新疆大学IPv6校园网升级建设*
2010-10-18吴向前
禹 龙,吴向前
(新疆大学 现代教育技术中心,新疆 乌鲁木齐 830046)
新疆大学IPv6校园网升级建设*
禹 龙,吴向前
(新疆大学 现代教育技术中心,新疆 乌鲁木齐 830046)
2008年10月,新疆大学“CNGI新疆大学驻地网的建设”项目的完成实现了与CERNET2骨干IPv6网络相连,2010年新疆大学依托“教育科研基础设施IPv6技术升级和应用示范”项目,将校园网升级到下一代互联网,使其成为学校新一代教学和提供科研信息的基础设施。
IPv6;校园网升级;CNGI
新疆大学依托“教育科研基础设施IPv6技术升级和应用示范”项目,到2010年底前,在接入CERNET和CNGI-CERNET2的基础上,将校园网升级到下一代互联网,建立安全、可控、可管和可运营的下一代校园网试商用环境,实现校园网用户的IPv6普遍访问和校园网信息资源的IPv6普遍服务,使其成为学校新一代教学和提供科研信息的基础设施。
一、新疆大学I P v6网络升级设计原则
新疆大学在进行本次校园网升级设计时,主要遵循了以下原则:
(1)高性能:网络要求具有数据、图像、语音等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。
(2)高可靠性:网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。
(3)标准化:所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。
(4)可扩充性和可扩展性:所有网络设备不但满足当前需要,并在扩充模块后,满足可预见将来的需求。
(5)易管理性:网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。
(6)安全性:在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。同时符合国家关于网络安全标准和管理条例。
(7)灵活性及可扩展性:根据未来校园网环境的增长和变化,网络可以平滑地扩充和升级,最大程度地减少对网络架构和现有设备的调整。
二、新疆大学校园网I P v6网络升级建设内容
结合新疆大学校园建设,整个校园网络主要分为校本部、南校区、北校区。在本次校园网升级建设中,主要包括了以下建设内容:
(1)设备升级。新疆大学原有的在网设备是多年前的北电设备,不支持IPv4/IPv6双栈。本次改造后采用的核心设备是H3C的S9508E,汇聚设备是H3C的7503E,支持双栈,可以满足师生对CERNET和CERNET2资源的同时访问。
(2)校园网架构的改造。新疆大学原有网络架构基本采用二层网络架构模式,网络扩展性不强,办公区的广播风暴,病毒攻击等会直接影响到核心交换机的性能,对整网的网络性能影响较大。通过此次升级全网网络架构改造为三层架构。
(3)校园网骨干网带宽升级。伴随着信息化建设的深入,学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等业务系统在内的校园信息系统建设要求核心交换能够提供无瓶颈的数据交换,主干万兆已成为校园网发展的趋势。新疆大学校园网原有网络骨干是千兆,本次改造将提升到万兆。
(4)校园网可靠性的提升。校园网现网存在部分HUB设备,不支持生成树协议,一旦发生环路,将导致该区域处于瘫痪状态,本次改造要求把环路对网络的破坏性降到最低。
(5)校园网安全防护的提升。目前的接入层设备由于采购时间较早,不支持ARP攻击防御,不支持ACL以及环路检测等安全特性。对ARP攻击、DHCP仿冒等不能有效防御。本次改造需要对校园网的安全进行合理规划,有效防止各类安全事件。
(6)无线用户接入。本次升级,在校园网新增无线网络设备,以扩大IPv6的接入范围和接入手段。
(7)应用系统IPv6升级。校园信息资源和应用系统IPv6升级,包括基本网络服务系统和校园信息系统,在校园网范围内逐步实现IPv6访问优先。
三、新疆大学校园网整体拓扑设计
升级后的新疆大学网络拓扑结构如图所示,分为核心层、汇聚层、接入层。核心层主要承担高速数据交换的任务,同时要为各汇聚节点提供最佳传输通道。在部署IPv6核心层设备时,要特别注意在双栈环境中的设备转发性能是否能够达到线速转发。新疆大学校本部核心层部署两台S9508E,实现万兆双链路捆绑,保证核心设备间的高性能转发及冗余,实现汇聚设备的双链路上行,提高骨干链路可靠性。南校区核心层部署一台S9508E,上行万兆连接到校本部核心交换机。北校区核心层部署一台S7510E,上行万兆连接到校本部核心交换机。
汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中,承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性,必须使用模块化、分布式转发的体系结构,可通过增加板卡提高端口密度,以便汇接更多的接入层设备,并能提供良好的性能保障。在IPv6部署时,特别需要支持IPv6路由,转发等基本功能,同时要考虑将来IPv6 VRRP(虚拟路由器冗余协议)用来提供对用户的网关冗余。新疆大学三个校区分别都有学生区、家属区、办公区,对于办公区和学生区,按照楼宇内用户规模分为了重要楼宇和非重要楼宇,对于重要楼宇,每个楼宇内部署S5528C-EI作为其汇聚交换机。对于非重要楼宇,按照区域部署S7503E/S7510E作为非重要楼宇的汇聚接入。
接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等攻击方式,对安全性的要求很高;另一方面必须提供灵活的用户管理手段。在部署IPv6网络时,首先要考虑接入层交换机支持对双栈用户进行认证,IPv6 HOST,IPv6 ACL等功能,同时在IPv6中,用户可能遭受ND(邻居发现协议)攻击,接入层交换机也需要支持ND防攻击的相关功能。在此次升级中,接入层设备采用的是支持IPv6管理并具有安全特性的产品E126A。
四、关键技术应用
1.双栈技术
目前由IPv4网络向IPv6网络发展的技术演进有多种选择,例如隧道技术、双栈技术、NATPT(Network Address Translation+Protocol Translation)技术。经过比较,新疆大学校园网升级采用了双栈技术进行建设,采用同时支持IPv6/IPv4的网络设备进行组网建设,使得校园网平台同时支持两种业务流的承载和互通。
2.NATPT技术
NATPT技术主要实现IPv4到IPv6协议的转换,用于IPv4终端访问IPv6资源或是IPv6终端访问IPv4资源。在新疆大学的部分区域目前无法覆盖IPv6,对于这些区域的用户可以通过NATPT技术,使其能访问IPv6下的资源。
3.IRF2技术
IRF2是智能弹性架构,当两台核心交换机利用IRF2技术被成功虚拟成一台设备后,在端口容量扩大一倍的同时,实现了通过一个管理界面进行统一管理,同时,对整个网络的架构产生了极大的简化,原本需要通过MSTP(Multi-Service Transfer Platform)或者路由等技术隔离的环网变成点到点的链接,相应的网络故障收敛时间也由原来的秒级降低为毫秒级。通过对校本部两台核心交换机S9500E配置了IRF2,使校园骨干网的可靠性得到提升,保障了业务的连续性。
4.OSPFv2/OSPFv3技术
路由设计采用的方案是IPv4部分使用OSPFv2路由协议,IPv6部分使用OSPFv3路由协议,三层设备上同时运行OSPFv2和OSPFv3两套协议。这样做的优点是简化管理,OSPFv3的路由规划思路参考IPv4中OSPFv2路由规划,包括域的划分、VLAN的划分,域中设备的数量及拓扑等路由协议要素可以与原有的OSPFv2的规划保持一致。
5.环路检测技术
校园网用户在自行连接线路时,很可能产生网络环路,这些都会引发广播风暴,使网络不能正常应用。因此,就必须要求有效监测手段能够快速地发现环路,通知网管对其采取措施。端口环回检测则可以用于发现交换机任一个端口下的环路,有效并及时解决用户环路故障。需要注意的是,和stp不同,loopback-detection主要用于发现交换机一个端口下的环路,比如下接HUB或者自环的情况。而stp主要用于避免不同端口之间相连形成的环路。
6.ARP攻击防御
在校园网中,ARP攻击是目前最为常见的一种攻击手段。攻击者可以发送伪造ARP报文进行欺骗,导致网络中的其他主机(包括网关)维护的IP-MAC地址转换映射表被恶意篡改,由于所有的网络通信最终都需要使用IP-MAC地址转换映射表,因此ARP欺骗可以造成内部网络的混乱,让被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。
新疆大学在此次网络升级中采用的ARP攻击防御手段是:在接入交换机上实现ARP入侵检测,即对ARP报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。在网络核心交换机上部署ARP欺骗防御策略,避免网关设备的ARP表被污染。这种方法依靠接入交换机的ARP入侵检测功能和核心交换机的ARP欺骗防御策略来全面防御ARP欺骗攻击,防御效果较好。
五、应用系统的升级
目前已经实现了Web、DNS、FTP,流媒体等基础应用的IPv6服务,下一步要做的是将新疆大学的统一门户、办公自动化(OA)、数据交换中心、网络教学平台、电子邮件、数字图书馆等重大应用进行IPv6升级,同时实现基于802.1x的认证/计费系统的IPv6升级。
六、总结
新疆大学将充分利用CERNET2已取得的重大成果,建立安全、可控、可管和可运营的下一代校园网试商用环境,将IPv6技术的应用在校园网中进一步推广,扩大IPv6用户群和应用的范围,推动IPv6试商用的快速发展。同时新疆大学将充分发挥CERNET新疆主节点的作用,为新疆院校提供IPv6接入的硬件设施以及技术指导,带动新疆院校IPv6技术的应用,为我国下一代互联网向深度和广度发展做出贡献。
[1]中国互联网络信息中心(CNNIC).中国互联网络发展状况统计报告[S].2009.
[2]中国教育与科研计算机网.中国下一代互联网示范工程核心网CERNET2,2009.
[3]周逊.IPv6下一代互联网的核心[M].北京:电子工业出版社,2007.
(编辑:杨馥红)
TP398.18
B
1673-8454(2010)21-0028-03
新疆自治区高校科研计划项目(XJEDU2009S08)。