当前位置:频道 > 正文

高校如何部署一个安全可溯源的IPv6校园网?

2019-03-02 21:16:28  来源:中国金融商报网

2018年5月3日,工业和信息化部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,这份文件,成为智慧校园发展的巨大引擎,文件对教育网的IPv6改造做了明确要求:

1、到2018年底,教育网完成业务运营支撑系统升级改造,建立面向IPv6业务的运维管理体系和业务管理流程,具备IPv6用户统计、网络日志审计、流量统计以及IPv6业务受理、开通、运行维护等能力。

2、到2019年底,省教育计算机网以及高等学校校园网完成IPv6升级改造。鼓励有条件的高等学校开展纯IPv6试验网建设;鼓励中小学、幼儿园积极推进校园网IPv6改造。

国家政策虽然一直在强调校园网的IPv6改造,但就目前IPv6升级而言,高校仍旧没有找到相关IPv6安全合规且系统有效的解决方案。

按照现有等级保护标准,网络安全主要有三个防护要求:访问控制、边界完整性和安全审计。

需要强调的是,访问控制是建立在实名认证的基础上,然后结合接入控制设备进行实名用户访问控制。

而实名认证分为准入和准出认证,准入认证的好处是实现边界完整和IP实名审计,但要实现IPv6准入认证就意味着现有准入和汇聚网络设备要改造,这对很多高校来说需要很大的预算。

网络设备仅仅简单支持IPv6准入认证还是不够,仍然需要解决很多细节才能建立安全的IPv6网络,这是由于IPv6的以下几个重要特性:

1.终端兼容性。

原生的安卓设备不支持DHCPv6,意味着无线网需使用无状态地址自动配置方式(SLAAC)配置IPv6。

2.地址变化频繁。

使用SLAAC后,所有PC和智能终端操作系统,因默认启用隐私保护策略(RFC4941、RFC7217),终端的IPv6地址就会每小时或切换网络时都会发生变化,目的是隐藏轨迹保护隐私,以防被跟踪攻击。

3.NDP协议的组播特性。

IPv6的一个主要增强特性是邻居发现(ND, Neighbor Discovery)。ND用一种更全面、统一的方法取代了IPv4使用的ICMP和ARP。IPv6无状态地址的自动配置和地址变更过程也是基于NDP协议,但NDP协议使用了组播方式通信,意味着终端的IPv6无状态地址和MAC地址对应日志分布在不同的汇聚交换机,传统基于SNMP网管方式难以有效快速采集大规模网络中变化频繁的IPv6地址日志。

所以,校园网基础网络的IPv6改造,不是简单的网络设备改造,如果以上问题不能妥善解决,IPv6的校园场景应用,会面临以下挑战:

1.安全无法溯源。

难以实现有效的IPv6 IP实名审计,同时,当IPv6网络出现安全威胁,面对变化频繁的无状态地址,无法溯源终端的网络轨迹,难以找到元凶;

2.用户体验差。

在有IPv6准入认证的情况下,频繁变化的地址意味用户需要反复认证,使用体验很差,如果要实现无感知认证,要求认证系统能够兼容不同网络设备厂商的无感知认证方法。

3.组网环境复杂。

不同的组网方案也需要不同的整体解决方案。传统三层网络、扁平化网络和SDN网络, IPv6地址审计、无感知认证、准入认证等需要满足的条件就各有不同,比如纯二层扁平化网络,相对于传统三层网络,核心BRAS更容易实现IPv6地址审计。

那么,高校面对国家政策要求和IPv6升级改造的诸多难题,应该怎么办?

Dr.COM城市热点,作为网络实名安全解决方案的领导者,依据多年的实名安全经验,为高校的IPv6提供Dr.COMIPv6认证管理解决方案,整个方案贯穿IPv6用户从地址分配管理到日志审计的全环节,为校园网解决部署升级中所面临的认证体验、地址审计、实名认证、厂家兼容等多种棘手问题。

1.实现无感知认证和实名审计。

针对无状态地址变化频繁的特性,Dr.COM 认证系统配合Dr.COM智能DHCP系统,可实现终端IPv6隐私策略的无感知认证,解决IPv6地址变化带来的接入体验问题,并有效对用户进行合规实名审计。

2.满足多场景化需求。

支持各种复杂网络场景,无论传统三层、扁平化网络、SDN网络,还是认证网关、旁挂认证服务器及运营商PPPoE代拨,均能实现方案完整功能。

3.广泛的兼容性。

广泛的设备厂家IPv6兼容性,城市热点秉承一贯的兼容互通原则,支持包括华为、华三、锐捷、Juniper等的Portal v6协议、Radius v6厂家属性、v6无感知认证方法等IPv6相关业务功能特性,保障客户投资和方案灵活性。

完善的IPv6运营支撑工具。

除了独立的IPv6用户在线分析、活跃分析报表等的业务后台,还提供手机端IPv6助手,帮助用户一目了然IPv6地址情况和互联网联通状态,如有故障可一键提交后台快速分析定位,帮助网络管理者高效率可控的完成IPv6网络快速部署。

5.选择多样化。

支持2017版IPv6标准协议集(RFC8200),提供多样化的双栈联动认证方案,支持IPv6-Only部署。

Dr.COM城市热点的IPv6综合性解决方案,提供IPv6升级改造中全环节的技术服务;相信不久之后,中国将会迎来IPv6发展浪潮,智慧高校也将在IPv6的大势所趋下,迎来全新的发展,我们要做的,就是以开放创新的姿态,拥抱IPv6的全面到来。

推荐阅读

股票当天买可以当天卖吗 可以当天卖出再买入吗?

股票具有流动的性质,为什么这么说呢?当我们买入一只股时是可以卖出的,也就是股票可以买入以及卖出,但是是有一定的规定的,那大家知道买入和卖出有什么限制吗? 【详细】

三星和苹果打官司长达四年 久到滑动解锁都已经不是主流解锁方式

三星和苹果打官司长达四年 久到滑动解锁都已经不是主流解锁方式。 【详细】

法国马赛发生持刀袭击事件 造成至少2人受伤

法国媒体援引警方消息报道说,当天下午,一名男子在马赛市中心一条主干道持刀袭击路人,造成至少2人受伤,其中1人伤势较重。警方赶到现场时,该男子企图开枪拒捕,随后被警方击毙。 【详细】

天天兄弟晒合照,网友直呼:“什么时候能再同台啊?”

俞灏明、欧弟、钱枫等人集体在微博上晒出“天天六兄弟”合影,并一致配文:“欢迎收看特步天天向上,我们是天天兄弟!”。九年兄弟再同框,很快就引发热议。 【详细】

多个速冻产品疑被查出非洲猪瘟病毒 专家:不传染人 高温可杀灭

“非洲猪瘟不是人畜共患病,不会传染人。同时,高温可杀灭非洲猪瘟病毒,60℃持续加热20分钟即可灭活。”针对消费者对非洲猪瘟病毒的担忧,北京食品科学研究院院长、中国肉类食品综合 【详细】



科技新闻网版权