高校IPv6改造,如何做到快速、合规、安全?

资讯文章 179

文/锐捷网络IPv6改造服务专家 张彦俊 

    遵义医药高等学校网络中心 梁大宏


2020年,IPv6进入了普及元年。3月,工信部发布提出2020年底IPv6活跃连接数将达11.5亿。在教育行业,教育部办公厅要求到2020年底,教育系统的各类网络、门户网站和重要应用系统完成升级改造,支持IPv6访问。


然而,据IPv6发展监测平台数据显示,截至2020年1月2日,普通本科、高职高专以及成人教育高校门户网站支持IPv6解析占36.8%,支持IPv6访问占29.7%IPv6支持率仍然较低,改造亟待提速。


▲图:各类型高校门户网站IPv6支持情况

(来源:IPv6发展监测平台)


对于高校用户来说,要完成整网的IPv6改造,涉及改造的内容和基础设施非常多,改造的周期也会比较漫长,如何在规定的时间节点快速满足监管要求,并保证IPv4/IPv6双网运行的安全和易运维,是高校用户普遍关注的问题。


遵义医药高等专科学校(以下简称“遵义医专”)是贵州省医学类唯一示范性高职院校,为了全面构建智能化的下一代互联网,加快学校教育信息化进程,遵义医专计划对校园网基础环境实施了IPv6网络技术升级改造,覆盖全校学生区、办公区、图书馆区和数据中心区,总共涉及300+台设备和30+个业务系统。


遵义医专的IPv6改造需求如下:



 

用户特征:


不想改动现有IPv4网络架构,同时希望同步改造后端业务系统,实现端到端整体改造


 

适用场景:


IPv4业务系统改造(包括网站、互联网业务及APP等)


 

改造内容:


网络、安全设备、操作系统及业务系统本身都要支持IPv4/IPv6双栈+Web站群端到端双栈服务方案


为了保证IPv6改造设计方案符合学校现网改造需求,有效保护客户投资,锐捷IPv6改造服务团队对学校整网架构和设备情况进行了全面梳理和拓扑图绘制,经过专业评估,决定采用IPv4/IPv6双栈过渡技术进行改造。



 

第一阶段:IPv4/IPv6 两网融合并行及双栈认证


 


锐捷充分利旧支持IPv4/IPv6双栈协议的网络、安全等现有设备,并替换不支持双栈协议的教育网出口路由设备,同时对整体校园网络和安全设备进行IPv4/IPv6 双栈配置,实现IPv4/IPv6 双栈网络运行。为了缓解IPv6 出口带宽紧张问题,锐捷对网络资源缓存系统进行同步改造,从而保证教职工和学生的上网体验。


在认证、审计方面,通过对现有的校园认证系统进行升级并新建日志审计系统,实现双栈环境下IPv4/IPv6 准入准出管控和上网信息监控,同时满足了网络安全和监管部门的监管要求。



▲图:IPv4/IPv6双栈认证成功


通过IPv6基础设施改造方案,锐捷帮助遵义医专快速实现IPv4/IPv6 双栈校园网络,全面支持IPv6网络环境下用户的接入身份验证和计费,在不影响IPv4业务访问的前提下通过认证系统升级保证IPv6网络安全,很好满足了国家或监管机构对IPv6网络合规、安全的要求。



 

第二阶段:业务系统和网站站群系统满足IPv4/IPv6 访问需求


 


在门户网站改造方面,学校目前校园网资源都是基于IPv4 进行设计的,无法直接给IPv6 用户提供相应的服务。锐捷服务团队协同校方,对门户网站等资源的IPv6特性支持能力进行充分的评估,最终确定:




在基础网络通过改造满足双栈接入的情况下,对符合条件的web站群(门户网站业务)同步进行IPv4与IPv6双栈改造、运行IPv4和IPv6协议



对当前暂不具备双栈改造条件的应用系统,遵循分步改造、逐步推进的原则;



对新建网站及应用系统,提出IPv6协议支持需求。


在域名解析方面,本次新增一台DDS设备作为校内IPv4/IPv6的DNS设备,在确保IPv4域名解析的情况下,支持AAAA记录、A6记录和纯IPv6的DNS请求,提供多出口状态下IPv6域名的智能解析业务,满足学校IPv6权威域名解析及递归域名解析要求,实现IPv4到IPv6的平稳过渡。


▲图:对外成功通过IPv6访问某大学官网


▲图:对内成功通过IPv6访问科研网络管理系统


此外,为了减少IPv4/IPv6双栈运行带来的双网运维压力,锐捷将RG-N18000系列对接SDN控制器,通过SDN控制器实现配置下发与统一管理,学校的网络管理员可以通过可视化管理面板清晰知道每位用户的IPv4/IPv6上下线情况。当用户报障时,通过在线表一看,即能清楚知道用户是否连接成功,是否有频繁掉线情况等,减轻了网络管理员的IPv6网络维护工作。


▲ 图:锐捷SDN控制器ONC成功识别并定位IPv6终端


同时,锐捷服务团队还为学校提供IPv6知识技能培训,通过原厂专业IPv6网络技术知识赋能加强运维团队IPv6技术的支撑保障能力,助力学校IPv6网络维护工作平稳过渡。


▲ 图:客户对IPv6改造服务满意度反馈


高校IPv6的整网改造,是一个任重而道远的工作。为助力我国高校IPv6升级部署,锐捷根据不同高校现网情况,提供多种定制化的IPv6改造服务解决方案,让IPv6网络一站直达。锐捷高校IPv6改造服务解决方案引入云计算、SDN等新技术,提供端到端全栈IPv6咨询规划和改造服务方案,包括网络、安全、服务器区及客户接入端等场景的规划与改造,围绕咨询规划、方案设计、实施交付、测试验证全生命周期,助力高校用户实现从IPv4到IPv6的升级改造和平滑迁移。