2018年8月21日,教育部办公厅印发了关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,文件明确了教育部系统IPv6部署的工作目标:到2019年底,各省教育计算机网以及高等学校校园网完成IPv6升级改造。
在上述背景下,目前校园网基础网络的IPv6改造,面临三个主要问题:
1.现有网络如何快速升级;
2.改造后如何符合相关网络安全法规的要求;
3.如何保证与IPv4体验的一致性。
Dr.COM城市热点,作为网络实名安全解决方案的领导者,依据多年的实名安全经验,为高校的IPv6提供Dr.COM IPv6认证管理解决方案,整个方案贯穿IPv6用户从地址分配管理到日志审计的全环节,为校园网解决部署升级中所面临的快速改造、实名认证、认证体验、实名审计、厂家兼容等多种棘手问题。
![9a4445fe2c079a095fe05c43c339a18a.png](https://i-blog.csdnimg.cn/blog_migrate/fd48e5d6390fc54cd647e7fcf618dbae.jpeg)
针对校园网IPv6改造的三个主要问题,城市热点提出以下创新方案:
01
现有网络如何快速升级到IPv6
针对校园网络里大量IPv6试验网、无线公共网,或者二层扁平化网络场景,城市热点的Dr.COM 2366认证网关系统,能够在原有IPv4网络设备上实现DHCPv6地址分发、发布路由前缀等功能,使原网络无需更换网络设备,即可实现IPv6网络的改造。
![4ec57c3aeea5ec927fc0ed98487bb2d7.png](https://i-blog.csdnimg.cn/blog_migrate/b10f2cd40e74ad930505185986440897.jpeg)
对于原使用Dr.COM 2166产品做IPv4网络认证计费运营的客户,提供以下IPv6认证管理改造升级方案:
IPv6独立网关方案
下图为升级前的网络拓扑:
![74b20d212ddd0fdca6ec6cb2637b6d9c.png](https://i-blog.csdnimg.cn/blog_migrate/b9a0db888e978230dd147bafc3552434.jpeg)
升级改造后的组网如下图:
![def968d19eaa8e9c126ca018a53fb273.png](https://i-blog.csdnimg.cn/blog_migrate/652add5f882002f1d0975ebc958d6ac4.jpeg)
(灰色是原有无需改动部分,蓝色部分是升级改造的部分。)
本升级方案中原有的IPv4出口的认证网关不变,另外部署专用的IPv6认证网关实现IPv6出口的认证控制管理,本方案适用于大用户量和IPv6大流量的高校。
v4v6出口统一网关方案
升级改造后的组网如下图:
![dfee85d8acf692a19e6367d77c13f29a.png](https://i-blog.csdnimg.cn/blog_migrate/d3e2db529bbf2d3e40b6dcbb4710c63f.jpeg)
(灰色是原有无需改动部分,蓝色部分是升级改造的部分。)
本升级方案使用一台认证网关同时处理v4v6出口的用户接入认证,适用于用户量和IPv6流量较少的高校,可以节省设备投资和维护成本。
2166 Radius旁挂
下图为升级前的网络拓扑:
![00febe33fe36cbfb9fe590264246092a.png](https://i-blog.csdnimg.cn/blog_migrate/04cd405f29582cc4168d631d07089f6b.jpeg)
升级改造后的组网如下图:
![94fb5cce9d08cea53e3528f35ba7c157.png](https://i-blog.csdnimg.cn/blog_migrate/1faf0bf9e9767f3b825a2ae539a1e189.jpeg)
新建IPv6网络情况下的解决方案
认证网关串接方案
方案拓扑:
![bb48e2a2e8d6e8ab8b012cce4e5144f2.png](https://i-blog.csdnimg.cn/blog_migrate/a4be2daa951a185d95e6ff611f3fd8cf.jpeg)
组网模式:
原有IPv4局域网不进行改造,新建的IPv6网路部署IPv6汇聚交换机,并开启双栈,向上连接IPv6网络。IPv6汇聚交换机配置IPv6 over IPv4隧道实现IPv6的连接。网络中其余设备均无任何变化,原有IPv4业务正常运行。
旁挂对接NAS方案
方案拓扑:
![17184e9052d9505c307f2d626811691c.png](https://i-blog.csdnimg.cn/blog_migrate/e92142947103a0680614f08f7fd110a8.jpeg)
(灰色是原有无需改动部分,蓝色部分是升级改造的部分。)
组网模式:
原有IPv4局域网不进行改造,新建的IPv6网路部署IPv6汇聚交换机,并开启双栈,向上连接IPv6网络。IPv6汇聚交换机配置IPv6 over IPv4隧道实现IPv6的连接。网络中其余设备均无任何变化,原有IPv4业务正常运行。
本升级方案中原有的认证系统架构不变,只需软件版本升级增加v6用户认证策略、支持BRAS的v6认证、策略相关功能,另外增加智能DHCP处理v6地址的统一分配管理和无感知认证。
02
IPv6网络如何符合网络安全法规
近年来无线网已成为校园网络主要组成部分,基于终端兼容性问题,无状态地址自动配置已成为校园网主要的IPv6地址分配方式。而无状态地址变化频繁,且NDP通信被隔离在二层环境下,当IPv6网络出现安全威胁时,无法溯源终端的网络位置,难以找到元凶,还无法满足网络安全法的日志审计要求。
城市热点的Dr.COM 智能DHCP系统可实现配合终端实现无状态地址自动配置,同时支持DHCPv6和DHCPv4,方便网络管理者统一管理配置,对全网用户的地址分配进行详细接入审计。
![4471ce9fde580b67b3809e996532a80f.png](https://i-blog.csdnimg.cn/blog_migrate/13d69a3e3fdd5d3ada24395f8c8c0eab.png)
城市热点的Dr.COM智能DHCP系统通过与校园统一身份认证系统、Dr.COM认证系统或第三方外部认证系统对接,用户使用实名账号在Dr.COM智能DHCP自助注册MAC,完成实名注册后才可获取IPv4或v6地址,最终并形成实名地址审计日志,满足了网络安全法的法规要求。
![52b206ea3fb1348ae93eb3d7559fd214.png](https://i-blog.csdnimg.cn/blog_migrate/61ef2dc97138f40f8224fe9da9c4f05b.jpeg)
![d9e24bb4e3ab3384f7a13757da3757de.png](https://i-blog.csdnimg.cn/blog_migrate/5efc73e70e3f729e96c473537dfcf6cb.jpeg)
![17360d36dd89361650af084182f811a6.png](https://i-blog.csdnimg.cn/blog_migrate/f1920ca5a7835ab670a550bf6cb0bcbc.jpeg)
03
如何保证与IPv4体验的一致性
保证IPv6网络与IPv4网络相同体验,包括IP无感知认证、IPv4IPv6联动认证和运营商融合三方面。
无状态地址变化频繁,意味用户需要反复认证,使用体验很差,如果要实现与IPv4体验一致的无感知认证,要求认证系统能够兼容不同网络设备厂商的无感知认证方法。
城市热点支持不同部署场景下实现IPv6无感知认证。
认证网关场景
Dr.COM 智能DHCP系统与Dr.COM 认证网关具有无感知认证接口,实时同步IPv6用户的IP地址状态,确保地址变化后用户能够完成无感知认证上线。
![3bb922ba4d45994ab9ad9560a56f3e6f.png](https://i-blog.csdnimg.cn/blog_migrate/ebb7d36a5b9d61cb22443edf4460d9ae.jpeg)
旁挂Radius服务器场景
Dr.COM 认证服务器支持主流的IPv6有线无线准入设备厂家的v6地址变更通知机制和相关报文属性,如华为、华三、锐捷等厂家,实现用户的无感知、精准计费和日志审计。
![a8bbb59b41f282f7fe2d0e3fa8535445.png](https://i-blog.csdnimg.cn/blog_migrate/e881e81f830962c8c940b6f282940434.jpeg)
(图为Dr.COM 2166 Radius配合华三AC实现用户切换ssid地址变更后的无感知在线记录)
双栈联动认证
IPv4v6双栈环境是目前IPv6过渡阶段的主要形态,主机同时具有IPv4和v6地址,为提供流畅的接入体验,需要解决双栈终端一次认证即可双栈接入上网的问题。
Dr.COM认证系统产品满足在不同部署场景下的双栈联动认证。
如旁路认证模式:
IPoE、Portal、802.1x认证环境下,Dr.COM Radius服务器支持不同厂家BRAS不同认证方式的v4v6地址通知机制,通过与第三方BRAS的Radius报文交互实现v4v6联动上下线,交互报文包括上下线、CoA、计费更新报文等。目前经过实际项目对接支持的厂家包括华为、华三、锐捷、Juniper等。
![6d7aaaa0bf2153f61364be062538397f.png](https://i-blog.csdnimg.cn/blog_migrate/f590c7396d14ee14397239aa0251ac87.jpeg)
(图为Dr.COM Radius服务器及Portal服务器配合锐捷RSR7708配合v4v6实例图)
运营商PPPoE v6代拨支持
目前各大运营商投资高校模式主要技术对接方案为PPPoE代拨,随着运营商IPv6业务的大规模开展, PPPoE v6代拨是必然趋势。Dr.COM 2177代拨认证网关完整支持PPPoEv6,可将内网有线无线接入的任意准入认证请求触发运营商PPPoEv6请求,并使用户同时获取IPv4和IPv6地址。
![8365f68f641ae8e9e4ad5cbec819f86d.png](https://i-blog.csdnimg.cn/blog_migrate/7609f9f83a74a2f77635b7ea675b573d.jpeg)
认证网关模式:
Dr.COM 认证系统作认证网关部署时,能采用WEB方式同时获取用户的v4v6地址(需网络为双栈环境),并根据策略并联动上线(WEB认证方式)。
Dr.COM IPv6认证解决方案还有以下特点:
01
访问控制
Dr.COM认证网关具备完整的IPv6访问策略,包括登陆源IP策略、目标地址策略、专线IP策略和独立的IPv6流量计费策略。
![35d8fb4c82c536e56daf0f800ce5474a.png](https://i-blog.csdnimg.cn/blog_migrate/d60f8324f6387c605d4e8195ae540edf.png)
![2326233f97cd54e44e086119f0baaadb.png](https://i-blog.csdnimg.cn/blog_migrate/81809149ebc20ca5476e6d7e4e385128.png)
![bb6c8dbf21a39231b9c1cc966df83b49.png](https://i-blog.csdnimg.cn/blog_migrate/896fe30cc4082565b61d70ede7783504.png)
02
广泛的厂家兼容性
广泛的设备厂家IPv6兼容性,城市热点秉承一贯的兼容互通原则,支持包括华为、华三、锐捷、Juniper等的Portal v6协议、Radius v6厂家属性、v6无感知认证方法等IPv6相关业务功能特性,保障客户投资和方案灵活性。
03
运营支撑工具
除了独立的IPv6用户在线分析、活跃分析报表等的业务后台,还提供手机端IPv6助手,帮助用户一目了然IPv6地址情况和互联网联通状态,如有故障可一键提交后台快速分析定位,帮助网络管理者高效率可控的完成IPv6网络快速部署
![ad3e9af2acbebfe50244b553dd9e470a.png](https://i-blog.csdnimg.cn/blog_migrate/48128e755989df4ccdfb564f44573e1a.jpeg)
![86578afec0a671dbaf929241248a7432.png](https://i-blog.csdnimg.cn/blog_migrate/d3fc4f596ec824ed8b5de5165a0c0ac5.jpeg)
Dr.COM城市热点的IPv6综合性解决方案,提供IPv6升级改造中全环节的技术服务;相信不久之后,中国将会迎来IPv6发展浪潮,智慧高校也将在IPv6的大势所趋下,迎来全新的发展,我们要做的,是要在IPv6浪潮爆发前,以积极的姿态全面做好IPv6升级改造工作。
关注Dr.COM城市热点公众号,了解更多校园网IPv6升级改造资讯。
![d243842ec3c517356c4e2725350538f4.gif](https://i-blog.csdnimg.cn/blog_migrate/561cda04a49d646fc749a481fbcd157d.gif)