XXXXIPv6升级改造方案 v1VIP免费

XXXXIPV6设计方案20XX年XX月目录一、项目背景41.1地址管理挑战51.2应用建设挑战51.3认证审计挑战61.4安全防护挑战61.5网络管理挑战6二、IPv6升级改造目标72.1升级改造原则72.2升级改造目标7三、IPv6升级改造方案83.1基础网络设施升级93.1.1基础网络改造项103.2应用建设113.2.1域名支持123.2.2v4/v6权威发布123.2.3v4/v6双CNAME123.3认证审计133.3.1v6/v4终端准入准出认证133.3.1.1准入认证133.3.1.2准出认证143.3.1.3准入准出一体化143.3.1.4无感知认证143.3.2认证审计改造项153.4安全防护163.4.1网络安全防护整改及新增项173.5网络管理19四、设备清单错误!未定义书签。B|IIL/ifcK'kt*#她址叩111^F5*4认讪粋艸t合FMhWfl1按人、项目背景XXXX学校目前已经建成一套较为完整的传统三层网络系统，随着校园建设规模得扩大及信息化建设的不断发展，取得相应成绩但在发展中也存在些许问题。本次方案设计将立足当前，着眼未来，采用“以需求为导向，以应用促发展，统一规划，资源共享”的思路，针对学校全网实现IP地址双栈进行升级改造，网络、数据中心、安全等方面进行整体考虑，统一规划，建设一个以学院业务为核心，技术先进、扩展性强、高稳定、高性能的全网双栈网络，以满足教学办公、学生学习、上网及生活需要。现网网络拓扑：网络拓扑针对此次全网双栈资源改造，结合对XXXX整体信息化建设做过完整了解后，发现具体有如下几个难题：1.1地址管理挑战中国互联网络信息中心的最新数据显示，中国7.51亿互联网用户仅有3.38亿个IPv4地址，人均0.45个，IPv4地址池耗尽危机带来一系列互联网安全与监管隐患。因此，分配与管理IPv6地址是网络改造中的重要环节。目前XXXX网络地址多采用无状态自动配置方式，该方式支持所有终端、配置简单，但也存在以下问题：1、路由器上的IPV4、IPV6需部分手动配置，工作量大；2、终端通过无状态自动配置获得的IP地址会频繁变化，导致无法进行策略规划、无法进行终端溯源、难以管理。1.2应用建设挑战网站应用IPv6升级目的是使原来仅支持用户通过IPv4协议访问并获取服务的网站经过技术升级或者改造后，能够支持用户通过IPv6协议访问并获取服务。在IPv6升级改造过程中面临一些挑战。应用系统自身改造周期和成本应用系统升级至支持IPv4/v6双栈协议需从操作系统、WebServer和应用自身三方面进行建设；老版本操作系统多数不支持IPv6，需安装补丁或直接升级；Webserver例如Apache、IIS等也需要单独配置使其支持IPv6；应用系统自身，由于IPv4和IPv6的程序代码不完全一样，所以网站应用的双栈化基本上都需要重写代码，对网页中的以下内容进行修改：把网页中以IPv4地址直接写入的文件URL或链接URL更换成域名；把网页代码中存在无法处理IPv6地址的程序或函数更换成同时支持IPv4和IPv6的函数和程序；把程序中存储IP地址的数据空间（IPv4为32位）更换为同时支持IPv4（32位）和IPv6（128位）的变量结构、数据库结构或API。此外，当网页包含其它网站内容的链接（外链），即使采取双栈技术路线，全面升级网络和修改程序，但被引用的其它网站未升级，IPv6用户访问该网站时会出现响应缓慢，部分内容无法显示，部分功能无法使用等情况。该问题被称为“天窗”问题。大型网站往往互相引用，或者存在多个栏目，单方面的升级改造不可避免地存在。代码工作量不同网站应用工作量不等，差别较大，不可控。兼容访问由于整个IPv6升级改造是个持续的过程，因此，升级改造过程中，既要保证原有IPv4部分的访问不能中断，同时，要支持IPv6的访问流量。域名支持挑战WEB应用系统进行IPv6改造后，必须配合DNS域名发布才能实现IPv6访问。目前DNS均可支持AAAA记录发布，但对于使用CDN发布的大型网站，由于无法直接将域名拆分为A记录和AAAA记录进行解析，因此无法实现IPv6资源的发布。1.3认证审计挑战缺乏IPv6认证园区网中现有认证体系均只适用于IPv4网络，针对IPv6终端目前缺乏有效的出入网认证机制。随着IPv6的推广和普及，无认证机制会导致内网资源存在极大的被攻击隐患，因此建立有效的IPv6认证机制是IPv6全面升级的必要条件。难以审计溯源由于安卓系统不支持有状态的IPv6地址分配方式，而无状态的...