一、概述:

背景

华南理工大学是最早参与教育网IPv6建设和应用的高校之一,2003年就开始实现校园网的IPv6建设和应用(服务端)的IPv6改造。

2017年,学校响应国家政策,继续加大力度实现IPv6的推广,学校从横向以及纵向继续发力,扩大服务端内容服务的规模化部署。并协助教育厅,从技术到措施上助力全省高校IPv6的规模化部署。

)目标

华南理工大学在IPv6推广上,目标如下:

1.服务端推广:实现全部核心应用和大部分的部处院系应用实现IPv6服务,包括Web、DNS和Email全模块等。

2.建立全省高校IPv6监测应用,促进全省高校IPv6量化推广。

二、做法和经验:

IPv6在高校的推广部署主要有两个方面:一个是客户端接入推广;二是服务端推广。而后者的推广部署尤为重要,将在本案作为经验方案详细叙述:

(一服务端规模化部署

服务端按服务类型分类,可以归纳为如下几个方面:

1.Web应用

Web应用是最典型的信息服务模式,几乎囊括全校90%的应用。

2.DNS服务

DNS是学校的网络基础服务,通过DNS的IPv6支持,可有效创造流量,是应用推广的基础和前提。

3.Email

Email有着持续邮件流量和较高的用户使用频率,也包括多种服务协议,是体现学校IPv6推广层次的主要应用。

以上3种应用在华南理工大学的IPv6规模化部署方案如下:

1.Web的IPv6支持实施

在实际部署环境中,Web架构几乎都采用统一的Web出口方式来架设Web服务器架构,IPv6依然在该架构得以实现。其Web架构的演变如下图所示:

图1 Web服务体系架构的演变

该架构采用反向代理的工作形式实现Web统一入口,可以统一在反向代理上实现IPv6、Https、WAF、WebCache以及Http2.0等功能。其实现示例如下所示:

图2 反向代理原理图

通过该方式,快速的实现静态网站的IPv6支持,除此之外,还需注意如下几个问题:

1)地址透传问题

该架构需要进行地址信息“透传”,可采用X-Forwarded-For标准指令来实现客户端的地址透传。

2)防止代理服务器误为DDOS攻击源

部分Web应用自身具备抗DDOS功能,需要防止Web应用将代理服务器识别为DDOS攻击源而拒绝服务。

3)确认Web应用是否支持IPv6格式

最常见的问题是Web应用是否支持IPv6地址格式的相关数据结构的设计,如不支持IPv6地址格式,可能会导致异常。需通过程序修改来实现。

2.DNS的IPv6支持实施

为了实现DNS的IPv6支持,需做到如下几个方面:

1)服务支持

即能通过IPv6地址访问DNS服务器,获得DNS查询服务。以下以Bind配置为例配置IPv6的DNS支持:

图3 Bind DNS IPv6配置示意图

通过配置后的IPv6地址可以进行DNS查询,如下图所示:

图4 IPv6 DNS查询

2)支持AAAA记录

配置域名的AAAA记录,将访问域名指向IPv6地址,如下图所示:

图5 DNS zone文件的IPv6记录

3)父域登记

权威域名需在edu.cn域名服务器登记IPv6记录,并可以查询该记录,如下图所示:

图6 权威域名查询结果

通过以上三方面的配置,即完成DNS的IPv6支持部署。

3.Email系统的IPv6支持实施

Email服务模块包含:SMTP、POP/IMAP、Webmail。以上所有模块均支持IPv6。

主流的开源和商业Email产品基本都支持IPv6。但需要注意,Email的反垃圾功能等要求,与IPv4一样,其IPv6也需做相应的配置,最典型的就是SPF记录和PTR记录。

成功实现IPv6通信的邮件信头将如下所示:

图7 IPv6信头截图

而Webmail是一种Web应用,可以按Web应用实现IPv6即可。

)需要注意的问题和解决方法

1.性能与单点故障问题

反向代理作为统一入口,所有Web应用流量将全部通过反向代理系统,性能和单点故障问题尤为突出。故在选择反向代理服务器的时候需充分考虑足够的性能以及做HA高可用架构。

2.程序兼容性问题

地址格式的IPv6不兼容的最典型问题,特别在强日志应用上,需充分考虑系统是否支持IPv6地址格式的日志记录。在Email邮件系统上,IPv6协议不仅在邮件系统模块上需要配置,在DNS等系统上也许做相应的配置。

3.安全问题

由于IPv6应用的启用需在服务器上启用IPv6地址协议,很容易就导致漏洞泄漏和暴露在全网。需做到如下几点:

1)不需要IPv6服务的服务均禁用IPv6地址侦听。

2)借助操作系统的防火墙功能,在IPv6上进行访问控制设置,如ip6tables等。

3)如是Web服务,建议采用反向代理的方式,从而保护后端的真实Web服务器,规避IPv6部署可能带来的安全问题。

4.系统前瞻性问题

建议采购所有软件系统和硬件系统,均加上IPv6兼容性的硬指标要求:需实现IPv6协议的支持。

最后,总结IPv6规模化部署步骤,按由易到难、由简单到复杂、由基础到应用,推荐步骤如下:

第一步:网络部署

第二步:DNS解析实现

第三步:Web实现

第四步:DNS服务实现

第五步:其他

)助力全省高校IPv6推广

在广东省教育厅的安排下,华南理工大学以教科网广东省NIC和NOC工作组为依托,开展IPv6技术推广培训和研讨,到2018年完成了三期IPv6专题培训,超过50多个院校100多名老师参加了培训。工作组还持续开展IPv6技术的交流和互助活动,对部分IPv6部署经验较少的学校给予支持。

除此之外,广东省教育厅委托CERNET华南地区网络中心完成IPv6升级改造申报系统的开发部署,主动监测和公示IPv6接入情况,同时,开发“广东省教育系统IPv6应用监测平台”,通过该平台每天检测广东教育系统的IPv6部署情况,设立IPv6监测和考核机制,促进教育系统加速IPv6规模部署的步伐。

图8 广东省高校IPv6申报平台

图9 广东省教育系统IPv6应用检测平台

三、成效和亮点

通过以上IPv6规模化部署的推广,华南理工大学和广东省在全国的高校IPv6规模化部署中多个指标名列前茅,摘要如下:

1.学校是第一所核心业务类型均支持IPv6的学校,特别是邮件的全模块支持IPv6。

图10 第三方IPv6检测结果

2.学校多项IPv6指标较早实现IPv6支持并且排名靠前,形成规范化和标准化的IPv6应用部署流程,使系统的“IPv6+https”成为学校应用系统上线标配。

3.广东高校IPv6多项指标推广名列全国前茅,成为IPv6推广最好的省份之一。

4.广东成为首批edu.cn域名高校普及的省份。

5.华南理工大学获广东省教育厅“IPv6推进工作特殊贡献单位”表彰。