近日,深入推進IPv6規模部署和應用貫徹落實會議召開,IPv6規模部署相關文件連續發布。其中,《IPv6流量提升三年專項行動計劃(2021-2023年)》(簡稱“專項行動計劃”)提出,用三年時間,推動我國IPv6規模部署從“通路”走向“通車”,從“能用”走向“好用”。
在此背景下,清華大學教授、CERNET網絡中心副主任李星分析了高校推進IPv6規模部署的技術方案。他表示,CERNET和廣大接入高校要充分利用IPv6發展的歷史機遇,為建設網絡強國做出貢獻。
人妻丝袜av先锋影音先,人妻丝袜乱经典系列,疯狂撞击丝袜人妻,久久人妻av中文字幕
李星 CERNET網絡中心副主任、清華大學教授
IPv6規模部署
和應用落實建議
總的來說,IPv6規模部署可以概括為五大任務:網站改造、活躍用戶、IPv6流量、IPv6單棧、創新應用。下面從這五方面探討高校向IPv6過渡的落實建議。
1.網站改造
網站IPv6過渡場景分為三種情況:現有IPv4網站、雙棧網站、新建純IPv6網站。
實際上,雙棧網站的改造目前已很少見。
對于現有IPv4網站,可以采用“IPv4 + IVI網站升級方案(X7000或云服務)”過渡。在保持現有IPv4網絡、路由不變的情況下,在純IPv4網絡和IPv6網絡出口之間部署IVI(無狀態IPv4/IPv6翻譯技術)設備。
在此情況下,原IPv4網站不需要做改造,就可以被IPv6用戶訪問。其優勢是:保持原IPv4安全等保等級,只要IPv4不被黑,IPv6不可能被黑。
此外,根據“專項行動計劃”要求,到2030年左右,完成向IPv6單棧的演進過渡。因此,各高校新建網站應采用“純IPv6”解決方案,這符合純IPv6發展趨勢。
圖1 網站IPv6過渡場景
2.活躍用戶
用戶IPv6過渡場景也分為三種情況:現有IPv4用戶接入、雙棧用戶接入、新建純IPv6用戶接入。
在這三種場景中,現有IPv4用戶接入的升級能真正“多快好省”地提升IPv6活躍用戶。此時可以采用“IPv4 + IVI用戶網絡升級方案(X2000)”。在保持現有IPv4網絡、用戶終端不變的情況下,將IVI設備部署在IPv4和IPv6 網絡出口之間,所有IPv4活躍用戶都能轉化成IPv6活躍用戶?,F階段,IPv6認證在準入控制方面還不太成熟,成本也較高。而此方案支持原有IPv4認證系統,不需要升級。從安全和成本方面看,對高校提升IPv6活躍用戶都非常實用。
與網站改造一樣,新建純IPv6用戶接入符合純IPv6發展趨勢,并能與SAVA(下一代互聯網真實源地址驗證體系結構)技術平滑集成。
圖2 用戶IPv6過渡場景
3.IPv6流量
IPv6流量的提升,主要依賴于活躍用戶和網站兩方面,尤其是活躍用戶的IPv6改造。提升高校的IPv6活躍用戶數,才能促進IPv6流量規模持續提升。
4.IPv6單棧
向IPv6單棧過渡,也即推進IPv6規模部署向純IPv6發展,主要包括網站升級和用戶升級兩方面。
網站升級可采用“IPv6 + IVI 網站升級方案(X8000)”,通過在新建的純IPv6服務器和IPv4網絡之間部署IVI翻譯器,支持純 IPv4 終端可以訪問 IPv6 服務器,由此平滑過渡到純IPv6 互聯網。
用戶升級可采用“IPv6 + IVI 用戶網絡升級方案(X3000)”。新建的純IPv6網絡和IPv6終端,通過部署IVI設備,可以訪問IPv4網絡資源。此方案可應用于新建大規模純IPv6無線網接入。由于iOS系統和Android系統都已經集成了IVI翻譯技術,通過在無線校園網添加IPv6 SSID(服務集標識)即可實現,這對高校來說非常實用。
5.創新應用
高校在IPv6創新應用上,要落實“發展安全并重,滿足國家急需”。
首先,要學習貫徹習近平總書記重要講話精神。掌握我國互聯網發展主動權,保障互聯網安全、國家安全,就必須突破核心技術難題,即要抓住“命門”。沒有網絡安全就沒有國家安全,要“以安全保發展,以發展促安全”。
同時,網絡科技進步與網絡空間安全協同發展。在網絡科技進步方面,要達到世界一流,爭取國際話語權;在網絡空間安全方面,要滿足國家急需,解決重大安全問題。
推動IPv6發展三部曲
新形勢下推動IPv6發展,可以概括為“三部曲”。
1.平滑過渡,互聯互通,逐步推進
在IPv6過渡技術方面,基于雙棧的IPv6過渡技術(硬著陸),將演進成基于翻譯的IPv6過渡技術(軟著陸)。
“平滑過渡”是向IPv6過渡的基本原則,也就是,不能因為向IPv6升級而影響用戶體驗。而通過IVI翻譯技術的“軟著陸”過渡技術,可以實現IPv4向IPv6的平滑過渡。
現有的IPv4服務器或客戶端,通過IVI(6aaS)翻譯,與IPv6網絡實現互聯互通,其對外特性表現為雙棧,對內特性仍是純IPv4;同理,新建的純IPv6網絡,也可以通過(4aaS)IVI翻譯,與IPv4網絡保持互通。
實際上,盡管按照規劃,我國將向純IPv6網絡過渡,但由于長尾效應,在全球范圍內,IPv4網絡將會長期存在。尤其在高校,與國際網絡的互聯互通更是剛需。因此,通過翻譯技術實現IPv4與IPv6互聯互通,從長遠看來也將是硬需求。
2.發展與安全同步,充分利用IPv4安全能力
要做到發展與安全同步,首先要關注IPv6的網絡空間安全。
由清華大學研發的下一代互聯網真實源地址驗證體系結構SAVA主要用于解決下一代互聯網的可信安全問題。
SAVA支持互聯網真實源地址的精確定位和地址溯源,突破了下一代互聯網體系結構的安全可信關鍵核心技術,近日被中國電子學會授予2020年度科學技術特等獎。將SAVA技術落地落實,是當前高校在網絡安全方面應重點關注,全力部署實施的工作。
此外,IPv6的防火墻應該怎么做?
現階段,IPv6的防火墻很難實現跟IPv4的防火墻一樣的防護強度??紤]到這一點,在IPv6安全保障上,我們可以采取另一種思路:通過虛擬的翻譯技術,充分利用IPv4的安全能力。
可以將IPv6網絡和IPv6主機之間的防火墻設想成一個“盒子”,盒子內部是具有雙重“虛擬翻譯”功能的IPv4防火墻。
防護的過程是,將IPv6映射成IPv4,經過IPv4的防火墻,再映射成IPv6。這樣,就可以讓純IPv6網絡充分利用IPv4成熟的安全保障能力。
實際上,用這種方法設計的IPv6防火墻,并不一定真的采用IVI翻譯設備,而是充分利用了IVI技術的翻譯“思路”。
3.跨越式發展,構建切片和零信任體系結構
(1)用不同于IPv4的思路做IPv6
傳統的校園網為了保安全,通常采用“糖葫蘆”式的串通方式,在校園網的出口處設置各種安全設備。而高校有聯網、高性能、安全、科研等多方面的網絡需求,采用“串聯”的方式很難滿足所有需求,并存在不少安全隱患。
我們可以將校園網的需求進行如下分類:
? 用戶上網:包括有線、無線(多SSID)上網;
? 信息系統:學校的信息系統通常在校園內部專網使用,從外部訪問時需要使用VPN;
? 視頻系統:無論是廣播/點播系統還是視頻會議系統,都用于教學、研討;
? 對外宣傳:也就是通常的學校網站,采用CDN(Content Delivery Network,內容分發網絡)、WAF(Web Application Firewall,網站應用級入侵防御系統)等技術;
? 科學研究:包括超算專網、存儲專網、備份專網等;
? 物聯網:包括門禁專網、視頻監控專網、井蓋專網等。
有了清晰的分類,再來看IPv6升級。實際上,與傳統的IPv4網絡相比,IPv6擁有的海量地址使其能更容易實現網絡切片等功能,滿足校園網的多種需求,并保障網絡安全。
概括來說,就是要用不同于IPv4的思路來做IPv6。
也就是,按照網絡切片的思路將高校各種校園網需求拆分,采用不同的方法分別滿足不同的需求。如此以來,CERNET可以將提供給高校的萬兆接入網絡“定制化”,比如,針對各校的網站監測能力參差不齊,提供高質量的網站監測外包服務;針對用戶上網,可以提供日志保障等。
反過來,高校也可按照這種思路,將校園網的功能拆分升級。比如,對于信息系統、視頻系統、超算專網等專供學校內部使用的功能需求,不宜采用傳統的“串聯”方式進行安全防護;而對于其他與外部網絡互連的功能需求,則可以采用“外包”方式保障安全。
(2)SRv6和dIVI
根據上述思路推動IPv6發展,有兩個技術非常重要:SRv6(Segment Routing IPv6,IPv6分段路由)和dIVI(雙重翻譯技術)。比如,對基于IPv4的超算專網,如果將其應用系統改造成IPv6,成本很高,而采用dIVI雙重翻譯技術,可以直接利用私有的IPv4地址建網;而新建的純IPv6應用,則可以直接用SRv6技術進行網絡切片,來滿足特定需求;同時,SRv6和dIVI技術也可以結合使用。
滿足該思路的方案有如下特點:支持IPv4,無需重新編程,無需優化IPv4鏈路,利用IVI翻譯技術轉換為IPv6流量;支持IPv4雙向通信,校園網無需提供公有IPv4地址;外特性完全為IPv6單棧。
對于未來的互聯網發展,總的趨勢是“大道至簡、返璞歸真”。即從一個以OSS/BSS(電信業務)為支撐的,包含IPv4、IPv6、MPLS、DHCP等多種技術的復雜系統,轉變為純IPv6(IPv6-only)的簡單系統。
這個系統包含IPv6路由轉發、SRv6切片、IVI翻譯、Encapsulation(封裝)、SSM 框架集等功能技術,并以零信任網絡安全防護理念為基礎。長遠看來,IPv4會長期存在,但會成為純IPv6網絡的一個“子集”,通過無狀態翻譯技術,對外展示為IPv6。
(3)464BGP
復旦大學校園網IVI部署實踐是一個典型案例。通過部署高效路由機制464BGP,即從IPv4地址翻譯到IPv6地址路由,再轉化回IPv4的地址,借由CERNET2完成傳輸,提高CERNET2的使用率,并可以有效提升國際教育資源的訪問體驗。
其特點為:雖然復旦大學校園網是多出口,但使用464BGP技術,可以由學校自主調度特定子網,通過CERNET與Internet2的專有信道,高性能地與合作高校進行通信。特別是,雖然現有技術可以在某種程度上調度復旦大學的出流量。但只有464BGP技術,可以在不需要對方大學配合的情況下,自動調度入流量。
小結
純IPv6(IPv6單棧)是互聯網發展的技術方向,也是中國政府的既定策略,按照“網信辦”的文件規定,到2030年中國的互聯網將是IPv6單棧。歷史上,CERNET和廣大接入高校在IPv6的研究、部署和推廣方面為國家和世界做出了重要貢獻。新形勢下,必須再接再厲,充分利用IPv6發展的歷史機遇,為把我國建設成為網絡強國做出貢獻。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務
人妻丝袜av先锋影音先,人妻丝袜乱经典系列,疯狂撞击丝袜人妻,久久人妻av中文字幕
人妻丝袜av先锋影音先,人妻丝袜乱经典系列,疯狂撞击丝袜人妻,久久人妻av中文字幕