一、概述:
(一)背景
华南理工大学是最早参与教育网IPv6建设和应用的高校之一,2003年就开始实现校园网的IPv6建设和应用(服务端)的IPv6改造。
2017年,学校响应国家政策,继续加大力度实现IPv6的推广,学校从横向以及纵向继续发力,扩大服务端内容服务的规模化部署。并协助教育厅,从技术到措施上助力全省高校IPv6的规模化部署。
(二)目标
华南理工大学在IPv6推广上,目标如下:
1.服务端推广:实现全部核心应用和大部分的部处院系应用实现IPv6服务,包括Web、DNS和Email全模块等。
2.建立全省高校IPv6监测应用,促进全省高校IPv6量化推广。
二、做法和经验:
IPv6在高校的推广部署主要有两个方面:一个是客户端接入推广;二是服务端推广。而后者的推广部署尤为重要,将在本案作为经验方案详细叙述:
(一)服务端规模化部署
服务端按服务类型分类,可以归纳为如下几个方面:
1.Web应用
Web应用是最典型的信息服务模式,几乎囊括全校90%的应用。
2.DNS服务
DNS是学校的网络基础服务,通过DNS的IPv6支持,可有效创造流量,是应用推广的基础和前提。
3.Email
Email有着持续邮件流量和较高的用户使用频率,也包括多种服务协议,是体现学校IPv6推广层次的主要应用。
以上3种应用在华南理工大学的IPv6规模化部署方案如下:
1.Web的IPv6支持实施
在实际部署环境中,Web架构几乎都采用统一的Web出口方式来架设Web服务器架构,IPv6依然在该架构得以实现。其Web架构的演变如下图所示:
图1 Web服务体系架构的演变
该架构采用反向代理的工作形式实现Web统一入口,可以统一在反向代理上实现IPv6、Https、WAF、WebCache以及Http2.0等功能。其实现示例如下所示:
图2 反向代理原理图
通过该方式,快速的实现静态网站的IPv6支持,除此之外,还需注意如下几个问题:
1)地址透传问题
该架构需要进行地址信息“透传”,可采用X-Forwarded-For标准指令来实现客户端的地址透传。
2)防止代理服务器误为DDOS攻击源
部分Web应用自身具备抗DDOS功能,需要防止Web应用将代理服务器识别为DDOS攻击源而拒绝服务。
3)确认Web应用是否支持IPv6格式
最常见的问题是Web应用是否支持IPv6地址格式的相关数据结构的设计,如不支持IPv6地址格式,可能会导致异常。需通过程序修改来实现。
2.DNS的IPv6支持实施
为了实现DNS的IPv6支持,需做到如下几个方面:
1)服务支持
即能通过IPv6地址访问DNS服务器,获得DNS查询服务。以下以Bind配置为例配置IPv6的DNS支持:
图3 Bind DNS IPv6配置示意图
通过配置后的IPv6地址可以进行DNS查询,如下图所示:
图4 IPv6 DNS查询
2)支持AAAA记录
配置域名的AAAA记录,将访问域名指向IPv6地址,如下图所示:
图5 DNS zone文件的IPv6记录
3)父域登记
权威域名需在edu.cn域名服务器登记IPv6记录,并可以查询该记录,如下图所示:
图6 权威域名查询结果
通过以上三方面的配置,即完成DNS的IPv6支持部署。
3.Email系统的IPv6支持实施
Email服务模块包含:SMTP、POP/IMAP、Webmail。以上所有模块均支持IPv6。
主流的开源和商业Email产品基本都支持IPv6。但需要注意,Email的反垃圾功能等要求,与IPv4一样,其IPv6也需做相应的配置,最典型的就是SPF记录和PTR记录。
成功实现IPv6通信的邮件信头将如下所示:
图7 IPv6信头截图
而Webmail是一种Web应用,可以按Web应用实现IPv6即可。
(二)需要注意的问题和解决方法
1.性能与单点故障问题
反向代理作为统一入口,所有Web应用流量将全部通过反向代理系统,性能和单点故障问题尤为突出。故在选择反向代理服务器的时候需充分考虑足够的性能以及做HA高可用架构。
2.程序兼容性问题
地址格式的IPv6不兼容的最典型问题,特别在强日志应用上,需充分考虑系统是否支持IPv6地址格式的日志记录。在Email邮件系统上,IPv6协议不仅在邮件系统模块上需要配置,在DNS等系统上也许做相应的配置。
3.安全问题
由于IPv6应用的启用需在服务器上启用IPv6地址协议,很容易就导致漏洞泄漏和暴露在全网。需做到如下几点:
1)不需要IPv6服务的服务均禁用IPv6地址侦听。
2)借助操作系统的防火墙功能,在IPv6上进行访问控制设置,如ip6tables等。
3)如是Web服务,建议采用反向代理的方式,从而保护后端的真实Web服务器,规避IPv6部署可能带来的安全问题。
4.系统前瞻性问题
建议采购所有软件系统和硬件系统,均加上IPv6兼容性的硬指标要求:需实现IPv6协议的支持。
最后,总结IPv6规模化部署步骤,按由易到难、由简单到复杂、由基础到应用,推荐步骤如下:
第一步:网络部署
第二步:DNS解析实现
第三步:Web实现
第四步:DNS服务实现
第五步:其他
(三)助力全省高校IPv6推广
在广东省教育厅的安排下,华南理工大学以教科网广东省NIC和NOC工作组为依托,开展IPv6技术推广培训和研讨,到2018年完成了三期IPv6专题培训,超过50多个院校100多名老师参加了培训。工作组还持续开展IPv6技术的交流和互助活动,对部分IPv6部署经验较少的学校给予支持。
除此之外,广东省教育厅委托CERNET华南地区网络中心完成IPv6升级改造申报系统的开发部署,主动监测和公示IPv6接入情况,同时,开发“广东省教育系统IPv6应用监测平台”,通过该平台每天检测广东教育系统的IPv6部署情况,设立IPv6监测和考核机制,促进教育系统加速IPv6规模部署的步伐。
图8 广东省高校IPv6申报平台
图9 广东省教育系统IPv6应用检测平台
三、成效和亮点
通过以上IPv6规模化部署的推广,华南理工大学和广东省在全国的高校IPv6规模化部署中多个指标名列前茅,摘要如下:
1.学校是第一所核心业务类型均支持IPv6的学校,特别是邮件的全模块支持IPv6。
图10 第三方IPv6检测结果
2.学校多项IPv6指标较早实现IPv6支持并且排名靠前,形成规范化和标准化的IPv6应用部署流程,使系统的“IPv6+https”成为学校应用系统上线标配。
3.广东高校IPv6多项指标推广名列全国前茅,成为IPv6推广最好的省份之一。
4.广东成为首批edu.cn域名高校普及的省份。
5.华南理工大学获广东省教育厅“IPv6推进工作特殊贡献单位”表彰。