羅添耀 廖小群

高職多校區(qū)背景下IPv6反向代理應用探究

羅添耀 廖小群

（廣西國際商務職業(yè)技術學院，廣西 南寧 530007）

高職院校經(jīng)過較長時間的發(fā)展，呈現(xiàn)多校區(qū)教學的情況，為了滿足多校區(qū)教學、教育資源共享的需求，基礎網(wǎng)絡架構通常沿用常規(guī)的IPv4組網(wǎng)。在新的網(wǎng)絡改造要求需要有效解決現(xiàn)有多校區(qū)網(wǎng)絡架構與信息站點資源的安全使用，并實現(xiàn)IPv6與IPv4資源的互相聯(lián)通的需求背景下，探究IPv6反向代理技術在高職院校的應用。

高職院校；校園網(wǎng)；IPv6；反向代理

引言

高職院校的不斷發(fā)展，校園規(guī)模不斷擴大，呈現(xiàn)多校區(qū)教學趨勢，為了平穩(wěn)保障多校區(qū)網(wǎng)絡正常有效地運行，在IPv4網(wǎng)絡NAT網(wǎng)絡地址轉(zhuǎn)換的成熟運用的情況下，目前大多數(shù)學校仍然采用IPv4的網(wǎng)絡架構來保障網(wǎng)絡使用與信息系統(tǒng)發(fā)布。2019年底，IPv4地址已經(jīng)消耗完，意味著全球網(wǎng)絡必須使用IPv6才能有效發(fā)展，在IP地址非常緊張的形勢下，教育部為加快教育與下一代互聯(lián)網(wǎng)的融合，推進IPv6的部署與應用系統(tǒng)的升級，貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》。針對目前學校的網(wǎng)絡架構，為了能夠完成教育部對學校網(wǎng)絡改造和信息系統(tǒng)的使用IPv6的要求。本文對在現(xiàn)有網(wǎng)絡架構上使用反向代理技術打通教科網(wǎng)IPv6與學?，F(xiàn)有信息系統(tǒng)的聯(lián)系，介紹相關的技術細節(jié)，提供網(wǎng)絡過渡的應用經(jīng)驗。

1 學校多校區(qū)IPv6升級改造背景

1.1 學校整體網(wǎng)絡架構

學校由兩個校區(qū)組成，采用了不同校區(qū)局域網(wǎng)互聯(lián)成一個整體網(wǎng)絡的架構，每個校區(qū)網(wǎng)絡設計采用了傳統(tǒng)的三交換型組網(wǎng)設計，即“核心—匯聚—接入”。網(wǎng)絡結(jié)構層次分明，便于管理運維。兩校區(qū)通過網(wǎng)絡運營商虛擬專線進行連接，在充分考慮網(wǎng)絡的出口統(tǒng)一與運維方便的情況下，把在市區(qū)的老校區(qū)作為出口節(jié)點。出口從上往下依次部署的設備為：網(wǎng)絡負載均衡設備、下一代防火墻設備、上網(wǎng)行為管理設備、有線與無線網(wǎng)絡核心交換機設備、樓棟匯聚交換機、樓層接入交換機。老校區(qū)與新校區(qū)均采用有線網(wǎng)與無線網(wǎng)為辦公教學與宿舍區(qū)域提供網(wǎng)絡服務的雙網(wǎng)架構，核心交換機均設置在各自校區(qū)的數(shù)據(jù)中心機房。從方便管理的角度考慮，有線網(wǎng)與無線網(wǎng)的樓棟匯聚交換機與樓層的接入交換機，均設在相同的弱電間內(nèi)，互相獨立且形成互相備份。校園主干光纜的鋪設均采用了環(huán)路設計，每個校區(qū)根據(jù)相鄰樓棟的距離與網(wǎng)絡用戶數(shù)量來劃分成若干個環(huán)網(wǎng)，無論環(huán)網(wǎng)中哪個節(jié)點故障，均可以使用另外的環(huán)路來保障網(wǎng)絡連通。在這樣的設計下能夠有效保證校園整體的網(wǎng)絡的可靠性，為IPv6升級改造打下堅實的基礎。

1.2 學校網(wǎng)絡IP地址架構

學校所有校區(qū)網(wǎng)絡建設均采用了IPv4地址。老校區(qū)規(guī)模較小，早期在設計的時候采用了C類私有地址（192.168.0.0/16），滿足約10000師生辦公學習需求。新校區(qū)規(guī)模較大，設計采用了A類私有地址（10.0.0.0/8），設計滿足約4萬師生辦公學習需求，同時還具備有冗余擴展。兩個校區(qū)均設計了校園無線網(wǎng)絡，共同采用了B類私有地址（172.16.0.0/12）。

學院出口鏈路有中國移動和教科網(wǎng)兩條線路是有固定IP地址，其中只有教科網(wǎng)有IPv4與IPv6兩種類型的地址。目前學院的信息系統(tǒng)架構全部是基于IPv4開放部署，對外開放的服務器均需要經(jīng)過網(wǎng)絡地址轉(zhuǎn)換。

IPv6技術設計的時候，并未考慮到與IPv4的兼容性，導致基于IPv4的互聯(lián)網(wǎng)與基于IPv6的互聯(lián)網(wǎng)是無法直接互通。IPv4的客戶端無法訪問目標地址是IPv6的網(wǎng)絡中的應用，反之亦然。由于學校的信息系統(tǒng)與大量的網(wǎng)絡設備均使用IPv4，完全更換的所需成本較高，所以需要平穩(wěn)過渡，分步驟完成?？偣残枰?jīng)歷3個階段：IPv4設備與信息系統(tǒng)為主階段；IPv4與IPv6設備與信息系統(tǒng)共存階段；IPv6設備與信息系統(tǒng)為主階段。

1.3 校園網(wǎng)絡IPv6過渡技術分析

1.3.1 隧道技術（Tunneling）

隧道技術主要是實現(xiàn)IPv6網(wǎng)絡間的數(shù)據(jù)通信，他的思想是在IPv6網(wǎng)絡之間建立一條能夠穿越IPv4的網(wǎng)絡數(shù)據(jù)通道。需要隧道出入口設備支持雙棧協(xié)議和隧道技術、而對中間的設備沒有要求。隧道技術盡管提供了IPv6網(wǎng)絡間的數(shù)據(jù)通信，若采用隧道技術進行過渡，會增加網(wǎng)絡通信的復雜性和安全風險，如果用戶使用非表態(tài)IPv4地址連接（如撥號），用戶的連接如果非正常中斷了，隧道服務器會繼續(xù)發(fā)送IPv6的隧道包到用戶原來的IPv4地址，而這個地址可能已經(jīng)被分配給另一個主機使用，這樣就發(fā)生了數(shù)據(jù)泄露問題[1]。惡意用戶可以在IPv6子網(wǎng)內(nèi)向服務器同時申請大量的隧道連接、耗盡隧道服務器的資源，目前還沒有合適的過濾策略。另外還需要統(tǒng)計每個隧道的帶寬使用情況，以盡快發(fā)現(xiàn)是否遭到DOS攻擊[2]。這就可能引起誤判或者漏判。

1.3.2 協(xié)議轉(zhuǎn)換技術（Translation）

IPv6協(xié)議轉(zhuǎn)換需要依賴網(wǎng)絡設備進行，IPv6網(wǎng)絡與IPv4網(wǎng)絡之前的網(wǎng)絡通信。連接IPv6和IPv4的網(wǎng)絡設備稱為協(xié)議轉(zhuǎn)換器。其工作的關鍵原理是通過修改網(wǎng)絡報文頭部信息實現(xiàn)協(xié)議轉(zhuǎn)換，從而實現(xiàn)兩網(wǎng)互聯(lián)。需要重點關注轉(zhuǎn)換設備的安全性能，否則協(xié)議轉(zhuǎn)換設備容易成為安全瓶頸。基于現(xiàn)實的業(yè)務情況，往往無法在短期內(nèi)實現(xiàn)對內(nèi)網(wǎng)現(xiàn)有的、支持IPv4協(xié)議的網(wǎng)絡設備、安全設備、網(wǎng)站代碼等進行全量升級。那么這種純IPv4與IPv6的轉(zhuǎn)換技術是無法為實際業(yè)務系統(tǒng)服務的。即使用戶重新投入大量資金構建內(nèi)網(wǎng)的IPv6環(huán)境，IPsec在IPv4網(wǎng)絡中是可選項，但是IPv6網(wǎng)絡中是必選項，這樣的情況下，路由器在處理認證和加密等方面的時候需要消耗較多的計算資源，造成硬件負擔，同時全新的通信方式必然會引入新的安全挑戰(zhàn)，甚至會出現(xiàn)協(xié)議層面、設備層面的0day漏洞，而業(yè)務系統(tǒng)出口環(huán)境單一，無法保證高可靠性。

1.3.3 雙棧技術（Dual Stack）

雙棧協(xié)議模式是基于IPv4設備對IPv6的支持，在設備上同時開啟IPv4和IPv6協(xié)議棧，使設備既可以與IPv4通信，也可以與IPv6通信。雙棧技術出現(xiàn)較早、比其他過渡技術實現(xiàn)更容易，還是其他IPv6過渡技術的基礎。但是雙棧改造對站點要求高，要求服務器和信息系統(tǒng)改造升級。使用雙棧技術需要同時支持并配置IPv4和IPv6協(xié)議的網(wǎng)絡節(jié)點[3]。維護兩套不同IP地址協(xié)議的網(wǎng)絡，這種情況會使網(wǎng)絡架構變復雜，同時加大了運維的難度。適用于升級改造網(wǎng)絡架構和信息系統(tǒng)架構相對簡單的網(wǎng)絡。

2 校園網(wǎng)絡IPv6改造困難與需求分析

2.1 改造時間緊

2020年底，教育系統(tǒng)的各類網(wǎng)絡、門戶網(wǎng)站和重要應用系統(tǒng)完成升級改造，支持IPv6訪問；基于IPv6的安全保障體系基本形成。下一代互聯(lián)網(wǎng)相關學科專業(yè)人才培養(yǎng)、技術研發(fā)與創(chuàng)新工作顯著加強，教育系統(tǒng)人才保障和智力支撐能力大幅提升[4]。當時的時間緊，任務重，但是必須要做出整改的的規(guī)劃和動作。

2.2 改造范圍大

IPv6若全面改造涉及網(wǎng)絡層改造、設備層改造、業(yè)務系統(tǒng)改造、網(wǎng)絡代碼改造等多方面的改造。需要業(yè)務管理系統(tǒng)平臺、信息系統(tǒng)、網(wǎng)絡安全系統(tǒng)等多系統(tǒng)的協(xié)同，涉及全校軟件、硬件、與有線無線網(wǎng)絡，必須要做好升級工作的整體統(tǒng)籌規(guī)劃、多部門有效協(xié)同。一旦涉及系統(tǒng)整體升級，可能需要更新軟硬件設備，需要各信息系統(tǒng)使用部門做出對原有系統(tǒng)評估后進行升級改造，涉及資金資金較大。

2.3 改造對教學影響范圍廣

學校門戶網(wǎng)站與各類信息系統(tǒng)有較大的瀏覽量和廣泛的影響力，同時也是網(wǎng)絡攻擊者窺伺的重點目標。一旦發(fā)生網(wǎng)絡安全事故，可能產(chǎn)生嚴重后果。因此國家強制推行信息系統(tǒng)安全等級保護制度，來加強信息系統(tǒng)的網(wǎng)絡安全防御。學校門戶網(wǎng)站與各類信息系統(tǒng)升級支持IPv6訪問之后，很快會遇到來自IPv4和IPv6網(wǎng)絡的雙重嗅探和攻擊，既可能有網(wǎng)絡層、應用層的攻擊，也可能出現(xiàn)其它不可預期的攻擊形式。因此學校門戶網(wǎng)站與各類信息系統(tǒng)的IPv6升級工作必須預先考慮安全防護問題[5]。

2.4 改造需求分析

由于IPv6在網(wǎng)絡層和傳輸層與應用層上，面臨和IPv4同樣的安全威脅，常見會有應用層攻擊，如緩沖區(qū)溢出攻擊、CGI攻擊、病毒等。由于IPv6新增NS/NA/RS/RA，分片重組機制，以及海量的網(wǎng)絡IP地址，攻擊者可以輕松獲得海量僵尸網(wǎng)絡，用來發(fā)起DDoS攻擊。同時IPv6還面臨特有的安全威脅，如定向嗅探是通過IPv6前綴信息搜集、隧道地址猜測等啟發(fā)式掃描方式，嗅探IPv6主機，發(fā)起攻擊。欺騙攻擊是鄰居發(fā)現(xiàn)協(xié)議ND存在泛洪和地址欺騙風險。IPv6開啟自帶IPSec情況下，加大協(xié)議內(nèi)容解析的難度。

基于面臨的種種網(wǎng)絡攻擊威脅，網(wǎng)絡安全需求在IPv6改造中是重中之重，安全設施升級是最基本的前提條件，安全設備必須支持雙棧技術與協(xié)議轉(zhuǎn)換技術。依據(jù)等保2.0的標準要求實現(xiàn)訪問控制、入侵防范、惡意代碼防范、個人信息保護等。改造完成后具備以下能力：安全域隔離、訪問控制、入侵檢測及防御、應用層防護及數(shù)據(jù)保護。實現(xiàn)獲取威脅情報、識別資產(chǎn)信息、檢測漏洞風險、風險識別與告警等。

由于全面改造的范圍較大，涉及到的網(wǎng)絡設備與信息系統(tǒng)資產(chǎn)較多，并且原有上網(wǎng)終端IPv4私有地址是根據(jù)部門與樓棟進行了編排，如果全面改造會對網(wǎng)絡使用者與管理造成不便，需求改造實施方案能夠化繁為簡，并且能在改造后完成運維簡單化。學校的教學活動是首要保障的事情，在改造過程中不能影響現(xiàn)有的教學秩序，需要最大程度地縮短改造所需時間。同時需要充分評估改造花費，分階段逐步實現(xiàn)IPv6應用目標。

3 校園網(wǎng)絡IPv6網(wǎng)絡改造實施方案

3.1 選用反向代理技術進行第一階段改造

基于這IPv6改造的困難與需求，第一階段的解決方案，用反向代理的方式實現(xiàn)協(xié)議轉(zhuǎn)換技術，即內(nèi)部到外部的IPv4到IPv6的地址轉(zhuǎn)換，先實現(xiàn)運營商的線路改造，這樣的動作較小，同時滿足國家對于整改IPv6的要求，這樣業(yè)務內(nèi)網(wǎng)改動小，對于內(nèi)網(wǎng)的改造有一個緩沖的時間，用戶可保持原有服務器架構不變，內(nèi)網(wǎng)可以繼續(xù)使用IPv4繼續(xù)提供業(yè)務。同時保證發(fā)生來自IPv6的網(wǎng)絡攻擊，只能攻擊到轉(zhuǎn)換設備，IPv4源站不會遭受IPv6網(wǎng)絡攻擊[5]。使學院網(wǎng)絡無縫進行IPv6業(yè)務切換改造。

3.2 方案部署實施

3.2.1 反向代理技術過程與部署

在出學?；ヂ?lián)網(wǎng)總出口部署具有IPv6反向代理功能的負載均衡設備，在負載均衡設備上實現(xiàn)協(xié)議轉(zhuǎn)換，當IPv6的客戶端訪問負載均衡設備上發(fā)布的IPv6的虛擬服務，負載均衡設備收到該虛擬服務的請求后做源目地址轉(zhuǎn)換，由負載均衡設備代理訪問IPv4的服務器資源。

轉(zhuǎn)換過程舉例如下：第一步IPv6客戶端發(fā)起對負載均衡上發(fā)布的IPv6虛擬服務的請求數(shù)據(jù)包源目IP：客戶端2406:100::1訪問負載均衡的2406:200::1。第二步負載均衡收到請求后將客戶端源目IP修改去訪問IPv4的服務器數(shù)據(jù)包源目IP：負載均衡的10.1.1.1到服務器的10.1.1.2。第三步服務器回包給負載均衡的IPv4地址數(shù)據(jù)包源目IP：服務器的10.1.1.2回給Add 10.1.1.1。第四步負載均衡修改服務器回包的源目IP將數(shù)據(jù)發(fā)給IPv6客戶端數(shù)據(jù)包源目IP：負載均衡的2406:200::1回給客戶端的2406:100::1。

操作步驟如下：第一步在應用負載中新建虛擬服務，虛擬服務IP地址為負載均衡設備可對外訪問的IPv6地址；服務類型http；端口范圍默認；節(jié)點池添加IPv4信息系統(tǒng)服務器內(nèi)網(wǎng)IP地址與端口，啟用SNAT；第二步聯(lián)系域名服務商添加網(wǎng)站的AAAA記錄解析到負載均衡的外網(wǎng)口地址。第三步網(wǎng)絡部署的網(wǎng)絡接口中，選擇編輯IPv6線路，添加第一步中IPv6地址使用64位掩碼的以精確應用。

3.2.2 “天窗問題”與解決方案

“天窗問題”是指網(wǎng)站中引用了部分第三方資源，如JS、圖片、或者鏈接等。信息系統(tǒng)經(jīng)過雖然經(jīng)過反向代理的地址轉(zhuǎn)換IPv6改造后，這些第三方地址可能仍為IPv4地址。當客戶端通過網(wǎng)絡為純IPv6環(huán)境時，這些未經(jīng)改造過的第三方資源就無法加載。產(chǎn)生“天窗問題”過程舉例如下：第一步Pv6客戶端發(fā)起web請求。第二步主站服務器返回含有子域名、二級單位的子鏈接或其他網(wǎng)站的鏈接（以下統(tǒng)一簡稱外鏈），但這些網(wǎng)站未進行IPv6改造。第三步客戶端瀏覽器向DNS服務器發(fā)起對外鏈的AAAA記錄查詢請求。第四步dns服務器無法響應外鏈的AAAA記錄，故返回失敗。客戶端得到網(wǎng)頁顯示，部分模塊無法顯示，如圖片加載失敗、視頻無法播放等。

解決“天窗問題”思路：第一步客戶端發(fā)起對主站的WEB訪問。第二步主站服務器返回含有外鏈的頁面，負載均衡替換頁面上的外鏈。第三步客戶端收到頁面后，發(fā)送外鏈的DNS查詢請求到負載均衡，查詢外鏈AAAA記錄。第四步客戶端收到DNS應答后發(fā)起對外鏈的訪問請求。第五步負載均衡向DNS服務器發(fā)起外鏈的A記錄查詢請求。第六步負載均衡收到DNS應答后，訪問目標站點。第七步負載均衡收到應答后，轉(zhuǎn)發(fā)給客戶端。最終實現(xiàn)IPv6客戶端可以通過負載均衡代理訪問到IPv4的外鏈資源。

解決“天窗問題”在負載均衡設備上操作過程如下：第一步編輯應用負載菜單下的ipro“天窗－域名方式”的ipro腳本，要對原有腳本根據(jù)具體信息系統(tǒng)做如下修改：第一步SCHEME修改為主站的訪問方式，可選http或https，依據(jù)為虛擬服務的類型。第二步DOMAIN為主站的根域名。第三步DOMAIN_EX改為申請的另一個公網(wǎng)域名，解析結(jié)果也要是可以到虛擬服務的，可復用為主站根域名。第四步AD_HOSTS為不做轉(zhuǎn)換的域名白名單列表，通常至少添加主站對外的域名，也可以添加一些已知的支持IPv6訪問的網(wǎng)站域名，可以填多個。第五步在應用負載菜單的虛擬服務應用已經(jīng)修改好的ipro腳本。第六步在應用負載中配置DNS代理用于負載均衡自身代理解析外鏈域名。最后一步在域名服務商添加*.proxy.yourweb.edu.cn泛域名AAAA記錄，解析地址同樣為負載均衡對外的IPv6地址。

4 結(jié)束語

IPv6反向代理技術關鍵在于使用了協(xié)議轉(zhuǎn)換技術，實現(xiàn)學校在不改變現(xiàn)有總體IPv4的網(wǎng)絡架構與信息系統(tǒng)的情況下，以最小的資金成本與時間成本完成了第一階段的網(wǎng)絡改造，這次改造僅僅是將原有的IPv4架構下的信息系統(tǒng)通過協(xié)議轉(zhuǎn)換實現(xiàn)通過教科網(wǎng)的IPv6網(wǎng)絡對外提供服務。未來一段時間，我國高職院校網(wǎng)絡依舊會處在IPv4網(wǎng)絡與IPv6網(wǎng)絡共存發(fā)展的階段。隨著云計算、物聯(lián)網(wǎng)、移動網(wǎng)絡的不斷發(fā)展，萬物互聯(lián)是必然的趨勢。在IPv4地址用盡的情況下，發(fā)展IPv6網(wǎng)絡是歷史的必然選擇。通過第一階段的網(wǎng)絡改造為接下來的IPv6過渡打下了良好的基礎。相信教育系統(tǒng)的IPv6規(guī)模部署會有效推進，為全國互聯(lián)網(wǎng)升級改造做出示范性的作用。

[1] 張武軍. 基于IPv6的下一代網(wǎng)絡安全關鍵技術研究[D]. 西安: 西安電子科技大學，2006.

[2] 楊義先. 融合網(wǎng)絡安全綜論[J]. 中國計算機學會通訊，2006，2(6): 60-65.

[3] 常偉鵬，袁泉. 高校校園網(wǎng)的IPv6過渡策略研究[J]. 網(wǎng)絡安全技術與應用，2019(7): 76-78.

[4] 楊潔. 教育信息化2.0: 起步與挑戰(zhàn)[J]. 中國教育網(wǎng)絡，2019(1): 18-21.

[5] 尹立君，柴旭光. 淺談網(wǎng)絡對外發(fā)布業(yè)務IPv6整改方法[J]. 成都航空職業(yè)技術學院學報，2020，36(2): 52-53，57.

Research on IPv6 Reverse Proxy Application in the Context of Multi-Campus Higher Vocational Colleges

After a long period of development, higher vocational colleges present the situation of multi-campus teaching. In order to meet the needs of multi-campus teaching and educational resource sharing, the basic network architecture usually follows the conventional IPv4 networking. Under the context of the new network transformation requirements, we need to effectively solve the existing multi-campus network architecture and the safe use of information site resources, and realize the interconnection of IPv6 and IPv4 resources, this paper explores the application of IPv6 reverse proxy technology in higher vocational colleges.

higher vocational college; campus network; IPv6; reverse proxy

TP393.1

A

1008-1151(2022)08-0008-03

2022-03-25

羅添耀（1985－），男，廣西賓陽人，廣西國際商務職業(yè)技術學院工程師，研究方向為高職教育信息化、計算機網(wǎng)絡安全。

廖小群（1983－），男，廣西全州人，廣西國際商務職業(yè)技術學院講師，碩士，研究方向為高職教育信息化、計算機網(wǎng)絡安全。