• <acronym id="a5p13"></acronym>
        <tr id="a5p13"></tr>

          <pre id="a5p13"></pre>

          1. 高校向IPv6過渡場景解決方案

            近日,深入推進IPv6規模部署和應用貫徹落實會議召開,IPv6規模部署相關文件連續發布。其中,《IPv6流量提升三年專項行動計劃(2021-2023年)》(簡稱“專項行動計劃”)提出,用三年時間,推動我國IPv6規模部署從“通路”走向“通車”,從“能用”走向“好用”。

            在此背景下,清華大學教授、CERNET網絡中心副主任李星分析了高校推進IPv6規模部署的技術方案。他表示,CERNET和廣大接入高校要充分利用IPv6發展的歷史機遇,為建設網絡強國做出貢獻。


            李星 CERNET網絡中心副主任、清華大學教授

            IPv6規模部署

            和應用落實建議

            總的來說,IPv6規模部署可以概括為五大任務:網站改造、活躍用戶、IPv6流量、IPv6單棧、創新應用。下面從這五方面探討高校向IPv6過渡的落實建議。


            1.網站改造

            網站IPv6過渡場景分為三種情況:現有IPv4網站、雙棧網站、新建純IPv6網站。

            實際上,雙棧網站的改造目前已很少見。

            對于現有IPv4網站,可以采用“IPv4 + IVI網站升級方案(X7000或云服務)”過渡。在保持現有IPv4網絡、路由不變的情況下,在純IPv4網絡和IPv6網絡出口之間部署IVI(無狀態IPv4/IPv6翻譯技術)設備。

            在此情況下,原IPv4網站不需要做改造,就可以被IPv6用戶訪問。其優勢是:保持原IPv4安全等保等級,只要IPv4不被黑,IPv6不可能被黑。

            此外,根據“專項行動計劃”要求,到2030年左右,完成向IPv6單棧的演進過渡。因此,各高校新建網站應采用“純IPv6”解決方案,這符合純IPv6發展趨勢。

            610cf695c474f.png

            圖1 網站IPv6過渡場景


            2.活躍用戶

            用戶IPv6過渡場景也分為三種情況:現有IPv4用戶接入、雙棧用戶接入、新建純IPv6用戶接入。

            在這三種場景中,現有IPv4用戶接入的升級能真正“多快好省”地提升IPv6活躍用戶。此時可以采用“IPv4 + IVI用戶網絡升級方案(X2000)”。在保持現有IPv4網絡、用戶終端不變的情況下,將IVI設備部署在IPv4和IPv6 網絡出口之間,所有IPv4活躍用戶都能轉化成IPv6活躍用戶?,F階段,IPv6認證在準入控制方面還不太成熟,成本也較高。而此方案支持原有IPv4認證系統,不需要升級。從安全和成本方面看,對高校提升IPv6活躍用戶都非常實用。

            與網站改造一樣,新建純IPv6用戶接入符合純IPv6發展趨勢,并能與SAVA(下一代互聯網真實源地址驗證體系結構)技術平滑集成。

            610cf74140d99.png

            圖2 用戶IPv6過渡場景


            3.IPv6流量

            IPv6流量的提升,主要依賴于活躍用戶和網站兩方面,尤其是活躍用戶的IPv6改造。提升高校的IPv6活躍用戶數,才能促進IPv6流量規模持續提升。


            4.IPv6單棧

            向IPv6單棧過渡,也即推進IPv6規模部署向純IPv6發展,主要包括網站升級和用戶升級兩方面。

            網站升級可采用“IPv6 + IVI 網站升級方案(X8000)”,通過在新建的純IPv6服務器和IPv4網絡之間部署IVI翻譯器,支持純 IPv4 終端可以訪問 IPv6 服務器,由此平滑過渡到純IPv6 互聯網。

            用戶升級可采用“IPv6 + IVI 用戶網絡升級方案(X3000)”。新建的純IPv6網絡和IPv6終端,通過部署IVI設備,可以訪問IPv4網絡資源。此方案可應用于新建大規模純IPv6無線網接入。由于iOS系統和Android系統都已經集成了IVI翻譯技術,通過在無線校園網添加IPv6 SSID(服務集標識)即可實現,這對高校來說非常實用。


            5.創新應用

            高校在IPv6創新應用上,要落實“發展安全并重,滿足國家急需”。

            首先,要學習貫徹習近平總書記重要講話精神。掌握我國互聯網發展主動權,保障互聯網安全、國家安全,就必須突破核心技術難題,即要抓住“命門”。沒有網絡安全就沒有國家安全,要“以安全保發展,以發展促安全”。

            同時,網絡科技進步與網絡空間安全協同發展。在網絡科技進步方面,要達到世界一流,爭取國際話語權;在網絡空間安全方面,要滿足國家急需,解決重大安全問題。

            推動IPv6發展三部曲

            新形勢下推動IPv6發展,可以概括為“三部曲”。


            1.平滑過渡,互聯互通,逐步推進

            在IPv6過渡技術方面,基于雙棧的IPv6過渡技術(硬著陸),將演進成基于翻譯的IPv6過渡技術(軟著陸)。

            “平滑過渡”是向IPv6過渡的基本原則,也就是,不能因為向IPv6升級而影響用戶體驗。而通過IVI翻譯技術的“軟著陸”過渡技術,可以實現IPv4向IPv6的平滑過渡。

            現有的IPv4服務器或客戶端,通過IVI(6aaS)翻譯,與IPv6網絡實現互聯互通,其對外特性表現為雙棧,對內特性仍是純IPv4;同理,新建的純IPv6網絡,也可以通過(4aaS)IVI翻譯,與IPv4網絡保持互通。

            實際上,盡管按照規劃,我國將向純IPv6網絡過渡,但由于長尾效應,在全球范圍內,IPv4網絡將會長期存在。尤其在高校,與國際網絡的互聯互通更是剛需。因此,通過翻譯技術實現IPv4與IPv6互聯互通,從長遠看來也將是硬需求。


            2.發展與安全同步,充分利用IPv4安全能力

            要做到發展與安全同步,首先要關注IPv6的網絡空間安全。

            由清華大學研發的下一代互聯網真實源地址驗證體系結構SAVA主要用于解決下一代互聯網的可信安全問題。

            SAVA支持互聯網真實源地址的精確定位和地址溯源,突破了下一代互聯網體系結構的安全可信關鍵核心技術,近日被中國電子學會授予2020年度科學技術特等獎。將SAVA技術落地落實,是當前高校在網絡安全方面應重點關注,全力部署實施的工作。

            此外,IPv6的防火墻應該怎么做?

            現階段,IPv6的防火墻很難實現跟IPv4的防火墻一樣的防護強度??紤]到這一點,在IPv6安全保障上,我們可以采取另一種思路:通過虛擬的翻譯技術,充分利用IPv4的安全能力。

            可以將IPv6網絡和IPv6主機之間的防火墻設想成一個“盒子”,盒子內部是具有雙重“虛擬翻譯”功能的IPv4防火墻。

            防護的過程是,將IPv6映射成IPv4,經過IPv4的防火墻,再映射成IPv6。這樣,就可以讓純IPv6網絡充分利用IPv4成熟的安全保障能力。

            實際上,用這種方法設計的IPv6防火墻,并不一定真的采用IVI翻譯設備,而是充分利用了IVI技術的翻譯“思路”。



            3.跨越式發展,構建切片和零信任體系結構

            (1)用不同于IPv4的思路做IPv6

            傳統的校園網為了保安全,通常采用“糖葫蘆”式的串通方式,在校園網的出口處設置各種安全設備。而高校有聯網、高性能、安全、科研等多方面的網絡需求,采用“串聯”的方式很難滿足所有需求,并存在不少安全隱患。

            我們可以將校園網的需求進行如下分類:

            ? 用戶上網:包括有線、無線(多SSID)上網;

            ? 信息系統:學校的信息系統通常在校園內部專網使用,從外部訪問時需要使用VPN;

            ? 視頻系統:無論是廣播/點播系統還是視頻會議系統,都用于教學、研討;

            ? 對外宣傳:也就是通常的學校網站,采用CDN(Content Delivery Network,內容分發網絡)、WAF(Web Application Firewall,網站應用級入侵防御系統)等技術;

            ? 科學研究:包括超算專網、存儲專網、備份專網等;

            ? 物聯網:包括門禁專網、視頻監控專網、井蓋專網等。

            有了清晰的分類,再來看IPv6升級。實際上,與傳統的IPv4網絡相比,IPv6擁有的海量地址使其能更容易實現網絡切片等功能,滿足校園網的多種需求,并保障網絡安全。

            概括來說,就是要用不同于IPv4的思路來做IPv6。

            也就是,按照網絡切片的思路將高校各種校園網需求拆分,采用不同的方法分別滿足不同的需求。如此以來,CERNET可以將提供給高校的萬兆接入網絡“定制化”,比如,針對各校的網站監測能力參差不齊,提供高質量的網站監測外包服務;針對用戶上網,可以提供日志保障等。

            反過來,高校也可按照這種思路,將校園網的功能拆分升級。比如,對于信息系統、視頻系統、超算專網等專供學校內部使用的功能需求,不宜采用傳統的“串聯”方式進行安全防護;而對于其他與外部網絡互連的功能需求,則可以采用“外包”方式保障安全。

            (2)SRv6和dIVI

            根據上述思路推動IPv6發展,有兩個技術非常重要:SRv6(Segment Routing IPv6,IPv6分段路由)和dIVI(雙重翻譯技術)。比如,對基于IPv4的超算專網,如果將其應用系統改造成IPv6,成本很高,而采用dIVI雙重翻譯技術,可以直接利用私有的IPv4地址建網;而新建的純IPv6應用,則可以直接用SRv6技術進行網絡切片,來滿足特定需求;同時,SRv6和dIVI技術也可以結合使用。

            滿足該思路的方案有如下特點:支持IPv4,無需重新編程,無需優化IPv4鏈路,利用IVI翻譯技術轉換為IPv6流量;支持IPv4雙向通信,校園網無需提供公有IPv4地址;外特性完全為IPv6單棧。

            對于未來的互聯網發展,總的趨勢是“大道至簡、返璞歸真”。即從一個以OSS/BSS(電信業務)為支撐的,包含IPv4、IPv6、MPLS、DHCP等多種技術的復雜系統,轉變為純IPv6(IPv6-only)的簡單系統。

            這個系統包含IPv6路由轉發、SRv6切片、IVI翻譯、Encapsulation(封裝)、SSM 框架集等功能技術,并以零信任網絡安全防護理念為基礎。長遠看來,IPv4會長期存在,但會成為純IPv6網絡的一個“子集”,通過無狀態翻譯技術,對外展示為IPv6。

            (3)464BGP

            復旦大學校園網IVI部署實踐是一個典型案例。通過部署高效路由機制464BGP,即從IPv4地址翻譯到IPv6地址路由,再轉化回IPv4的地址,借由CERNET2完成傳輸,提高CERNET2的使用率,并可以有效提升國際教育資源的訪問體驗。

            其特點為:雖然復旦大學校園網是多出口,但使用464BGP技術,可以由學校自主調度特定子網,通過CERNET與Internet2的專有信道,高性能地與合作高校進行通信。特別是,雖然現有技術可以在某種程度上調度復旦大學的出流量。但只有464BGP技術,可以在不需要對方大學配合的情況下,自動調度入流量。

            小結

            純IPv6(IPv6單棧)是互聯網發展的技術方向,也是中國政府的既定策略,按照“網信辦”的文件規定,到2030年中國的互聯網將是IPv6單棧。歷史上,CERNET和廣大接入高校在IPv6的研究、部署和推廣方面為國家和世界做出了重要貢獻。新形勢下,必須再接再厲,充分利用IPv6發展的歷史機遇,為把我國建設成為網絡強國做出貢獻。



            江蘇國駿-打造安全可信的網絡世界

            為IT提升價值


            http://www.njlndf.cn/

            免費咨詢熱線:400-6776-989

            609e479d883e6.png

            關注公眾號

            獲取免費咨詢和安全服務





            江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com          
            国产3p全程普通话太刺激磁力_国产激情无码一级毛片_国产免费a级在线观看_国产亚洲现在一区二区中文