高校网络IPv6双栈部署与反向代理应用实践

◆廖学斌 张玉才

高校网络IPv6双栈部署与反向代理应用实践

◆廖学斌 张玉才

（嘉兴学院 浙江 314001）

下一代互联网IPv6是拓展网络空间和解决网络空间安全问题的重要发展机遇，高校校园网络从纯IPv4向纯IPv6升级是一场大规模网络工程，运用适合的技术平滑过渡使IPv4资源与IPv6资源互联互通很重要。本文从双栈技术和反向代理技术的部署实践中，介绍相关的工具和配置方法，讲述如何实现网站资源在IPv6环境下访问使用。

校园网；IPv6；双栈技术；反向代理

0 引言

新一代互联网技术IPv6在教育系统的应用近年来加速展开，各大高校的校园网建设和管理工作迎来了新机遇与挑战，以IPv6技术为代表的下一代互联网建设是大势所趋。近十年来，我国相关研究机构、高校、厂商及运营商紧跟IPv6技术发展，投入技术和产品研发，为下一代互联网的大规模实施奠定了较好的基础。自2017年11月中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，相继又出台了多项政策措施推动IPv6规模部署和快速发展。

为贯彻落实行动计划，教育系统制定目标在2020年底各类门户网站和重要应用业务系统完成升级改造，实现IPv6环境下的访问使用。本文以某高校校园有线网络的IPv4/IPv6双栈部署和Nginx反向代理技术应用案例为基础，介绍相关的技术和关键问题，提供高校校园网络IPv4向IPv6过渡的实践经验。

1 网络与应用现状

目前，本实践中的校园网络环境为基于QinQ技术的扁平化大二层结构，与传统的“核心-汇聚-接入”的三层交换型组网模式相比，网络管理更简单和精细化，该网络扁平化改造后已平稳运行6年，BRAS设备采用的是Juniper的MX960。校园网络的出口有电信、联通、移动和教育网四家ISP，其中教育网CERNET2为教育系统接入纯IPv6网络提供了最佳入口，截至2019年1月，CERNET已接入IPv6的高校用户达1795个，用户超千万人。

本校园网络此前一直提供纯IPv4业务支持，物理拓扑结构简单清晰，如图1所示。为实现网络平稳升级至纯IPv6环境，经过对现有条件和技术进行分析，本网络采用双栈技术作为IPv4向IPv6升级的过渡阶段，目标是实现校园有线网用户终端体验IPv6上网和网站服务器提供双栈web访问服务。

图1 校园网络物理拓扑结构图

2 IPv6升级改造关键技术与反向代理

2.1 三大过渡技术

自2004年CNGI-CERNET2实验网开通以来，国内教育系统IPv6网络的部署实践从未停歇，为实现两种网络协议的平稳过渡，目前的三大技术策略为双栈技术、隧道技术、翻译技术。

双栈技术即双协议栈技术，特点是网络环境中骨干网设备同时运行IPv4和IPv6两套协议，问题是对硬件环境改造升级任务较多，成本较大，同时增加了现阶段网络的复杂性，但为升级到纯IPv6网络准备了良好基础，本实践中采用此技术。双栈方案是引入IPv6并实现其与IPv4共存的最直接、最简单的方案，成为推动IPv6演进的基础[1]。隧道技术特点是以现有的IPv4路由体系来传递IPv6数据，缺点是不能解决IPv4和IPv6网络的互通，该技术是过渡阶段较为常见易用的。翻译技术是在通信中间设备完成IPv4和IPv6网络之间分组地址转换和协议翻译的统称，包括有状态的翻译技术NAT-PT、NAT-64和无状态的翻译技术IVI等，用户单位可以采购IVI翻译器、IPv6云解析服务等方式实现应用的IPv6访问，但现有网络环境并没有改造。

2.2 IPv6地址设计

在校园网络进行部署规划前，通常需要先对IPv6地址进行设计。建议从已申请的IPv6地址中分出一段地址专门用于设备管理和互联地址，例如2001:xxx:4801::/48管理地址用2001:xxx:4801:1001::/64，互联地址用2001:xxx:4801:FFFF::/64。在划分IPv6业务子网时，采用64位前缀作为网络地址，在第49—64位地址为IPv4 VLAN编号，格式为：2001:xxx:4801:1002::1/64，后64位地址为用户主机编号。

IPv6地址分配方式可分为手工配置和自动配置，自动配置又分为有状态地址自动分配（DHCPv6）以及无状态地址自动分配。有状态地址分配方式和DHCPv4类似，依赖DHCPv6协议从DHCPv6 Server的地址池中获取可用的IPv6地址，优点是策略可控，便于溯源，缺点是原生安卓系统不支持获取，若IPv6部署在无线网络中，多数安卓系统的移动终端无法正常获取地址。无状态地址自动配置摆脱了复杂的DHCPv6协议，依赖ND（Neighbor Discovery，邻居发现）协议即可完成地址自动配置，支持所有终端，配置简单，缺点是无法下发IPv6 DNS且地址变化频繁，本实践给客户端分配的是无状态地址。

2.3 IPv6环境下的反向代理

反向代理（Reverse Proxy）是从目标内容服务器上抓取内容返回给请求客户端的技术，代理服务器充当一个中介功能。反向代理技术在提高服务器集群访问速度、保护真实服务器安全等方面应用越来越广泛，同时也能够在IPv6环境下解决服务器支持双栈访问服务问题发挥重要作用。如果内部网络暂时没有IPv6网络，可以把代理服务器部署在其他支持IPv4与IPv6的网络机房，从而实现IPv4与IPv6的同时访问[2]。主流的反向代理工具有Squid、Nginx、HAProxy等，其中Nginx支持多核、集群、代理插件、热启动，通过插件可以充当多角色服务器，性能较强，虽不支持外部文件正则匹配，但业务可塑性很强。

3 部署实施主要过程

3.1 网络主干双栈打通

校园网络IPv6部署前首先需明确主干各设备对IPv6支持情况，在尽量不改变现有网络拓扑的原则上对网络升级进行设计，尽量不影响用户的上网体验，升级应充分考虑可持续发展性和可管理性。网络主干从内到外通常包括核心交换、安全防火墙、链路负载均衡等串行设备，这些设备对IPv4和IPv6的双协议支持很关键。若此前采购的设备不具一定的先进性，只能更换新设备或者增加IPv6专用物理链路绕过不支持IPv6的串行设备。本校出口所使用的链路负载均衡设备Radware Linkproof升级系统版本也无法解决IPv6的支持问题，为消除此瓶颈，在考虑经济成本的基础上，将链路负载均衡功能和防火墙功能集合在一个设备上，采购一台性能更佳的山石网科防火墙，淘汰Radware设备和已使用6年的出口防火墙。另外，网络核心为Juniper MX960，该设备的路由转发性能强大，完全支持IPv6、组播等功能。至此，后续的IPv6配置工作可以顺畅推进了。

3.2 IPv6路由配置

按照规划好的IPv6地址分别配置在出口设备各端口上，配置相应的路由，测试路由可达。首先配置好教育网接入交换机上的IPv6路由，然后配置出口防火墙的静态路由，如图2所示。

图2 出口防火墙IPv6静态路由示意图

3.3 网络核心配置

本校扁平化大二层网络结构简化了IPv4/IPv6双栈部署工作，对于核心BRAS设备而言，IPv6接入支持IPv4所有接入方式及应用，只是获取地址的协议发生了变化，认证、授权和计费机制基本没有变化。按照IPv6地址规划，可对Juniper MX960上的接口配置和DHCP配置进行预先文本编辑，再一次性导入运行。MX960上的DHCP配置有2种方式，1种是手工建立各子接口，1种是使用demux动态建立子接口。配置步骤包括：指定地址池、配置radius服务器、建立子接口、将子接口和地址池相关联等。其中具体配置地址池范例如下：

set access address-assignment pool ipv6-yuexiu family inet6 prefix 2001:da8:****:1000::/64

set access address-assignment pool ipv6-yuexiu family inet6 range 1 low 2001:da8:****:1000::100/128

set access address-assignment pool ipv6-yuexiu family inet6 range 1 high 2001:da8:****:1000:ffff::fffe/128

set access address-assignment pool ipv6-yuexiu family inet6 dhcp-attributes maximum-lease-time 7200

3.4 Nginx反向代理搭建

校园网络的服务器区部署着WAF、负载均衡等物理设备，且实体服务器和虚拟服务器上都运行着各类业务系统。在选择IPv6改造方案时，应尽力隔离IPv6网络和现有IPv4网络，避免IPv6网络的未知威胁对现有IPv4网络造成冲击[3]。同时为避免业务中断和大幅度调整设备配置，目前决定使用反向代理技术能最快速使业务系统支持双栈访问，在一定程度上也能够保护目标服务器的安全，本次采用Nginx反向代理工具。首先，创建一台虚拟机，安装的是Ubuntu 18.04.2 Linux系统，网卡上配置好IPv4和IPv6地址之后，进行重定向配置，如下所示：

DNS解析方面，需要在DNS服务器上添加相关IPv6访问的AAAA记录，当用户端在IPv6环境访问域名时，自动解析并访问反向代理服务器的IPv6地址。值得注意的是，针对一些特殊应用，使用非 80 端口，如 8080 等，只需要在反向代理服务中配置对应回源端口，并在服务器中监听相应端口即可实现端口转发功能。

4 结语

经过以上IPv4/IPv6双栈技术和反向代理技术在校园网络的部署实践，实现了门户网站通过IPv6环境对外提供访问，当然，其他业务系统也可以添加实现。在一段时间内，我国计算机网络将会处于纯IPv4网络、双栈网络和纯IPv6网络并存的时期。本改造实践案例充分利用现有多种改造技术的优点，既能实现预期改造目标，又能节省资金成本，为逐步过渡到纯IPv6环境打下良好基础。相信IPv6的通路问题只是迈向下一代互联网时代的第一步，教育系统在IPv6技术的规模部署和创新应用等方面会做得越来越好，重点互联网应用的升级将进一步提速。

[1]张亚舟. IPv6迁移部署过程中的技术策略分析和研究[J].金融科技时代,2019.

[2]吴金堂,耿方方.IPv6环境下反向代理IPv4网站及安全防护的研究与实现[J].中小企业管理与科技,2019.

[3]何黎明,梅洪.省级电子政务外网互联网区IPv6改造研究[J].江西通信科技,2019.