北京邮电大学信息化技术中心主任安杰认证重要
在“2018中国高校CIO论坛”开放论坛中,北京邮电大学信息化技术中心主任安杰作了《北京邮电大学校园网建设及机房安全工作经验分享》的报告。
他对北京邮电大学校园网建设现状、无线网络建设情况及下一代互联网IPv6北邮节点的情况进行了介绍。以下是主要内容。
校园网整体建设情况
2018年初,北京邮电大学完成西土城路、沙河、宏福三校区环状光纤网,校园网已成为全校师生教学、科研、办公、生活服务的多业务承载的多校区大规模宽带网络。
图1 IPv4出口
图2 IPv6出口
从整体上来看,北京邮电大学西土城路、沙河、宏福三校区网络通过裸光缆两两直连,在西土城路校区统一接入互联网,以此来实现校区间网络互联互通、接入IPv4和IPv6出口。目前校园网骨干带宽40G/80G,IPv4接入教育网以及联通、移动、电信运营商,IPv6接入教育网。
传统的校园网结构存在一系列问题,如出口串接多个设备,一个设备出现问题全网瘫痪;多出口时流量调度管理策略及安全策略复杂;所有设备都需要大容量接口,费用昂贵等。问题产生的本质原因在于所有流量全部使用同一套出口策略进行管理。为解决这一问题,北邮将校园网流量分成用户互联网流量、数据中心外网流量、数据中心内网流量以及数据中心VPN流量四大类型,把校园网按照出口、用户上网区、数据中心区划分,将用户上网的流量和数据中心流量以及用户访问数据中心的流量分开。在收费问题上,北邮为在校师生提供20G免费IPv4流量,超过部分收费1元/G或者使用运营商代拨路线,IPv6则不计费。
此外,校园网用户网络行为数据的收集和管理非常重要,一方面,《网络安全法》要求学校保留日志数据备查溯源,另外一方面通过对这些数据进行大数据分析,可以为下一步建设和网络优化做支撑。传统的日志收集方法只是将各类数据格式化存储,在使用的时候再进行关联查询,效率很低,北邮则是事先将各种有关联的数据建立好存储模型,将数据分成行为数据和标签数据两大类,在行为数据产生的同时把标签关联到行为数据直接统一存储。实现了将网络行为数据从以IP地址作为标识转化为以账号、终端作为标识 ,无论是溯源查询还是统计分析都会大大提升效率。
无线网络建设情况
图3 网络行为数据分析部分成果展示
北邮的无线网络建设已完成复用线路、集中转发、准入认证、计费联动;在AP方面,5000个已建,5000个在建;在终端方面,并发近2万个,总量超过6万个。对高校而言,无线网络建设非常有必要,现在北邮沙河校区已做到全无线覆盖,在教室、图书馆、宿舍、食堂等区域只提供无线接入服务。SSID类型包括 BUPT-portal、BUPT-mobile、BUPT-guest、Eduroam、BUPT-iot。其中BUPT-portal收费,采用Web认证,基于MAC的无感知认证(准入),所有无线终端都可使用;BUPT-mobile免费,采用802.1x认证,面向移动终端(IOS, Android),PC不能使用;BUPT-guest收费,采用Web认证,手机号申请,每月免费8小时使用;eduroam免费,采用安全的环球跨域无线漫游认证服务(面向科研和教育机构),802.1x认证;BUPT-iot不能访问互联网,仅用于物联网设备(如无线打印机、无线摄像头、无线自助服务机等)与三校区内校园网用户之间的通信,通过MAC地址做认证,只有网络管理员允许的物联网设备才能接入使用。
图4 北京邮电大学校园网2005年拓扑
图5 北京邮电大学校园网2018年拓扑
教育网北邮核心节点IPv6建设总体情况
北京地区高校主页使用官方对外域名IPv6开通数量不多,截止到2018年11月,包括教育部在内仅13所高校官方域名可以通过IPv6访问。
北邮IPv6升级改造分为四个部分,一是网络基础设施建设、路由子网规划,二是IPv6的地址分配,三是域名系统建设,四是用户网络认证。2005年,北邮只有部分设备不支持IPv6,当时学校通过两张网络在二层打通的方式实现全校开通IPv6,目前学校已经全部使用双栈设备,所有子网也都是IPv4/IPv6双栈。
北邮采用路由宣告(自动配置)和DHCPv6两种地址分配方式并存,无线网两种地址分配方式都在使用(安卓系统不支持DHCPv6),有线网大部分使用DHCPv6方式分配地址,两种方式都使用/64的子网,DHCPv6的地址池使用/112。
域名系统对IPv6的支持可以分为三个层次,第一个层次是提供AAAA记录解析服务,一般DNS系统都能做到,不需要特殊设置;第二个层次是给DNS服务器增加IPv6地址,用户可以通过IPv6做域名解析;第三个层次是注册IPv6的NS记录,让纯IPv6网的用户能够解析到自己发布的资源。主页等重要服务在原有域名的基础上直接添加AAAA记录,用户网络如果有IPv6浏览器则会优先使用IPv6进行访问。