ipv6改造方案分析

基于IPv4的互聯(lián)網(wǎng)面臨網(wǎng)絡(luò)地址消耗殆盡、服務(wù)質(zhì)量難以保證等問題，IPv6能夠提供充足的網(wǎng)絡(luò)地址和廣闊的創(chuàng)新空間，是全球公認(rèn)的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。2017年11月，中共中央辦公廳、國務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，明確提出我國IPv6規(guī)模部署的總體要求、重點(diǎn)任務(wù)和實(shí)施步驟。

工信部于2018年4月印發(fā)關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知，并于2019年開展IPv6網(wǎng)絡(luò)就緒專項(xiàng)行動(dòng)，對(duì)LTE網(wǎng)絡(luò)和固定網(wǎng)絡(luò)基礎(chǔ)設(shè)施、終端設(shè)備、應(yīng)用基礎(chǔ)設(shè)施等提出工作要求。

人民銀行、銀保監(jiān)會(huì)和證監(jiān)會(huì)于2018年12月聯(lián)合印發(fā)《關(guān)于金融行業(yè)貫徹落實(shí)<推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)范部署行動(dòng)計(jì)劃>的實(shí)施意見》，要求金融機(jī)構(gòu)加快推進(jìn)基于IPv6的下一代互聯(lián)網(wǎng)在金融行業(yè)規(guī)模部署，促進(jìn)互聯(lián)網(wǎng)演進(jìn)升級(jí)與金融領(lǐng)域的融合創(chuàng)新。

IPv6原理簡析 

IETF于1990年開始規(guī)劃IPv4的下一代協(xié)議，并在1994年正式提議IPv6發(fā)展計(jì)劃，該計(jì)劃在1996年8月10日成為IETF的草案標(biāo)準(zhǔn)。1998年12月，IPv6被IETF正式推出，即互聯(lián)網(wǎng)標(biāo)準(zhǔn)規(guī)范RFC2460。IPv6地址長度為128位，在一定程度上增加了開銷，但巨大的地址空間在地址分配上具備更多的靈活性，可以解決IPv4網(wǎng)絡(luò)地址資源數(shù)量不足的問題。與IPv4相比，IPv6具備地址空間更大。二是頭部格式更為簡化，同時(shí)取消校驗(yàn)和字段，以減少路由器中的分組處理時(shí)間。三是對(duì)任選項(xiàng)支持靈活，并且增加了流標(biāo)簽字段來識(shí)別某些對(duì)QoS有一定要求的分組流。在安全性方面，支持內(nèi)置的認(rèn)證和機(jī)密性。四是IPv6支持長度超過64K字節(jié)的載荷，從而支持更大的分組，并且路由器僅在源端分段，不執(zhí)行分組分段。當(dāng)一個(gè)分組需要被分段時(shí)，源端可以檢查路徑上的最小MTU，執(zhí)行必要的分段。

IPv6改造的難點(diǎn)

一是協(xié)議兼容性。IPv4與IPv6在報(bào)文頭格式、地址格式、協(xié)議棧存在較大差異，兩者地址無法兼容，在推進(jìn)IPv6改造過程中，不能直接實(shí)現(xiàn)協(xié)議的升級(jí)換代，必須通過中間過渡的技術(shù)方案。

二是地址規(guī)劃。IPv6規(guī)模部署后需申請(qǐng)專用IPv6地址段，由于地址規(guī)模較大，既要保證規(guī)劃要與當(dāng)前IPv4網(wǎng)絡(luò)設(shè)計(jì)吻合，降低風(fēng)險(xiǎn)，又要考慮業(yè)務(wù)類型增加和用戶數(shù)增長，合理的預(yù)留地址空間，同時(shí)更要考慮地址使用的安全性。

三是網(wǎng)絡(luò)架構(gòu)。由于協(xié)議不能兼容，在設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)時(shí)，要保證現(xiàn)有IPv4應(yīng)用的正常使用，又要保證網(wǎng)絡(luò)的可擴(kuò)展性、穩(wěn)定性和可擴(kuò)展性，必須支持IPv4與IPv6網(wǎng)絡(luò)的平滑過渡。

四是安全性。當(dāng)前金融機(jī)構(gòu)在IPv4網(wǎng)絡(luò)下一般都建立了較為完整的安全防護(hù)體系，但I(xiàn)Pv6相關(guān)軟硬件仍處應(yīng)用初期，尚不具備較為完善的安全機(jī)制，例如IPv6地址標(biāo)識(shí)較為復(fù)雜，流量清洗、入侵檢測等基于網(wǎng)絡(luò)地址標(biāo)識(shí)解析的傳統(tǒng)手段將面臨挑戰(zhàn)，同時(shí)IPv6的新特性也可能帶來擴(kuò)展頭攻擊等新型安全風(fēng)險(xiǎn)。

五是實(shí)施復(fù)雜。網(wǎng)絡(luò)層面，要考慮現(xiàn)有路由器、交換機(jī)、防火墻、負(fù)載均衡等網(wǎng)絡(luò)設(shè)備對(duì)IPv6的支持程度，以及相應(yīng)的軟硬件升級(jí)或更換；應(yīng)用層面，要考慮操作系統(tǒng)、數(shù)據(jù)庫、web中間件等軟件基礎(chǔ)設(shè)施對(duì)IPv6的支持程度；代碼層面，在開發(fā)或改造時(shí)需要對(duì)報(bào)文格式、api調(diào)用、字段長度等進(jìn)行重點(diǎn)考慮。

IPv6改造技術(shù)方案

IPv4向IPv6升級(jí)演進(jìn)是一個(gè)長期過程，IPv4和IPv6將長期共存，目前通常采用隧道、地址協(xié)議轉(zhuǎn)換、雙棧等技術(shù)方案實(shí)現(xiàn)IPv4向IPv6的過渡，保障IPv4和IPv6網(wǎng)絡(luò)間的相互通信。

1.隧道技術(shù)

在隧道機(jī)制中，IPv6數(shù)據(jù)包被封裝在IPv4數(shù)據(jù)包中，實(shí)現(xiàn)IPv6數(shù)據(jù)包在IPv4網(wǎng)絡(luò)中傳輸。此種方式適用于孤立的IPv6網(wǎng)絡(luò)之間，通過IPv4網(wǎng)絡(luò)進(jìn)行通信，沿途經(jīng)過的網(wǎng)絡(luò)設(shè)備不需要改造。

2.地址轉(zhuǎn)換/協(xié)議轉(zhuǎn)換

通過修改協(xié)議報(bào)文頭等方式，實(shí)現(xiàn)IPv4和IPv6的網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換，使IPv4和IPv6網(wǎng)絡(luò)能夠互訪。此種方式可僅針對(duì)IPv6和IPv4邊界網(wǎng)絡(luò)設(shè)備進(jìn)行改造，或在邊界網(wǎng)絡(luò)部署專用的轉(zhuǎn)換設(shè)備，改造難度相對(duì)較小。

目前常用的IPV6/IPV4轉(zhuǎn)換技術(shù)為NAT64，可實(shí)現(xiàn)TCP、UDP、ICMP協(xié)議下的IPv6與IPv4網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換。NAT64一般只支持IPv6網(wǎng)絡(luò)側(cè)用戶發(fā)起連接訪問IPv4側(cè)網(wǎng)絡(luò)資源，但也支持通過手工配置靜態(tài)映射關(guān)系，實(shí)現(xiàn)IPv4網(wǎng)絡(luò)主動(dòng)發(fā)起連接訪問IPv6網(wǎng)絡(luò)。NAT64通常與DNS64協(xié)同工作，DNS64將DNS查詢信息中的A記錄（IPv4地址）合成到AAAA記錄（IPv6地址）中，返回合成的AAAA記錄用戶給IPv6側(cè)用戶。

在實(shí)現(xiàn)NAT64時(shí)，通常會(huì)部署NAT64網(wǎng)關(guān)，分別連接到IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的網(wǎng)關(guān)，并維護(hù)IPv6到IPv4的地址映射。IPv6網(wǎng)絡(luò)的流量經(jīng)由網(wǎng)關(guān)路由，其對(duì)兩個(gè)網(wǎng)絡(luò)之間傳送的分組進(jìn)行所有必要的翻譯。地址映射方式主要分為靜態(tài)與動(dòng)態(tài)兩種，靜態(tài)映射需要提前完成一對(duì)一轉(zhuǎn)換，并且需要手工維護(hù)地址轉(zhuǎn)換表。在動(dòng)態(tài)映射中，NAT64網(wǎng)關(guān)收到IPv6報(bào)文后，使用地址轉(zhuǎn)換算法提取IPv6報(bào)文目的地址中的IPv4地址，根據(jù)策略配置的映射關(guān)系，動(dòng)態(tài)的從IPv4地址池中選取一個(gè)地址做內(nèi)網(wǎng)報(bào)文的源地址，最終在將IPv6報(bào)文轉(zhuǎn)換為IPv4報(bào)文后進(jìn)行轉(zhuǎn)發(fā)。

3.雙棧

雙棧技術(shù)是指在網(wǎng)絡(luò)層及應(yīng)用層全部軟硬件設(shè)備進(jìn)行整體改造，同時(shí)支持IPv4和IPv6兩個(gè)協(xié)議棧，能夠同時(shí)處理IPv4和IPv6數(shù)據(jù)包，應(yīng)用服務(wù)器既能與支持IPv4協(xié)議的客戶端通信，又能與支持IPv6協(xié)議的客戶端通信，真正實(shí)現(xiàn)同時(shí)支持IPv6/IPv4訪問，是改造最為徹底的方案。

IPv6改造技術(shù)路徑探討

根據(jù)一行兩會(huì)文件要求，到2019年底，金融服務(wù)機(jī)構(gòu)門戶網(wǎng)站支持IPv6連接訪問；到2020年底，面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)支持IPv6連接訪問；自2021年起，持續(xù)推進(jìn)IPv6規(guī)模部署。

1.在網(wǎng)絡(luò)層面及網(wǎng)絡(luò)邊界處進(jìn)行改造

在互聯(lián)網(wǎng)出口進(jìn)行雙棧改造和部署NAT64，改造工作量相對(duì)較小，能快速提供IPv6服務(wù)，降低對(duì)現(xiàn)有業(yè)務(wù)的影響。

首先，在互聯(lián)網(wǎng)接入?yún)^(qū)出口進(jìn)行翻譯轉(zhuǎn)換，互聯(lián)網(wǎng)接入?yún)^(qū)保持IPv4網(wǎng)絡(luò)不變，在出口新增NAT64設(shè)備或通過域名服務(wù)商完成IPv6到IPv4的轉(zhuǎn)換。

其次，互聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)部設(shè)備完成翻譯轉(zhuǎn)換，利用互聯(lián)網(wǎng)接入?yún)^(qū)防火墻等網(wǎng)絡(luò)安全設(shè)備完成IPv6到IPv4的轉(zhuǎn)換，內(nèi)部Web服務(wù)器不需進(jìn)行改造，仍為IPv4網(wǎng)絡(luò)。

第三，互聯(lián)網(wǎng)接入?yún)^(qū)新建IPv6接入?yún)^(qū)和DMZ區(qū)，IPv6接入?yún)^(qū)為單棧，新建DMZ區(qū)部署雙棧，IPv4和IPv6用戶分別使用不同的區(qū)域接入。

2.應(yīng)用層面改造

互聯(lián)網(wǎng)系統(tǒng)普遍為WEB、APP、DB三層結(jié)構(gòu)部署，除網(wǎng)絡(luò)層面外，可在應(yīng)用層面進(jìn)行更進(jìn)一步的雙棧改造。

首先對(duì)Web服務(wù)器前端進(jìn)行雙棧改造，應(yīng)用服務(wù)器和數(shù)據(jù)庫保持IPv4部署，Web服務(wù)器通過IPv4與應(yīng)用服務(wù)器和數(shù)據(jù)庫進(jìn)行通信，此時(shí)需對(duì)網(wǎng)絡(luò)、安全設(shè)備及DNS服務(wù)器雙棧改造，添加AAAA記錄，提供IPv4/IPv6DNS解析服務(wù)。

其次對(duì)Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫全部進(jìn)行雙棧改造，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫間IPv4/IPv6雙棧通信。服務(wù)器操作系統(tǒng)對(duì)IPv6的支持度主要包括是否安裝IPv6協(xié)議棧、是否支持DHCPv6等，目前主流操作系統(tǒng)均支持IPv6。主流的Web中間件和數(shù)據(jù)庫也支持IPv6，但需升級(jí)版本，根據(jù)下一代國家互聯(lián)網(wǎng)工程中心的報(bào)告，部分web服務(wù)器軟件和數(shù)據(jù)庫對(duì)IPv6的支持度如下表。

                                                  表?部分 web 服務(wù)器軟件和數(shù)據(jù)庫對(duì) IPv6 的支持度

結(jié)語

IPv6改造是一項(xiàng)復(fù)雜的系統(tǒng)性工程，改造后的穩(wěn)定性還有待后續(xù)經(jīng)過較長時(shí)間的驗(yàn)證，相關(guān)運(yùn)維經(jīng)驗(yàn)還需要較長時(shí)間的積累。金融機(jī)構(gòu)應(yīng)按照一行兩會(huì)實(shí)施意見的要求，堅(jiān)持“一個(gè)前提，兩個(gè)結(jié)合”三項(xiàng)基本原則，穩(wěn)中求進(jìn)，加強(qiáng)人員培訓(xùn)，積累IPv6改造和運(yùn)維經(jīng)驗(yàn)，推動(dòng)IPv6改造工作，最終全面實(shí)現(xiàn)IPv6環(huán)境建設(shè)。