利用DNS实施IPv6安全管理实例研究

上官斌

摘要：128位冗长的IPv6地址难以记忆和管理，如何将内网服务器IPv6地址采用DNS域名解析服务设计，转换成方便记忆的域名进行管理。可以使得研发人员不必记忆IPv6，而实现业务程序开发的快速迭代，也可以使得运维人员在发生业务及设备故障时，快速知晓某一IPv6地址准确对应的物理设备，快速定位故障点及识别受影响的业务范围。笔者在实际生产中通过主持物联网IPv6网络改造及智能DNS项目建设实践，实现了IPv6的单栈运行，有效提升IPv6地址支撑研发及运维管理效率。文章总结了其中一些实践性经验，供从业者参考。

关键词：DNS;IPv6;安全管理

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）12-0033-02

开放科学（资源服务）标识码（OSID）：

1 运营商IPv6建设背景

为贯彻落实中办、国办《推進互联网协议第六版（IPv6）规模部署行动计划》及中央网信办、工信部、国资委等国家部委相关要求，结合中国移动自身发展需要，2020年5月26日，总部下发《关于开展2020年IPv6规模部署工作的通知》，统筹IPv6规模部署，并对各省公司、各专业公司的具体相关工作提出新的高要求，具体要求包括：

1）加强对包括中小型数据中心和机房的IPv6改造，全部IDC均应支持IPv6。

2）至2020年底，完成全部自营网站、应用的IPv6改造，其各级内部链接及内部资源均应100%支持IPv6并优先通过IPv6访问，应支持IPv6单栈独立运行。

相关部门继续推进IPv6规模部署纳入各单位年度经营业绩考核管理控制事项，中央网信办、工信部、国资委等相关部委专项督察、通报，将给各相关单位造成较大负面影响的情况。基于此，IPv6基础设施建设、应用改造等，已经成为一项突破技术瓶颈，拓展业务需要，以及国家管理要求三方结合的当务之急。

2 IPv6管理痛点

[IPv6优势 IPv4 IPv6 更大的地址空间 地址长度：32 位;地址数量：2^32;地址编码：十进制 地址长度：128 位;地址数量：2^128;地址编码：十六进制 地址格式：

192.168.1.1 地址格式：2001：0db8：3c4d：0015：0000：0000：1a2f：1a2b 更小的路由表 / 聚类原则，路由表1条记录表示1片子网 增强的组播支持 单播，多播，广播 单播，多播，任意播 其他 / 更高的安全性，更高的QoS，对自动配置的支持，对流的支持，…… ]

IPv6对应IPv4而言，有许多优势，包括几乎“可以为地球上每一颗沙子”配置专用地址这样近乎无限大的地址容量空间，带来更高的安全性、Qos以及更灵活的增强组播方式。

但同时，由于IPv6超长的地址位，在运维管理上会带来更多的挑战：

1）难以人脑记忆： 对于IPv4，32位点分10进制来讲，例如常用的：192.168.1.1，仅4组阿拉伯数字，运维人员可以熟记关键服务器、网关、出口网段地址，甚至在脑中记忆着基本网络拓扑图及关键IP地址。但128位的长度16进制，比如：2001：0db8：3c4d：0015：0000：0000：1a2f：1a2b，看得人头晕眼花，基本上人脑记不住。大量的终端设备、主机服务器如何进行分配IP地址，手工进行还是自动配置？

2）如何进行内网保护：有的人认为在内网中采用IPv6公网地址，会导致整个内网将近乎“全裸”地直接暴露在整个互联网环境下，黑客可以毫不费力地拉取出内网环境拓扑并对任一设备进行攻击。实际上通过出口防火墙进行外部访问源控制，拒绝所有不对外提供服务网元的访问请求，对外提供服务的网元只按“最小化需求”提供IPv6+端口开放许可，即可有效保护内网隐私。

3）终端设备IP地址分配：难以记忆，当有大量终端需要接入时，导致IPv6分配难以通过运维人员手工方式进行，更加依赖DHCPv6机制来自动分配生成各终端的IPv6地址。

4）服务器IPv6地址管理：将服务器IPv6采用DNS域名解析服务，把冗长的IPv6地址，转换成方便记忆的域名进行管理。可以使得研发人员不必记忆IPv6，在实现代码中不用绑定IPv6，便于业务程序开发及实现功能的快速迭代。也可以使得运维人员快速知晓某一IPv6地址准确对应的物理设备，接口，对应的承载。在发生业务及设备故障时快速定位故障点及识别受影响的业务范围。

3 智能DNS建设方案

3.1物联网DNS主要业务场景

物联网现有IDC1、2两个异址机房，承载了几十套业务系统，各系统之间每天十几万次的互访通过静态IP地址进行互访，以及对外提供访问服务。IP地址调整或者演进至IPv6网络时代，都无法满足现有的业务需要。需要DNS系统能够处理来自物联网各业务平台的域名查询请求，能够向权威域名服务器发送查询并接收结果，通过DNS服务灵活实现各业务平台的业务地址解析，物联网各业务平台不再配置固定IP地址实现业务访问。

3.2智能DNS要实现的主要目标

在IDC1、2两个物联网数据机房各建设一套统一的DNS域名解析系统，负责各自区域物联网业务平台的权威及域名解析业务，同时实现两套DNS域名解析系统的业务负载及容灾备份，当任何一个节点的DNS域名解析系统出现问题，另一个节点能够立刻承载业务。系统防护要求支持DNS安全加固、支持解析限速技术，预防DNS DDOS攻击。

3.3 DNS部署遵循以下原则

1）DNS高安全性

DNS系统是物联网核心基础设施，应充分保障DNS系统的安全性，系统应采用安全、可信加固操作系统，规避各种已知安全漏洞及风险，避免采用开源软件。系统还应具备DPI深度包检测能力，对DNS异常流量进行实时识别，并采取有效手段进行阻断。

2）DNS高可靠性

DNS系统应该达到运营商级高可靠性99.999%，同时系统应充分考虑全冗余性，同机房应实现双机热备，支持HA及双Active模式。

3）可扩展性原则

系统具备平滑升级、扩展的能力，易于实现容量及功能的扩展，增加设备不应增加管理的复杂度。另外系统还应提供第三方接口API能力，能够将系统主要指标通过接口方式开放给第三方系统。

4）易管理性原则

系统应采用中文图形化管理界面，日常的监控、配置、审计等管理都能够方便便捷进行管理，提升维护人员使用效率。

3.4 组网原则

1）采用主备或者负载均衡的组网方式，最大限度提升系统的安全性;

2）系统的2台DNS解析设备同时对loopback地址进行监听，使用OSPF进行路由广播，对外发布Loopback地址为对外服务地址;

3）DNS解析设备网卡采用主备模式，双上联到接入路由器;

4）2台DNS解析设备实现节点内冗余备份，两个业务节点之间实现节点业务备份。

硬件设备根据要求采用DNS专用服务器，上图网络拓扑示意图。在IDC1、2分别设置节点，各新增2台服务器作为物联网业务平台DNS设备，双上联接入网络交换机，组建主备的网络设备方案，IDC1、2发布同样的DNS业务地址，若是网络通过VPN隔离，则IDC1、2节点接入同样的VPN中，实现双中心业务切换。正常业务在IDC1节点提供，当IDC1节点出现异常，则网络切换至IDC2节点。提供DNS授权、递归、缓存等功能，同时集成日志和网管功能，实现物联网业务平台DNS的智能解析和系统管理。可以较好地通过DNS实现两地多中心的备份机制。

4 管理实践

定义物联网专网域内根DNS服务地址为2409：XXXX：0：XXXX：0001。需要DNS服务的，可以直接在主机上配置该DNS服务地址，并向管理部门申请配置域名及地址信息;后续拓展IDC机房，可自建域名服务系统的，向管理部门申请符合命名规范的二级域名，并设置递归至物联网专网根DNS。

域名规则：为和公网域名规范区分，物联网专网VPN内的域名规定“.m2m”为一级域名，定义为该VPN统一使用，各网元根据网元名称向管理部门申请使用二级域名或具体域名，如下。

5 成效評估

利用DNS实施IPv6管理获得了三个方面的好处：

1）提升用户服务感知：内网服务器各网元对外不直接暴露IP地址，均通过使用符合规范的域名对外提供服务，方便用户不再记忆IP地址，只需要记忆域名;

2）提升网络安全性：网络安全性得到进一步提高，外网攻击明显减少;

3）提升管理便捷性：开发人员、运维人员通过域名开发及维护管理便捷性明显提高，代码通用性大大提高，不再因IP地址割接导致代码重写及割接升级，只需要进行DNS域名动态更新即可0业务中断实现IP地址变更及扩容。

6 结束语

实践中，通过智能DNS建设及域名规划，研发人员不必再记忆IPv6，在实现代码中不用绑定IPv6，而采用对应域名（如：XXX.onelink.m2m）替代，便于业务程序开发及实现功能的快速迭代。也可以使得运维人员在发生业务及设备故障时，快速匹配出某一IPv6地址准确对应的物理设备，接口，对应的业务承载（如：OneLink或IT），便于快速定位故障点及识别受影响的业务范围，极大提高了研发，运维人员工作效率及管理的便捷性。以上是笔者在实践基础上的一些总结，对IPv6网络及业务服务改造后如何实现IPv6地址科学管理，具有积极的借鉴意义。

参考文献：

[1] 中国移动蜂窝物联网技术体制[S]（QB-A-048-2019）

[2] 中华人民共和国工业和信息化部.域名系统递归服务器运行技术要求， YD/T 2137-2010

[3] 赵翠汤，新坤，欧阳峰. IPv6地址管理系统方案研究与设计[J].广播电视信息，2021，28（5）： 85-87.

[4] 纪德伟，柏成勇.IPv6地址规划及管理实践[J].信息通信技术与政策，2020（6）：91-96.

[5] 赖敬坤，梅洪.电子政务外网IPv6网络部署安全风险及对策探究[J]. 江西通信科技，2019（4）：32-35.

【通联编辑：王力】