日韩精品一区二区三区第95,超碰97人人模人人爽人人爱,天堂俺去俺来也www色官网,被老头玩弄邻居人妻中文字幕

隨著信息技術(shù)的發(fā)展，通信網(wǎng)絡(luò)已成為校園信息化的關(guān)鍵基礎(chǔ)設(shè)施，支撐各信息系統(tǒng)的建設(shè)與應(yīng)用。傳統(tǒng)IPv4網(wǎng)絡(luò)面臨越來越多的瓶頸和風(fēng)險，新IPv6網(wǎng)絡(luò)則擁有更大的地址空間、更好的安全性，基于IPv6協(xié)議的下一代互聯(lián)網(wǎng)能夠很好地彌補(bǔ)IPv4網(wǎng)絡(luò)的不足。

　　2017年11月，兩辦印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，開啟大規(guī)模普及IPv6的序幕。同時，各運(yùn)營商也完成IPv6骨干網(wǎng)絡(luò)改造，為高校IPv6改造提供了條件和保障。

　　北京理工大學(xué)珠海學(xué)院園區(qū)網(wǎng)絡(luò)采用 SDN+ VxLAN的管理架構(gòu)，基于H3C Director控制器實現(xiàn)對校園網(wǎng)基礎(chǔ)運(yùn)維、用戶認(rèn)證、安全管理等多功能的統(tǒng)一平臺管理；在一套SDN管理平臺下分別構(gòu)建學(xué)生運(yùn)營網(wǎng)、教學(xué)辦公網(wǎng)、設(shè)備專網(wǎng)的多Fabrics園區(qū)網(wǎng)絡(luò)。

　　為實現(xiàn)校園網(wǎng)的可運(yùn)維、更高速和強(qiáng)安全，學(xué)校基于SDN網(wǎng)絡(luò)的IPv6升級改造，將圍繞以下目標(biāo)開展部署實踐：一是基于SDN網(wǎng)絡(luò)實現(xiàn)IPv6業(yè)務(wù)的自動化部署，二是實現(xiàn)校園網(wǎng)絡(luò)IPv6接入和訪問服務(wù)的全覆蓋，三是構(gòu)建更靈活的IPv6安全防護(hù)體系，四是探索IPv6的創(chuàng)新應(yīng)用。

做法與經(jīng)驗

　　01.強(qiáng)化組織領(lǐng)導(dǎo)，統(tǒng)籌安排落實

　　校園網(wǎng)IPv6規(guī)模化部署工作在學(xué)校信息化工作領(lǐng)導(dǎo)小組的統(tǒng)籌安排下，開展項目的調(diào)研與論證，明確責(zé)任分工，要求定期報告工作進(jìn)展，確保IPv6規(guī)模部署工作按要求完成。

　　02.明確技術(shù)路線，做好網(wǎng)絡(luò)規(guī)劃

　　經(jīng)充分的技術(shù)論證，結(jié)合不同的IPv6升級方案（純IPv6、雙棧、翻譯和隧道）特點(diǎn)，學(xué)校采用網(wǎng)絡(luò)雙棧的升級方案逐步過渡到純IPv6網(wǎng)絡(luò)的技術(shù)路線，保證業(yè)務(wù)的平滑升級。本次校園網(wǎng)IPv6升級保持網(wǎng)絡(luò)整體架構(gòu)不變，按業(yè)務(wù)功能及用戶分組進(jìn)行IPv6的子網(wǎng)劃分；基于現(xiàn)有SDN網(wǎng)絡(luò)的管理架構(gòu)，實現(xiàn)對IPv6用戶的精細(xì)化管理和策略管控，為終端和應(yīng)用開啟雙棧網(wǎng)絡(luò)服務(wù)（圖1）。

圖1 基于SDN網(wǎng)絡(luò)架構(gòu)的IPv6網(wǎng)絡(luò)拓?fù)?/span>

　　03.制定升級計劃，分步開展實施

　　結(jié)合學(xué)校實際，為了降低IPv6網(wǎng)絡(luò)升級對業(yè)務(wù)的影響，要求升級過渡期不能中斷業(yè)務(wù)使用。為確保各業(yè)務(wù)正常平穩(wěn)運(yùn)行，在升級部署時需要做如下工作：

　　第一，資產(chǎn)盤點(diǎn)，確認(rèn)IPv6功能特性。在進(jìn)行IPv6網(wǎng)絡(luò)升級前對全網(wǎng)設(shè)備進(jìn)行盤點(diǎn)，以確認(rèn)設(shè)備是否支持IPv6協(xié)議及其功能特性，近幾年設(shè)備通過版本升級的方式解決，早期設(shè)備不支持版本升級的，需要更換解決，替換設(shè)備可利舊用于網(wǎng)絡(luò)接入。

　　第二，基礎(chǔ)先行，IPv6安全同步升級。先進(jìn)行基礎(chǔ)骨干網(wǎng)絡(luò)的IPv6升級部署，開啟終端及應(yīng)用網(wǎng)關(guān)的IPv6/IPv4雙棧網(wǎng)絡(luò)，搭建IPv6的DNS和DHCP基礎(chǔ)網(wǎng)絡(luò)服務(wù)。同時支撐IPv6網(wǎng)絡(luò)安全的體系也做同步升級，包括網(wǎng)絡(luò)認(rèn)證、防火墻、審計系統(tǒng)、安全態(tài)勢感知、堡壘機(jī)等。

　　此外，學(xué)校IPv6網(wǎng)絡(luò)安全管理與IPv4有較大不同，在于終端及服務(wù)器分配的IPv6地址都是互聯(lián)網(wǎng)IP，不需要NAT可以直接訪問互聯(lián)網(wǎng)或被互聯(lián)網(wǎng)訪問?；贗Pv6的網(wǎng)絡(luò)安全體系，除了延續(xù)IPv4的安全策略外，對終端IPv6地址做互聯(lián)網(wǎng)的訪問限制，不允許互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)IPv6主機(jī)及端口。

　　第三，局部試點(diǎn)，分批起用IPv6網(wǎng)絡(luò)。在早期的IPv6網(wǎng)絡(luò)建設(shè)中，各服務(wù)商開通域名的IPv6解析，由于網(wǎng)絡(luò)不可達(dá)，導(dǎo)致IPv6終端不能正常訪問。為避免IPv6網(wǎng)絡(luò)啟用初期產(chǎn)生的網(wǎng)絡(luò)波動，影響用戶上網(wǎng)體驗，學(xué)校采取的方案是：先在局部開啟終端IPv6網(wǎng)絡(luò)試點(diǎn)（純IPv6和雙棧網(wǎng)絡(luò)），再擴(kuò)大應(yīng)用范圍，最終完成全校終端及應(yīng)用系統(tǒng)IPv6網(wǎng)絡(luò)的啟用。

　　此外，由于學(xué)?；ヂ?lián)網(wǎng)出口是多運(yùn)營商（聯(lián)通、移動、教科網(wǎng)）多出口的復(fù)雜網(wǎng)絡(luò)，同時學(xué)校還面臨IPv6應(yīng)用及終端活躍率的指標(biāo)考核，因此要在特定的互聯(lián)網(wǎng)出口做基于IPv6的策略路由以及NAT轉(zhuǎn)換。

成效與亮點(diǎn)

　　01.實現(xiàn)IPv6網(wǎng)絡(luò)的自動化部署

　　通過SDN網(wǎng)絡(luò)控制器可以進(jìn)行IPv6網(wǎng)絡(luò)的快速部署與業(yè)務(wù)開通上線。相比于傳統(tǒng)的IPv6改造方式，基于SDN網(wǎng)絡(luò)的IPv6開通以及維護(hù)更智能、敏捷，同時支持設(shè)備的自動化部署以及終端的自動上線，極大地提升了網(wǎng)絡(luò)的運(yùn)維與效率。

　　02.實現(xiàn)IPv6網(wǎng)絡(luò)的全覆蓋

　　截至目前，基于SDN網(wǎng)絡(luò)的校園IPv6網(wǎng)絡(luò)升級部署工作已取得階段性成效，基本完成全校IPv6網(wǎng)絡(luò)的升級改造，為各類終端及系統(tǒng)應(yīng)用提供雙棧的網(wǎng)絡(luò)接入和訪問，為后期物聯(lián)網(wǎng)的大規(guī)模應(yīng)用提供更好的網(wǎng)絡(luò)環(huán)境。此外，從教育系統(tǒng)網(wǎng)絡(luò)態(tài)勢IPv6監(jiān)測平臺的數(shù)據(jù)來看，學(xué)校的門戶網(wǎng)站及二三級的IPv6鏈接支持率達(dá)到100%，終端日活躍用戶數(shù)高達(dá)1.5萬以上。

　　03.探索基于IPv6的5G專網(wǎng)

　　為提高師生對校內(nèi)資源的訪問體驗，營造更好的網(wǎng)絡(luò)學(xué)習(xí)空間，學(xué)校與運(yùn)營商（聯(lián)通、移動）協(xié)商開通校園5G專網(wǎng)服務(wù)，師生通過5G手機(jī)即可隨時隨地安全接入校園網(wǎng)進(jìn)行高速訪問。

　　校園5G專網(wǎng)（圖2）的設(shè)計由學(xué)校與運(yùn)營商協(xié)同進(jìn)行IPv6網(wǎng)絡(luò)規(guī)劃，終端手機(jī)全面支持IPv6/IPv4雙棧網(wǎng)絡(luò)接入，在運(yùn)營商側(cè)的MEC服務(wù)器和學(xué)校側(cè)服務(wù)器應(yīng)用也同時支持IPv6/IPv4雙棧訪問。

圖2 校園5G專網(wǎng)雙棧網(wǎng)絡(luò)拓?fù)?/span>

　　04.構(gòu)建更靈活的IPv6網(wǎng)絡(luò)安全體系

　　利用SDN網(wǎng)絡(luò)的微分段功能，可設(shè)置基于IPv6南北（東西）向業(yè)務(wù)流量的服務(wù)鏈，實現(xiàn)IPv6流量的南北（東西）業(yè)務(wù)流量按需引流到安全防火墻，從而靈活地實現(xiàn)基于IPv6的安全服務(wù)鏈，保障IPv6業(yè)務(wù)的安全訪問。服務(wù)鏈本身也可以做到服務(wù)資源彈性擴(kuò)容，靈活、按需分配（圖3）。

圖3 基于SDN網(wǎng)絡(luò)的IPv6安全服務(wù)鏈

　　雖然，基于IPv6協(xié)議棧的安全設(shè)計，可以從根本上解決IPv4在網(wǎng)絡(luò)層的攻擊，如掃描泛濫、ARP攻擊、DDoS攻擊、IP Spoofing攻擊等。但為了加強(qiáng)對內(nèi)網(wǎng)終端的安全管控，避免個人終端受到互聯(lián)網(wǎng)的直接攻擊和私建應(yīng)用服務(wù)，在學(xué)?；ヂ?lián)網(wǎng)出口防火墻對內(nèi)網(wǎng)終端的IPv6地址前綴進(jìn)行NAT66的地址轉(zhuǎn)換，達(dá)到隱藏內(nèi)部IPv6地址的效果。

　　此外，對于服務(wù)器的應(yīng)用訪問，基于IPv6的安全策略管控，仍然以ACL的五元組為基礎(chǔ)，根據(jù)應(yīng)用的協(xié)議、端口和服務(wù)進(jìn)行最小條件策略的開放訪問。

　　05.統(tǒng)一的DNS域名解析與管理

　　基于IPv4網(wǎng)絡(luò)的應(yīng)用訪問，由于服務(wù)器存在內(nèi)外網(wǎng)IP的訪問差異，需要搭建2套IPv4的集群DNS域名解析系統(tǒng)，來分別滿足內(nèi)網(wǎng)和外網(wǎng)各類終端，通過域名訪問校園的應(yīng)用。但基于IPv6網(wǎng)絡(luò)的服務(wù)器均分配全球可訪問的IPv6地址，對服務(wù)器應(yīng)用的IPv6域名解析，只需搭建1套集群DNS域名解析系統(tǒng)即可滿足不同的網(wǎng)絡(luò)環(huán)境下多場景的域名解析訪問，實現(xiàn)統(tǒng)一的DNS域名解析與管理。

總結(jié)

　　得益于學(xué)校對IPv6規(guī)?；渴鸸ぷ鞯母叨戎匾暎e極響應(yīng)上級部門的要求，經(jīng)過一年多的努力，完成基于校園SDN網(wǎng)絡(luò)的IPv6升級改造，實現(xiàn)一套SDN管理平臺下分別構(gòu)建學(xué)生運(yùn)營網(wǎng)、教學(xué)辦公網(wǎng)、設(shè)備專網(wǎng)，支持IPv6/IPv4網(wǎng)絡(luò)的自動化部署；并在校區(qū)網(wǎng)絡(luò)全面開啟IPv6/IPv4雙棧網(wǎng)絡(luò)的接入和安全訪問服務(wù)，相關(guān)工作也得到上級肯定，榮獲2022年度IPv6規(guī)模部署工作“優(yōu)秀單位”。

　　網(wǎng)絡(luò)建設(shè)路漫長，今后IPv6網(wǎng)絡(luò)的建設(shè)工作依然任重道遠(yuǎn)；IPv6網(wǎng)絡(luò)如何更好地支撐和融入到5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等下一代新技術(shù)的發(fā)展，需要網(wǎng)絡(luò)建設(shè)者更多的思考和不倦的探索。

　　來源：《中國教育網(wǎng)絡(luò)》2023年6月刊

　　作者：李滿龍、蔡運(yùn)記、黃思樂（北京理工大學(xué)珠海學(xué)院信息技術(shù)中心）

　　責(zé)編：項陽