XXXXIPv6升级改造方案 v1

XXXXIPV6设计方案20XX年XX月目录一、项目背景.........................................................................................................................41.1地址管理挑战........................................................................................................51.2应用建设挑战........................................................................................................51.3认证审计挑战........................................................................................................61.4安全防护挑战........................................................................................................61.5网络管理挑战........................................................................................................6二、IPv6升级改造目标.......................................................................................................72.1升级改造原则.........................................................................................................72.2升级改造目标.........................................................................................................7三、IPv6升级改造方案.......................................................................................................83.1基础网络设施升级.................................................................................................93.1.1基础网络改造项......................................................................................103.2应用建设...............................................................................................................113.2.1域名支持...................................................................................................123.2.2v4/v6权威发布........................................................................................123.2.3v4/v6双CNAME.........................................................................................123.3认证审计...............................................................................................................133.3.1v6/v4终端准入准出认证........................................................................133.3.1.1准入认证......................................................................................133.3.1.2准出认证......................................................................................143.3.1.3准入准出一体化..........................................................................143.3.1.4无感知认证..................................................................................143.3.2认证审计改造项......................................................................................153.4安全防护...............................................................................................................163.4.1网络安全防护整改及新增项.................................................................173.5网络管理...............................................................................................................19四、设备清单.........................................................................................错误!未定义书签。一、项目背景XXXX学校目前已经建成一套较为完整的传统三层网络系统，随着校园建设规模得扩大及信息化建设的不断发展，取得相应成绩但在发展中也存在些许问题。本次方案设计将立足当前，着眼未来，采用“以需求为导向，以应用促发展，统一规划，资源共享”的思路，针对学校全网实现IP地址双栈进行升级改造，网络、数据中心、安全等方面进行整体考虑，统一规划，建设一个以学院业务为核心，技术先进、扩展性强、高稳定、高性能的全网双栈网络，以满足教学办公、学生学习、上网及生活需要。现网网络拓扑：网络拓扑针对此次全网双栈资源改造，结合对XXXX整体信息化建设做过完整了解后，发现具体有如下几个难题：1.1地址管理挑战中国互联网络信息中心的最新数据显示，中国7.51亿互联网用户仅有3.38亿个IPv4地址，人均0.45个，IPv4地址池耗尽危机带来一系列互联网安全与监管隐患。因此，分配与管理IPv6地址是网络改造中的重要环节。目前XXXX网络地址多采用无状态自动配置方式，该方式支持所有终端、配置简单，但也存在以下问题：1、路由器上的IPV4、IPV6需部分手动配置，工作量大；2、终端通过无状态自动配置获得的IP地址会频繁变化，导致无法进行策略规划、无法进行终端溯源、难以管理。1.2应用建设挑战网站应用IPv6升级目的是使原来仅支持用户通过IPv4协议访问并获取服务的网站经过技术升级或者改造后，能够支持用户通过IPv6协议访问并获取服务。在IPv6升级改造过程中面临一些挑战。应用系统自身改造周期和成本应用系统升级至支持IPv4/v6双栈协议需从操作系统、WebServer和应用自身三方面进行建设；老版本操作系统多数不支持IPv6，需安装补丁或直接升级；WebServer例如Apache、IIS等也需要单独配置使其支持IPv6；应用系统自身，由于IPv4和IPv6的程序代码不完全一样，所以网站应用的双栈化基本上都需要重写代码，对网页中的以下内容进行修改：把网页中以IPv4地址直接写入的文件URL或链接URL更换成域名；把网页代码中存在无法处理IPv6地址的程序或函数更换成同时支持IPv4和IPv6的函数和程序；把程序中存储IP地址的数据空间（IPv4为32位）更换为同时支持IPv4(32位）和IPv6(128位）的变量结构、数据库结构或API。此外，当网页包含其它网站内容的链接（外链），即使采取双栈技术路线，全面升级网络和修改程序，但被引用的其它网站未升级，IPv6用户访问该网站时会出现响应缓慢，部分内容无法显示，部分功能无法使用等情况。该问题被称为“天窗”问题。大型网站往往互相引用，或者存在多个栏目，单方面的升级改造不可避免地存在。代码工作量不同网站应用工作量不等，差别较大，不可控。兼容访问由于整个IPv6升级改造是个持续的过程，因此，升级改造过程中，既要保证原有IPv4部分的访问不能中断，同时，要支持IPv6的访问流量。域名支持挑战WEB应用系统进行IPv6改造后，必须配合DNS域名发布才能实现IPv6访问。目前DNS均可支持AAAA记录发布，但对于使用CDN发布的大型网站，由于无法直接将域名拆分为A记录和AAAA记录进行解析，因此无法实现IPv6资源的发布。1.3认证审计挑战缺乏IPv6认证园区网中现有认证体系均只适用于IPv4网络，针对IPv6终端目前缺乏有效的出入网认证机制。随着IPv6的推广和普及，无认证机制会导致内网资源存在极大的被攻击隐患，因此建立有效的IPv6认证机制是IPv6全面升级的必要条件。难以审计溯源由于安卓系统不支持有状态的IPv6地址分配方式，而无状态的IPv6地址分配方式导致地址频繁变化不可控，因此难以溯源；同时由于IPv6审计系统不完备，IPv6终端访问网络的各类日志分散存储在各系统中，未进行数据统一存储及管理，缺少IPv6用户访问数据模型，无法将各类日志有效整合，当发生网络安全事故时，难以排查定位，无法满足《网络安全法》要求。1.4安全防护挑战原有网站IPv4的相关防护比较充足，但是一旦开启IPv6支持，等于开启了另一扇大门，将网站暴露在外。基于IPv4的相关防护措施是否能够同时支持基于IPv6的访问，或者需要同时建设IPv6的安全防护措施，同样会带来建设周期和成本问题。1.5网络管理挑战在IPv6网络改造的过程中，v6设备的占比会大大提升，而也会因部分老旧设备不支持v6的配置，导致网络中v4和v6设备共存。现存IT资源监控平台仅支持v4设备的监控，对于升级改造过程中出现的v6设备无法进行监控，不能兼容v4和v6设备共存的监控需求。二、IPv6升级改造目标2.1升级改造原则❖必须同时支持IPv4、IPv6双栈网络；❖终端必须可自动获取IPv4、IPv6地址，并可同时使用IPv4、IPv6协议访问网络资源；❖必须为IPv6终端提供入网/出网认证服务，支持定义多种认证策略；❖必须支持IPv6终端溯源；❖网站应用服务必须