技術(shù)的融合應(yīng)用。下文以山東省鄒城市教育城域網(wǎng)為例，對以區(qū)域?yàn)閱挝贿M(jìn)行IPv6 規(guī)?；渴?，促進(jìn)區(qū)域教育城域網(wǎng)提檔升級的可行性與現(xiàn)實(shí)意義進(jìn)行探索。

基本情況

鄒城市教育城域網(wǎng)組建于2003 年，采用裸光纖直連方式，上聯(lián)濟(jì)寧教育信息中心，至下覆蓋全市中小學(xué)，形成市、縣、校三級教育網(wǎng)主干傳輸網(wǎng)絡(luò)。歷經(jīng)多次升級改造，為廣大師生開展信息化教學(xué)研究提供了較好的網(wǎng)絡(luò)服務(wù)。然而，隨著5G、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的普及，智慧教育發(fā)展對網(wǎng)絡(luò)提出了更高的需求，鄒城市教育城域網(wǎng)也面臨著IPv4 地址不足、網(wǎng)絡(luò)運(yùn)行速度慢、缺乏整體運(yùn)維、系統(tǒng)設(shè)備安全風(fēng)險(xiǎn)大等問題。

根據(jù)上級有關(guān)要求，確定了在原有教育城域網(wǎng)IPv4 的基礎(chǔ)上部署IPv6 的升級改造方案（如圖1 所示），實(shí)現(xiàn)雙棧接入，部署范圍向下輻射到各鎮(zhèn)街及所屬學(xué)校，同時做好IPv6 地址規(guī)劃及其他配套應(yīng)用，如DNSv6、DHCPv6 等。

建設(shè)目標(biāo)

通過對現(xiàn)有網(wǎng)絡(luò)進(jìn)行IPv6 升級改造，實(shí)現(xiàn)IPv4 與IPv6 雙棧運(yùn)行，逐步推動IPv6單棧演進(jìn)過渡。進(jìn)一步建立完善標(biāo)準(zhǔn)統(tǒng)一、運(yùn)行規(guī)范的鄒城市教育城域網(wǎng)，實(shí)現(xiàn)“泛在智能、安全穩(wěn)定、可管可控、極簡運(yùn)維”的總體目標(biāo)，為促進(jìn)教育優(yōu)質(zhì)均衡發(fā)展提供支撐。升級改造內(nèi)容包括以下五方面。

1.基礎(chǔ)網(wǎng)絡(luò)擴(kuò)容升級。實(shí)現(xiàn)主干網(wǎng)絡(luò)萬兆接入，支撐教育資源共建共享，能夠在保證IPv4 終端仍然和以前一樣接入網(wǎng)絡(luò)的同時，為整個教育城域網(wǎng)提供靈活的IPv6 網(wǎng)絡(luò)接入方式，實(shí)現(xiàn)用戶無感知過渡。

2.以應(yīng)用為先導(dǎo)，提升數(shù)字化應(yīng)用水平。針對三個課堂、視頻會議、網(wǎng)絡(luò)閱卷、資源點(diǎn)播、教育云平臺應(yīng)用特點(diǎn)，實(shí)現(xiàn)業(yè)務(wù)策略調(diào)度的智能閉環(huán)管理。

3.完善身份認(rèn)證體系建設(shè)，實(shí)現(xiàn)精準(zhǔn)管控。支持根據(jù)師生角色的不同制定靈活的策略，構(gòu)建城域網(wǎng)綠色上網(wǎng)環(huán)境。與山東省統(tǒng)一身份認(rèn)證體系貫通，將網(wǎng)絡(luò)和用戶身份數(shù)據(jù)統(tǒng)一標(biāo)識，實(shí)現(xiàn)互聯(lián)互通。

4.實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維可視化，方便實(shí)時掌握網(wǎng)絡(luò)運(yùn)營狀況。信息中心能夠及時掌握核心網(wǎng)絡(luò)、出口、資源使用、業(yè)務(wù)系統(tǒng)運(yùn)行、無線網(wǎng)絡(luò)的軟硬件資源健康狀況，實(shí)現(xiàn)統(tǒng)一綜合管理。保障城域網(wǎng)出口設(shè)備的安全，能夠及時跟蹤修補(bǔ)系統(tǒng)漏洞，有效防御攻擊行為，防止病毒、木馬的互相傳播。

5.強(qiáng)化人才培養(yǎng)。通過對各學(xué)校網(wǎng)絡(luò)技術(shù)人員進(jìn)行IPv6 技術(shù)培訓(xùn)（包括IPv6 網(wǎng)絡(luò)基礎(chǔ)、IPv6 網(wǎng)絡(luò)故障排查、IPv6路由協(xié)議、IPv6 網(wǎng)絡(luò)安全等）提升整體網(wǎng)絡(luò)運(yùn)維管理能力。

遵循原則

1.因地制宜。在不影響現(xiàn)有網(wǎng)絡(luò)運(yùn)行的前提下，制定切實(shí)可行的實(shí)施方案，讓IPv6 部署可操作、可演進(jìn)，無論是雙棧架構(gòu)部署，還是最終過渡到純IPv6，均確保平穩(wěn)推進(jìn)，盡量對用戶無感知。

2.設(shè)計(jì)科學(xué)。充分考慮可持續(xù)發(fā)展和可管可控，為教育城域網(wǎng)未來承載各類多元化業(yè)務(wù)系統(tǒng)提供基礎(chǔ)保障。

3.堅(jiān)持節(jié)約和設(shè)備利舊。對能夠支持IPv6 部署的設(shè)備，原則上繼續(xù)使用。

部署設(shè)計(jì)

以鄒城市教育城域網(wǎng)核心設(shè)備S10510與濟(jì)寧市核心設(shè)備S12508 運(yùn)行OSPFv3 路由協(xié)議，宣告直連、靜態(tài)及默認(rèn)路由，下聯(lián)市（縣）直及鄉(xiāng)鎮(zhèn)中小學(xué)和教育機(jī)構(gòu)，通過靜態(tài)路由下發(fā)IPv6 地址段到各單位，各單位IPv6 默認(rèn)路由指向上聯(lián)市（縣）核心設(shè)備，同時部署相應(yīng)的網(wǎng)絡(luò)安全防控設(shè)備（見圖2）。

圖2 網(wǎng)絡(luò)安全升級部署拓?fù)?/p>

IP 地址規(guī)劃

為保證互通互聯(lián)和管理，網(wǎng)絡(luò)地址的分配需要按照省、地市、縣的網(wǎng)絡(luò)規(guī)劃進(jìn)行。由此，IP 地址分配按照教育城域網(wǎng)省、地市、區(qū)縣（市）的管理層級進(jìn)行規(guī)劃分配，以便于統(tǒng)一管理和路由調(diào)度。

1.管理地址段規(guī)劃

管理地址可用于對城域網(wǎng)設(shè)備的管理，同時也可作為網(wǎng)絡(luò)設(shè)備的標(biāo)識。為了便于管理，對管理地址進(jìn)行統(tǒng)一規(guī)劃。鄒城市教育城域網(wǎng)管理地址段統(tǒng)一采用XXXX:XXXX:XXXX:XXXX::/52 前綴的地址塊，可以按照以下分配原則將管理地址段進(jìn)一步劃分給轄內(nèi)各學(xué)校：例如，/52 前綴后的4 位用于標(biāo)識鄉(xiāng)鎮(zhèn)，接下來的4 位用于標(biāo)識每個學(xué)校，如圖3 所示。實(shí)施過程中也可以根據(jù)實(shí)際需要對子網(wǎng)的劃分進(jìn)行調(diào)整。此外，根據(jù)RFC 6164 要求，原則上每一對點(diǎn)對點(diǎn)互聯(lián)，獨(dú)立采用/127 前綴地址。

圖3 管理地址段分配示意

2.業(yè)務(wù)地址規(guī)劃

業(yè)務(wù)地址基本規(guī)劃規(guī)則是盡量保證為每個學(xué)校分配1 個/48 前綴的IPv6 地址塊（如：XXXX:XXXX:XXXX::/48，根據(jù)規(guī)劃具體分配到的IPv6 網(wǎng)絡(luò)地址加以確定）作為業(yè)務(wù)地址段。例如，從上級分配單位得到前綴為/40 的地址塊，可利用上文中設(shè)備的規(guī)劃編碼方法對前綴后的8 位進(jìn)行劃分，每個學(xué)?？煞峙浍@得一塊/48 大小的地址，如圖4 所示。學(xué)校則根據(jù)校內(nèi)實(shí)際不同網(wǎng)絡(luò)功能區(qū)域（如有線區(qū)域、無線區(qū)域、教學(xué)區(qū)域等）再進(jìn)一步劃分，以滿足不同網(wǎng)絡(luò)功能區(qū)域使用需要。

圖4 業(yè)務(wù)地址段分配示意

3.核心設(shè)備出口配置

在市教育信息中心配置專業(yè)EMNDHCP 設(shè)備，為市（縣）下屬學(xué)校終端統(tǒng)一下發(fā)IPv6 地址及相關(guān)網(wǎng)絡(luò)配置參數(shù)，實(shí)現(xiàn)集中管理與維護(hù)。針對不同終端類型，考慮到服務(wù)器業(yè)務(wù)系統(tǒng)長期對外開放業(yè)務(wù)需保持穩(wěn)定的要求，采取靜態(tài)分配IPv6地址方法，手工配置。

學(xué)校端設(shè)備配置靜態(tài)路由指向核心設(shè)備，配置DHCPv6 服務(wù)器或配置終端無狀態(tài)獲取地址，方便師生用PC 終端或移動終端使用。此方式需要在各學(xué)校三層網(wǎng)關(guān)交換機(jī)上啟用DHCPv6 Relay 功能，以便實(shí)現(xiàn)DHCPv6 Client 與DHCPv6 Server 之間的報(bào)文中繼（如圖5 所示）。

圖5 DHCP 設(shè)備部署框架設(shè)計(jì)

通過DHCPv6 添加IPv6 地址池，來保障電腦正常獲取IPv6 地址。

4.網(wǎng)絡(luò)安全防護(hù)

IPv6 規(guī)模部署雖然能夠降低部分網(wǎng)絡(luò)風(fēng)險(xiǎn)，但依然會面臨來自多方面的攻擊，所以在保證原網(wǎng)絡(luò)安全策略不變的基礎(chǔ)上，必須同時解決網(wǎng)絡(luò)層、應(yīng)用層針對IPv6 的攻擊防護(hù)問題。一是改進(jìn)防火墻的策略，對IPv4 延續(xù)原有防御規(guī)則，增加對非法的IPv6 入站報(bào)文過濾，利用防火墻進(jìn)行互聯(lián)網(wǎng)出口防御，在防火墻上終結(jié)ISATAP（站內(nèi)自動隧道尋址協(xié)議），對隧道內(nèi)址進(jìn)行過濾，避免非法地址訪問IPv6 網(wǎng)絡(luò)。二是部署IP 地址識別系統(tǒng)的安全控制，如SIEM（安全信息與事件管理），威脅情報(bào)（TI）和脆弱性管理系統(tǒng)/掃描器。三是改進(jìn)入侵檢測系統(tǒng)的配置，加強(qiáng)用戶身份認(rèn)證和權(quán)限驗(yàn)證。四是建立主動的網(wǎng)絡(luò)安全防范體系，做好安全審計(jì)、控制，確保網(wǎng)絡(luò)信息安全。五是制定完善的IPv6安全規(guī)則制度，普及IPv6 網(wǎng)絡(luò)安全知識，定期進(jìn)行安全培訓(xùn)或宣傳，提高人員的安全意識。從過程、源頭以及機(jī)制上保證網(wǎng)絡(luò)信息的安全（如圖6 所示）。

圖6 網(wǎng)絡(luò)安全防護(hù)部署拓?fù)?/p>

5.綜合測試

IPv6 連通性測試。網(wǎng)絡(luò)配置完成后，可通過運(yùn)行ping -6 www.edu.cn 和tracert-6 www.edu.cn 測試網(wǎng)絡(luò)連通是否正常。

Web 應(yīng)用服務(wù)測試。例如，查看北郵IPv6 高清視頻、世界數(shù)字圖書館https://www.wdl.org/zh/等測試是否正常。

安全測試?？梢允褂镁W(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)或賽爾綠盟安全云平臺等第三方技術(shù)支撐來進(jìn)行安全風(fēng)險(xiǎn)探測。一旦發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)，及時進(jìn)行處置。定期對教育網(wǎng)絡(luò)運(yùn)行情況進(jìn)行綜合評估，以便整體掌握風(fēng)險(xiǎn)狀態(tài)及安全趨勢。

存在問題及反思

1.做好摸底調(diào)研，確定設(shè)備的支持性和適用性。

由于基礎(chǔ)教育城域網(wǎng)規(guī)模大、覆蓋廣、設(shè)備雜等原因，必須做好前期摸底調(diào)研，理清各學(xué)校網(wǎng)絡(luò)信息資產(chǎn)，確定設(shè)備可用性，對不支持IPv6 的設(shè)備要及時進(jìn)行固件升級或更換設(shè)備，方便做好設(shè)備利舊和更新方案，節(jié)約成本。

2.采用合理方式解決因地址空間過大造成的地址溯源難度增大問題。

IPv6 地址分配的兩種常用方式各有利弊，無狀態(tài)地址分配使用ND 協(xié)議（RFC2461），優(yōu)點(diǎn)是能夠高效進(jìn)行海量地址分配；缺點(diǎn)是網(wǎng)絡(luò)側(cè)不管理IPv6 地址的狀態(tài)，隨機(jī)分配的地址變化頻繁，用戶除了獲取一個相對固定的IPv6 地址外，還會獲得多個臨時地址，管理和溯源難度大。有狀態(tài)地址分配方式使用DHCPv6 協(xié)議，優(yōu)點(diǎn)是能夠有效解決溯源和管理問題；缺點(diǎn)是對部分終端、設(shè)備支持不夠。因此，建議采用有狀態(tài)地址分配方式，通過DHCPv6 設(shè)備記錄IPv6 地址分配時的客戶端唯一標(biāo)識符DUID，確保能夠準(zhǔn)確識別IPv6 地址和人員、設(shè)備的對應(yīng)關(guān)系。假如使用無狀態(tài)分配方式，則需要相應(yīng)的日志系統(tǒng)來保證溯源。

3.做好教育城域網(wǎng)與互聯(lián)網(wǎng)的協(xié)議（AS）對接。

通常情況下，申請教育網(wǎng)的IPv6地址，內(nèi)部部署完畢后，還需要通過省級通訊管理部門備案，與運(yùn)營商的互聯(lián)網(wǎng)打通，彼此互認(rèn)地址，保證用戶訪問的高效便捷。對于一般的縣區(qū)級教育城域網(wǎng)，只需與上級教育主干網(wǎng)對接即可，如果是獨(dú)立的教育城域網(wǎng)，則需要走相關(guān)業(yè)務(wù)管理流程實(shí)現(xiàn)對接。

4.逐步推進(jìn)智慧校園物聯(lián)網(wǎng)終端的IPv6 配置。

對于耗費(fèi)帶寬資源比較大的應(yīng)用系統(tǒng)，如“三個課堂”、高考指揮管理系統(tǒng)、校園安全監(jiān)控系統(tǒng)等，則可采取劃分VPN 專區(qū)子網(wǎng)的方式，實(shí)現(xiàn)負(fù)載均衡，確保教育城域網(wǎng)安全、高效運(yùn)行。