区域IPv6规模部署助力松江教育现代化——上海市松江区教育局IPv6规模部署应用案例

一、背景

在我国加速推进下一代互联网IPv6规模部署的背景下，松江区教育局始终坚持以“统一规划，分步实施”为发展理念，在松江区教育信息中心（松江区教育学院信息部）的统一规划下，2011年在全市率先完成区教育专网架构升级，形成1个网络主中心+5个网络分中心的万兆互联的区域教育专网骨干网络，随着区域人口导入、教育信息化快速发展，教育单位不断增多、各类联网设备成倍增长，市教育城域网分配给松江区的IPv4地址使用日渐紧张，为此加快推进区域IPv6规模部署势在必行。

二、目标及发展历程

松江教育在推进教育信息化的发展过程中，从2005年开始，就一直跟踪、验证IPv6标准的发展，到2018年实现区域IPv6规模部署已水到渠成。

2013年松江区完成教育数据中心安全设备、核心网络设备、数据库、应用IPv6部署验证，2015年实现教育专网核心网络6个节点IPv6正式部署，2017年实施无线网络区域全覆盖，同期规划实施有线、无线网络IPv6规模化部署，于2018年11月区域整体实现IPv6规模化部署。

三、做法与经验

1．统一规划、统一网络建设标准

松江区教育局高度重视教育专网建设，2011年，松江区统一规划、高标准率先建成1个网络主中心+5个网络分中心的万兆互联骨干教育专网，同时发布《松江区教育系统网络建设与管理工作实施办法》文件，明确教育专网由松江区教育信息中心负责统一管理、维护，学校负责学校端网络设备管理并接受教育信息中心统一监管。为便于区域统一管理，教育信息中心统一了采购学校核心交换机的技术参数，从2013年起，要求新采购的学校核心交换机、汇聚交换机、接入交换机均须支持IPv6。

松江教育专网拓朴

2．逐步过渡、逐步更新网络设备

为实现最终区域内全网IPv6规模化部署，同时考虑区域实际情况，整体更新网络设备代价昂贵，并不可取。为此我们提出三步走战略。即第一步：升级骨干网络核心设备，核心网络设备全面支持IPv6。第二步：新建学校及新增网络设备采购必须支持IPv6。第三步：使用年限已达报废年限的网络设备更新统一支持IPv6。通过三步走，逐步过渡、逐步更新，用几年的时间使得现网设备全部支持IPv6，从2013年到2018年，用时五年时间率先完成区域全网IPv6规模化部署，实现全网IPv6 Ready状态。

3．分层实现、分类实施IPv6规模部署

IPv6规模化部署不可能一步到位，为此松江区教育信息中心在市教委信息中心指导下，骨干网络设备采用全面支持IPv6的国产华为S12708核心交换机，路由协议使用OSPFv3进行骨干区域互联，OSPFv3区域编号与IPv4的OSPF区域编号保持一致，OSPFv3使用的Router ID与OSPF相同，同时与市教育城域网实现IPv4/IPv6双栈互联互通。

骨干区域OSPFv3互联

通过对IPv6地址区域整体规划，在实现骨干区域IPv6分配基础上，学校端为stub区与骨干区域互联，采用OSPF和OSPFv3进行互联互通。在学校内部Vlan接口启用IPv6地址后，校内原有使用静态IPv4地址的网络设备等，使用手工配置的IPv6地址，此地址通过IPv4地址生成，即将IPv4地址放入IPv6地址的低32bit；其余有线、无线终端设备使用无状态自动地址分配，快速实现校园内部IPv6规模化部署。

中心核心交换机与学校核心互联OSPFv3配置

学校核心交换机OSPFv3配置

手机、电脑终端IPv6支持

4.不断实践、不断提升IPv6网络安全

全网IPv6规模部署为提高网络安全管理效率和创新网络安全机制提供了新思路。IPv6协议的超大地址空间在应对部分网络攻击方面具有天然优势，在可溯源性、反黑客嗅探能力以及端到端的IPSec安全传输能力等方面提升了网络安全性。但在实践中也发现一些问题，如部分国产厂商安全设备IPv6支持不够稳定，为此我们积极和厂商沟通对接。网络层面通过支持IPv6的华为下一代防火墙守好出口关；内部服务器区通过支持IPv6的数据中心防火墙设置相应访问控制策略守好入口门；应用层面通过支持IPv6的安恒WEB应用防火墙（WAF）保障应用安全；终端层面通过支持IPv6的深信服AC及防病毒软件全网部署构筑保障内网终端安全屏障。通过与国内安全厂商设备IPv6应用实践，不断更新、不断升级，整体提升网络安全，实现安全产品国产自主可控，提升保障网络空间安全能力。

四、成效与亮点

通过IPv6区域规模化部署，解决了随着区域内学校不断增多，IPv4地址即将耗尽问题。提高IPv6下一代互联网的规模部署应用对拓展我们的网络经济空间和国家安全等方面发挥重大作用，让我们的网络空间安全更加自主可控。松江教育在完成IPv6区域规模部署后，先后推进区域内所有中小幼网站、教育邮件系统、教育管理及资源平台等管理及业务平台全面支持IPv6改造，今后所有新增应用也将向全面支持IPv6应用演进，满足未来5G、物联网等新技术的发展，对作为基础支撑的网络业务承载和质量保障能力的更高要求。

正是由于IPv6区域规模化部署，松江区仅用少量投入（仅采购互联用的40Gbps板卡和40Gbps模块）的情况下，完成骨干网络10Gbps升级至40Gbps，未来更可向100Gbps演进。同时正在全面推进中小学校园网1Gbps升级至10Gbps接入教育专网。IPv6的实施，投入少、绩效高。未来，我们将继续推进IPv6应用在教育系统内的高速应用，助力松江教育实现现代化。