【概述】
随着IPv4地址的枯竭,物联网、云计算、移动互联网、“三网融合”新业务的驱动,IPv6得到越来越广泛的关注和应用。在“十二五”规划的指引下,中国 IPv6下一代互联网产业正朝目标大步迈进。 高校方面,由教育部组织,CERNET网络中心负责协调,25个CNGI-CERNET2核心节点学校带动100所高校共同承担CNGI高校驻地网建设项 目,于2008年9月通过项目验收。在国内34个城市率先建成了100个完成升级改造并实现IPv6普遍覆盖的校园网,IPv6用户规模超过200万。实 现了教育科研门户网站、重点学科信息资源、大学数字博物馆、高等学校网上招生等一批教育科研重大应用的IPv6技术升级,开发了一批基于IPv6的视频直 播点播、高清视频会议、无线宽带通信等教育科研示范应用,在100个校园网上实现了累计1300多个应用系统的技术升级,为网站系统IPv6升级改造及 IPv6应用服务进行了有益尝试。
Hillstone高校IPv6解决方案,利用高性能、高可靠的Hillstone防火墙,部署在高校互联网出口、IDC出口处,通过IPv6过渡技术、 NDP安全防护、攻击防护等功能,实现高校多链路接入的IPv4、IPv6流量的转发和安全防护,以及IPv4和IPv6网络的共存和互访,帮助高校进行 IPv6校园网的建设。
【安全需求】
目前,各高校的校园网主要以IPv4网络为主,在建设高校IPv6校园网时首先必须考虑到如何将IPv6引入到当前的IPv4网络,IPv4和IPv6将 在较长时期内共存,所以实现IPv4向IPv6的平稳过渡是引入IPv6的前提。高校在我国的当前的IPv6建设和研究方面起着举足轻重的作用,太阳集团要充 分考虑到学校在整个CERNET2建设中的位置,无论是作为核心节点、驻地网节点,还是接入节点,要切实根据本校的网络现状,选择适合本校的IPv6建设 模式,融合IPv6与IPv4网络的互联互通,避免“信息孤岛”的生成,特别是在选择过渡机制的时候,要充分对双栈模式、隧道技术、NAT转换、 DNS64/NAT64等几种过渡方式的各自优缺点,结合本校的网络结构,寻求最适合的IPv6网络引入机制。目前,高校IPv6建设需求包括:
● | 多链路下IPv4和IPv6的流量转发和安全防护: 高校采用多链路接入,在同时接入IPv4网络和IPv6网络时,需要高性能防火墙同时支持IPv4和IPv6协议栈,流量能够正常转发并互不影响。同时,对于IPv4和IPv6网络中异常攻击能进行实时有效的安全防护。 | |
● | 校园网IPv4和IPv6网络的共存: 目前高校校园网还是以IPv4为主,会逐渐增加相应的IPv6教育 科研门户网站、重点学科信息资源、大学数字博物馆、高等学校网上招生等一批教育科研重大应用以及基于IPv6的视频直播点播、高清视频会议、无线宽带通信 等教育科研示范应用,会出现相应的IPv6网络,那么IPv4和IPv6将在较长时期内共存,也是实现IPv4向IPv6的平稳过渡是引入IPv6的前 提。 | |
● | 校园网IPv4和IPv6终端、服务器的互访: 随着高校中IPv4和IPv6相关业务不断增加,尤其目前还是IPv4业务为主,就需要IPv6终端能对IPv4业务进行访问,做到IPv4和IPv6之间的互访。 | |
● | 校园网IPv6日志记录: 随着高校中IPv6相关业务不断增加,需要对学生IPv6终端访问服务器相关日志进行记录,对校园网中会话日志和NAT日志进行记录,方便管理员进行日志查询。 |
【解决方案】
在IPv6校园网建设中,Hillstone防火墙部署在校园网多链路的出口处和校园网内部的IPv6服务器边界处,同时支持IPv4和IPv6流量的转发和攻击防护,支持IPv4和IPv6网络的共存和互访,支持IPv6 HA和相关日志记录。在IPv6校园网建设中,Hillstone防火墙主要通过以下技术来满足高校的建设需求:
● | IPv6的过渡技术:Hillstone防火墙支持多种过渡技术,满足不同场景的过渡需求。 双栈技术:双栈节点可以同时与IPv4和IPv6互通,互通性好,实现简单,允许应用逐渐从IPv4过渡到IPv6; 隧道技术:通过6to4的手工隧道和自动隧道,来满足IPv6孤岛的相互通信,充分利用现有组网,校园网内部设备无需升级,符合从边缘过渡的策略。 NAT-PT:通过NAT进行IPv4地址和IPv6地址的相互转换,来满足IPv6和IPv4协议网络节点之间的通信,校园网内部设备无需升级。 DNS64和NAT64:通过和DNS服务器配合进行地址转换,解决IPv6终端可以主动访问IPv4网络中业务服务器,不需要在IPv6客户端或IPv4服务器端做任何修改,校园网内部设备无需升级。 |
|
● | NDP安全防护:针对NDP协议发起的一系列攻击,Hillstone防火墙提供了IP-MAC绑定、NDP学习、NDP检查、NDP欺骗防护、NDP防御功能,校园网用户可以针对不同的网络情况应用不同的防护功能。 | |
● | IPv6攻击防护:Hillstone防火墙能提供全面的IPv6攻击防护,进行会话限制,可以基于域进行攻击防护,对Flood攻击和异常报文攻击等常 见攻击进行有效的阻断,保护业务服务的可用性。同时,Hillstone防火墙的高性能也为分析和阻挡各类攻击提供了强大的支持。 | |
● | IPv6 HA:Hillstone防火墙支持IPv6 HA,主、备两台设备可以同步配置、文件及RDO(Runtime Dynamic Object)等信息,可以实现毫秒级的切换,主备设备切换时可有效保证IPv6业务系统的畅通。 | |
● | IPv6日志记录:Hillstone防火墙支持会话日志和NAT日志,对学生终端访问IPv6业务进行记录,可以方便管理进行日志查询和溯源。 |
3、方案效果
通过在IPv6校园网互联网出口及内网服务器边界处部署Hillstone数据中心防火墙或Hillstone企业安全网关,有效支持了校园网多链路下的 IPv4和IPv6流量的共存和互通,IPv6服务器的隔离与安全防护,Hillstone防火墙具有的高性能、高可扩、高可靠,在IPv6校园网中将发 挥如下的建设效果:
● | 高性能应对校园网海量业务访问: Hillstone的数据中心防火墙最高可支持100Gbps 吞吐量、180 万新建连接速率(HTTP)、6000 万并发连接数的处理能力,能够从容应对高校校园网中海量业务访问对性能的挑战。 | |
● | 高可靠保障校园业务连续: Hillstone防火墙能够支持设备级别的HA解决方案,为网络层提供会话级别的状态同步机制,保证设备在切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断校园业务的运营,保证了网络的高可靠性。 | |
● | 丰富的IPv6过渡技术满足各种过渡场景: Hillstone防火墙提供了双栈、隧道、NAT-PT、DNS64NAT64过渡技术,可以满足校园网IPv6和IPv4共存和互访的各种过渡场景的需求,不改变校园网现有网络结构,保护用户现有的网络设备投资。 | |
● | 强大的安全防护特性保障IPv6业务安全: Hillstone防火墙提供了强大的NDP安全防护和IPv6攻击防护,对NDP攻击、Flood攻击及异常报文攻击等常见攻击进行有效的攻击检测和防护,有效防范针对IPv6的恶意攻击,避免了IPv6服务器的瘫痪,保障了校园网IPv6业务的安全运行。 | |
● | IPv6日志满足审计查询需求: Hillstone防火墙针对可以进行IPv6的会话日志和NAT日志, 会话日志可以记录Session Start、Session End、Deny Session、Default Session日志,记录相关五元组及Session、时间相关信息。NAT日志可以记录相关Snat和Dnat日志。通过日志信息可以帮助管理员准确查 询和溯源相关内网用户访问信息。 | |
● | 高可扩不断适应校园网规模增长: 通过增加安全服务模块,Hillstone数据中心防火墙的性能可以从20Gbps逐步提升到100Gbps,最大并发连接数也从1200万逐步扩展到6000万,在不需要新增设备的前提下,不断适应校园网的规模增长,并有效保护前期投资。 |