一、案例概述

(一)项目背景

厦门大学(Xiamen University),简称厦大(XMU),由著名爱国华侨领袖陈嘉庚先生于1921年创办,是中国近代教育史上第一所华侨创办的大学,也是国家“211工程”和“985工程”重点建设的高水平大学。2017年,厦门大学入选国家公布的A类世界一流大学建设高校名单。

厦门大学校园网于1995年启动建设,至今建设总资金超过10000万元。厦门大学为CERNET(中国教育与科研计算机网)的福建(厦门)主节点,同时也是下一代网络CNGI-CERNET2国家核心节点,承担周边地区教育、科研、企业等机构的网络接入、管理、技术支持等工作。

(二)项目目标

将校园网全面升级到下一代互联网,建立安全、可控、可管和可运营的下一代校园网环境,实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,使其成为校园新一代教学和科研信息基础设施,为我国下一代互联网向深度和广度发展作出贡献。

二、做法与经验

(一)组织管理和工作机制

为推进厦门大学IPv6规模化部署,信息与网络中心成立了以CERNET福建主节点(厦门)主任许卓斌为组长,内部多个部门技术骨干联合的工作组。工作组共有基础工程部,网络运行部,系统管理部,应用研发部,信息安全部,技术服务部等6个部门。

(二)规模部署和应用情况

厦门大学校园网于2010年实现了全校范围的IPv4/IPv6双栈接入,校园主干网设备全部支持IPv6的二三层硬件转发,校园网的接入设备全面支持各类IPv6的二层协议,有线无线网全面支持IPv6,实现校园网用户IPv6普遍访问。

在应用层面上,逐步推进基础网络服务DNS、校园网信息资源和应用系统的IPv6升级。通过改进权威DNS的部署,实现DNS可解析IPv6地址。通过使用反向代理技术,实现了网站真实服务器隐藏和支持IPv6能力。通过完善自研的备案系统,实现网站和信息系统IPv6全覆盖迁移目标过程可管理,迁移进度可视化。

(三)网络安全保障

防患未然,安全先行,基于厦门大学在IPv6上各类应用的快速发展,对于IPv6的安全监控和防护要求逐年提高,自2012年开始将支持IPv6作为校园网安全体系建设的基础要求,并为此不惜缓步推进部分建设。厦门大学现有校园网安全体系中的设备及系统全面支持IPv6,并对校园网IPv6服务特别是网站开放进行严格的备案管控并推行零信任体系,为做好IPv6的安全防护工作提供了有力保障。

同时厦门大学作为最早一批进行IPv6实验研究的高校,在2012年完成了教育科研基础设施IPv6技术升级和应用示范项目厦门大学校园网IPv6技术升级子项目的基于真实IPv6地址的用户标识和认证服务系统(SAVI),并于2020年底启动“面向教育领域的IPv6示范网络”厦门节点(SAVA)的招标采购工作,于2021年6月完成SAVA试验系统部署及案例测试。

厦门大学自研了IPv6用户接入日志系统作为IPv6网络接入管理的功能补充,保证校园网运行的可管、可控和安全。

三、成效与亮点

(一)实现校园网IPv6全面覆盖及稳定运行

自2010年底,厦门大学已达成IPv6全面覆盖,IPv6校园网覆盖学校所有行政管理区、教学科研区,将IPv6网络作为生产环境进行日常运营监管,与IPv4网络同等保障,提供稳定及优质的IPv6网络服务。当前厦门大学校园网IPv6用户规模达到4万以上,日常IPv6用量达到2Gbps,超过教科网IPv4用量,用户规模和IPv6网络用量位居全国高校前列。据2020年年度报告,中国教育科研计算机网络的主节点院校中,厦门节点的IPv6入流量、出流量和对端浓度三项指标列全国第一名,本校浓度指标列第二名,见图1。

图 2020年教育网IPv6发展态势分析:节点院校浓度Top10

(二)校园信息资源和应用系统基本实现IPv6访问优先

由厦门大学外部门户网站群承载的419个域名全面实现IPv6访问优先,另有359个域名通过反向代理技术实现IPv6协议访问优先,目前IPv6支持率达到86.7%。未来除邮件系统、内部安全设备管理端、内网服务网站、测试网站以外实现IPv6全覆盖。

(三)为周边高校及单位提供IPv6示范及支持

作为下一代网络CNGI-CERNET2国家核心节点,厦门大学承担着福建及周边地区教育、科研、企业等机构的网络接入、管理、技术支持等工作,并为新技术产业的开发、研究提供技术支撑和实验环境,目前已有华侨大学、集美大学等多所高等院校和中国移动通信有限公司厦门分公司、厦门广电等多家企业通过节点正式开通IPv6网络或进行IPv6实验性接入。