2018年8月21日,教育部办公厅印发了关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,文件明确了教育部系统IPv6部署的工作目标:
到2019年底,各省教育计算机网以及高等学校校园网完成IPv6升级改造
。
在上述背景下,目前校园网基础网络的IPv6改造,面临三个主要问题:
1.现有网络如何快速升级;
2.改造后如何符合相关网络安全法规的要求;
3.如何保证与IPv4体验的一致性。
Dr.COM城市热点,作为网络实名安全解决方案的领导者,依据多年的实名安全经验,为高校的IPv6提供Dr.COM IPv6认证管理解决方案,整个方案贯穿IPv6用户从地址分配管理到日志审计的全环节,为校园网解决部署升级中所面临的
快速改造、实名认证、认证体验、实名审计、厂家兼容
等多种棘手问题。
针对校园网IPv6改造的三个主要问题,城市热点提出以下创新方案:
01 现有网络如何快速升级到IPv6
针对校园网络里大量IPv6试验网、无线公共网,或者二层扁平化网络场景,城市热点的Dr.COM 2366认证网关系统,能够在原有IPv4网络设备上实现DHCPv6地址分发、发布路由前缀等功能,使原网络无需更换网络设备,即可实现IPv6网络的改造。
对于原使用Dr.COM 2166产品做IPv4网络认证计费运营的客户,提供以下IPv6认证管理改造升级方案:
IPv6独立网关方案
下图为升级前的网络拓扑:
升级改造后的组网如下图:
(灰色是原有无需改动部分,蓝色部分是升级改造的部分。)
本升级方案中原有的IPv4出口的认证网关不变,另外部署专用的IPv6认证网关实现IPv6出口的认证控制管理,本方案适用于大用户量和IPv6大流量的高校。
v4v6出口统一网关方案
升级改造后的组网如下图:
(灰色是原有无需改动部分,蓝色部分是升级改造的部分。)
本升级方案使用一台认证网关同时处理v4v6出口的用户接入认证,适用于用户量和IPv6流量较少的高校,可以节省设备投资和维护成本。
2166 Radius旁挂
下图为升级前的网络拓扑:
升级改造后的组网如下图:
< strong>新建IPv6网络情况下的解决方案
认证网关串接方案
方案拓扑:
组网模式:
原有IPv4局域网不进行改造,新建的IPv6网路部署IPv6汇聚交换机,并开启双栈,向上连接IPv6网络。IPv6汇聚交换机配置IPv6 over IPv4隧道实现IPv6的连接。网络中其余设备均无任何变化,原有IPv4业务正常运行。
旁挂对接NAS方案
方案拓扑:
(灰色是原有无需改动部分,蓝色部分是升级改造的部分。)
组网模式:
原有IPv4局域网不进行改造,新建的IPv6网路部署IPv6汇聚交换机,并开启双栈,向上连接IPv6网络。IPv6汇聚交换机配置IPv6 over IPv4隧道实现IPv6的连接。网络中其余设备均无任何变化,原有IPv4业务正常运行。
本升级方案中原有的认证系统架构不变,只需软件版本升级增加v6用户认证策略、支持BRAS的v6认证、策略相关功能,另外增加智能DHCP处理v6地址的统一分配管理和无感知认证。
02 IPv6网络如何符合网络安全法规
近年来无线网已成为校园网络主要组成部分,基于终端兼容性问题,无状态地址自动配置已成为校园网主要的IPv6地址分配方式。而无状态地址变化频繁,且NDP通信被隔离在二层环境下,当IPv6网络出现安全威胁时,无法溯源终端的网络位置,难以找到元凶,还无法满足网络安全法的日志审计要求。
城市热点的Dr.COM 智能DHCP系统可实现配合终端实现无状态地址自动配置,同时支持DHCPv6和DHCPv4,方便网络管理者统一管理配置,对全网用户的地址分配进行详细接入审计。
城市热点的Dr.COM智能DHCP系统通过与校园统一身份认证系统、Dr.COM认证系统或第三方外部认证系统对接,用户使用实名账号在Dr.COM智能DHCP自助注册MAC,完成实名注册后才可获取IPv4或v6地址,最终并形成实名地址审计日志,满足了网络安全法的法规要求。
03 如何保证与IPv4体验的一致性
保证IPv6网络与IPv4网络相同体验,包括IP无感知认证、IPv4IPv6联动认证和运营商融合三方面。
无状态地址变化频繁,意味用户需要反复认证,使用体验很差,如果要实现与IPv4体验一致的无感知认证,要求认证系统能够兼容不同网络设备厂商的无感知认证方法。
城市热点支持不同部署场景下实现IPv6无感知认证。
认证网关场景
Dr.COM 智能DHCP系统与Dr.COM 认证网关具有无感知认证接口,实时同步IPv6用户的IP地址状态,确保地址变化后用户能够完成无感知认证上线。
旁挂Radius服务器场景
Dr.COM 认证服务器支持主流的IPv6有线无线准入设备厂家的v6地址变更通知机制和相关报文属性,如华为、华三、锐捷等厂家,实现用户的无感知、精准计费和日志审计。
(图为Dr.COM 2166 Radius配合华三AC实现用户切换ssid地址变更后的无感知在线记录)
双栈联动认证
IPv4v6双栈环境是目前IPv6过渡阶段的主要形态,主机同时具有IPv4和v6地址,为提供流畅的接入体验,需要解决双栈终端一次认证即可双栈接入上网的问题。
Dr.COM认证系统产品满足在不同部署场景下的双栈联动认证。
如旁路认证模式:
IPoE、Portal、802.1x认证环境下,Dr.COM Radius服务器支持不同厂家BRAS不同认证方式的v4v6地址通知机制,通过与第三方BRAS的Radius报文交互实现v4v6联动上下线,交互报文包括上下线、CoA、计费更新报文等。目前经过实际项目对接支持的厂家包括华为、华三、锐捷、Juniper等。
运营商PPPoE v6代拨支持
目前各大运营商投资高校模式主要技术对接方案为PPPoE代拨,随着运营商IPv6业务的大规模开展, PPPoE v6代拨是必然趋势。Dr.COM 2177代拨认证网关完整支持PPPoEv6,可将内网有线无线接入的任意准入认证请求触发运营商PPPoEv6请求,并使用户同时获取IPv4和IPv6地址。
认证网关模式:
Dr.COM 认证系统作认证网关部署时,能采用WEB方式同时获取用户的v4v6地址(需网络为双栈环境),并根据策略并联动上线(WEB认证方式)。
Dr.COM IPv6认证解决方案还有以下特点:
01 访问控制
Dr.COM认证网关具备完整的IPv6访问策略,包括登陆源IP策略、目标地址策略、专线IP策略和独立的IPv6流量计费策略。
02 广泛的厂家兼容性
广泛的设备厂家IPv6兼容性,城市热点秉承一贯的兼容互通原则,支持包括华为、华三、锐捷、Juniper等的Portal v6协议、Radius v6厂家属性、v6无感知认证方法等IPv6相关业务功能特性,保障客户投资和方案灵活性。
03 运营支撑工具
除了独立的IPv6用户在线分析、活跃分析报表等的业务后台,还提供手机端IPv6助手,帮助用户一目了然IPv6地址情况和互联网联通状态,如有故障可一键提交后台快速分析定位,帮助网络管理者高效率可控的完成IPv6网络快速部署。
Dr.COM城市热点的IPv6综合性解决方案,提供IPv6升级改造中全环节的技术服务;相信不久之后,中国将会迎来IPv6发展浪潮,智慧高校也将在IPv6的大势所趋下,迎来全新的发展,我们要做的,是要在IPv6浪潮爆发前,以积极的姿态全面做好IPv6升级改造工作。