孫光懿

（天津音樂學(xué)院 網(wǎng)絡(luò)安全和信息化辦公室，天津 300171）

自2017 年11 月國家相關(guān)部門印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》以來，國內(nèi)高校積極響應(yīng)，結(jié)合自身實(shí)際制定具體落地實(shí)施方案和推進(jìn)計(jì)劃。經(jīng)過不懈努力，國內(nèi)高校IPv6 規(guī)模部署工作取得了實(shí)質(zhì)性進(jìn)展。一方面，IPv6基礎(chǔ)路網(wǎng)建設(shè)工作圓滿完成，實(shí)現(xiàn)了校園IPv6“通路”；另一方面，IPv6應(yīng)用生態(tài)建設(shè)初見成效，相關(guān)網(wǎng)站、APP和應(yīng)用系統(tǒng)IPv6濃度穩(wěn)步提升?？傮w上看，國內(nèi)高校IPv6規(guī)模部署工作已初步形成高效協(xié)同、多方參與，網(wǎng)絡(luò)承載力和應(yīng)用生態(tài)共同推進(jìn)的良性發(fā)展格局。工作重心從IPv6“網(wǎng)絡(luò)就緒”“端到端貫通”階段轉(zhuǎn)變?yōu)椤傲髁刻嵘彪A段，工作目標(biāo)從實(shí)現(xiàn)“通路”轉(zhuǎn)為實(shí)現(xiàn)“通車”，從實(shí)現(xiàn)“能用”轉(zhuǎn)為實(shí)現(xiàn)“好用”［1］。當(dāng)前和今后一段時(shí)間內(nèi)，如何提升校園IPv6 網(wǎng)絡(luò)流量？如何實(shí)現(xiàn)校園IPv6“通車”？如何實(shí)現(xiàn)校園IPv6“好用”？已成為國內(nèi)高校必須面對和解決的首要問題。

校園基礎(chǔ)網(wǎng)絡(luò)IPv6承載能力和應(yīng)用生態(tài)濃度的高低，對于進(jìn)一步提升校園IPv6流量至關(guān)重要［2］。二者猶如鳥之雙翼，車之兩輪，既相輔相成，又相互促進(jìn)。一方面，IPv6 應(yīng)用生態(tài)濃度決定了IPv6 網(wǎng)絡(luò)能否實(shí)現(xiàn)“通車”；另一方面，基礎(chǔ)網(wǎng)絡(luò)IPv6承載能力又決定了IPv6網(wǎng)絡(luò)能否實(shí)現(xiàn)“好用”。眾所周知，只有校園IPv6網(wǎng)絡(luò)實(shí)現(xiàn)“通車”“好用”，IPv6流量才能得到有效提升。因此，國內(nèi)高校在開展校園IPv6流量提升行動(dòng)時(shí)，有必要堅(jiān)持“兩手抓、兩手都要硬”的原則，從上述兩個(gè)維度同向、同時(shí)發(fā)力，腳踏實(shí)地，為全面提升校園IPv6流量做好基礎(chǔ)支撐。

1 加強(qiáng)校園基礎(chǔ)網(wǎng)絡(luò)IPv6承載能力

國內(nèi)高校加強(qiáng)校園基礎(chǔ)網(wǎng)絡(luò)IPv6 承載能力，需進(jìn)一步優(yōu)化現(xiàn)有校園IPv6 網(wǎng)絡(luò)，確保其關(guān)鍵技術(shù)指標(biāo)和服務(wù)能力與校園IPv4 網(wǎng)絡(luò)相一致。在具體實(shí)踐過程中可考慮從以下幾方面入手［3-5］：一是提高支持IPv6 終端設(shè)備占比，增強(qiáng)校園網(wǎng)用戶IPv6訪問活力，減少傳統(tǒng)IPv4家用路由器的使用。二是優(yōu)化DNS服務(wù)器，使其具備多出口鏈路下IPv6 域名智能解析能力。DNS 作為校園網(wǎng)絡(luò)的重要支點(diǎn)，為各院校提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)，其重要性不言而喻。對DNS 服務(wù)器進(jìn)行優(yōu)化，一方面，可提高校園基礎(chǔ)網(wǎng)絡(luò)IPv6 承載能力；另一方面，還可引導(dǎo)校園網(wǎng)用戶實(shí)現(xiàn)對IPv6 資源的訪問（校園網(wǎng)用戶訪問IPv6 域名時(shí)，需通過DNS 將其解析為該域名對應(yīng)的IPv6 地址），進(jìn)而有效提高校園IPv6 流量。三是為校園IPv6 網(wǎng)絡(luò)引入多出口鏈路，一方面，可進(jìn)一步擴(kuò)大校園IPv6 出口帶寬，通過目的路由、策略路由、NAT66 等技術(shù)手段，實(shí)現(xiàn)校園IPv6 網(wǎng)絡(luò)多出口鏈路和流量負(fù)載均衡，即當(dāng)校園IPv6 用戶訪問Cernet2 資源時(shí)，數(shù)據(jù)包從Cernet2 出口鏈路去往目標(biāo)資源IPv6 地址，當(dāng)校園IPv6 用戶訪問其他IPv6 資源時(shí)，數(shù)據(jù)包從非Cernet2 出口鏈路去往目標(biāo)資源IPv6 地址，從而確保網(wǎng)絡(luò)延遲、速率、播放卡頓率等關(guān)鍵技術(shù)指標(biāo)與校園IPv4網(wǎng)絡(luò)相一致；另一方面，可有效提高校園IPv6網(wǎng)絡(luò)出口鏈路的可靠性，提高用戶用網(wǎng)體驗(yàn)，即當(dāng)某條IPv6出口鏈路發(fā)生故障時(shí)，校園IPv6用戶還可通過其他IPv6出口鏈路訪問互聯(lián)網(wǎng)資源。

1.1 努力提高校園IPv6終端設(shè)備占比

截止到2021 年8月，德國、美國、比利時(shí)、法國等發(fā)達(dá)國家高校支持IPv6 協(xié)議的終端設(shè)備占所有終端設(shè)備的比例為80%，國內(nèi)高校IPv6終端設(shè)備占比只有65%［6］.導(dǎo)致國內(nèi)高校IPv6終端設(shè)備占比落后的原因是多方面的：首先，國內(nèi)高校對IPv4私有地址的依賴程度較高，認(rèn)為即使沒有IPv6網(wǎng)絡(luò)也可滿足當(dāng)前校園網(wǎng)用戶的日常需求，忽視了下一代互聯(lián)網(wǎng)IPv6 不可替代的戰(zhàn)略作用。其次，國內(nèi)高校校園網(wǎng)中存在大量不支持IPv6協(xié)議的傳統(tǒng)家用無線路由器，這無疑已成為大規(guī)模普及校園IPv6網(wǎng)絡(luò)的瓶頸。隨著IPv6“流量提升”時(shí)代的到來，國內(nèi)高校應(yīng)著重從限制IPv4私有地址使用和逐步替換傳統(tǒng)家用無線路由器兩方面雙向發(fā)力來進(jìn)一步提高校園IPv6終端設(shè)備占比。

1.2 優(yōu)化DNS服務(wù)器

校園網(wǎng)用戶訪問下一代互聯(lián)網(wǎng)IPv6 資源，首先需進(jìn)行DNS 域名解析。對于大型復(fù)雜網(wǎng)站來說，其解析用時(shí)大約占用戶登錄初始頁面總時(shí)長的30%.不難發(fā)現(xiàn)，DNS服務(wù)器域名解析性能的高低直接影響校園IPv6用戶的用網(wǎng)體驗(yàn)?？傮w來說，DNS 服務(wù)器支持多出口鏈路下IPv6 域名智能解析能力［7］，必須滿足如下條件：第一，能夠處理來自校園IPv6用戶的DNS解析請求。各院?？赏ㄟ^在現(xiàn)有DNS服務(wù)器中部署IPv6地址并啟用該地址DNS查詢服務(wù)來實(shí)現(xiàn)，或通過在校園網(wǎng)中部署純IPv6 DNS服務(wù)器來實(shí)現(xiàn)。當(dāng)前絕大多數(shù)主流DNS服務(wù)器，如Windows、Linux 等系統(tǒng)自帶的DNS 服務(wù)器以及開源Bind 都已支持配置IPv6 地址。第二，支持AAAA資源記錄類型［8］，該記錄類型主要用來將合法的域名解析為IPv6地址。第三，權(quán)威DNS服務(wù)器在父域完成登記（國內(nèi)高校通常需在中國教育科研網(wǎng)edu.cn域名服務(wù)器中對自身權(quán)威DNS進(jìn)行登記）［9-11］。這樣做的目的是：一是可確保其成為公網(wǎng)中合法的權(quán)威DNS 服務(wù)器。二是可確保在校園IPv6 網(wǎng)絡(luò)環(huán)境下，權(quán)威DNS 服務(wù)器能夠?qū)戏ㄓ蛎M(jìn)行正常解析。第四，可根據(jù)DNS 解析請求者的IP 地址，對域名做出相應(yīng)的解析。例如，當(dāng)DNS 解析請求者的IP 地址為中國聯(lián)通地址，那么域名就會(huì)被解析為該域名所對應(yīng)的中國聯(lián)通IP地址，從而提高用戶用網(wǎng)體驗(yàn)。

1.3 引入多條IPv6互聯(lián)網(wǎng)運(yùn)營商出口鏈路

當(dāng)前，多數(shù)國內(nèi)高校校園IPv4 網(wǎng)絡(luò)普遍引入了多條互聯(lián)網(wǎng)運(yùn)營商出口鏈路且擁有較大出口帶寬（出口帶寬的高低直接影響著用戶用網(wǎng)體驗(yàn)），而校園IPv6網(wǎng)絡(luò)則往往只引入了中國教育科研網(wǎng)Cernet2 一條出口鏈路［12］。對比后發(fā)現(xiàn)：一是校園IPv6網(wǎng)絡(luò)在出口鏈路可靠性、網(wǎng)絡(luò)速率、播放卡頓率等關(guān)鍵技術(shù)指標(biāo)上遠(yuǎn)遜于校園IPv4網(wǎng)絡(luò)。二是由于存在互聯(lián)網(wǎng)運(yùn)營商骨干網(wǎng)之間慢速互聯(lián)的問題，因此單一IPv6出口鏈路極易導(dǎo)致路由跳數(shù)過多、網(wǎng)絡(luò)延遲較大的情況（例如，當(dāng)校園網(wǎng)IPv6 用戶訪問非教育網(wǎng)資源時(shí)，數(shù)據(jù)包會(huì)先到達(dá)中國教育科研網(wǎng)Cernet2 骨干，而后經(jīng)互聯(lián)網(wǎng)運(yùn)營商骨干網(wǎng)之間慢速互聯(lián)，到達(dá)目標(biāo)地址所屬互聯(lián)網(wǎng)運(yùn)營商骨干，最后再經(jīng)數(shù)跳路由到達(dá)目標(biāo)地址）［13］。為有效解決上述問題，提高IPv6 用戶用網(wǎng)體驗(yàn)，促進(jìn)校園IPv6 網(wǎng)絡(luò)良性發(fā)展，各院校有必要引入多條互聯(lián)網(wǎng)運(yùn)營商IPv6出口鏈路，在具體實(shí)施過程中，有以下兩種實(shí)施方案可供選擇。

方案一：首先，通過DHCPv6 或無狀態(tài)自動(dòng)配置機(jī)制，為校園網(wǎng)IPv6 用戶分配某一個(gè)互聯(lián)網(wǎng)運(yùn)營商IPv6地址。其次，在校園網(wǎng)出口防火墻中配置IPv6 目的路由，用戶根據(jù)目的地址選擇互聯(lián)網(wǎng)運(yùn)營商出口。需要注意的是：如果目的IPv6 地址與源IPv6 地址為不同互聯(lián)網(wǎng)運(yùn)營商所屬地址，那么需對源IPv6 地址進(jìn)行NAT66轉(zhuǎn)換。

方案二：首先，通過DHCPv6 或無狀態(tài)自動(dòng)配置機(jī)制，為校園網(wǎng)IPv6 用戶分配引入每個(gè)互聯(lián)網(wǎng)運(yùn)營商IPv6 地址。校園網(wǎng)IPv6 用戶獲取地址后，會(huì)依據(jù)目的地址最長匹配原則選擇源IPv6 地址。其次，在校園網(wǎng)出口防火墻中配置基于源地址的IPv6策略路由，擬計(jì)劃實(shí)現(xiàn)中國教育科研網(wǎng)源IPv6地址，通過Cernet2出口鏈路去往目的地址；其他互聯(lián)網(wǎng)運(yùn)營商源IPv6 地址，則通過與源IPv6 地址相同互聯(lián)網(wǎng)運(yùn)營商出口鏈路去往目的地址。最后，在校園網(wǎng)出口防火墻中分別配置基于中國教育科研網(wǎng)出口鏈路和其他互聯(lián)網(wǎng)運(yùn)營出口鏈路的IPv6 默認(rèn)路由。這樣一來，即使校園網(wǎng)某條IPv6 出口鏈路出現(xiàn)故障，用戶還可通過引入的其他IPv6 出口鏈路訪問互聯(lián)網(wǎng)資源。例如，當(dāng)Cernet2 出口鏈路出現(xiàn)故障時(shí)，用戶源IPv6 地址在經(jīng)過NAT66 轉(zhuǎn)換后，就可通過其他IPv6出口鏈路訪問互聯(lián)網(wǎng)資源。

2 提升IPv6應(yīng)用生態(tài)濃度

雖然國內(nèi)高校IPv6規(guī)模部署工作取得了顯著進(jìn)展，但校園IPv6網(wǎng)絡(luò)流量與校園IPv4網(wǎng)絡(luò)流量相比占比依然偏低［14］。一方面說明現(xiàn)有大部分應(yīng)用尚未支持IPv6 用戶訪問；另一方面也說明，校園IPv6 網(wǎng)絡(luò)距離實(shí)現(xiàn)真正意義上的“通車”還有相當(dāng)長的一段路要走。面對上述問題，各院校要堅(jiān)持問題導(dǎo)向，結(jié)合實(shí)際，找準(zhǔn)關(guān)鍵環(huán)節(jié)，精準(zhǔn)發(fā)力，進(jìn)一步提升IPv6應(yīng)用生態(tài)濃度，從而確保校園IPv6網(wǎng)絡(luò)早日“通車”。在具體實(shí)踐過程中，可考慮從以下幾方面入手：

一是升級改造現(xiàn)有網(wǎng)站群系統(tǒng)，使其支持IPv4/IPv6雙棧［15］。如今，網(wǎng)站群系統(tǒng)已成為國內(nèi)高校最重要、使用頻率最高的校園WEB 應(yīng)用系統(tǒng)，多數(shù)門戶及各二級網(wǎng)站均通過其開發(fā)建設(shè)。這樣做的目的：一是為實(shí)現(xiàn)門戶及各二級網(wǎng)絡(luò)數(shù)據(jù)的統(tǒng)一管理和共享，最大限度地避免信息孤島的出現(xiàn)。二是為實(shí)現(xiàn)對門戶及各二級網(wǎng)站進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一管理、統(tǒng)一維護(hù)，有效節(jié)約建設(shè)和運(yùn)維成本。三是為實(shí)現(xiàn)相關(guān)功能一次建設(shè)各網(wǎng)站共同使用，有效避免重復(fù)建設(shè)。四是為實(shí)現(xiàn)網(wǎng)站技術(shù)架構(gòu)的統(tǒng)一。由此可見，對網(wǎng)站群系統(tǒng)進(jìn)行IPv6升級改造，對于提升校園IPv6應(yīng)用生態(tài)濃度意義重大。

二是對現(xiàn)有校園電子郵件系統(tǒng)進(jìn)行升級改造，使其支持IPv6用戶訪問。電子郵件系統(tǒng)是國內(nèi)各高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施不可缺少的一部分，關(guān)系到校園學(xué)習(xí)、生活中的各個(gè)方面。校園網(wǎng)用戶不僅使用率較高，而且還可為校園網(wǎng)帶來持續(xù)的流量。確保校園電子郵件系統(tǒng)支持IPv6用戶訪問，對于進(jìn)一步提升校園IPv6網(wǎng)絡(luò)流量具有引領(lǐng)示范作用。

2.1 升級改造網(wǎng)站群系統(tǒng)

國內(nèi)各高校對網(wǎng)站群系統(tǒng)進(jìn)行升級改造，有兩條路徑可供選擇。其一是從Web 服務(wù)器入手（當(dāng)前常見的主流Web 服務(wù)器，如IIS、Apache、Jboss 以及Weblogic 等均已支持IPv6 協(xié)議），對相關(guān)IPv6 模塊進(jìn)行編譯和為服務(wù)部署IPv6地址。此路徑雖簡單便捷，但在實(shí)際應(yīng)用中少有國內(nèi)高校采用此路徑對網(wǎng)站群系統(tǒng)進(jìn)行升級，這主要是從實(shí)施成本、安全性以及后期運(yùn)維等角度考慮的。其二是通過架設(shè)反向代理服務(wù)器［15-17］（俗稱反向代理模式），實(shí)現(xiàn)全校的統(tǒng)一Web入口，這也是當(dāng)前最為流行的升級改造方式。

在具體實(shí)踐過程中，只需在統(tǒng)一Web入口處配置IPv6地址即可。由于反向代理服務(wù)器位于用戶和Web服務(wù)器之間，對用戶來說目標(biāo)地址為反向代理服務(wù)器地址，不是真實(shí)的Web服務(wù)器地址。因此，采用此種升級改造方式，一方面可有效保護(hù)后端真實(shí)Web服務(wù)器，提高網(wǎng)站群系統(tǒng)的安全性；另一方面還可有效降低后端Web服務(wù)器的負(fù)載，提高訪問效率。但需注意的是：其一，要避免反向代理服務(wù)器被Web服務(wù)器誤認(rèn)為是DDos攻擊源（當(dāng)前某些Web服務(wù)器自帶防DDos攻擊功能，由于網(wǎng)絡(luò)層面只有反向代理服務(wù)器在與其進(jìn)行通信，因此極易被認(rèn)為是DDos攻擊源），從而發(fā)生被拒絕通信的現(xiàn)象。其二，要實(shí)現(xiàn)用戶地址透傳。Web服務(wù)器往往需要與用戶進(jìn)行直接通信來獲取用戶相應(yīng)信息。部署反向代理服務(wù)器后，Web服務(wù)器只能與反向代理服務(wù)器進(jìn)行直接通信，因此需要采用技術(shù)手段來實(shí)現(xiàn)用戶地址透傳。其三，要注意單點(diǎn)故障問題。架設(shè)反向代理服務(wù)器實(shí)現(xiàn)全校統(tǒng)一的Web入口，意味著全校所有的Web流量均需通過其來進(jìn)行處理。一旦反向代理服務(wù)器出現(xiàn)故障，將會(huì)導(dǎo)致全校各類應(yīng)用系統(tǒng)不可達(dá)的情況出現(xiàn)。鑒于上述情況，國內(nèi)高校在部署反向代理服務(wù)器時(shí)，應(yīng)考慮采用HA（高可用）架構(gòu)進(jìn)行部署。

2.2 升級改造電子郵件系統(tǒng)

實(shí)現(xiàn)電子郵件系統(tǒng)支持IPv6，過程較為復(fù)雜。這是因?yàn)殡娮余]件系統(tǒng)通常包含SMTP、POP3、IMAP4、WebMail 等服務(wù)模塊，只有上述服務(wù)模塊均支持IPv6，電子郵件系統(tǒng)才可算作真正意義上支持IPv6，這也是國內(nèi)某些高校電子郵件系統(tǒng)至今不支持IPv6的主要原因。

當(dāng)前，國內(nèi)高校如采用開源或商業(yè)電子郵件系統(tǒng)，那么實(shí)現(xiàn)支持IPv6 只需完成如下三個(gè)步驟：首先，為服務(wù)器端部署IPv6地址。其次，為上述服務(wù)模塊啟動(dòng)IPv6地址監(jiān)聽服務(wù)。最后，配置SPF記錄（用來辨別郵件是否為垃圾郵件）與PTR 記錄（用來做反向地址解析）。這樣做的目的：一是使郵件信頭包含發(fā)件人IPv6地址，防止出現(xiàn)偽造電子郵件地址的情況。二是為實(shí)現(xiàn)反向地址解析，最大限度減少被退信情況的發(fā)生。對于WebMail，國內(nèi)高校可采用反向代理模式，或在Web 應(yīng)用中直接啟用IPv6 服務(wù)來實(shí)現(xiàn)對IPv6 的支持。需要注意的是：如采用反向代理模式，一定要做好地址透傳。否則，電子郵件系統(tǒng)會(huì)認(rèn)為所有發(fā)件人地址均為反向代理服務(wù)器地址，從而觸發(fā)電子郵件系統(tǒng)啟動(dòng)使用頻率限制功能（造成通過WebMail登錄的用戶，無法正常對外發(fā)信）。

3 結(jié)語

IPv6技術(shù)雖有較大的優(yōu)勢，但I(xiàn)Pv6的實(shí)現(xiàn)是一個(gè)可持續(xù)發(fā)展的、長遠(yuǎn)的戰(zhàn)略目標(biāo)，絕不可一蹴而就。面對IPv6的機(jī)遇與挑戰(zhàn)，一方面，國內(nèi)高校需保持戰(zhàn)略定力，堅(jiān)持目標(biāo)不變、方向不變，壓實(shí)工作責(zé)任，以“釘釘子”精神抓實(shí)IPv6 流量提升工作。另一方面，國內(nèi)高校在推進(jìn)IPv6 流量提升過程中絕不可以犧牲網(wǎng)絡(luò)安全為代價(jià)，要切實(shí)增強(qiáng)網(wǎng)絡(luò)安全紅線意識，強(qiáng)化底線思維，統(tǒng)籌協(xié)調(diào)，落實(shí)關(guān)鍵舉措，堅(jiān)持發(fā)展與安全并重，以發(fā)展促安全，以安全促發(fā)展，積極加強(qiáng)與上級單位和兄弟院校之間的合作，充分利用各方力量和各類資源，擰成“一股繩”，形成“一盤棋”，織成“一張網(wǎng)”，努力形成縱向貫通、橫向聯(lián)動(dòng)、外向借力的工作格局，從而確保IPv6流量提升工作取得最大成效。