校園網站IPv6布署探析

摘要：IPv6規(guī)模部署是國家網絡強國戰(zhàn)略的重要支撐，也是萬網融合的技術核心。2017年11月26日，中辦國辦印發(fā)的《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》（以下簡稱《行動計劃》），明確了推進IPv6部署的重要意義。為加快推進我國IPv6的規(guī)模部署，切實做好《行動計劃》有關工作，國務院辦公廳等重要部門，先后下發(fā)多項政策性文件，貫徹落實《行動計劃》有關要求。本文重點闡述了IPv6部署的意義，并提出了解決方案。

關鍵詞：IPv6;IPv6轉換服務;IPv6解決方案

IPv6是英文“Internet Protocol Version 6”（互聯(lián)網協(xié)議第6版）的縮寫，是互聯(lián)網工程任務組（IETF）設計的用于替代IPv4的下一代IP協(xié)議，其地址數量號稱可以為全世界的每一粒沙子編上一個地址 。由于IPv4最大的問題在于網絡地址資源不足，嚴重制約了互聯(lián)網的應用和發(fā)展。IPv6的使用，不僅能解決網絡地址資源數量的問題，而且也解決了多種接入設備連入互聯(lián)網的障礙。

一、IPv6部署的意義

隨著IPv4地址的耗盡，發(fā)展基于IPv6的下一代互聯(lián)網，不僅是互聯(lián)網演進升級的必然趨勢，更是助力互聯(lián)網與實體經濟深度融合、支撐經濟高質量發(fā)展的迫切需要，對于提升國家網絡空間綜合競爭力，加快網絡強國建設具有重要意義。

針對目前IPv6部署困境，國家要求“突破關鍵前沿技術，構建自主技術產業(yè)生態(tài)”，提出支持采用網絡過渡、網絡安全、新型路由等關鍵技術創(chuàng)新。實現網站應用的平滑遷移。為保證網絡安全，國家也同步提出了關于強化網絡安全保障，維護國家網絡安全，進一步升級改造現有網絡安全保障系統(tǒng)，提高網絡安全預警管控、快速處置、偵查打擊能力的相關建設要求。

二、IPv6解決方案

根據國家要求，校園網站升級需進行全方位雙棧改造，包括整個網站的網絡設備、安全設備，應用系統(tǒng)等，如將上述內容全部進行IPv6升級，將是一個高成本、周期長極其復雜的過程。實現IPv6升級，需要IPv6轉換服務，IPv6轉換服務提供IPv6和IPv4網絡地址和協(xié)議的轉換，通過該服務可以不改變網站原碼及網絡結構，快速、批量化完成多個網站及應用的升級。

（一）方案一：IPv6轉換服務（公有云）方式

1.方案規(guī)劃

在IPv6轉換服務平臺將校園門戶網站全部主域名、子域名及獨立IPv4地址進行配置，實現原IPv4網站的IPv6接入服務能力。通過該服務可以不改變網站原碼及網絡結構，在IPv6云轉換服務平臺配置網站翻譯數據后，客戶端添加網站權威DNS的AAAA解析記錄即可完成網站IPv6改造，確保IPv6網絡用戶的正常訪問。

2.方案效果

公有云方式不需要開通IPv6專線，不支持等保2.0要求的NAT 安全溯源。需用戶單位自行配置4A記錄。

（二）方案二：IPv6轉換服務（私有云）方式

1.方案規(guī)劃

根據校園網絡現狀，結合國家政策及網絡安全法、等保2.0、網絡安全審查辦法等要求，校園網站IPv6升級項目也可采用IPv6轉換服務（私有云）方式，如下部署模型：

新建IPv6環(huán)境，部署交換機、防護設備功能模塊，提供基礎數據通信通道。以上網絡和安全設備支持IPv6協(xié)議，通過四六橋平臺支持IPv6訪問網站。在權威DNS服務上增加網站AAAA解析記錄，IPv6地址指向四六橋平臺，使IPv6用戶訪問校園網絡時，經過四六橋的協(xié)議轉換平臺，將IPv6訪問請求轉換為IPv4訪問請求，并通過原有的IPv4安全體系規(guī)則過濾，到達內部應用系統(tǒng)。

2.方案優(yōu)勢

優(yōu)點1：快速部署實現IPv6用戶對校園網站及下轄應用系統(tǒng)的訪問。

優(yōu)點2：這樣設計的目的主要是考慮給升級改造預留一個過渡期，不需立即對原IPv4網站進行全面改造，維持現狀，既能按時完成國家對IPV6的升級要求，又能實現網站IPV6終極改造的平滑過渡，避免開發(fā)成本的浪費。

優(yōu)點3：在現階段IPv6網絡安全發(fā)展不成熟的情況下，冒然直接升級會增加網站被攻擊的風險。而使用私立橋平臺技術方案，網站安全策略可保持現有成熟的IPv4安全方案不變動，協(xié)議轉換平臺也可作為一種抵御IPv6網絡攻擊的方案。

3.方案效果

采用IPv6轉換服務（私有云）方式以上全部網站及應用系統(tǒng)全部進行轉換。門戶網站以友情外鏈的方式關聯(lián)的其他單位網站，通過門戶網站訪問做一級打開轉換，不做整站轉換。私有云方式，需要配套設備及IPv6專線。

三、結語

IPv6轉換服務解決方案的IPv4/IPv6地址轉換技術可滿足國家對校園網站的考核要求，即網站域名能解析IPv6地址，且二、三級頁面與鏈接能夠打開，IPv6支持度百分百。在不影響原IPv4互聯(lián)網門戶網站對外提供的服務及網絡結構的前提下，IPv6轉換服務平臺只要與網站應用網絡可達，DNS域名解析服務商添加對應的AAAA記錄，即可完成IPv6升級，并滿足原所有網站在IPv6環(huán)境下的承載能力，實現IPv4和IPv6的無縫對接、平滑遷移與安全防護。

參考文獻：

[1]高校校園網絡安全隱患與防范措施[J].陸懷平.電子技術與軟件工程.2018（06）

[2]論影響校園網絡安全的因素及其對策[J].劉洪賓.信息系統(tǒng)工程.2012（04）

作者簡介：張鋒（1977.1），男，漢族，黑龍江鶴崗市人，東北大學碩士，鶴崗師范高等?？茖W校，副教授，研究方向：計算機網絡安全。