IPv6应用实践-中科大PPT课件.pptx

IPv6应用实践 张焕杰中国科学技术大学网络信息中心 2020 3 26 1 提纲 2020 3 26 2 一流的基础设施支撑一流研究型大学建设 20余年建设校园网络覆盖校园各个角落 直接服务科学研究过程文献访问同行交流科研协作应用保障超算服务 高速 安全 智能 稳定 10余年建设超算设施服务重点科研方向 2020 3 26 3 加大平台建设 增强服务能力 2020 3 26 4 教育网CERNET 网络信息中心 东校区 西校区 南校区 服务器群 超级计算平台 联通CUNET 校园网络主干及出口示意图 10G 下一代教育网CERNET2 IPv6 电信CHINANET 教三楼 生命科学学院 加速器 计算机科学系 信息学院 火灾科学实验室 高性能计算中心 图书馆 西区活动中心 力三楼 力二楼 力一楼 南区教学楼 南区办公楼 MBA中心 软件学院 南区图书馆 南区实验楼 南区学生宿舍 西区学生宿舍 力四楼 南区汇聚节点 东区学生宿舍 行政办公楼 理化中心大楼 理化一号楼 大礼堂 微尺度 物理楼 数学楼 教一楼 教二楼 化学楼 艺术楼 东区活动中心 公共事务学院 电四楼 电子工程与信息系 计算中心汇聚节点 无线网 1 7G 科技网CSTNET 1 2G 3G 2G 移动CMNET 1G 西区核心 网络中心核心 先研院核心 1 22 34 6 2020 3 26 5 中国科大校园网特点 2020 3 26 6 合肥路由器B 上海路由器B 合肥城域网核心交换机 上海城域网核心交换机 科大先研院交换机 科大东区交换机 上海研究院交换机 干线 科大先研院 科大 上海研究院 科大VPN虚拟机 Eth010 255 34Eth1172 16 21 2 电信 Eth2数据口 vlan989 vlan989 上海VPN虚拟机 Eth010 255 34Eth1218 22 21 10Eth2数据口 上海研究院VLAN透传 无线ACVLAN200 POE交换机及APVLAN200 8个IP 8个IP 干线的1G带宽为主线路电信公网为备用线路 2020 3 26 7 主备线路使用情况 主用干线1G 备用电信Internet 主用线路故障 3秒钟切换开通的业务 无线上网 包含eduroam 跟科大本部完全相同一卡通服务 跟科大本部一样采用无线连接上海研究院有线网络用户访问科大本部 2020 3 26 8 用户自主选择路由 普通用户9种出口组合VIP用户 4种 2020 3 26 9 提纲 2020 3 26 10 安徽省教育和科研计算机网主干 省级教育行业主干网 连接近80所高校 支持IPv4 IPv6协议 2020 3 26 11 武汉 南京 济南 安徽省教育科研网省网中心 科大 IPv4主干2013年改造 南京 武汉 中国教育科研网CERNET网络中心 赛尔网络 CNGI主干网清华大学 中国科大支持 CENET合肥节点 科大 支持 省网主节点 高校 支持 市 专线接入学校 VPN接入学校 IPv6主干2018年改造 VPN 1G 10G 100G IPv6 IPv4 国家级主干 省级主干 接入网络 非完全商业化运作 会员制 分级建设 协同管理 统一服务 赛尔负责IP地址域名 主干传输 省网负责省内线路和传输 会员学校就近接入 2014年改造 100GX4 10G1G 2020 3 26 12 安徽省教育和科研计算机网 线路与协议合肥部分高校10G 1G线路省内各城市1G线路 VPN备用线路部分学校VPN线路接入支持IPv6 IPv4双栈路由协议CERNET静态路由 CERNET2BGP内部主干使用OSPF OSPFv3协议BGP承载用户路由冗余性主干线路1G VPN备用线路合肥局部光纤环网部分高校双路由裸光纤 动态路由或portchannel备用 IPv4总流量 IPv6总流量 2020 3 26 13 2020 3 26 14 IPv6流量 合肥工业大学 安徽大学 安徽农业大学 安徽师范大学 滁州学院 中国科学技术大学 2020 3 26 15 透传VPN技术 将以太网数据包利用其它网络透传 仅使用UDP支持VLAN加密 压缩主 备切换支持一侧NAT 2020 3 26 16 学校VPN接入 2 3 1 原始数据包 VPN后数据包 2020 3 26 17 学校VPN接入 1 2 3 4 5 6 原始数据包 VPN后数据包 2020 3 26 18 提纲 2020 3 26 19 科大校园网IPv6历史 2020 3 26 20 网络管理理念 接入方式丰富 满足各种用户需要使用方便快捷 尽量少设置障碍 只要不违反法律法规不影响网络运行都应该支持 只要是TCP IP系统都能接入应用 如支持LUG 学生Linux协会 开展PXE启动 开源软件镜像等技术探究 2020 3 26 21 IPv6主干 2020 3 26 22 BGP路由信息 科大自治域2400 B600 32 CERNET2合肥节点自治域 CERNET2核心网自治域 沃达丰 IIJ HE CNGI IX自治域 2020 3 26 23 用户IPv6接入 2020 3 26 24 vlan接口配置 interfaceVlan167ipaddress202 38 81 254 25ipverifyunicastsourcereachable viarxipv6address2001 da8 d800 81 1 64ipv6verifyunicastsourcereachable viarxipdhcprelayaddress202 38 64 7 2020 3 26 25 BRAS接口配置 interfaceRoute Aggregation1 500vlan typedot1qvid500second dot1q51to900dhcpselectrelayipv6address2001 DA8 D800 500 1 64ipv6addressautolink localipv6ndautoconfigother flagundoipv6ndrahaltipv6ndrarouter lifetime9000ipv6subscriberl2 connectedenableipv6subscriberinitiatorndrsenableipv6subscriberinitiatorunclassified ipenableipv6subscriberuser detectndretry5interval60ipv6subscriberunclassified ipdomainustcipv6ipv6subscriberndrsdomainustcipv6 开发一个简单的radius服务器 仅仅允许特定的地址段上线 2020 3 26 26 子网用户的IPv6接入 2020 3 26 27 用户的跟踪与日志记录 2020 3 26 28 2020 3 26 可编辑 29 31 校园网IPv4 IPv6活动机器数据 IPv6机器数 IPv4机器数 月 年 一天内IPv4机器数 2020 3 26 30 科大校园网IPv6应用 2020 3 26 31 互联网根DNS服务器 30ms以内的延迟 在教育网内 2020 3 26 32 互联网根DNS服务器 2020 3 26 33 校园网劫持的路由 showiproute198 97 190 53 32 ubest mbest 1 0 via202 38 64 12 20 0 8w0d bgp 45081 external tag65500 showipv6route2001 500 1 53 128 ubest mbest 1 0 via2001 da8 d800 12 Vlan640 20 0 8w0d bgp 45081 external tag655002001 500 2 c 128 ubest mbest 1 02001 500 12 d0d 128 ubest mbest 1 02001 500 2d d 128 ubest mbest 1 02001 500 2f f 128 ubest mbest 1 02001 500 9f 42 128 ubest mbest 1 02001 500 a8 e 128 ubest mbest 1 02001 500 200 b 128 ubest mbest 1 02001 503 c27 2 30 128 ubest mbest 1 02001 503 ba3e 2 30 128 ubest mbest 1 02001 7fd 1 128 ubest mbest 1 02001 7fe 53 128 ubest mbest 1 02001 dc3 35 128 ubest mbest 1 0 2020 3 26 34 知名学校主网站特性对比 2020 3 26 35 C9学校主网站特性对比 2020 3 26 36 IPv6 SSL网站服务 教育网 交换机 电信 联通 科技网 虚拟机1个接口划分若干VLAN每个VLAN对应一个出口 移动 WAFWEB防火墙 反向代理服务器有6个入口解决访问速度问题 1台反向代理服务600个网站统一申请SSL证书 IPv6支持 WAF倒置统一拦截各类WEB攻击 Linux虚拟机反向代理服务器 IPv4 IPv6 WAN LAN 增加HTTP头 Host X Real IP X Forwarded Proto 两种SSL证书Letsencrypt org 独立域名证书自动更新 nginx 开源软件免费证书HTTP2支持 2020 3 26 37 科大 清华网站速度对比 2020 3 26 38 科大与部分学校网站速度对比 北大 清华 上交 复旦 中科大vs 2020 3 26 39 网站访问SSL测试 2020 3 26 40 网站访问统计 2020 3 26 41 网站访问统计 2020 3 26 42 IP黑名单系统 核心交换机 IP黑名单系统丢弃发给黑名IP的数据包 单向 0022ssh扫描0023telnet扫描0025垃圾邮件发送0080恶意文件下载 WAF报警1433SQL扫描3306MySQL扫描3389远程桌面扫描不同的攻击 加黑名单的时间不等 IP黑