南开大学IPv6规模化部署研究和实践——南开大学IPv6规模部署和应用案例

一、项目概述

（一）项目背景

互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安全格局。加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网，是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。

（二）实施目标

通过IPv6规模化部署，实现南开大学“一校三区”校园网络、门户网站和对外服务信息系统对IPv6访问的全面支持；逐步建立完善基于IPv6的安全保障体系；加强下一代互联网相关学科专业人才培养、技术研发与创新工作，提升人力资源保障能力，促进可持续发展。

二、做法与经验

（一）组织人员

南开大学网络安全和信息化领导小组是南开大学网络安全和信息化工作的领导机构，总体负责南开大学IPv6规模部署和应用升级工作的统筹协调。南开大学网络安全和信息化办公室（大数据管理中心）负责具体实施工作，组成了一支经验丰富、技术精湛的团队来负责方案落地部署。

（二）方案设计

南开大学围绕网络基础设施和应用业务系统现状，以夯实基础、分步升级、强化安全为原则，对IPv6规模部署进行统一统筹和规划。

1.开展网络基础设施改造，夯实承载能力

南开大学在使用原有IPv4接入层设备的基础上，在津南校区和八里台校区部署IPv6网络核心设备，各校区核心设备通过校区间互联链路将IPv6流量汇总经八里台出口设备访问互联网，主干链路带宽达到20Gbps，互联网带宽达到10Gpbs。南开大学IPv6网络拓扑结构设计如图1。

图1 南开大学IPv6网络拓扑图

2.开展应用基础设施改造，优化流量调度能力

升级改造站群平台、云平台等应用基础，全面提升IPv6网络流量优化调度能力。升级改造南开大学域名系统（DNS），构建域名注册、解析、管理全链条IPv6支持能力。

3.升级校园应用服务，丰富IPv6网络资源

建设南开大学IPv6典型应用，例如多元化服务信息系统、门户网站、学术资源等。创新特色应用，例如建设高清网络电视系统。

4.强化网络安全保障，维护网络安全

部署支持IPv6的网络安全设备提高网络安全态势感知和快速处置能力。统筹IPv6地址申请、分配、备案等管理工作。

（三）技术实现

南开大学校园网IPv6技术升级时优先考虑IPv4/IPv6共存过渡，通过统一规划IPv6地址、配置IPv6 DNS域名系统、升级IPv4 Web业务系统支持IPv6访问等技术手段实现IPv6网络规模化部署与应用。

1.IPv4/IPv6双协议栈运行

为了实现平滑过滤和兼容IPv4，在IPv6部署的技术方案上采用了IPv4/IPv6双协议栈技术路线，确保用户在访问IPv6业务系统的同时，还可以访问的传统的IPv4业务系统。IPv4/IPv6双协议栈技术的基本工作原理如图2所示。

图2 IPv4/IPv6双栈协议技术

2.IPv6地址分配机制

为便于南开大学IPv6地址的识别、管理以及路由聚合，南开大学把IPv6地址第4段的最高字节作为核心交换机的设备编号，剩余三个字节作为对应交换机的vlan编号进行IP地址分配，具体分配格式如下：

2001:250:401:::/64，

为了最大限度向下兼容在线设备的操作系统，采用了ND协议进行无状态地址配置。无状态地址自动配置机制如图3所示。

图3 无状态地址配置基本过程

3.IPv6 DNS系统设计与实现

南开大学IPv6 DNS系统同样通过双协议栈的方式实现，在IPv4 DNS基础上，增加对IPv6的支持选项，添加nankai.edu.cn域的IPv6正向解析配置，使原有IPv4 DNS服务器能够采用IPv4/IPv6双栈方式对外提供服务。

4.IPv6 Web系统设计与实现

南开大学采用nginx反向代理对现有web系统进行IPv6统一升级，在nginx系统上实现IPv4/IPv6双协议栈的支持，不管所代理的校内网站采用何种操作系统和web服务器，是否支持IPv6，均可以通过nginx实现面向IPv6网络提供web服务。

（四）保障措施

1.加强组织领导

南开大学IPv6规模部署的研究与实践是学校网络安全和信息化的重点工作之一，在学校网络安全和信息化领导小组的领导下，由相关单位按照各自工作职责协同落实，强化统筹协调，明确责任分工，共同推进。

2.强化规范管理

通过完善网站、移动互联网应用等管理要求，引导和推动南开大学服务信息系统、门户网站、学术资源等应用系统在业务上支持IPv6。

3.充实人才队伍

南开大学网络安全和信息化办公室（大数据管理中心）与计算机学院、网络空间安全学院合作，将IPv6相关内容纳入网络方向课程体系中，同时与CERNET合作承接了下一代互联网相关研究课题，加大下一代互联网技术、管理、维护人才培养力度，建立人才梯队。

4.建立长效机制

校园网IPv6的规模部署和应用以及安全保障体系的完善等工作已纳入南开大学“十四五”规划和年度网信工作，进行重点着力推进。

三、成效与亮点

（一）基础网络IPv6全覆盖

南开大学通过IPv6的规模化部署，实现了校园网络有线、无线IPv6全覆盖，实现了对国内和国际IPv6资源的普遍访问。目前，南开大学IPv6互联网流量总体带宽高峰期单向流入已超过3Gpbs，如图4所示。

图4 南开大学IPv6出口流量

（二）应用全覆盖

南开大学可提供IPv6访问的服务信息系统、门户网站、学术资源约有400个，多元化的校园IPv6典型应用为师生的学习生活提供了全面的支撑。

（三）网络安全保障

南开大学全面升级了支持IPv6的核心网络设备，同时通过部署支持IPv6的网络安全设备提高网络安全态势感知和快速处置能力，保障校园IPv6网络安全。