高校如何部署一个安全可溯源的IPv6校园网?

              2019-03-04 09:53 稿源:用户投稿  0条评论

              2018 年 5 月 3 日,工业和信息化部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,这份文件,成为智慧校园发展的巨大引擎,文件对教育网的IPv6 改造做了明确要求:

              1、到 2018 年底,教育网完成业务运营支撑系?#25104;?#32423;改造,建立面向IPv6 业务的运维管理体系和业务管理流程,具备IPv6 用户统计、网络日志审计、流量统计以及IPv6 业务受理、开通、运行维护等能力。

              2、到 2019 年底,省教育计算机网以及高等学校校园网完成IPv6 升级改造。鼓励有条件的高等学校开展纯IPv6 试验网建设;鼓励?#34892;?#23398;、幼儿园积极推进校园网IPv6 改造。

              国家政策虽然一直在强调校园网的IPv6 改造,但就目前IPv6 升级而言,高校仍旧没有?#19994;?#30456;关IPv6 安全合规且系统?#34892;?#30340;解决方案。

              按照现有等级保护标准,网络安全主要有三个防护要求:访问控制、边界完整性和安全审计。

              需要强调的是,访问控制是建立在实名?#29616;?#30340;基础上,然后结合接入控制设备进行实名用户访问控制。

              而实名?#29616;?#20998;为准入和准出?#29616;ぃ?#20934;入?#29616;?#30340;?#20040;?#26159;实?#30452;?#30028;完整和IP实名审计,但要实现IPv6 准入?#29616;?#23601;意味着现有准入和汇聚网络设备要改造,这对很多高校来说需要很大的预算。

              网络设备仅仅简单支持IPv6 准入?#29616;?#36824;是?#36824;唬?#20173;然需要解决很多细节才能建立安全的IPv6 网络,这是由于IPv6 的以下几个重要特性:

              1.终端兼容性。

              原生的安?#21487;?#22791;不支持DHCPv6,意味着无线网需使用无状态地址自动配置方式(SLAAC)配置IPv6。

              2.地址变化频繁。 

              使用SLAAC后,所有PC和智能终端操作系统,因默认启用隐私保护策略(RFC4941、RFC7217),终端的IPv6 地址就会每小时或切换网络时都会发生变化,目的?#19988;?#34255;轨迹保护隐私,以防被跟踪攻击。

              3.NDP协议的组播特性。

              IPv6 的一个主要增强特性是邻居发现(ND, Neighbor Discovery)。ND用一种更全面、统一的方法取代了IPv4 使用的ICMP和ARP。IPv6 无状态地址的自动配置和地址变更过程也是基于NDP协议,但NDP协议使用了组播方式通信,意味着终端的IPv6 无状态地址和MAC地址对应日志分布在不同的汇聚交换机,传统基于SNMP网管方式难以?#34892;?#24555;速采集大规模网络中变化频繁的IPv6 地址日志。

              所以,校园网基础网络的IPv6 改造,不是简单的网络设备改造,如果以上问题不能妥善解决,IPv6 的校园场景应用,会面临以下挑战:

              1.安全无法溯源。

              难以实现?#34892;?#30340;IPv6 IP实名审计,同?#20445;?#24403;IPv6 网络出现安全威胁,面对变化频繁的无状态地址,无法溯源终端的网络轨迹,难以?#19994;?#20803;凶;

              2.用户体验差。

              在有IPv6 准入?#29616;?#30340;情况下,频繁变化的地址意味用户需要反复?#29616;ぃ?#20351;用体验很差,如果要实现无感知?#29616;ぃ?#35201;求?#29616;?#31995;统能够兼容不同网络设备厂商的无感知?#29616;?#26041;法。

              3.组网环境复杂。

              不同的组网方案也需要不同的整体解决方案。传统三层网络、扁平化网络和SDN网络, IPv6 地址审计、无感知?#29616;ぁ?#20934;入?#29616;?#31561;需要满足的条件就各有不同,比如纯二层扁平化网络,相对于传统三层网络,核心BRAS更容易实现IPv6 地址审计。

              那么,高校面对国家政策要求和IPv6 升级改造的诸多难题,应该怎么办?

              Dr.COM城市热点,作为网络实名安全解决方案的领导者,依据多年的实名安全经验,为高校的IPv6 提供Dr.COMIPv6 ?#29616;?#31649;理解决方案,整个方案贯穿IPv6 用户从地址分配管理到日志审计的全?#26041;冢?#20026;校园网解决部署升级中所面临的?#29616;?#20307;验、地址审计、实名?#29616;ぁ?#21378;家兼容等多种棘手问题。

              1.实现无感知?#29616;?#21644;实名审计。

              针对无状态地址变化频繁的特性,Dr.COM ?#29616;?#31995;?#25745;?#21512;Dr.COM智能DHCP系统,可实现终端IPv6 隐私策略的无感知?#29616;ぃ?#35299;决IPv6 地址变化带来的接入体验问题,并?#34892;?#23545;用户进行合规实名审计。

              2.满足多场景化需求。

              支持各种复杂网络场景,无论传统三层、扁平化网络、SDN网络,还是?#29616;?#32593;关、旁挂?#29616;?#26381;务器及运营商PPPoE代拨,均能实现方案完整功能。

              3.广泛的兼容性。

              广泛的设备厂家IPv6 兼容性,城市热点秉承一贯的兼容互通原则,支持包括华为、华三、锐捷、Juniper等的Portal v6 协议、Radius v6 厂家属性、v6 无感知?#29616;?#26041;法等IPv6 相关业务功能特性,保障客户投资和方案灵活性。

              完善的IPv6 运营支撑工具。

              除了独立的IPv6 用户在线分析、活跃分析报表等的业务后台,还提供手机端IPv6 助手,帮助用户一目了然IPv6 地址情况和互联网联通状态,如有故障可一键提交后台快速分析定位,帮助网络管理者高效率可控的完成IPv6 网络快速部署。

              5.选择多样化。

              支持 2017 版IPv6 标准协议集(RFC8200),提供多样化的双栈联动?#29616;?#26041;案,支持IPv6-Only部署。

              Dr.COM城市热点的IPv6 综合性解决方案,提供IPv6 升级改造中全?#26041;?#30340;技术服务;相信不久之后,中国将会迎来IPv6 发展浪?#20445;?#26234;慧高校也将在IPv6 的大势所趋下,迎来全新的发展,我们要做的,就是以开放创新的姿态,?#24403;Pv6 的全面到?#30784;?/p>

              本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

              免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,?#36824;?#25104;任何投?#30465;?#20351;用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

              声明:本文转载自第三方?#25945;澹?#22914;需转载,请联系版权方授权转载。协助申请

              相关文章

              相关热点

              查看更多
              ?
              彩票双赢怎么买