成功案例:服务闽江学院IPV6改造

一、校园网现状

闽江学院经过多年的信息化建设,已经实现了校园网、数据中心、网络安全的IPv4网络全栈建设。IPv6改造受限于出口链路资源而一直没有实际落地。在引入CERNET的IPv6出口链路后,面临内部用户访问IPv6带宽资源,以及外部IPv6网络访问数据中心服务器集群的需求问题。因此,有必要结合现网实际情况,保持现有IPv4网络,逐步向纯IPv6网络过度。

二、项目基本目标

1、尽量保持现有网络拓扑结构,从纯IPv4到IPv4和IPv6共存,缓慢过度,最终实现全栈IPv6。

2、校内用户IPv4终端不仅可以访问校外的IPv4资源还可以访问校外IPv6资源。尽量进行无感知升级,不影响用户的上网体验。

3、校内主页等IPv4网站资源不仅能被校外IPv4终端还可以被校外IPv6终端访问。要求无感知升级,不影响业务。

4、可以针对IPv6网络实现安全保障、日志回溯;

三、项目实施方案:

目前IPv4向IPv6过渡技术主要包括隧道技术、双栈技术、翻译转换技术等三种。我们拟采用的实施方案为双栈技术和NAT64转换技术的方式对学校的校园网进行IPv6升级改造。并通过具有IPv6应用交付的设备利用负载均衡、反向代理、https、dns防火墙等技术保障内部资源的安全。在DMZ区数据中心交换机上接入一台IPv6应用交付设备,将DMZ区数据资源服务器的v4和v6地址进行反向代理,保障资源服务器的安全。通过虚拟地址对外发布业务,可灵活控制业务的开启和关闭,满足网络安全应急响应。通过HTTPS卸载功能,在网页与校外用户进行交互时的信息进行加密,进一步保证数据安全。通过DNS防火墙,做基于源和目的的安全策略,阻拦异常访问请求,确保DNS正常工作。针对一些应用系统无法支持IPv6的问题,利用NAT64功能将IPv4地址转换为IPv6地址,实现IPv4的资源可以被IPv6的用户访问。同时,利用可编程脚本功能,可完整记录所有IPv6地址的访问日志。