区县教育系统IPv6部署与实践

蒋继红 王海峰

摘  要  为贯彻落实教育部、浙江省教育厅关于推进IPv6规模部署的文件精神，安吉县教育局通过研读文件、分析现状和实践部署，以《安吉县教育系统IPv6规模部署和应用实施方案》为指导，成功完成区县教育系统IPv6规模部署的改造。

关键词  安吉教育系统；IPv6；IPv4；双栈技术

中图分类号：G527.55    文献标识码：B

文章编号：1671-489X（2022）09-0040-04

0  引言

近年来，随着云计算、大数据、人工智能、5G、物联网、区块链等新一代信息技术的不断发展，我国IP地址的需求迅速增长，造成IPv4（互联网协议第4版）不堪重负，难以为继。为此，教育部办公厅于2018年9月下发《教育部办公厅关于贯彻落实〈推进互联网协议第六版（IPv6）规模部署行动计划〉的通知》，要求到2020年底，教育系统的各类网络、门户网站和重要应用系统完成升级改造，支持IPv6访问。同年9月，浙江省教育厅出台《浙江省推进互联网协议第六版（IPv6）规模部署和应用实施行动计划》，计划用三年时间，完成全省教育系统的各类网络、门户网站和重要应用系统的升级改造，支持IPv6访问。2019年，为贯彻落实相关文件精神，安吉县教育局经过认真研讨后，出台《安吉县教育系统IPv6规模部署和应用实施方案》，开始进行安吉县教育系统的IPv6部署。

1  安吉县IPv6建设

1.1  网络与系统建设的必要性

安吉县位于浙江省西北部，全县有各级各类学校91所，教职工6 467人，在校生79 282人。安吉教育网（www.ajedu.com）作为安吉教育的门户网站，是浙江省首批优秀教育网站，日访问量达五万人次，是安吉教育宣传的主阵地。安吉教育网的服务器均为IPv4私网地址通过防火墙以NET方式映射到IPv4互联网地址，需要通过域名解析实现对外服务，不支持IPv6访问，无法满足国家及省市要求，无法支持未来智慧教育发展。此外，由于网站中心机房的数据库、灾备等应用系统都是以IPv4地址进行互联，政务网、财政专网所提供的应用系统同样是以IPv4地址提供服务，且不支持域名及IPv6访问，因此，若要在纯IPv6环境下运行各类应用系统，就必须对各个系统进行代码重构，需要投入巨大的时间、人力、资金成本。

1.1.1  网络链路  2014年，安吉县完成省千兆计算机内网的建设，实现万兆主干、千兆到校，但千兆内网的地址是浙江省教育技术中心统一规划，各市县再根据学校规模逐级规划分配的。2016年，安吉县又通过集中部署AC控制器、各校只部署AP的形式完成全县校园无线全覆盖项目，但由于各校有线、无线客户端地址均由EG网关DHCP自动分配，且部分客户端还在使用Windows XP操作系统，因此无法自动获取IPv6地址。

1.1.2  网络及安全设备支持度  全县教育系统的网络设备、学校EG网关、无线设备和安全等设备均支持IPv6，但要搭建纯IPv6环境，需要将防火墙里原基于IPv4的应用策略全部改为基于IPv6的应用策略，因此需要重新规划下属学校所有IP地址分配，并在近千台设备上逐一进行配置、测试，这就会造成整个教育系统教学应用、管理业务停摆，影响巨大。

1.1.3  IPv6相关资源情况  由于经济、地域、社会发展等因素影响，电信、移动、联通三大运营商尚未提供IPv6地址业务，IPv6地址只能先采用中国教育和科研计算机网（CERNET）提供的地址段，并由浙江省教育技术中心统一进行规划。

1.2  IPv6建设方案及特点

1.2.1  建设方案  为贯彻国家、省市要求，促进安吉教育发展，安吉县教育局经研究认为，安吉县IPv6的建设方案应充分支持多业务平台资源的IPv4/IPV6的双栈支撑能力与多种业务的同步支持能力；同时，方案还应具有可扩展、易管理维护等特性，能够平滑地升级、扩容以适应目前及未来应用服务的需要；在安吉教育系统中的所有应用系统均应同步支持双栈访问，并承载数据、语音、视频、监控等多媒体应用，且网络应具有丰富的QoS支持、组播、MPLS-VPN等网络支持能力。

1.2.2  方案特点  安吉县教育系统IPv6的建设，是结合原有已建成的城域网，在不修改原网络拓扑的前提下，建设支持IPv4/IPv6双栈的教育城域网，这种建设模式不但能满足网络IPv6升级的需求，也能够提升安吉教育系统基于IPv6的应用服务能力。这种IPv6改造方案，既可满足教育部、浙江省教育厅对安吉教育系统的考核要求，也符合等保2.0的相关合规要求。由于建设改造工作采用目前主流的IPv6—IPv4翻译转换技术，不但可以实现IPv6的快速、便捷部署，还可以免去对原业务系统改造的成本，同时减少IPv6设备的投入，用户体验方面也无须额外添加任何客户端和插件。方案的主要特点如下。

1）协议智能转换。在使用IPv6转换平台之前，安吉教育系统只能通过整体IPv6新建的方式，且IPv6用户只能访问安吉教育系统中IPv6资源，而无法访问安吉教育系统中原有的IPv4资源；在使用IPv6转换平台之后，安吉教育系统不需要改造原有的基于IPv4的应用系统，只需将该IPv6转换平台与安吉教育系统中原有的IPv4业务对接，即可正常访问，具体如图1所示。

2）完美解决天窗问题。在使用IPv6转换平台之前，如果通过IPv6访问安吉教育系统，部分页面会出现外链“天窗”的问题，给用户带来不良的使用体验；使用IPv6转换平台后，能够完美解决外链“天窗”这个问题，再通过IPv6转换平台访问安吉教育系统，就不会出现这种现象，给用户带来良好的使用体验。

1.3  IPv6建设

IPv6技术的推出是为了解决IPv4地址分配耗尽的问题，但就目前来说，由于IPv6本身并不兼容IPv4，如果大规模部署IPv6则会面临如转发表项容量、IPv4与IPv6互通、两张网运维等诸多问题。因此，在对周期性、成本、技术难度、部署的便捷性等因素进行综合考评后，为将县教育系统的IPv4逐渐升级到IPv6，安吉县教育局从目前三种主流过渡技术（表1）中选择双栈技术作为技术方案。

基于双栈技术的Ipv6改造方案的建设主要分为三个阶段：

第一阶段是针对内网进行部分改造，也就是在继续保留原有的IPv4内部网络的基础上，重新建立一套IPv6的网络，两套网络之间独立而互不影响；

第二阶段是网络的完全替代，重新建设，即将整个网络中包括终端设备、网络中各节点设备、各类应用系统在内的设备，都更换为同时运行IPv4和IPv6协议栈（双栈技术），从而实现分别与IPv4或IPv6节点间的信息互通：

第三阶段则是满足短期内学校业务及相关网站能够被外部IPv6访问。

由于资金、技术、人员等方面的原因，安吉教育系统的IPv6建设，主要从网络改造、安全改造，核心服务改造等几个方面着手。

1）网络改造。鉴于目前互联网上IPv6资源较少，内网用户纯IPv6访问互联网IPv6资源也很少，因此，安吉县将IPv6网络接入后形成终端双栈网络。基础网络接入的改造涉及以下几部分工作。

①物理链路。原有链路可以继续使用，但需要更换万兆接口模块。

②IP地址准备。根据省教育技术中心统一分配的IPv6地址段，按学校规模再进行划分。

③各校EG网关。设备开启网络双栈配置命令，配置基于IPv6的路由策略。

④内网IPv6地址使用。通过双栈地址分配，使终端同时获得IPv4和IPv6两个地址。

2）安全改造。

①需要对传统的安全设备进行升级和改造，使其能与网络同步。

②针对原有的防火墙、WAF、安全防护等各类安全防护系统或者设备，需要具备开启IPv6安全防护能力，且能够达到针对IPv6网络攻击快速适配相应网络环境的要求。

③需要对相应安全设备的IPv6支持度进行评估，如果可以通过升级解决，则让厂商进行设备升级；如无法升级，则只能考虑更换设备。

④需要依据新的网络安全等级保护2.0标准要求，全面地对网络区域进行安全防护，包括安全边界的确认、基于身份的准入控制、各类系统和访问行为的日志留存等，以适应IPv6的安全事件分析及溯源和处理。

3）核心服务改造。核心服务改造主要包括DNS系统、DHCP系统、IP地址管理系统等网络基础核心服务的升级改造工作。

①DNS系统方面需要能提供IPv6地址为用户提供服务，同时要支持IPv6域名AAAA记录的解析。

②在DHCP系统方面，需要提供DHCP的服务支持，以便将IPv6地址顺利地下发给各个设备终端。

③IP地址管理方面，由于IPv6地址长度和分配方式与IPv4差异较大，因此需要做好地址的统一管理和规划。

4）应用改造。为实现IPv6的升级改造，并尽快达到IPv6后期的发展规划，需要对原有业务系统进行IPv6改造。

①要对应用系统和网站进行纯IPv6的代码升级改造，改造完成后，应用系统可以直接提供纯IPv6服务，能够满足未来长期规划的需要。

②通过IPv6转换服务，可以让外网IPv4用户访问改造成纯IPv6的应用系统，实现纯IPv6应用提供给外网IPv4用户访问。

③内网IPv6用户通过DNS解析AAAA，可以直接访问内部的纯IPv6应用系统。

5）运维改造。随着IPv6网络改造，维护人员必然面临要同时运维IPv4和IPv6两张网络的工作，而随着运维工作量的激增，网管系统的升级也成为必然。因此，系统需要支持IPv6网络设备的信息采集、告警、呈现，网管数据以及IPv4/IPv6信息的兼容呈现。

2  问题及解决办法

在项目建设改造中，安吉县主要遇到两方面的问题：1）IPv6地址分配的问题；2）IPv6网络环境下的行为审计问题。

2.1  IPv6地址的分配

由城域网各学校出口网关作DHCP和DNS的服务，进行IPv6地址分配和管理。如终端都支持DHCPv6，并且对终端的IPv6地址有可视化或明确管控的要求，则使用有状态DHCPv6分配IPv6地址。如无特殊计划，也可以使用无状态自动配置的方式为终端分配IPv6地址。

2.2  IPv6网络环境下的行为审计

IPv6改造后，由于没有了以前NAT的转换，相当于为整个城域网提供了另外一条数据通路，对该数据通路的管控目前处于空白状态，全部放行，通过IPv6可以随意访问各种网站，同时无法做到实名认证和实名上网行为审计，这就违反了网络安全法对实名制的要求。为解决这个问题，安吉县通过和设备厂商商洽，让出口设备EG网关全面支持IPv6下的各种上网行为审计，将日志记录到本地并同步到统一部署的行为审计日志服务器，遵守网络安全法规的要求。

3  结束语

IPv6建设改造工作的完成，对于安吉县推动人工智能实验区、数字化改革区域教育场景应用集成创新试点建设具有重要意义。下一步，安吉县将紧紧围绕浙江省数字化改革大会精神，充分利用5G、物联网、区块链等技术在IPv6环境下不断提升教育教学的数字化水平，勇于创新、真抓实干、不断赶超，为构建高质量教育体系、打造优质教育持续奋斗。

作者：蒋继红，安吉县实验初级中学，一级教师；王海峰，安吉县教育保障中心副主任，副研究员（313300）。