高校IPV6解决方案全面版

解决方案22020年6月2日IPV6目录前言.............................................................................................................................3政策及背景................................................................................................................4政策解读....................................................................................................................41.高教IPv6的演进阶段需求..................................................................................62.高校IPv6升级改造面临的问题和挑战...........................................................73.极简校园网IPV6解决方案设计.......................................................................83.1高校IPV6使用现状.........................................................................................83.2方案设计概览....................................................................................................93.3扁平化IPV6设计...........................................................................................103.4IPV6地址设计..................................................................................................113.5IPv6实名认证设计..........................................................................................143.5.1双栈认证代理方案设计....................................................................153.5.2IPv6无感知认证设计.........................................................................163.6IPv6出口选路设计..........................................................................................173.7IPv6日志与审计..............................................................................................193.7.1IPV6日志审计......................................................................................193.7.2出口审计...............................................................................................193.8IPv6业务支撑设计..........................................................................................204.方案设计价值分析.............................................................................................235.方案整体周期设计.............................................................................................242前言随着移动互联网、物联网、工业4.0等新兴产业迅速发展，现今互联网（IPv4）地址已分配殆尽，而下一代互联网（IPv6）拥有128位的IP地址长度，广阔的网络地址空间完全满足发展需要。IPv6经过二十多年的发展，目前IPv6技术应用完全成熟，已经成为全球通用标准，具备较高的机密性和完整性，为国家网络提供安全保障。2政策及背景截止到2017年7月，下一代互联网全球的部署率已经超过20.14%，短短半年增长了3.14%，如果以同样的速度增长，下一代互联网部署率将在2018年达到50％。截至2016年12月，美国下一代互联网用户普及率为45.16%；比利时部署率更高达59%；同在亚洲地区的印度下一代互联网用户普及率为32.59%；而中国这一比例数据不到10%，整体发展相对滞后。国家重大政策推进下一代互联网发展，用5到10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络，实现下一代互联网在经济社会各领域深度融合应用，成为全球下一代互联网发展的重要主导力量。政策解读《IPv6行动计划》的具体节点目标到2018年末，市场驱动的良性发展环境基本形成，IPv6活跃用户数达到2亿，在互联网用户中的占比不低于20%2➢到2020年末，市场驱动的良性发展环境日臻完善，IPv6活跃用户数超过5亿，在互联网用户中的占比超过50%，新增网络地址不再使用私有IPv4地址➢到2025年末，我国IPv6网络规模、用户规模、流量规模位居世界第一位，网络、应用、终端全面支持IPv6，全面完成向下一代互联网的平滑演进升级，形成全球领先的下一代互联网技术产业体系三年规划（先设备后应用）2018IPv6安全硬件设备和软件平台的升级改造中国教育和科研计算机网完成升级改造，支持IPv6接入2019完成域名解析系统IPv6改造核心业务信息系统和网站完成IPv6改造2020教育系统的各类网络、门户网站和重要应用系统完成升级改造，支持IPv6访2问基于IPv6的安全保障体系基本形成；1.高教IPv6的演进阶段需求➢初始阶段需求实现IPv6连通，基础网络具备IPv6转发能力；接入IPv6教育网（Cernet2），提供校内用户使用IPv6免费访问教育网资源；➢二阶段需求初步实现IPv6访问可管、可控；具体可以通过IPv4身份认证后IPv6放行的方式；校内部分服务器资源逐步具备提供IPv6服务的能力，即提供IPv4和IPv6双栈服务能力；➢三阶段需求全校IPv6连通，校内所有业务可以通过IPv6访问；IPv6业务可管、可控、可追溯，做到IPv6的身份认证、实名审计、日志溯源；为校外提供IPv6相应服务的发布，如官网门户、专用APP服务；22.高校IPv6升级改造面临的问题和挑战IPv6安全防护IPv6通道访问如何控制IPv6通道如何做好审计工作IPv6通道如何满足网络安全法IPv6平滑过渡如何尽量不改动现网结构如何尽量让用户无感知如何投资代价最小IPv6网络开通设备双栈开启IPv6地址如何获取IPv6地址如何分配IPv6DNS如何获得IPv6业务支撑IPv6业务怎么上线IPv6业务怎么保障IPv6应用识别和过滤23.极简校园网IPV6解决方案设计3.1高校IPV6使用现状大部分高校园区内已经开启IPv6的使用或者具备IPv6的能力；校园内部大都采用双栈的模式；多数使用IPv6访问国内外教育资源，极少数校内提供IPv6服务；大多高校没有IPv6实名认证和审计，前期使用IPv4认证，IPv6通，缺乏审计手段；针对IPv6安全防护暂无特殊考虑；目前IPv6的出口带宽较少，一般只有几十兆；2放3.2方案设计概览网络：1、采用扁平化架构，仅核心，出口支持IPv6即可快速实现全网IPv6支持；2、承载接入网络（有线，无线，专网）天然支持IPv6透明传输；3、IPv6地址分配采用DHCPv6/无状态地址自动分配方式结合；安全及认证：1、安全设备选型完全支持IPv6；2、出口日志支持IPv6；3、部署IPv6实名认证和认证计费系统联动实现实名审计，N18K支持SAVI；应用：1、改造或建设一批支持IPv6的应用；22、保留一批纯IPv4应用，通WG进行IPv6代理转换，实现快速的IPv6业务资源上线；3、部署IPv6缓存加速，提升访问体验，节约出口带宽投入；4、DNS支持IPv6；3.3扁平化IPV6设计传统IPV6部署核心*1需部署扁平化架构传统三层架构IPV6配置、IPV6路由部IPV6配置、IPV6路由部署、安全署IPV6配置、IPV6路由部署2汇聚*20台需部署无需配置接入*500台无需配置安全改造本方案建议采用N18K做扁平化IPv4/IPv6核心，支持扁平化SAVI功能（N18K开启SAVI，接入汇聚无需配置，支持6W双栈终端地址，无状态支持4.5W双栈终端）；中高职院校可选RSR77-X做扁平化IPv4/IPv6核心；扁平化架构具备：维护简单、业务上线块、安全隔离、策略集中部署等特性；其中安全隔离锐捷特有，支持Supervlan/QinQ每端口隔离技术。传统三层架构，目前核心交换、路由设备均支持双栈协议，支持客户IPv6升级改造；3.4IPV6地址设计目前大量版本的Android手机不支持DHCPv6有状态地址分配，如下图所示。2本方案终端地址分配模式的设计推荐：1.无状态获取:部署最多，适合全场景（推荐无线场景）无状态地址自动配置是指不需要DHCP服务器进行管理，客户端根据网关RA（路由通告），并根据自己的MAC地址计算出自己的IPv6地址。优势：终端即插即用，部署简单，终端支持度广。22.有状态地址分配：部署受限制，适合PC（推荐有线场景）有状态是指地址由网关设备或者DHCP服务器分配优势：地址按照顺序分配，有规则分配，便于地址管理问题：安卓终端不支持有状态获取地址23.5IPv6实名认证设计《网络安全法》、《公安部82号令》明确指出，网络用户应该实名制接入用户对于IPv6站点的访问，同样需要进行实名认证。现有IPV6认证存在的问题：双栈&认证：1.双栈客户端的DNS解析会解析IPv4的DNS记录&IPv6的DNS记录2.客户端优先采用IPv6连接（RFC6724）DefaultAddressSelectionforInternetProtocolversion6(IPv6)问题：1.用户优先访问web会默认进行IPv6认证，当前众多设备不支持IPv6认证；2.双栈客户端在等待20S-70S不等的时间内才进行IPv4重定向访问，用户感受网络很慢；3.部分厂家IPv4和IPv6都需要各做一次认证，体验不好；23.5.1双栈认证代理方案设计IPv6WEB认证解决用户IPv6优先，长时间无法弹出认证页面问题N18K响应终端IPv6认证请求，封装IPv4Portal地址给终端，后续流程通过IPv4认证完成；解决Portal、Radius、NAS不支持纯IPv6认证，导致用户认证长时间