罗添耀 廖小群
高职多校区背景下IPv6反向代理应用探究
罗添耀 廖小群
(广西国际商务职业技术学院,广西 南宁 530007)
高职院校经过较长时间的发展,呈现多校区教学的情况,为了满足多校区教学、教育资源共享的需求,基础网络架构通常沿用常规的IPv4组网。在新的网络改造要求需要有效解决现有多校区网络架构与信息站点资源的安全使用,并实现IPv6与IPv4资源的互相联通的需求背景下,探究IPv6反向代理技术在高职院校的应用。
高职院校;校园网;IPv6;反向代理
高职院校的不断发展,校园规模不断扩大,呈现多校区教学趋势,为了平稳保障多校区网络正常有效地运行,在IPv4网络NAT网络地址转换的成熟运用的情况下,目前大多数学校仍然采用IPv4的网络架构来保障网络使用与信息系统发布。2019年底,IPv4地址已经消耗完,意味着全球网络必须使用IPv6才能有效发展,在IP地址非常紧张的形势下,教育部为加快教育与下一代互联网的融合,推进IPv6的部署与应用系统的升级,贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》。针对目前学校的网络架构,为了能够完成教育部对学校网络改造和信息系统的使用IPv6的要求。本文对在现有网络架构上使用反向代理技术打通教科网IPv6与学校现有信息系统的联系,介绍相关的技术细节,提供网络过渡的应用经验。
学校由两个校区组成,采用了不同校区局域网互联成一个整体网络的架构,每个校区网络设计采用了传统的三交换型组网设计,即“核心—汇聚—接入”。网络结构层次分明,便于管理运维。两校区通过网络运营商虚拟专线进行连接,在充分考虑网络的出口统一与运维方便的情况下,把在市区的老校区作为出口节点。出口从上往下依次部署的设备为:网络负载均衡设备、下一代防火墙设备、上网行为管理设备、有线与无线网络核心交换机设备、楼栋汇聚交换机、楼层接入交换机。老校区与新校区均采用有线网与无线网为办公教学与宿舍区域提供网络服务的双网架构,核心交换机均设置在各自校区的数据中心机房。从方便管理的角度考虑,有线网与无线网的楼栋汇聚交换机与楼层的接入交换机,均设在相同的弱电间内,互相独立且形成互相备份。校园主干光缆的铺设均采用了环路设计,每个校区根据相邻楼栋的距离与网络用户数量来划分成若干个环网,无论环网中哪个节点故障,均可以使用另外的环路来保障网络连通。在这样的设计下能够有效保证校园整体的网络的可靠性,为IPv6升级改造打下坚实的基础。
学校所有校区网络建设均采用了IPv4地址。老校区规模较小,早期在设计的时候采用了C类私有地址(192.168.0.0/16),满足约10000师生办公学习需求。新校区规模较大,设计采用了A类私有地址(10.0.0.0/8),设计满足约4万师生办公学习需求,同时还具备有冗余扩展。两个校区均设计了校园无线网络,共同采用了B类私有地址(172.16.0.0/12)。
学院出口链路有中国移动和教科网两条线路是有固定IP地址,其中只有教科网有IPv4与IPv6两种类型的地址。目前学院的信息系统架构全部是基于IPv4开放部署,对外开放的服务器均需要经过网络地址转换。
IPv6技术设计的时候,并未考虑到与IPv4的兼容性,导致基于IPv4的互联网与基于IPv6的互联网是无法直接互通。IPv4的客户端无法访问目标地址是IPv6的网络中的应用,反之亦然。由于学校的信息系统与大量的网络设备均使用IPv4,完全更换的所需成本较高,所以需要平稳过渡,分步骤完成。总共需要经历3个阶段:IPv4设备与信息系统为主阶段;IPv4与IPv6设备与信息系统共存阶段;IPv6设备与信息系统为主阶段。
1.3.1 隧道技术(Tunneling)
隧道技术主要是实现IPv6网络间的数据通信,他的思想是在IPv6网络之间建立一条能够穿越IPv4的网络数据通道。需要隧道出入口设备支持双栈协议和隧道技术、而对中间的设备没有要求。隧道技术尽管提供了IPv6网络间的数据通信,若采用隧道技术进行过渡,会增加网络通信的复杂性和安全风险,如果用户使用非表态IPv4地址连接(如拨号),用户的连接如果非正常中断了,隧道服务器会继续发送IPv6的隧道包到用户原来的IPv4地址,而这个地址可能已经被分配给另一个主机使用,这样就发生了数据泄露问题[1]。恶意用户可以在IPv6子网内向服务器同时申请大量的隧道连接、耗尽隧道服务器的资源,目前还没有合适的过滤策略。另外还需要统计每个隧道的带宽使用情况,以尽快发现是否遭到DOS攻击[2]。这就可能引起误判或者漏判。
1.3.2 协议转换技术(Translation)
IPv6协议转换需要依赖网络设备进行,IPv6网络与IPv4网络之前的网络通信。连接IPv6和IPv4的网络设备称为协议转换器。其工作的关键原理是通过修改网络报文头部信息实现协议转换,从而实现两网互联。需要重点关注转换设备的安全性能,否则协议转换设备容易成为安全瓶颈。基于现实的业务情况,往往无法在短期内实现对内网现有的、支持IPv4协议的网络设备、安全设备、网站代码等进行全量升级。那么这种纯IPv4与IPv6的转换技术是无法为实际业务系统服务的。即使用户重新投入大量资金构建内网的IPv6环境,IPsec在IPv4网络中是可选项,但是IPv6网络中是必选项,这样的情况下,路由器在处理认证和加密等方面的时候需要消耗较多的计算资源,造成硬件负担,同时全新的通信方式必然会引入新的安全挑战,甚至会出现协议层面、设备层面的0day漏洞,而业务系统出口环境单一,无法保证高可靠性。
1.3.3 双栈技术(Dual Stack)
双栈协议模式是基于IPv4设备对IPv6的支持,在设备上同时开启IPv4和IPv6协议栈,使设备既可以与IPv4通信,也可以与IPv6通信。双栈技术出现较早、比其他过渡技术实现更容易,还是其他IPv6过渡技术的基础。但是双栈改造对站点要求高,要求服务器和信息系统改造升级。使用双栈技术需要同时支持并配置IPv4和IPv6协议的网络节点[3]。维护两套不同IP地址协议的网络,这种情况会使网络架构变复杂,同时加大了运维的难度。适用于升级改造网络架构和信息系统架构相对简单的网络。
2020年底,教育系统的各类网络、门户网站和重要应用系统完成升级改造,支持IPv6访问;基于IPv6的安全保障体系基本形成。下一代互联网相关学科专业人才培养、技术研发与创新工作显著加强,教育系统人才保障和智力支撑能力大幅提升[4]。当时的时间紧,任务重,但是必须要做出整改的的规划和动作。
IPv6若全面改造涉及网络层改造、设备层改造、业务系统改造、网络代码改造等多方面的改造。需要业务管理系统平台、信息系统、网络安全系统等多系统的协同,涉及全校软件、硬件、与有线无线网络,必须要做好升级工作的整体统筹规划、多部门有效协同。一旦涉及系统整体升级,可能需要更新软硬件设备,需要各信息系统使用部门做出对原有系统评估后进行升级改造,涉及资金资金较大。
学校门户网站与各类信息系统有较大的浏览量和广泛的影响力,同时也是网络攻击者窥伺的重点目标。一旦发生网络安全事故,可能产生严重后果。因此国家强制推行信息系统安全等级保护制度,来加强信息系统的网络安全防御。学校门户网站与各类信息系统升级支持IPv6访问之后,很快会遇到来自IPv4和IPv6网络的双重嗅探和攻击,既可能有网络层、应用层的攻击,也可能出现其它不可预期的攻击形式。因此学校门户网站与各类信息系统的IPv6升级工作必须预先考虑安全防护问题[5]。
由于IPv6在网络层和传输层与应用层上,面临和IPv4同样的安全威胁,常见会有应用层攻击,如缓冲区溢出攻击、CGI攻击、病毒等。由于IPv6新增NS/NA/RS/RA,分片重组机制,以及海量的网络IP地址,攻击者可以轻松获得海量僵尸网络,用来发起DDoS攻击。同时IPv6还面临特有的安全威胁,如定向嗅探是通过IPv6前缀信息搜集、隧道地址猜测等启发式扫描方式,嗅探IPv6主机,发起攻击。欺骗攻击是邻居发现协议ND存在泛洪和地址欺骗风险。IPv6开启自带IPSec情况下,加大协议内容解析的难度。
基于面临的种种网络攻击威胁,网络安全需求在IPv6改造中是重中之重,安全设施升级是最基本的前提条件,安全设备必须支持双栈技术与协议转换技术。依据等保2.0的标准要求实现访问控制、入侵防范、恶意代码防范、个人信息保护等。改造完成后具备以下能力:安全域隔离、访问控制、入侵检测及防御、应用层防护及数据保护。实现获取威胁情报、识别资产信息、检测漏洞风险、风险识别与告警等。
由于全面改造的范围较大,涉及到的网络设备与信息系统资产较多,并且原有上网终端IPv4私有地址是根据部门与楼栋进行了编排,如果全面改造会对网络使用者与管理造成不便,需求改造实施方案能够化繁为简,并且能在改造后完成运维简单化。学校的教学活动是首要保障的事情,在改造过程中不能影响现有的教学秩序,需要最大程度地缩短改造所需时间。同时需要充分评估改造花费,分阶段逐步实现IPv6应用目标。
基于这IPv6改造的困难与需求,第一阶段的解决方案,用反向代理的方式实现协议转换技术,即内部到外部的IPv4到IPv6的地址转换,先实现运营商的线路改造,这样的动作较小,同时满足国家对于整改IPv6的要求,这样业务内网改动小,对于内网的改造有一个缓冲的时间,用户可保持原有服务器架构不变,内网可以继续使用IPv4继续提供业务。同时保证发生来自IPv6的网络攻击,只能攻击到转换设备,IPv4源站不会遭受IPv6网络攻击[5]。使学院网络无缝进行IPv6业务切换改造。
3.2.1 反向代理技术过程与部署
在出学校互联网总出口部署具有IPv6反向代理功能的负载均衡设备,在负载均衡设备上实现协议转换,当IPv6的客户端访问负载均衡设备上发布的IPv6的虚拟服务,负载均衡设备收到该虚拟服务的请求后做源目地址转换,由负载均衡设备代理访问IPv4的服务器资源。
转换过程举例如下:第一步IPv6客户端发起对负载均衡上发布的IPv6虚拟服务的请求数据包源目IP:客户端2406:100::1访问负载均衡的2406:200::1。第二步负载均衡收到请求后将客户端源目IP修改去访问IPv4的服务器数据包源目IP:负载均衡的10.1.1.1到服务器的10.1.1.2。第三步服务器回包给负载均衡的IPv4地址数据包源目IP:服务器的10.1.1.2回给Add 10.1.1.1。第四步负载均衡修改服务器回包的源目IP将数据发给IPv6客户端数据包源目IP:负载均衡的2406:200::1回给客户端的2406:100::1。
操作步骤如下:第一步在应用负载中新建虚拟服务,虚拟服务IP地址为负载均衡设备可对外访问的IPv6地址;服务类型http;端口范围默认;节点池添加IPv4信息系统服务器内网IP地址与端口,启用SNAT;第二步联系域名服务商添加网站的AAAA记录解析到负载均衡的外网口地址。第三步网络部署的网络接口中,选择编辑IPv6线路,添加第一步中IPv6地址使用64位掩码的以精确应用。
3.2.2 “天窗问题”与解决方案
“天窗问题”是指网站中引用了部分第三方资源,如JS、图片、或者链接等。信息系统经过虽然经过反向代理的地址转换IPv6改造后,这些第三方地址可能仍为IPv4地址。当客户端通过网络为纯IPv6环境时,这些未经改造过的第三方资源就无法加载。产生“天窗问题”过程举例如下:第一步Pv6客户端发起web请求。第二步主站服务器返回含有子域名、二级单位的子链接或其他网站的链接(以下统一简称外链),但这些网站未进行IPv6改造。第三步客户端浏览器向DNS服务器发起对外链的AAAA记录查询请求。第四步dns服务器无法响应外链的AAAA记录,故返回失败。客户端得到网页显示,部分模块无法显示,如图片加载失败、视频无法播放等。
解决“天窗问题”思路:第一步客户端发起对主站的WEB访问。第二步主站服务器返回含有外链的页面,负载均衡替换页面上的外链。第三步客户端收到页面后,发送外链的DNS查询请求到负载均衡,查询外链AAAA记录。第四步客户端收到DNS应答后发起对外链的访问请求。第五步负载均衡向DNS服务器发起外链的A记录查询请求。第六步负载均衡收到DNS应答后,访问目标站点。第七步负载均衡收到应答后,转发给客户端。最终实现IPv6客户端可以通过负载均衡代理访问到IPv4的外链资源。
解决“天窗问题”在负载均衡设备上操作过程如下:第一步编辑应用负载菜单下的ipro“天窗-域名方式”的ipro脚本,要对原有脚本根据具体信息系统做如下修改:第一步SCHEME修改为主站的访问方式,可选http或https,依据为虚拟服务的类型。第二步DOMAIN为主站的根域名。第三步DOMAIN_EX改为申请的另一个公网域名,解析结果也要是可以到虚拟服务的,可复用为主站根域名。第四步AD_HOSTS为不做转换的域名白名单列表,通常至少添加主站对外的域名,也可以添加一些已知的支持IPv6访问的网站域名,可以填多个。第五步在应用负载菜单的虚拟服务应用已经修改好的ipro脚本。第六步在应用负载中配置DNS代理用于负载均衡自身代理解析外链域名。最后一步在域名服务商添加*.proxy.yourweb.edu.cn泛域名AAAA记录,解析地址同样为负载均衡对外的IPv6地址。
IPv6反向代理技术关键在于使用了协议转换技术,实现学校在不改变现有总体IPv4的网络架构与信息系统的情况下,以最小的资金成本与时间成本完成了第一阶段的网络改造,这次改造仅仅是将原有的IPv4架构下的信息系统通过协议转换实现通过教科网的IPv6网络对外提供服务。未来一段时间,我国高职院校网络依旧会处在IPv4网络与IPv6网络共存发展的阶段。随着云计算、物联网、移动网络的不断发展,万物互联是必然的趋势。在IPv4地址用尽的情况下,发展IPv6网络是历史的必然选择。通过第一阶段的网络改造为接下来的IPv6过渡打下了良好的基础。相信教育系统的IPv6规模部署会有效推进,为全国互联网升级改造做出示范性的作用。
[1] 张武军. 基于IPv6的下一代网络安全关键技术研究[D]. 西安: 西安电子科技大学,2006.
[2] 杨义先. 融合网络安全综论[J]. 中国计算机学会通讯,2006,2(6): 60-65.
[3] 常伟鹏,袁泉. 高校校园网的IPv6过渡策略研究[J]. 网络安全技术与应用,2019(7): 76-78.
[4] 杨洁. 教育信息化2.0: 起步与挑战[J]. 中国教育网络,2019(1): 18-21.
[5] 尹立君,柴旭光. 浅谈网络对外发布业务IPv6整改方法[J]. 成都航空职业技术学院学报,2020,36(2): 52-53,57.
Research on IPv6 Reverse Proxy Application in the Context of Multi-Campus Higher Vocational Colleges
After a long period of development, higher vocational colleges present the situation of multi-campus teaching. In order to meet the needs of multi-campus teaching and educational resource sharing, the basic network architecture usually follows the conventional IPv4 networking. Under the context of the new network transformation requirements, we need to effectively solve the existing multi-campus network architecture and the safe use of information site resources, and realize the interconnection of IPv6 and IPv4 resources, this paper explores the application of IPv6 reverse proxy technology in higher vocational colleges.
higher vocational college; campus network; IPv6; reverse proxy
TP393.1
A
1008-1151(2022)08-0008-03
2022-03-25
罗添耀(1985-),男,广西宾阳人,广西国际商务职业技术学院工程师,研究方向为高职教育信息化、计算机网络安全。
廖小群(1983-),男,广西全州人,广西国际商务职业技术学院讲师,硕士,研究方向为高职教育信息化、计算机网络安全。