◆曾炜
(南京晓庄学院江苏 210017)
在互联网的发展过程中,IPv4向IPv6的演进已经成为必然选择。目前,IPv4网络面临着地址消耗殆尽、服务质量难以保证等一系列问题,另一方面,互联网的规模仍在快速增长,特别是在用户端,移动设备的数量增长迅速,这又导致了对新IP地址分配的不断需求。IPv6是对IPv4的重新设计,它不但可提供几乎取之不尽的IP地址,还具有可控可管可溯源等优势,解决了IPv4中存在的问题,可以提供更好的IP服务。因此,IPv6是全球公认的下一代互联网最成熟、最可行的解决方案。
IPv6没有内置向下兼容性,这意味着IPv6网络无法直接与IPv4网络通信。本质上,IPv6已经被创建为一个与IPv4共存的、并行的独立网络。因此,IPv4和IPv6将以双协议栈网络的形式长期共存,过渡的过程也将是渐进式的。在此期间,我们需要同时管理IPv4和IPv6的可用性,并解决在IPv4/IPv6双栈环境下身份认证与网络溯源问题,以最终安全稳定地过渡到纯IPv6的生态环境。
2004年,中国第一个下一代互联网主干网CERNET2正式开通,它既是我国建成的最大的纯IPv6互联网,又是唯一的学术性主干网。CERNET2的建成与开通,推动着我国进入了IPv6与IPv4网络共存时代。如今越来越多的高校已经完成了接入,开展大规模IPv6网络建设部署实施以及科研应用和探索。各高校实现接入CERNET2的关键技术问题就是要对原先的纯IPv4校园网进行IPv4/IPv6双栈升级改造。
双协议栈是一种最简单直接的过渡机制,能够实现IPv4向IPv6的过渡。它是指在业务终端、网络设备、应用系统中可以同时收发IPv4与IPv6报文。双协议栈方案,理论上可以在不增加基础网络设备,不变更基础网络结构的情况下,实现对IPv4/IPv6访问的同时支持。双协议栈技术适合 IPv 4网络/节点之间或者 IPv6网络/节点之间通信,它不仅可以用于建设双协议栈网络,还是所有过渡技术的基础。
采用IPv4/IPv6双栈技术方案,需完成如下工作:
(1)需要定制IPv6升级规划。
(2)接入IPv6网络,获取IPv6公网地址,定制内部IPv6地址路由策略。
(3)所有网络、安全设备和安全防护系统进行双栈化改造,使其支持IPv6协议栈。
(4)所有应用服务器和业务系统均需找原开发厂家进行改造及开发,使其支持IPv6协议栈。
三层架构校园网是指采用了层次化模型设计的网络,每个层次着重于实现特定的功能,具体分成三个层次:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
三层架构网只能满足最基本的互联互通需求,它存在很多无法解决的网络安全问题。如只要用户获得了网络的使用权,在整个通信期间不会产生相应的记录、审计和控制,容易造成网络的无序使用;用户之间存在互相影响,网络中的攻击泛滥;由于没有实施实名制,用户的通信行为没有存档,后期当然也无法追溯问题;缺乏必要的流量控制手段,网络带宽易被低效应用大量占用,重要应用反而得不到带宽的有效保障;存在未经授权的访问,难以实现按用户的身份分配相应的权限等等。
三层架构网络能否实现双栈升级,取决于老的核心设备是否能够通过软件升级支持双栈。如果不能,则需要置换支持双栈的新核心设备。汇聚层和接入层使用原有的普通IPv4交换机即可,核心层负责处理所有的IPv6三层功能。
扁平化的网络是在运营商网络发展的经验基础上产生的,由业务控制层与用户接入层组成。其中业务控制层成为核心,承担用户接入认证,IPv4/IPv6双栈转发、逻辑控制等复杂功能。而传统三层结构中的汇聚与接入层合并为用户接入层,仅保留用户接入与VLAN隔离功能。
扁平化减少的不是物理层的数量,而是网络逻辑层的数量,它提高了网络通信的效率,还有利于扩展。扁平化的网络架构中,功能强大的核心设备直接负责对用户和业务的管理,既有利于新业务的部署,又有利于新功能的增加。核心设备具备的高性能、高可靠性、高稳定性等优势,保障了其能够为用户提供更加可靠的服务。同时,在扁平化的网络架构下,用户接入层仅需提供二层的功能,因此会更变得更加稳定和利于维护,还能够降低投资。
“集中化智能,简单化边缘”是扁平化网络架构的特性,业务控制层集中处理所有的业务,用户接入层只需完成VLAN 隔离和用户接入,在扁平化的网络架构中,核心能够直接控制如动态逻辑接口、业务、用户等要素,从而为精细化网络管理的实现奠定了基础。
基于以上的优势,目前扁平化网络已经成为高校网的主流架构。原先的三层网络核心普遍迭代升级为BRAS,代表产品为Juniper Mx960,并且由于BRAS可以提供IPv4/IPv6双栈的终结和控制功能,从而在硬件层面支持了纯IPv4网络向IPv4/IPv6双栈网络升级,下文中讨论的双栈网络均指扁平化的双栈网络。
目前,以互联网为代表的信息技术正深刻改变着各个领域,有力推动着经济社会发展。与此同时,网络空间的威胁和风险也在逐步渗透。尤其近年来,网络安全问题日益突出。
IPv4/IPv6双栈网络虽然是过渡时期的选择,但其安全防护体系仍需符合信息安全保障体系的要求。由于IPv4/IPv6双栈网络改造主要影响网络及应用,因此主要从网络安全及应用安全等层面设计并实施信息安全防护的策略、措施和技术手段以适配双栈协议的安全需求,全面开启双协议栈,来承载双栈流量和防护,确保升级改造后的安全防护能力仍然达到国家信息安全等级保护要求。
高校的网络安全事关国家安全、事关教育事业改革发展、事关广大师生切身利益。因此,作为拥有重要信息系统的高校行业,必须要符合《网络安全法》第二十一条和第二十四条的规定,同时也要满足国家信息安全等级保护制度的合规性要求。其中,最需要优先解决的就是IPv6用户的身份识别及安全溯源问题。
身份认证是网络安全中极其重要的环节,可以说它构成了其他安全机制的基础。只有有效的用户身份得到确认,继而才能开展包括访问控制、入侵检测、安全审计等其他安全措施。随着网上选课、办公自动化、校内一卡通、网上缴费等业务的陆续上线,必须杜绝用户账号被盗用的事件发生,一旦用户对使用校园网进行教学和支付缺乏安全感,势必会造成数字化校园业务系统难以推广和向纵深发展。因此只有找到直接、安全、准确的身份认证方法才能够解除用户的后顾之忧。
校园网中的用户包括教职工、学生、机房、临时用工人员、访客等多种身份,这些用户对校园网的使用权限有着显著的差异,身份认证的安全需求也就各有不同。例如:在办公区使用校园网络时,通常允许教职员工24小时在线,然而学生原则上超过23点后就不能上互联网;在学生宿舍,学生只能使用已申请的运营商出口,按相应的运营商套餐提供上网服务,但查寝的辅导员则可以使用教职工的身份,使用校园网带宽。用户身份、接入时间、接入地点构成了多元的组合,校园网必须及时、准确地为其匹配相应的上网策略,使得不同身份角色在校园网中的权限得以完整体现。
从外到内由防火墙、BRAS、汇聚层交换机、接入层交换机、接入认证管理系统五部分构成,如图1所示。
组网上,两台BRAS路由器采用串接方式虚拟化部署,分别通过万兆接口连接上下游的防火墙和汇聚交换机,接入认证管理系统采用旁路方式部署。
防火墙负责对接各运营商出口链路,并为校内用户访问互联网提供NAT地址转换,以及对校园网边界的安全防护。
两台BRAS(JuniperMX960)路由器作为核心,它支持多种认证方式,并具备IPV6接入认证功能,能够支持有线以太网接入和无线WLAN接入等。BRAS负责用户接入,终结QinQ,给用户分配地址、下发访问策略,将用户的认证信息转发到Radius服务器。
自建一套接入认证管理系统,它主要包含Radius服务器、Portal服务器、D-NAT服务器等,负责用户信息的收集和整理,生成报表,用户计费,同时根据用户登录信息,通知BRAS下发对应的访问策略。
汇聚层交换机负责外层vlan标签,进行vlan扩展,同时汇聚端口,将接入交换机的多个千兆接口,汇聚成1-2个万兆端口,与BRAS互连。
接入层交换机负责通过每端口1个vlan的方式进行用户隔离,保证不同端口下的用户在不同的广播域内,避免1个端口产生的ARP攻击、广播风暴影响接入交换机上的所有用户。
图1 网络架构
有线、无线用户统一采用IPoE方式进行接入,首先用户会被添加guest身份,获取到一对IPv6/IPv4地址,Radius服务器将该双栈地址与Session-ID、Demux用户动态接口进行映射,并下发限权策略给guest用户,使其仅能访问内网中特定的极少量资源;其次,当用户继续访问任意一个IPv4(或IPv6)Internet网页时,将被D-NAT服务器重定向到portal页面上,用户需要在portal页面上输入用户名和口令,当认证成功后,Radius服务器即可正确识别出用户的真实身份(教职工、学生、机房、临时用工人员、访客)并反馈给BRAS,最后BRAS重新下发策略,调用定义好的授权用户访问策略,同时对用户的Demux端口进行控制,开放用户访问Internet的权限。
4.3.1 双栈统一DHCP服务器
双栈用户是通过DHCP服务器获得双栈IP地址的,因此我们首先要将DHCP4和DHCP6服务器同时设置在BRAS(MX960)本地,再定义好其向用户分发的IPv4和IPv6地址池,并分别命名为poolDHCPv4和poolDHCPv6,代码示例:
接着在BRAS上面创建一个双栈复用DHCPserver,目的是让其在分配IPv6/IPv4地址的同时,只产生唯一的一个Session-ID,此Session-ID与BRAS后期分配的Demux用户动态接口,共同构成了任一双栈用户身份的唯一标识符。代码示例:
4.3.2 接入认证管理系统
自建一套接入认证管理系统,主要由Radius服务器、D-NAT服务器、Portal服务器、管理平台服务器等组成。
(1)认证用户数据源分本地数据服务和外部LDAP两种,先完成Radius与LDAP的对接。当临时用工人员和访客请求身份认证时,在Radius本地即可进行;而教职工、学生、机房这几种身份认证则需要将用户名和密码发到外部LDAP进行验证。
(2)在管理平台上为不同身份用户创建相应的认证域。如学生可根据所处位置选择学生域,宿舍域、机房域;教职工可选择教职工域、机房域。
(3)在设备策略中为不同身份的用户配置相应策略,以控制其对网络的合理访问。每种身份需对应至少4条策略:DHCP阶段下发的IPv4、IPv6策略;认证阶段下发的IPv4、IPv6策略。
(4)D-NAT服务器负责将用户访问Internet的目标IP改变为Portal服务器的IP。
(5)Portal服务器负责定义好认证前后推送给用户的交互界面。
4.3.2双栈用户获取内网权限的过程
双栈用户、BRAS(集成了DHCP4和DHCP6本地服务器)与Radius服务器的交互流程如图2所示。
图2 双栈用户获取内网权限的过程
(1)双栈客户端向DHCPv4 服务器发送discover 报文,向DHCPv6 服务器发送Solicit 报文,请求为其分配IPv4和IPv6地址和网络配置参数。
(2)BRAS将此双栈客户端的Session-ID(会话号)、缺省用户身份guest,缺省密码guest送Radius认证服务器验证。
(3)Radius认证服务器授权给这个guest用户有限的内网权限,使其获得IPv4用户的进方向策略pbr,出方向策略1M;IPv6用户的进方向策略pbrv6,出方向策略1Mv6。
(4)BRAS(集成了DHCP4和DHCP6本地服务器)为双栈客户分配IPv4及IPv6地址,Demux用户动态接口,并将上述4个策略匹配这个Demux用户动态接口。
(5)Session-ID(会话号)和用户双栈IP进行绑定,计费报文开始生产在线记录。
(6)在Radius认证服务器上产生映射表,添加这个guest用户的双栈IP地址、Session-ID、Demux用户动态接口号等信息。
4.3.3 双栈用户获取外网权限的过程
双栈用户、BRAS与D-NAT(目的NAT)、Radius(集成了Portal)服务器的交互流程如图3所示。
图3 双栈用户获取外网权限的过程
(1)获有限内网授权的用户请求访问一个IPv4(或IPv6)Internet网页。
(2)BRAS将用户请求传递给目的NAT服务器。
(3)目的NAT服务器将用户访问目标IP改变为Portal服务器的IP。
(4)Portal服务器将认证页面推送到用户浏览器。
(5)用户将用户名及密码送至Radius服务器进行验证。如果认证通过,Radius服务器登记IP地址、Session-ID,上线时间。
(6)Radius服务器通知BRAS,认证通过的Session-ID要依据其身份(教职工、学生、机房、临时用工人员、访客)变更为相应的双栈访问策略。
(7)BRAS对相应的Demux用户动态接口进行策略改变。
(8)BRAS通知Radius服务器已完成策略改变。
(9)授权用户被允许按照相应身份(教职工、学生、机房、临时用工人员、访客)双栈策略访问Internet。
4.3.4 实现与评估
具体实验中使用到的主要硬件设备包括:防火墙—山石网科(SG-6000),核心BRAS000到的主要硬件设备包括:,汇聚—华为12708,自建接入认证系统一套(含Radius,D-NAT,Portal、管理平台),双栈复用DHCPserver服务器(BRAS本地集成)。
无论上网用户是有线还是无线、持有的是何种类型终端,操作系统是何种版本,访问的是IPv4网页或IPv6网页,都可以全兼容、无条件的完成认证过程,因此是一种真正意义上的统一身份认证。
实验时间在1年以上,每日平均在线设备数16000,认证次数3万次,用户填入正确认证域、用户名、密码前提下认证成功率100%。
经过认证系统对用户账号进行校验,并依据用户身份查找匹配到新的授权认证策略,Radius 服务器可将 IPv4和IPv6认证后的策略规则同时下发至用户终端。同时开始授权用户上线时间登记。此后,该授权用户的所有上互联网的行为,都百分百双向经过出口防火墙。只要出口防火墙及日志审计系统支持双栈,那么,用户的所有双栈在线行为都将被逐条记录在案。通过日志审计系统、Radius 服务器、出口防火墙三者进行网络对接后,就能够实现上网用户的实名制以及对上网日志进行统一、有效的留存、监管和挖掘,并能通过用户名、访问时间、用户转换前后的IP地址、用户MAC地址、用户访问的URL地址等信息进行快速查询定位,形成一键溯源的整体解决方案,全面覆盖所有监管需要的字段,确保任何一个人、在校内任何一个地方、任何时间、访问任何IPv4或IPv6资源都可以得到记录、审计、溯源,不折不扣地满足《网络安全法》和国家信息安全等级保护制度的合规性要求。IPv6溯源记录如图4所示。
图4 IPv6溯源记录
本文提出了一种全新的BRAS+IPoE+Protal双栈统一身份认证解决方案。当校园网双栈有线、无线用户打开任意一个外网IPv6或者IPv4网页,重定向至Portal页面,只需认证一次,即可获得IPv6、IPv4双栈授权,这一方案是双栈校园网理想化的身份认证模式,可以在确保安全的前提下带给上网用户极佳的认证体验,同时解决了安全溯源的需求。IPv6安全目前还属于新生事物,尚存在很多的监管盲区,在国家大力推动下一代互联网发展的今天,IPv6安全一定要奋起直追,争取早日和IPv4安全一起形成双轮驱动,两翼齐飞,为国家信息化建设的宏图伟业保驾护航。