报告预览

2018年中国科大IPv6应用实践.pdf

编号：95504

PDF 48页 11.52MB 下载积分：VIP专享

下载报告请您先登录！

2018年中国科大IPv6应用实践.pdf

1、中国科大IPv6应用实践目录1.中国科大校园网络简介2.安徽省教育科研网简介3.校园网IPV6应用与管理1.中国科大校园网络简介网络信息中心定位校园网络拓扑校园网络特点一流的基础设施支撑一流大学建设20余年建设校园网络覆盖校园各个角落直接服务科学研究过程文献访问同行交流科研协作应用保障超算服务高速安全智能稳定10余年建设超算设施服务重点科研方向加大平台建设，增强服务能力校园网络承载上网流量、一卡通、视频监控、能源监控等10余套业务7X24保障全校师生正常使用，保障谷歌学术一直可用大陆高校第一家全面开通eduroam学术无线网络漫游服务提供学术带宽，近代物理系与CERN的带宽使用在国内前

2、列参与北京、上海、苏州校区以及先研院的网络规划设计和对接安徽省教育和科研计算机网覆盖16个城市，连接教育厅、考试院和省内近80所高校保障历年高招录取、视频会议等关键应用超算中心“研究组校级共享国家级”三级超算服务模式支持的高水平科研成果不断涌现，发表在nature等一流期刊全校约10%的高水平论文使用超算平台教育网CERNET 网络信息中心东校区西校区南校区服务器群超算平台联通CUNET校园网络主干及出口示意图10G下一代教育网CERNET2(IPv6)电信CHINANET教三楼生命科学学院加速器计算机科学系信息学院火灾科学实验室高性能计算中心图书馆西区活动中心力三楼力二楼力一楼南区教学楼南区

3、办公楼MBA中心软件学院南区图书馆南区实验楼南区学生宿舍西区学生宿舍力四楼南区汇聚节点东区学生宿舍行政办公楼理化中心大楼理化一号楼大礼堂微尺度物理楼数学楼教一楼教二楼化学楼艺术楼东区活动中心公共事务学院电四楼电子工程与信息系计算中心汇聚节点无线网1.7G科技网CSTNET 1.2G3G2G移动CMNET1G西区核心网络中心核心先研院核心校园网络拓扑示意图千兆到桌面网络资源丰富用户自主性高IPv6/v4全支持中国科大校园网特点充足的网络资源1个自治域号 ASN 450812B IPv4地址，其中1B+32C直接从CNNIC申请，目前使用了约40%/32 IPv6地址多样的网络出口和丰富的可用带宽

4、2个学术网络出口：中国教育和科研计算机网、中国科技网3个商业网络出口：移动、联通、电信实际使用带宽约13G（2万用户）IP协议全支持2005年5月起全校（含OpenVPN用户）网络支持IPv4+IPv6双栈，稳定运行13年目前超过1/2的用户使用IPv62层为主的校园网自2000年从FDDI改造为千兆以太网后，2层VLAN通达所有位置2层VLAN覆盖合肥的校区和上海研究院40%60%IPv4地地址址已用空余18%11%15%21%13%22%带带宽宽教育网科技网移动联通电信IPv6上海研究院VLAN透传合肥路由器B上海路由器B合肥城域网核心交换机科大先研院交换机科大东区交换机上海研究院交换机某

5、项目网络科大先研院科大上海研究院科大隧道虚拟机Eth0 10.255.34Eth1 172.16.21.*(电信)Eth2 数据口上海隧道虚拟机Eth0 10.255.34Eth1 218.22.21.*(电信)Eth2 数据口无线ACVLAN200VLAN XPOE及APVLAN200VLAN X8个IP8个IPUDP透传以太网包1G带宽为主线路电信公网为备用线路主用线路故障时,3秒钟切换开通的业务：1.无线上网，包含eduroam，跟科大本部完全相同2.一卡通服务，跟科大本部采用无线连接3.上海研究院有线网络用户访问科大本部上海城域网核心交换机主备用户自主选择出口路由，随时可以更改用户9种

6、出口组合VIP用户+4种教育网出口电信出口NAT1联通出口NAT2Linux服务器3台Linux服务器并行实现认证、路由控制功能，处理约10Gbps流量1G用户可以随时选择策略，使用不同的出口组合移动出口NAT3科技网NAT4校园网络出口拓扑图其中一台Linux机器连续运行超过11年校内网络2.安徽省教育和科研计算机网络简介安徽省教育和科研计算机网络拓扑安徽省教育和科研计算机NOC安徽省教育和科研计算机网主干省级教育行业主干网连接近80所高校支持IPv4/IPv6协议安徽省教育和科研计算机网主干u线路与协议合肥部分高校10G+1G线路省内各城市1G线路+VPN备用线路部分学校VPN线路接入支持

7、IPv6/IPv4双栈u路由协议内部主干使用OSPF+OSPFv3协议BGP承载用户路由对外：CERNET静态路由CERNET2 BGPu冗余性主干线路1G+VPN备用线路合肥局部光纤环网部分高校双路由裸光纤，动态路由或port channel备用IPv4总流量IPv6总流量安徽省教育和科研计算机网NOC安徽省教育和科研计算机网LOOKINGGLASSIPV6流量合肥工业大学安徽大学安徽农业大学安徽师范大学滁州学院中国科学技术大学IPV6技术培训每期40人，分8组OSPF/OSPFv3/BGP配置Nginx/Letsencrypt配置3期，112人参加培训参加培训后，15所学校开通了IPv6服

8、务3小时3小时3.校园网IPV6应用与管理IPV6发展历史IPV6用户接入IPV6服务提供IPV6运行监测IPV6安全措施中国科大校园网IPV6历史1999年李津生教授承担863课题中国科大IPv6示范网2000年采用纯IPv6链路和隧道技术相结合的组网技术，建成校内IPv6测试网2004年CNGI-CERNET2中国科学技术大学节点建成2005年校园网改造为万兆主干，校内全面支持IPv6，包括OpenVPN的远程用户均支持IPv62017年反向代理支持IPv6，600余个网站正式提供IPv6服务网络管理理念以用户为中心支持技术探究开放的校园网络接入方式丰富，满足各种用户需要使用方便快捷，尽量

9、少设置障碍使用标准协议，只要是TCP/IP系统，都可以接入只要不违反法律法规、不影响网络运行，都应该支持如支持LUG(学生Linux协会)开展PXE启动、开源软件镜像等技术探究https:/ address202.38.81.254/25ip verifyunicastsourcereachable-viarxipv6address2001:da8:d800:81:1/64ipv6verifyunicastsourcereachable-viarxip dhcp relayaddress202.38.64.7BRAS接口配置interfaceRoute-Aggregation1.500vlan

10、-typedot1qvid500second-dot1q51to900dhcp selectrelayipv6address2001:DA8:D800:500:1/64ipv6addressautolink-localipv6nd autoconfig other-flagundoipv6nd ra haltipv6nd ra router-lifetime9000ipv6subscriberl2-connectedenableipv6subscriberinitiatorndrs enableipv6subscriberinitiatorunclassified-ip enableipv6s

11、ubscriberuser-detectnd retry5interval60ipv6subscriberunclassified-ip domainustcipv6ipv6subscriberndrs domainustcipv6开发一个简单的radius服务器，仅仅允许特定的地址段上线子网用户的IPV6接入子网很普遍，有接入IPv6需求不少实验室/办公室建立子网，通过地址转换设备连接到校园网可以将IPv6数据包桥接到内网，让内部用户使用IPv6也可以分配独立网段，设置静态路由子网用户的独立网段IPV6接入给子网分配IPv6/64前缀，核心交换机设置静态路由子网管理员在子网的网关设备上设置如

12、下信息内外接口IPv6地址，默认路由设备内部的RA广播启用路由功能中科大校园网IPV6应用服务基础IPv6环境DNS、OpenVPN现有应用的IPv6原生支持BBS/IPTV/FTP/个人主页/高性能计算等网站的大规模服务支持使用nginx反向代理服务器，对外统一提供IPv6+SSL支持测量到根域名服务器的IPv4地址延迟，可以判断教育网内有12个根域名服务器0ms f j30ms a b c d e g i k l m300ms h这个不在教育网内互联网根DNS服务器30ms以内的延迟，在教育网内13个 a.root- m.root-http:/ https:/www.iana.org/do

13、mains/root/files配置好bind，就可以提供根域名服务要想使用方便，需要劫持相关的路由教育网劫持了12个根域名服务器的IPv4路由我校自己提供根域名服务劫持了13个根域名服务器的IPv6路由和1个IPv4路由相关说明https:/ route198.97.190.53/32,ubest/mbest:1/0*via202.38.64.12,20/0,8w0d,bgp-45081,external,tag65500#showipv6route2001:500:1:53/128,ubest/mbest:1/0*via2001:da8:d800:12,Vlan640,20/0,8w0d,

14、bgp-45081,external,tag655002001:500:2:c/128,ubest/mbest:1/02001:500:12:d0d/128,ubest/mbest:1/02001:500:2d:d/128,ubest/mbest:1/02001:500:2f:f/128,ubest/mbest:1/02001:500:9f:42/128,ubest/mbest:1/02001:500:a8:e/128,ubest/mbest:1/02001:500:200:b/128,ubest/mbest:1/02001:503:c27:2:30/128,ubest/mbest:1/020

15、01:503:ba3e:2:30/128,ubest/mbest:1/02001:7fd:1/128,ubest/mbest:1/02001:7fe:53/128,ubest/mbest:1/02001:dc3:35/128,ubest/mbest:1/0知名学校主网站特性对比学学校校IPv6IPv6SSLSSLHTTP/2HTTP/2HarvardUniversityMITStanfordUniversityUC BerkeleyUniversityofOxfordCaliforniaInstituteofTechnologyUniversityofCambridgeColumbiaUniv

16、ersityPrincetonUniversityYaleUniversityC9学校主网站特性对比学校教育网电信联通移动鹏博士IPv6SSLHTTP/2中科大北大清华浙大南大上交复旦西交哈工大https:/ 头：Host:X-Real-IP:X-Forwarded-Proto:两种SSL证书Letsencrypt.org*独立域名证书自动更新nginx开源软件免费证书HTTP2支持用户的跟踪与日志记录使用这些信息，可以任给IPv6地址，可以查出某个时间段对应的MAC地址对于宿舍用户，根据内层VLAN号可以直接定位到宿舍房间任给MAC地址，可以查出接在哪个交换机的哪个接口下采集交换机上的信息来

17、跟踪用户收集3层交换机用户的IPv6地址和MAC地址对应表show ipv6 nei通过snmp协议收集2层交换机的MIB信息可以得到某个MAC地址是在哪个接口下的BRAS使用radius记账消息提供IPv6地址和MAC地址、2层VLAN的信息用户的跟踪与日志记录校园网IPV4/IPV6活动机器数据IPv6机器数IPv4机器数月年一天内IPv4机器数IPv4机器数IPv6机器数一天内4万3万一周内6.9万6.2万反向代理状态测速网站网站访问SSL测试网站访问统计网站访问统计https:/ route 192.0.2.1/32 Null0ipv6 route 2001:db8:1/128 Nul

18、l0通过BGP把黑名单IP的next_hop设置为192.0.2.1或2001:db8:1IP黑名单系统http:/丢弃发给黑名IP的数据包（单向）0022 ssh扫描0023 telnet扫描0025 垃圾邮件发送0080 恶意文件下载、WAF报警1433 SQL扫描3306 MySQL扫描3389 远程桌面扫描不同的攻击，加黑名单的时间不等黑名单IP统计IP黑名单管理IP黑名单管理IP黑洞系统封禁对校内的流量上游路由器IP黑洞校园网BGP注入引流通过BGP把需要引流IP的next_hop设置为IP黑洞的IPv4或v6地址IP黑洞系统http:/作用：丢弃发给某IP所有或特定数据包（单向）扫

19、描找出校内有安全隐患的IP或IP的端口黑洞系统通过BGP协议进行引流黑洞系统将数据包过滤后送给校园网自动化、高效率封禁对校内的部分流量自动规则：所有启用反向代理服务的IP 80端口所有摄像头IP所有校内打印机IP所有服务器IPMI IP服务器网段的3389端口所有探测到的53端口所有探测到的1433/1521/3306等端口存在问题与下一步工作思考如何认证计费最方便？无线网依赖eduroam，802.1X接入认证，可以解决认证问题有线网络倾向使用与目前v4类似的出口portal认证越来越多的https网站，使得portal弹窗越来越不方便如何使用多家运营商出口？理想中的BGP能实现吗？BGP能完美解决选路问题吗？如果不能实现，是否需要目前v4的用户自主选择出口？多家运营商出口还需要NAT吗？谢谢！

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2018年中国科大IPv6应用实践.pdf）为本站（云闲）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

2018年中国科大IPv6应用实践.pdf

2018年中国科大IPv6应用实践.pdf