高校IPv6網(wǎng)絡(luò)技術(shù)應(yīng)用實踐

1、高校IPv6網(wǎng)絡(luò)技術(shù)應(yīng)用實踐技術(shù)創(chuàng)新，變革未來目錄高校校園網(wǎng)絡(luò)簡介省教育科研網(wǎng)簡介校園網(wǎng)IPV6應(yīng)用與管理1. 高校校園網(wǎng)絡(luò)簡介網(wǎng)絡(luò)信息中心定位校園網(wǎng)絡(luò)拓?fù)湫@網(wǎng)絡(luò)特點一流的基礎(chǔ)設(shè)施支撐一流大學(xué)建設(shè)20余年建設(shè)校園網(wǎng)絡(luò) 覆蓋校園各個角落直接服務(wù)科學(xué)研究過程文獻(xiàn)訪問同行交流科研協(xié)作應(yīng)用保障超算服務(wù)高速安全智能穩(wěn)定10余年建設(shè)超算設(shè)施 服務(wù)重點科研方向加大平臺建設(shè)，增強(qiáng)服務(wù)能力校園網(wǎng)絡(luò)承載上網(wǎng)流量、一卡通、視頻監(jiān)控、能源監(jiān)控等10余套業(yè)務(wù)7X24保障全校師生正常使用，保障谷歌學(xué)術(shù)一直可用大陸高校第一家全面開通eduroam學(xué)術(shù)無線網(wǎng)絡(luò)漫游服務(wù)提供學(xué)術(shù)帶寬，近代物理系與CERN的帶寬使用在國內(nèi)前列參

2、與北京、上海、蘇州校區(qū)以及先研院的網(wǎng)絡(luò)規(guī)劃設(shè)計和對接省教育和科研計算機(jī)網(wǎng)覆蓋16個城市，連接教育廳、考試院和省內(nèi)近80所高校保障歷年高招錄取、視頻會議等關(guān)鍵應(yīng)用超算中心“研究組校級共享國家級”三級超算服務(wù)模式支持的高水平科研成果不斷涌現(xiàn)，發(fā)表在nature等一流期刊全校約10%的高水平論文使用超算平臺教育網(wǎng)CERNET網(wǎng)絡(luò)信息中心東校區(qū)西校區(qū)南校區(qū)服務(wù)器群超算平臺聯(lián)通CUNET下一代教育網(wǎng)CERNET2(IPv6)電信CHINANET加速器力三樓力二樓力一樓軟件學(xué)院MBA中心 南區(qū)教學(xué)樓 南區(qū)辦公樓南區(qū)實驗樓南區(qū)圖書館南區(qū)學(xué)生宿舍西區(qū)學(xué)生宿舍力四樓南區(qū)匯聚節(jié)點東區(qū)學(xué)生宿舍行政辦公樓理化中心大樓

3、理化一號樓物理樓東區(qū)活動中心教一樓 教二樓 化學(xué)樓 藝術(shù)樓公共事務(wù)學(xué)院圖書館教三樓 電四樓生命科學(xué)學(xué)院電子工程與信息系 計算機(jī)科學(xué)系信息學(xué)院西區(qū)活動中心高性能計算中心 火災(zāi)科學(xué)實驗室計算中心匯聚節(jié)點 微尺度大禮堂數(shù)學(xué)樓無線網(wǎng)1.7G科技網(wǎng) CSTNET10G1.2G3G2G移動 CMNET1G西區(qū)核心網(wǎng)絡(luò)中心核心先研院核心校園網(wǎng)絡(luò)拓?fù)涫疽鈭D千兆到桌面 網(wǎng)絡(luò)資源豐富 用戶自主性高IPv6/v4全支持高校校園網(wǎng)特點充足的網(wǎng)絡(luò)資源1個自治域號 ASN 450812B IPv4地址，其中1B+32C直接從CNNIC申請，目前使用了約40%/32 IPv6地址多樣的網(wǎng)絡(luò)出口和豐富的可用帶寬2個學(xué)術(shù)網(wǎng)絡(luò)出

4、口：中國教育和科研計算機(jī)網(wǎng)、中國科技網(wǎng)3個商業(yè)網(wǎng)絡(luò)出口：移動、聯(lián)通、電信實際使用帶寬約13G（2萬用戶）IP協(xié)議全支持2005年5月起全校（含OpenVPN用戶）網(wǎng)絡(luò)支持IPv4+IPv6雙棧，穩(wěn)定運(yùn)行13年目前超過1/2的用戶使用IPv62層為主的校園網(wǎng)自2000年從FDDI改造為千兆以太網(wǎng)后，2層VLAN通達(dá)所有位置2層VLAN覆蓋合肥的校區(qū)和上海研究院40%60%IPv4地址已用 空余18%11%21%15%22%13%帶寬教育網(wǎng) 科技網(wǎng) 移動 聯(lián)通 電信 IPv6異地研究院VLAN透傳合肥 路由 器B上海 路由 器B合肥城域 網(wǎng)核心交 換機(jī)科大先研 院交換機(jī)科大東區(qū) 交換機(jī)某項目網(wǎng)絡(luò)科

5、大先研院科大上海研究院科大隧道 虛擬機(jī)Eth0 10.255.34 Eth1 172.16.21.*(電信)Eth2 數(shù)據(jù)口上海隧道 虛擬機(jī)Eth0 10.255.34Eth1 218.22.21.*(電信)Eth2 數(shù)據(jù)口無線AC VLAN200 VLAN XPOE及AP VLAN200 VLAN X8個IP8個IP UDP透傳以太網(wǎng)包 1G帶寬為主線路電信公網(wǎng)為備用線路主用線路故障時,3秒鐘切換開通的業(yè)務(wù)：無線上網(wǎng)，包含eduroam，跟科大 本部完全相同一卡通服務(wù)，跟科大本部采用無線連接上海研究院有線網(wǎng)絡(luò)用戶訪問科大本部上海城域 網(wǎng)核心交 換機(jī)上海研究 院交換機(jī)主備用戶自主選擇出口路由，

6、隨時可以更改用戶9種出口組合 VIP用戶+4種教育網(wǎng)出口電信出口NAT1聯(lián)通出口NAT2Linux服務(wù)器3臺Linux服務(wù)器并行實現(xiàn)認(rèn)證、 路由控制功能，處理約10Gbps流量用戶可以隨時選擇策略，使用不同的出口組合移動出口NAT3科技網(wǎng)NAT4校園網(wǎng)絡(luò)出口拓?fù)鋱D其中一臺Linux機(jī)器 連續(xù)運(yùn)行超過11年校內(nèi) 網(wǎng)絡(luò)2. 省教育和科研計算機(jī)網(wǎng)絡(luò)簡介省教育和科研計算機(jī)網(wǎng)絡(luò)拓?fù)涫〗逃涂蒲杏嬎銠C(jī)NOC省教育和科研計算機(jī)網(wǎng)主干省級教育行業(yè)主干網(wǎng) 連接近80所高校支持IPv4/IPv6協(xié)議省教育和科研計算機(jī)網(wǎng)主干線路與協(xié)議合肥部分高校10G+1G線路省內(nèi)各城市1G線路+VPN備用線路 部分學(xué)校VPN線路

7、接入支持IPv6/IPv4雙棧路由協(xié)議內(nèi)部主干使用OSPF+OSPFv3協(xié)議 BGP承載用戶路由對外：CERNET靜態(tài)路由CERNET2 BGP冗余性主干線路1G+VPN備用線路 合肥局部光纖環(huán)網(wǎng)部分高校雙路由裸光纖，動態(tài)路由或port channel備用IPv4總流量IPv6總流量省教育和科研計算機(jī)網(wǎng)NOC省教育和科研計算機(jī)網(wǎng)LOOKING GLASSIPV6流量合肥工業(yè)大學(xué)安徽大學(xué)安徽農(nóng)業(yè)大學(xué)安徽師范大學(xué)滁州學(xué)院中國科學(xué)技術(shù)大學(xué)IPV6技術(shù)培訓(xùn)每期40人，分8組OSPF/OSPFv3/BGP配置3小時 Nginx/Letsencrypt配置3小時3期，112人參加培訓(xùn)參加培訓(xùn)后， 15所學(xué)

8、校開通了 IPv6服務(wù)3. 校園網(wǎng)IPV6應(yīng)用與管理IPV6發(fā)展歷史IPV6用戶接入IPV6服務(wù)提供IPV6運(yùn)行監(jiān)測IPV6安全措施高校校園網(wǎng)IPV6歷史2000年采用純IPv6鏈路 和隧道技術(shù)相結(jié) 合的組網(wǎng)技術(shù)， 建成校內(nèi)IPv6測 試網(wǎng)2005年校園網(wǎng)改造為萬兆 主干，校內(nèi)全面支 持IPv6，包括 OpenVPN的遠(yuǎn)程用戶 均支持IPv61999年2004年2017年李津生教授承擔(dān)863CNGI-CERNET2中國反向代理支持IPv6，課題高校IPv6科學(xué)技術(shù)大學(xué)節(jié)點600余個網(wǎng)站正式提示范網(wǎng)建成供IPv6服務(wù)網(wǎng)絡(luò)管理理念支持 技術(shù)探究以用戶 為中心開放的 校園網(wǎng)絡(luò)接入方式豐富，滿足各種用

9、戶需要 使用方便快捷，盡量少設(shè)置障礙使用標(biāo)準(zhǔn)協(xié)議，只要是TCP/IP系統(tǒng)，都可以接入只要不違反法律法規(guī)、不影響網(wǎng)絡(luò)運(yùn)行，都應(yīng)該支持如支持LUG(學(xué)生Linux協(xié)會)開展PXE啟動、 開源軟件鏡像等技術(shù)探究/Debian、Ubuntu、Fedora、Archlinux、CentOS等多個 發(fā)行版的官方源大陸高校訪問量最大、收錄最全的兩個開源軟件鏡像之一IPV6主干路由協(xié)議萬兆主干3臺三層交換機(jī)和1臺BRAS處理3層路由其他設(shè)備僅作二層交換機(jī)使用IPv4/IPv6雙棧4臺三層設(shè)備之間路由協(xié)議為OSPFv3BGP協(xié)議與CNGI-CERNET2接入設(shè)備互通部分靜態(tài)路由科大自治域 2400:B600:/

10、32CERNET2合肥節(jié)點自治域CERNET2核心網(wǎng)自治域沃達(dá)豐IIJ HECNGI-IX自治域用戶IPV6接入校內(nèi)接入無認(rèn)證校內(nèi)辦公區(qū)、宿舍區(qū)、無線網(wǎng)絡(luò)直接接入無狀態(tài)地址分配使用無狀態(tài)方式分配IPv6地址只要安裝IPv6協(xié)議就能分到地址，最大程度方便用戶校外用戶OpenVPN，通過電信、聯(lián)通、移動網(wǎng)絡(luò)出口提供用戶接入VLAN接口配置interface Vlan167ip address 54/25ip verify unicast source reachable-via rx ipv6 address 2001:da8:d800:81:1/64 ipv6 verify unicast so

11、urce reachable-via rx ip dhcp relay address BRAS接口配置interface Route-Aggregation1.500vlan-type dot1q vid 500 second-dot1q 51 to 900 dhcp select relayipv6 address 2001:DA8:D800:500:1/64 ipv6 address auto link-localipv6 nd autoconfig other-flag undo ipv6 nd ra haltipv6 nd ra router-lifetime 9000ipv6 su

12、bscriber l2-connected enable ipv6 subscriber initiator ndrs enableipv6 subscriber initiator unclassified-ip enable ipv6 subscriber user-detect nd retry 5 interval 60 ipv6 subscriber unclassified-ip domain ustcipv6 ipv6 subscriber ndrs domain ustcipv6開發(fā)一個簡單的radius服務(wù)器， 僅僅允許特定的地址段上線子網(wǎng)用戶的IPV6接入子網(wǎng)很普遍，有接入

13、IPv6需求不少實驗室/辦公室建立子網(wǎng)，通過地址轉(zhuǎn)換設(shè)備連接到校園網(wǎng)可以將IPv6數(shù)據(jù)包橋接到內(nèi)網(wǎng)，讓內(nèi)部用戶使用IPv6也可以分配獨(dú)立網(wǎng)段，設(shè)置靜態(tài)路由子網(wǎng)用戶的獨(dú)立網(wǎng)段IPV6接入給子網(wǎng)分配IPv6 /64前綴，核心交換機(jī)設(shè)置靜態(tài)路由子網(wǎng)管理員在子網(wǎng)的網(wǎng)關(guān)設(shè)備上設(shè)置如下信息內(nèi)外接口IPv6地址，默認(rèn)路由設(shè)備內(nèi)部的RA廣播啟用路由功能中科大校園網(wǎng)IPV6應(yīng)用服務(wù)基礎(chǔ)IPv6環(huán)境DNS、OpenVPN現(xiàn)有應(yīng)用的IPv6原生支持BBS/IPTV/FTP/個人主頁/高性能計算等網(wǎng)站的大規(guī)模服務(wù)支持使用nginx反向代理服務(wù)器，對外統(tǒng)一提供IPv6+SSL支持0msf j30ms a b c d e

14、 g i k l m300ms h這個不在教育網(wǎng)內(nèi)互聯(lián)網(wǎng)根DNS服務(wù)器30ms以內(nèi)的延遲，在教育網(wǎng)內(nèi)13個 a. m./domain/named.root每個有IPv4、IPv6地址13個的原因是DNS數(shù)據(jù)包最大512字節(jié)的限制實際上遠(yuǎn)遠(yuǎn)不止13個很多服務(wù)器在13個IP地址上提供服務(wù)(AnyCast)/ 公布有官方的，大約幾百個真實的服務(wù)器數(shù)量沒有人能準(zhǔn)確知道教育網(wǎng)內(nèi)的根域名服務(wù)器測量到根域名服務(wù)器的IPv4地址延遲，可以判斷教育網(wǎng)內(nèi)有12個根域名服務(wù)器互聯(lián)網(wǎng)根DNS服務(wù)器任何人都可以做根域名服務(wù)器任何人只要下載 https:/domains/root/files配置好bind，就可以提供根域

15、名服務(wù)要想使用方便，需要劫持相關(guān)的路由教育網(wǎng)劫持了12個根域名服務(wù)器的IPv4路由我校自己提供根域名服務(wù)劫持了13個根域名服務(wù)器的IPv6路由和1個IPv4路由相關(guān)說明/bg6cq/ITTS/blob/master/app/dns/root/README.md校園網(wǎng)劫持的路由# show ip route3/32, ubest/mbest: 1/0*via 2, 20/0, 8w0d, bgp-45081, external, tag 65500 # show ipv6 route2001:500:1:53/128, ubest/mbest: 1/0*via 2001:da8:d800:12,

16、 Vlan640, 20/0, 8w0d, bgp-45081, external, tag 65500 2001:500:2:c/128, ubest/mbest: 1/02001:500:12:d0d/128, ubest/mbest: 1/0 2001:500:2d:d/128, ubest/mbest: 1/0 2001:500:2f:f/128, ubest/mbest: 1/02001:500:9f:42/128, ubest/mbest: 1/0 2001:500:a8:e/128, ubest/mbest: 1/0 2001:500:200:b/128, ubest/mbest

17、: 1/0 2001:503:c27:2:30/128, ubest/mbest: 1/0 2001:503:ba3e:2:30/128, ubest/mbest: 1/0 2001:7fd:1/128, ubest/mbest: 1/0 2001:7fe:53/128, ubest/mbest: 1/0 2001:dc3:35/128, ubest/mbest: 1/0知名學(xué)校主網(wǎng)站特性對比學(xué)校IPv6SSLHTTP/2Harvard UniversityMITStanford UniversityUC BerkeleyUniversity of OxfordCalifornia Insti

18、tute of TechnologyUniversity of CambridgeColumbia UniversityPrinceton UniversityYale UniversityC9學(xué)校主網(wǎng)站特性對比學(xué)校教育網(wǎng)電信聯(lián)通移動鵬博士IPv6SSLHTTP/2中科大北大清華浙大南大上交復(fù)旦西交哈工大https:/ 每個VLAN對應(yīng)一個出口1臺反向代理服務(wù)600個網(wǎng)站 統(tǒng)一申請SSL證書+IPv6支持反向代理服務(wù)器有6個入口 解決訪問速度問題WAF倒置統(tǒng)一攔截各類WEB攻擊LANWAFWEB防火墻WANLinux虛擬機(jī) 反向代理服務(wù)器IPv4/IPv6增加HTTP 頭： Host:X-Re

19、al-IP:X-Forwarded-Proto:兩種SSL證書 L*.獨(dú)立域名證書 自動更新nginx開源軟件 免費(fèi)證書 HTTP2支持用戶的跟蹤與日志記錄采集交換機(jī)上的信息來跟蹤用戶收集3層交換機(jī)用戶的IPv6地址和MAC地址對應(yīng)表show ipv6 nei通過snmp協(xié)議收集2層交換機(jī)的MIB信息可以得到某個MAC地址是在哪個接口下的BRAS使用radius記賬消息提供IPv6地址和MAC地址、2層VLAN的信息使用這些信息，可以任給IPv6地址，可以查出某個時間段對應(yīng)的MAC地址對于宿舍用戶，根據(jù)內(nèi)層VLAN號可以直接定位到宿舍房間任給MAC地址，可以查出接在哪個交換機(jī)的哪個接口下用戶的跟蹤與日志記錄校園網(wǎng)IPV4/IPV6活動機(jī)器數(shù)據(jù)IPv6機(jī)器數(shù)IPv4機(jī)器數(shù)月年一天內(nèi)IPv4機(jī)器數(shù)IPv4機(jī)器數(shù)IPv6機(jī)器數(shù)一天內(nèi)4萬3萬一周內(nèi)6.9萬6.2萬反向代理狀態(tài)測速網(wǎng)站網(wǎng)站訪問SSL測試網(wǎng)站訪問統(tǒng)計網(wǎng)站訪問統(tǒng)計/web/網(wǎng)站監(jiān)測與測試/IP黑名單系統(tǒng)直接封禁IP核心交換機(jī)IP黑名單校園網(wǎng)BGP動態(tài)注入手工添加 日志分析 蜜罐捕獲 東北大學(xué) 其他原理：ip route /32 Null0ipv6 route 2001:d