高校校园网改革作为国家基础教育建设重要的一环,响应政策完成IPv6部署与应用势在必行。但要完成整网的IPv6改造,涉及改造的内容和基础设施非常多,改造的周期也会比较漫长,如何保证IPv6网络运行的安全和易运维,是高校用户普遍关注的问题。
西安邮电大学设有长安、雁塔两个校区,现有在校学生18000余人。目前已建立了一个骨干为万兆的中等规模校园网。长安校区出口通过中国联通(5Gbps)和中国电信(6Gbps),雁塔校区出口通过教育网(1Gbps)、中国电信(500Mbps),教育网出口同时是IPv6出口,两校区网路通过光纤相连,总计带宽13.5Gbps。
与国内很多高校一样,为了让校园网专注于教学科研,西安邮电大学引入
运营商竞争性提供互联网接入服务,有线网由联通和电信运营,无线网纳入校园网统一管理。同时, 西安邮电大学校园网为核心为两台Juniper MX960 BRAS组成的扁平化网络架构,校园网不同区域采用不同的认证业务链。
西安邮电大学在进行IPv6改造并规模化部署时,面临着复杂的业务环境,
存在多个网络设备厂家和多个运营商认证源等困难,这些困难均给IPv6实名安全管理带来很大的挑战。
所以,改造的关键在于:
如何实现安全合规运营。
为了让校园网IPv6用户接入能够满足国家要求的实名制和网络安全法相关要求,西安邮电大学提出有线和无线网全面实现对IPv6接入的实名化认证管理的目标,其中包括满足支持现有不同认证业务链、IPv6访问审计合规、同时满足学校与运营商合作运营需求等。
系统运行拓扑图
西安邮电大学校园网有以下特点: 1、校园网结构是典型的扁平化网络架构;
2、两个校区各用一台Juniper BRAS做核心和准入准出认证控制;
3、业务认证链既有校内自主管理的,也有运营商直接管理的;
4、出口路由既有教育网也有运营商出口。
西安邮电大学为实现实名化认证管理,选择了
Dr.COM 认证计费系统和日志管理平台产品,利用Dr.COM产品优异的开放性和兼容性,与校园网现有的核心BRAS、联通电信Radius认证平台和DHCP系统,
共同组成IPv6校园网安全运营支撑系统。
系统部署完成后,总体实现了以下目标:
01 三条认证业务链完全支持IPv6/v4双栈 | PPPoE认证链(有线运营网):Juniper MX960+旁路-Dr.COM 认证计费系统(+运营商Radius认证系统),用户为购买运营商手机套餐的学生。
| IPoE认证链(有线办公网):Juniper MX960+旁路- Dr.COM 认证计费系统(+运营商Radius认证系统),用户为教师。
| WEB登录认证链(无线网):串接Dr.COM 认证网关,用户为教师与学生。
02 访问日志支持IPv6 两校区两台旁路Dr.COM 认证网关采用镜像方式,采集Juniper MX960的上联链路数据,处理后最终形成用户的实名访问记录,两台串接的Dr.COM 认证网关直接采集用户的实名记录,统一存储到Dr.COM日志平台以供其查询。
03 DHCPv6地址分配 两校区的无线网及办公区的IPv6地址均由DHCP Server动态分配,PPPoE的IPv6由Juniper MX960自动分配。
04 运营商IPv6流量分流 电信和联通运营商用户PPPoE认证成功后,Juniper MX960可同时给用户终端分配到IPv4和IPv6地址,运营商未支持IPv6,故PPPoE用户的IPv6流量的最终出口为校园网IPv6出口非运营商IPv6出口。
西安邮电大学原有的扁平化网络架构校园网,同时承载校园网业务和运营商业务,给IPv6规模化部署和实名安全合规运营建设带来了很大的挑战。西安邮电大学IPv6实名安全运营支撑系统的成功部署,主要有以下特点:
01 Dr.COM 认证计费系统与第三方BRAS Juniper MX960配合实现了全网不同业务认证链的IPv4和IPv6实名认证。
实际系统实时在线用户表(黑框为学生用户,红框为办公用户)
02 原有校园网共同承载了运营商业务和校园网业务,IPv6安全运营支撑系统使原有混合业务无缝迁移到IPv6环境,并且能将运营商用户的IPv6流量自动分流到教育网出口。
实际系统用户登录记录(红框为IPv6使用流量情况)
03 IPv6安全运营支撑系统通过认证系统旁挂镜像方式,实现了IPv6用户访问日志采集,满足了IPv6访问溯源需求。
IPv6访问日志查询
西安邮电大学校园网的特点,即扁平化网络、运营商校园网混合业务、IPv4多出口、IPv6独立出口、多校区等,也是国内目前很多高校共同的特点,因此西安邮电大学IPv6实名安全运营支撑系统的成功部署,为国内同类高校IPv6安全合规运营提供有益的参考借鉴。