中国科学技术大学张焕杰:IPv6在校园网的应用实践

http://www.edu.hc360.com2018年10月24日22:19 来源:中国教育网络T|T

中国科学技术大学网络信息中心副主任张焕杰

    【慧聪教育装备网】在2018ISC互联网安全大会——IPv6规模化部署与安全论坛上,中国科学技术大学网络信息中心副主任张焕杰在《中国科大IPv6应用实践》的演讲中,从校园网最终用户的管理员身份出发,介绍了中国科技大学校园网络和安徽省教育科研网的发展情况。

    中国科大校园网简介

    中国科大校园网建设已经20多年了,目前覆盖了校园的各个角落。同时在11年前开始建设超算设施,服务重点科研方向。近年来学校的建设思路是加大平台建设,增强服务能力。

    在校园网络方面,承载上网流量、一卡通、视频监控、能源监控等10余套业务;7×24小时保障全校师生的正常使用,保障谷歌学术一直可用;是大陆第一家全面开通eduroam学术无线网络漫游服务的高校;同时,也提供学术宽带,近代物理系与欧洲核子研究中心CERN的带宽使用在国内都是前列的;参与北京、上海、苏州校区以及先进技术研究院的网络规划设计和对接。

    安徽省教育和科研计算机网覆盖16个城市,连接教育厅、考试院和省内近80所高校;保障历年高招录取、视频会议等关键应用。

    超算中心是“研究组-校级共享-国家级”三级超算服务模式,支持的高水平科研成果不断涌现,发表在Nature等一流期刊。初步统计全校约10%的高水平论文受超算平台支持。

    一个学校的校园网结构可以很简单,也可以非常复杂。中国科大校园网物理结构上非常简单,只有两三台核心设备,但是所有线路的逻辑连接并不简单。中国科大校园网有充足的网络资源,拥有多样的网络出口和丰富的可用宽带。2005年5月起全校(含OpenVPN用户)网络支持IPv4+IPv6双栈,稳定运行了13年,目前超过二分之一的用户使用IPv6。从2000年起,就选择了2层为主的校园网,2层VLAN覆盖合肥校区和上海研究院。

    中国科大校园网最大的特色是用户可以自主选择出口路由,随时可以更改。2002年,学校开发了一个系统——网络通,用户在出校认证时,使用完全权限的网络通,可以有9种出口选择方式。

    校园网IPv6应用与管理

    中国科大校园网IPv6历史可以追溯到1999年,李津生教授承担863课题《中国科大IPv6示范网》;2000年,采用纯IPv6链路和隧道技术相结合的组网技术,建成校内IPv6测试网;2004年,CNGI-CERNET2中国科学技术大学节点建成;2005年,校园网改造为万兆主干,校内全面支持IPv6,包括OpenVPN的远程用户均支持IPv6;2017年,反向代理支持IPv6,600余个网站正式提供IPv6服务。

    在网络管理理念上,第一是以用户为中心,接入方式丰富,满足各种用户需要,使用方便快捷,尽量少设置障碍;第二是开放的校园网络,使用标准协议,只要是TCP/IP系统,都可以接入;只要不违反法律法规、不影响网络运行,都应该支持;第三是支持技术研究,如支持LUG(学生Linnux协会)开展PXE启动、开源软件镜像等技术探究。

    对于用户接入而言,用户IPv6在校内接入是没有认证的,并且使用无状态地址分配方式,只要接入设备安装IPv6协议就能分到地址,最大程度方便用户。

    在校内,还有子网用户接入。不少实验室/办公室建立子网,通过地址转换设备连接到校园网,有接入IPv6需求。可以将IPv6数据包桥接到内网,让内部用户使用IPv6,也可以分配到独立网段,设置静态路由。子网用户的独立网段IPv6接入,可以给子网分配IPv6/64前缀,核心交换机设置静态路由。子网管理员在子网的网关设备上设置内外接口IPv6地址,默认路由;设置内部RA广播;启动路由功能。

    中国科大校园IPv6应用服务基础IPv6环境有DNS、OpenVPN,现有应用的IPv6原生支持包括BBS/IPTV/FTP/个人主页/高性能计算等。学校没有设置防火墙,但并不代表没有安全措施。学校设有IP黑名单系统,可以直接封禁违法或有问题的IP;针对校外发给校内的流量,也有IP黑洞系统,快速有效地防范受影响的IP地址对校园网的威胁。

    (本文刊登于《中国教育网络》2018年10月刊,本文根据张焕杰在2018ISC互联网安全大会上的发言整理而成,整理:杨洁)

责任编辑:王彩屏

免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。读者应详细了解所有相关投资风险,并请自行承担全部责任。