蔣繼紅 王海峰

摘? 要? 為貫徹落實(shí)教育部、浙江省教育廳關(guān)于推進(jìn)IPv6規(guī)模部署的文件精神，安吉縣教育局通過研讀文件、分析現(xiàn)狀和實(shí)踐部署，以《安吉縣教育系統(tǒng)IPv6規(guī)模部署和應(yīng)用實(shí)施方案》為指導(dǎo)，成功完成區(qū)縣教育系統(tǒng)IPv6規(guī)模部署的改造。

關(guān)鍵詞? 安吉教育系統(tǒng)；IPv6；IPv4；雙棧技術(shù)

中圖分類號：G527.55? ? 文獻(xiàn)標(biāo)識碼：B

文章編號：1671-489X（2022）09-0040-04

0? 引言

近年來，隨著云計算、大數(shù)據(jù)、人工智能、5G、物聯(lián)網(wǎng)、區(qū)塊鏈等新一代信息技術(shù)的不斷發(fā)展，我國IP地址的需求迅速增長，造成IPv4（互聯(lián)網(wǎng)協(xié)議第4版）不堪重負(fù)，難以為繼。為此，教育部辦公廳于2018年9月下發(fā)《教育部辦公廳關(guān)于貫徹落實(shí)〈推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃〉的通知》，要求到2020年底，教育系統(tǒng)的各類網(wǎng)絡(luò)、門戶網(wǎng)站和重要應(yīng)用系統(tǒng)完成升級改造，支持IPv6訪問。同年9月，浙江省教育廳出臺《浙江省推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用實(shí)施行動計劃》，計劃用三年時間，完成全省教育系統(tǒng)的各類網(wǎng)絡(luò)、門戶網(wǎng)站和重要應(yīng)用系統(tǒng)的升級改造，支持IPv6訪問。2019年，為貫徹落實(shí)相關(guān)文件精神，安吉縣教育局經(jīng)過認(rèn)真研討后，出臺《安吉縣教育系統(tǒng)IPv6規(guī)模部署和應(yīng)用實(shí)施方案》，開始進(jìn)行安吉縣教育系統(tǒng)的IPv6部署。

1? 安吉縣IPv6建設(shè)

1.1? 網(wǎng)絡(luò)與系統(tǒng)建設(shè)的必要性

安吉縣位于浙江省西北部，全縣有各級各類學(xué)校91所，教職工6 467人，在校生79 282人。安吉教育網(wǎng)（www.ajedu.com）作為安吉教育的門戶網(wǎng)站，是浙江省首批優(yōu)秀教育網(wǎng)站，日訪問量達(dá)五萬人次，是安吉教育宣傳的主陣地。安吉教育網(wǎng)的服務(wù)器均為IPv4私網(wǎng)地址通過防火墻以NET方式映射到IPv4互聯(lián)網(wǎng)地址，需要通過域名解析實(shí)現(xiàn)對外服務(wù)，不支持IPv6訪問，無法滿足國家及省市要求，無法支持未來智慧教育發(fā)展。此外，由于網(wǎng)站中心機(jī)房的數(shù)據(jù)庫、災(zāi)備等應(yīng)用系統(tǒng)都是以IPv4地址進(jìn)行互聯(lián)，政務(wù)網(wǎng)、財政專網(wǎng)所提供的應(yīng)用系統(tǒng)同樣是以IPv4地址提供服務(wù)，且不支持域名及IPv6訪問，因此，若要在純IPv6環(huán)境下運(yùn)行各類應(yīng)用系統(tǒng)，就必須對各個系統(tǒng)進(jìn)行代碼重構(gòu)，需要投入巨大的時間、人力、資金成本。

1.1.1? 網(wǎng)絡(luò)鏈路? 2014年，安吉縣完成省千兆計算機(jī)內(nèi)網(wǎng)的建設(shè)，實(shí)現(xiàn)萬兆主干、千兆到校，但千兆內(nèi)網(wǎng)的地址是浙江省教育技術(shù)中心統(tǒng)一規(guī)劃，各市縣再根據(jù)學(xué)校規(guī)模逐級規(guī)劃分配的。2016年，安吉縣又通過集中部署AC控制器、各校只部署AP的形式完成全縣校園無線全覆蓋項(xiàng)目，但由于各校有線、無線客戶端地址均由EG網(wǎng)關(guān)DHCP自動分配，且部分客戶端還在使用Windows XP操作系統(tǒng)，因此無法自動獲取IPv6地址。

1.1.2? 網(wǎng)絡(luò)及安全設(shè)備支持度? 全縣教育系統(tǒng)的網(wǎng)絡(luò)設(shè)備、學(xué)校EG網(wǎng)關(guān)、無線設(shè)備和安全等設(shè)備均支持IPv6，但要搭建純IPv6環(huán)境，需要將防火墻里原基于IPv4的應(yīng)用策略全部改為基于IPv6的應(yīng)用策略，因此需要重新規(guī)劃下屬學(xué)校所有IP地址分配，并在近千臺設(shè)備上逐一進(jìn)行配置、測試，這就會造成整個教育系統(tǒng)教學(xué)應(yīng)用、管理業(yè)務(wù)停擺，影響巨大。

1.1.3? IPv6相關(guān)資源情況? 由于經(jīng)濟(jì)、地域、社會發(fā)展等因素影響，電信、移動、聯(lián)通三大運(yùn)營商尚未提供IPv6地址業(yè)務(wù)，IPv6地址只能先采用中國教育和科研計算機(jī)網(wǎng)（CERNET）提供的地址段，并由浙江省教育技術(shù)中心統(tǒng)一進(jìn)行規(guī)劃。

1.2? IPv6建設(shè)方案及特點(diǎn)

1.2.1? 建設(shè)方案? 為貫徹國家、省市要求，促進(jìn)安吉教育發(fā)展，安吉縣教育局經(jīng)研究認(rèn)為，安吉縣IPv6的建設(shè)方案應(yīng)充分支持多業(yè)務(wù)平臺資源的IPv4/IPV6的雙棧支撐能力與多種業(yè)務(wù)的同步支持能力；同時，方案還應(yīng)具有可擴(kuò)展、易管理維護(hù)等特性，能夠平滑地升級、擴(kuò)容以適應(yīng)目前及未來應(yīng)用服務(wù)的需要；在安吉教育系統(tǒng)中的所有應(yīng)用系統(tǒng)均應(yīng)同步支持雙棧訪問，并承載數(shù)據(jù)、語音、視頻、監(jiān)控等多媒體應(yīng)用，且網(wǎng)絡(luò)應(yīng)具有豐富的QoS支持、組播、MPLS-VPN等網(wǎng)絡(luò)支持能力。

1.2.2? 方案特點(diǎn)? 安吉縣教育系統(tǒng)IPv6的建設(shè)，是結(jié)合原有已建成的城域網(wǎng)，在不修改原網(wǎng)絡(luò)拓?fù)涞那疤嵯?，建設(shè)支持IPv4/IPv6雙棧的教育城域網(wǎng)，這種建設(shè)模式不但能滿足網(wǎng)絡(luò)IPv6升級的需求，也能夠提升安吉教育系統(tǒng)基于IPv6的應(yīng)用服務(wù)能力。這種IPv6改造方案，既可滿足教育部、浙江省教育廳對安吉教育系統(tǒng)的考核要求，也符合等保2.0的相關(guān)合規(guī)要求。由于建設(shè)改造工作采用目前主流的IPv6—IPv4翻譯轉(zhuǎn)換技術(shù)，不但可以實(shí)現(xiàn)IPv6的快速、便捷部署，還可以免去對原業(yè)務(wù)系統(tǒng)改造的成本，同時減少IPv6設(shè)備的投入，用戶體驗(yàn)方面也無須額外添加任何客戶端和插件。方案的主要特點(diǎn)如下。

1）協(xié)議智能轉(zhuǎn)換。在使用IPv6轉(zhuǎn)換平臺之前，安吉教育系統(tǒng)只能通過整體IPv6新建的方式，且IPv6用戶只能訪問安吉教育系統(tǒng)中IPv6資源，而無法訪問安吉教育系統(tǒng)中原有的IPv4資源；在使用IPv6轉(zhuǎn)換平臺之后，安吉教育系統(tǒng)不需要改造原有的基于IPv4的應(yīng)用系統(tǒng)，只需將該IPv6轉(zhuǎn)換平臺與安吉教育系統(tǒng)中原有的IPv4業(yè)務(wù)對接，即可正常訪問，具體如圖1所示。

2）完美解決天窗問題。在使用IPv6轉(zhuǎn)換平臺之前，如果通過IPv6訪問安吉教育系統(tǒng)，部分頁面會出現(xiàn)外鏈“天窗”的問題，給用戶帶來不良的使用體驗(yàn)；使用IPv6轉(zhuǎn)換平臺后，能夠完美解決外鏈“天窗”這個問題，再通過IPv6轉(zhuǎn)換平臺訪問安吉教育系統(tǒng)，就不會出現(xiàn)這種現(xiàn)象，給用戶帶來良好的使用體驗(yàn)。

1.3? IPv6建設(shè)

IPv6技術(shù)的推出是為了解決IPv4地址分配耗盡的問題，但就目前來說，由于IPv6本身并不兼容IPv4，如果大規(guī)模部署IPv6則會面臨如轉(zhuǎn)發(fā)表項(xiàng)容量、IPv4與IPv6互通、兩張網(wǎng)運(yùn)維等諸多問題。因此，在對周期性、成本、技術(shù)難度、部署的便捷性等因素進(jìn)行綜合考評后，為將縣教育系統(tǒng)的IPv4逐漸升級到IPv6，安吉縣教育局從目前三種主流過渡技術(shù)（表1）中選擇雙棧技術(shù)作為技術(shù)方案。

基于雙棧技術(shù)的Ipv6改造方案的建設(shè)主要分為三個階段：

第一階段是針對內(nèi)網(wǎng)進(jìn)行部分改造，也就是在繼續(xù)保留原有的IPv4內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上，重新建立一套IPv6的網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)之間獨(dú)立而互不影響；

第二階段是網(wǎng)絡(luò)的完全替代，重新建設(shè)，即將整個網(wǎng)絡(luò)中包括終端設(shè)備、網(wǎng)絡(luò)中各節(jié)點(diǎn)設(shè)備、各類應(yīng)用系統(tǒng)在內(nèi)的設(shè)備，都更換為同時運(yùn)行IPv4和IPv6協(xié)議棧（雙棧技術(shù)），從而實(shí)現(xiàn)分別與IPv4或IPv6節(jié)點(diǎn)間的信息互通：

第三階段則是滿足短期內(nèi)學(xué)校業(yè)務(wù)及相關(guān)網(wǎng)站能夠被外部IPv6訪問。

由于資金、技術(shù)、人員等方面的原因，安吉教育系統(tǒng)的IPv6建設(shè)，主要從網(wǎng)絡(luò)改造、安全改造，核心服務(wù)改造等幾個方面著手。

1）網(wǎng)絡(luò)改造。鑒于目前互聯(lián)網(wǎng)上IPv6資源較少，內(nèi)網(wǎng)用戶純IPv6訪問互聯(lián)網(wǎng)IPv6資源也很少，因此，安吉縣將IPv6網(wǎng)絡(luò)接入后形成終端雙棧網(wǎng)絡(luò)?；A(chǔ)網(wǎng)絡(luò)接入的改造涉及以下幾部分工作。

①物理鏈路。原有鏈路可以繼續(xù)使用，但需要更換萬兆接口模塊。

②IP地址準(zhǔn)備。根據(jù)省教育技術(shù)中心統(tǒng)一分配的IPv6地址段，按學(xué)校規(guī)模再進(jìn)行劃分。

③各校EG網(wǎng)關(guān)。設(shè)備開啟網(wǎng)絡(luò)雙棧配置命令，配置基于IPv6的路由策略。

④內(nèi)網(wǎng)IPv6地址使用。通過雙棧地址分配，使終端同時獲得IPv4和IPv6兩個地址。

2）安全改造。

①需要對傳統(tǒng)的安全設(shè)備進(jìn)行升級和改造，使其能與網(wǎng)絡(luò)同步。

②針對原有的防火墻、WAF、安全防護(hù)等各類安全防護(hù)系統(tǒng)或者設(shè)備，需要具備開啟IPv6安全防護(hù)能力，且能夠達(dá)到針對IPv6網(wǎng)絡(luò)攻擊快速適配相應(yīng)網(wǎng)絡(luò)環(huán)境的要求。

③需要對相應(yīng)安全設(shè)備的IPv6支持度進(jìn)行評估，如果可以通過升級解決，則讓廠商進(jìn)行設(shè)備升級；如無法升級，則只能考慮更換設(shè)備。

④需要依據(jù)新的網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)要求，全面地對網(wǎng)絡(luò)區(qū)域進(jìn)行安全防護(hù)，包括安全邊界的確認(rèn)、基于身份的準(zhǔn)入控制、各類系統(tǒng)和訪問行為的日志留存等，以適應(yīng)IPv6的安全事件分析及溯源和處理。

3）核心服務(wù)改造。核心服務(wù)改造主要包括DNS系統(tǒng)、DHCP系統(tǒng)、IP地址管理系統(tǒng)等網(wǎng)絡(luò)基礎(chǔ)核心服務(wù)的升級改造工作。

①DNS系統(tǒng)方面需要能提供IPv6地址為用戶提供服務(wù)，同時要支持IPv6域名AAAA記錄的解析。

②在DHCP系統(tǒng)方面，需要提供DHCP的服務(wù)支持，以便將IPv6地址順利地下發(fā)給各個設(shè)備終端。

③IP地址管理方面，由于IPv6地址長度和分配方式與IPv4差異較大，因此需要做好地址的統(tǒng)一管理和規(guī)劃。

4）應(yīng)用改造。為實(shí)現(xiàn)IPv6的升級改造，并盡快達(dá)到IPv6后期的發(fā)展規(guī)劃，需要對原有業(yè)務(wù)系統(tǒng)進(jìn)行IPv6改造。

①要對應(yīng)用系統(tǒng)和網(wǎng)站進(jìn)行純IPv6的代碼升級改造，改造完成后，應(yīng)用系統(tǒng)可以直接提供純IPv6服務(wù)，能夠滿足未來長期規(guī)劃的需要。

②通過IPv6轉(zhuǎn)換服務(wù)，可以讓外網(wǎng)IPv4用戶訪問改造成純IPv6的應(yīng)用系統(tǒng)，實(shí)現(xiàn)純IPv6應(yīng)用提供給外網(wǎng)IPv4用戶訪問。

③內(nèi)網(wǎng)IPv6用戶通過DNS解析AAAA，可以直接訪問內(nèi)部的純IPv6應(yīng)用系統(tǒng)。

5）運(yùn)維改造。隨著IPv6網(wǎng)絡(luò)改造，維護(hù)人員必然面臨要同時運(yùn)維IPv4和IPv6兩張網(wǎng)絡(luò)的工作，而隨著運(yùn)維工作量的激增，網(wǎng)管系統(tǒng)的升級也成為必然。因此，系統(tǒng)需要支持IPv6網(wǎng)絡(luò)設(shè)備的信息采集、告警、呈現(xiàn)，網(wǎng)管數(shù)據(jù)以及IPv4/IPv6信息的兼容呈現(xiàn)。

2? 問題及解決辦法

在項(xiàng)目建設(shè)改造中，安吉縣主要遇到兩方面的問題：1）IPv6地址分配的問題；2）IPv6網(wǎng)絡(luò)環(huán)境下的行為審計問題。

2.1? IPv6地址的分配

由城域網(wǎng)各學(xué)校出口網(wǎng)關(guān)作DHCP和DNS的服務(wù)，進(jìn)行IPv6地址分配和管理。如終端都支持DHCPv6，并且對終端的IPv6地址有可視化或明確管控的要求，則使用有狀態(tài)DHCPv6分配IPv6地址。如無特殊計劃，也可以使用無狀態(tài)自動配置的方式為終端分配IPv6地址。

2.2? IPv6網(wǎng)絡(luò)環(huán)境下的行為審計

IPv6改造后，由于沒有了以前NAT的轉(zhuǎn)換，相當(dāng)于為整個城域網(wǎng)提供了另外一條數(shù)據(jù)通路，對該數(shù)據(jù)通路的管控目前處于空白狀態(tài)，全部放行，通過IPv6可以隨意訪問各種網(wǎng)站，同時無法做到實(shí)名認(rèn)證和實(shí)名上網(wǎng)行為審計，這就違反了網(wǎng)絡(luò)安全法對實(shí)名制的要求。為解決這個問題，安吉縣通過和設(shè)備廠商商洽，讓出口設(shè)備EG網(wǎng)關(guān)全面支持IPv6下的各種上網(wǎng)行為審計，將日志記錄到本地并同步到統(tǒng)一部署的行為審計日志服務(wù)器，遵守網(wǎng)絡(luò)安全法規(guī)的要求。

3? 結(jié)束語

IPv6建設(shè)改造工作的完成，對于安吉縣推動人工智能實(shí)驗(yàn)區(qū)、數(shù)字化改革區(qū)域教育場景應(yīng)用集成創(chuàng)新試點(diǎn)建設(shè)具有重要意義。下一步，安吉縣將緊緊圍繞浙江省數(shù)字化改革大會精神，充分利用5G、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)在IPv6環(huán)境下不斷提升教育教學(xué)的數(shù)字化水平，勇于創(chuàng)新、真抓實(shí)干、不斷趕超，為構(gòu)建高質(zhì)量教育體系、打造優(yōu)質(zhì)教育持續(xù)奮斗。

作者：蔣繼紅，安吉縣實(shí)驗(yàn)初級中學(xué)，一級教師；王海峰，安吉縣教育保障中心副主任，副研究員（313300）。