XXXXIPV6设计方案20XX年XX月目录一、项目背景41.1地址管理挑战51.2应用建设挑战51.3认证审计挑战61.4安全防护挑战61.5网络管理挑战6二、IPv6升级改造目标72.1升级改造原则72.2升级改造目标7三、IPv6升级改造方案83.1基础网络设施升级93.1.1基础网络改造项103.2应用建设113.2.1域名支持123.2.2v4/v6权威发布123.2.3v4/v6双CNAME123.3认证审计133.3.1v6/v4终端准入准出认证133.3.1.1准入认证133.3.1.2准出认证143.3.1.3准入准出一体化143.3.1.4无感知认证143.3.2认证审计改造项153.4安全防护163.4.1网络安全防护整改及新增项173.5网络管理19四、设备清单错误!未定义书签。B|IIL/ifcK'kt*#她址叩111^F5*4认讪粋艸t合FMhWfl1按人、项目背景XXXX学校目前已经建成一套较为完整的传统三层网络系统,随着校园建设规模得扩大及信息化建设的不断发展,取得相应成绩但在发展中也存在些许问题。本次方案设计将立足当前,着眼未来,采用“以需求为导向,以应用促发展,统一规划,资源共享”的思路,针对学校全网实现IP地址双栈进行升级改造,网络、数据中心、安全等方面进行整体考虑,统一规划,建设一个以学院业务为核心,技术先进、扩展性强、高稳定、高性能的全网双栈网络,以满足教学办公、学生学习、上网及生活需要。现网网络拓扑:网络拓扑针对此次全网双栈资源改造,结合对XXXX整体信息化建设做过完整了解后,发现具体有如下几个难题:1.1地址管理挑战中国互联网络信息中心的最新数据显示,中国7.51亿互联网用户仅有3.38亿个IPv4地址,人均0.45个,IPv4地址池耗尽危机带来一系列互联网安全与监管隐患。因此,分配与管理IPv6地址是网络改造中的重要环节。目前XXXX网络地址多采用无状态自动配置方式,该方式支持所有终端、配置简单,但也存在以下问题:1、路由器上的IPV4、IPV6需部分手动配置,工作量大;2、终端通过无状态自动配置获得的IP地址会频繁变化,导致无法进行策略规划、无法进行终端溯源、难以管理。1.2应用建设挑战网站应用IPv6升级目的是使原来仅支持用户通过IPv4协议访问并获取服务的网站经过技术升级或者改造后,能够支持用户通过IPv6协议访问并获取服务。在IPv6升级改造过程中面临一些挑战。应用系统自身改造周期和成本应用系统升级至支持IPv4/v6双栈协议需从操作系统、WebServer和应用自身三方面进行建设;老版本操作系统多数不支持IPv6,需安装补丁或直接升级;Webserver例如Apache、IIS等也需要单独配置使其支持IPv6;应用系统自身,由于IPv4和IPv6的程序代码不完全一样,所以网站应用的双栈化基本上都需要重写代码,对网页中的以下内容进行修改:把网页中以IPv4地址直接写入的文件URL或链接URL更换成域名;把网页代码中存在无法处理IPv6地址的程序或函数更换成同时支持IPv4和IPv6的函数和程序;把程序中存储IP地址的数据空间(IPv4为32位)更换为同时支持IPv4(32位)和IPv6(128位)的变量结构、数据库结构或API。此外,当网页包含其它网站内容的链接(外链),即使采取双栈技术路线,全面升级网络和修改程序,但被引用的其它网站未升级,IPv6用户访问该网站时会出现响应缓慢,部分内容无法显示,部分功能无法使用等情况。该问题被称为“天窗”问题。大型网站往往互相引用,或者存在多个栏目,单方面的升级改造不可避免地存在。代码工作量不同网站应用工作量不等,差别较大,不可控。兼容访问由于整个IPv6升级改造是个持续的过程,因此,升级改造过程中,既要保证原有IPv4部分的访问不能中断,同时,要支持IPv6的访问流量。域名支持挑战WEB应用系统进行IPv6改造后,必须配合DNS域名发布才能实现IPv6访问。目前DNS均可支持AAAA记录发布,但对于使用CDN发布的大型网站,由于无法直接将域名拆分为A记录和AAAA记录进行解析,因此无法实现IPv6资源的发布。1.3认证审计挑战缺乏IPv6认证园区网中现有认证体系均只适用于IPv4网络,针对IPv6终端目前缺乏有效的出入网认证机制。随着IPv6的推广和普及,无认证机制会导致内网资源存在极大的被攻击隐患,因此建立有效的IPv6认证机制是IPv6全面升级的必要条件。难以审计溯源由于安卓系统不支持有状态的IPv6地址分配方式,而无状态的...
