IPv6升級改造技術(shù)路線建議書(僅供參考)

1、.IPv6 升級改造技術(shù)路線建議書（僅供參考）. . .一、國家推進IPv6 規(guī)模部署的時代背景從 2012 年開始， APNIC的 IPv4 地址池基本枯竭，亞太地區(qū)的電信運營商無法再獲得批量 IPv4 地址。由于移動互聯(lián)網(wǎng)、 云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興信息技術(shù)持續(xù)高速發(fā)展，對 IP 地址資源的需求異常旺盛，電信運營商持有的 IPv4 地址快速消耗，被迫大量采取 NAT轉(zhuǎn)換技術(shù)來應(yīng)對 IPv4 地址缺乏的困境。 IPv4 地址資源匱乏已經(jīng)成為數(shù)字經(jīng)濟發(fā)展的制約因素。 面對 IPv4 地址短缺的現(xiàn)狀，大規(guī)模部署 IPv6推進互聯(lián)網(wǎng)向 IPv6 升級演進是解決IP 地址問題的唯一根本

2、性解決方案。2017 年 9 月份黨的 19 大報告中指出，中國特色社會主義進入了新時代；新時代中國共產(chǎn)黨的歷史使命是實現(xiàn)中華民族偉大復(fù)興；建設(shè)科技強國、質(zhì)量強國、航天強國、網(wǎng)絡(luò)強國、交通強國、數(shù)字中國、智慧社會；把我國建成富強民主文明和諧美麗的社會主義現(xiàn)代化強國。2017 年 11 月 26 日，中辦和國辦共同發(fā)文， 為貫徹落實黨中央、 國務(wù)院關(guān)于建設(shè)網(wǎng)絡(luò)強國的戰(zhàn)略部署， 特制定推進互聯(lián)網(wǎng)協(xié)議第六版 （IPv6 ）規(guī)模部署行動計劃 。文件指出： IPv6 是互聯(lián)網(wǎng)演進升級的必然趨勢；以協(xié)同推進IPv6 規(guī)模部署為主線，以典型應(yīng)用改造和特色應(yīng)用創(chuàng)新為主攻方向，實現(xiàn)互聯(lián)網(wǎng)向IPv6 演進升級，構(gòu)

3、建高速、移動、安全、泛在的新一代信息基礎(chǔ)設(shè)施，為網(wǎng)絡(luò)強國建設(shè)奠定堅實基礎(chǔ)。兩辦推進 IPv6 規(guī)模部署行動計劃明確了兩點，第一是要進行大規(guī)模部署，推進中國信息基礎(chǔ)設(shè)施向 IPv6 整體演進升級。第二是要政府帶頭，應(yīng)用牽引，協(xié)同推進。各級政府機構(gòu)、運營商、廣電、 ICP、 IDC、ISP 等都要行動起來，真抓實干，推進 IPv6 規(guī)模部署和演進升級，為網(wǎng)絡(luò)強國建設(shè)奠定基礎(chǔ)。推進 IPv6 規(guī)模部署行動計劃 提出五項重點任務(wù)， 其中第一項重點任務(wù)就是：加快互聯(lián)網(wǎng)應(yīng)用服務(wù)升級，不斷豐富網(wǎng)絡(luò)信源。具體包括：重點任務(wù)具體容推動用戶量大、服務(wù)面廣的門戶、社交、視頻、電商、搜索、游1）升級典型應(yīng)用戲、應(yīng)用商

4、店及上線應(yīng)用等網(wǎng)絡(luò)服務(wù)和應(yīng)用全面支持IPv6 。升級政府、 中央媒體、 中央企業(yè)。 強化政府、 新聞及廣播電視媒體和應(yīng)用的示帶動作用，在相關(guān)政府采購活動2）升級政府. . .中明確提出支持IPv6 的具體需求，積極開展各級政府、新聞及廣播電視媒體、中央企業(yè)外網(wǎng)IPv6 升級改造。支持地址需求量大的特色IPv6 應(yīng)用創(chuàng)新與示，在寬帶中國、3）創(chuàng)新特色應(yīng)用“互聯(lián)網(wǎng) +”、新型智慧城市、工業(yè)互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、智能制造、人工智能等重大戰(zhàn)略行動中加大IPv6 推廣應(yīng)用力度。推進 IPv6 規(guī)模部署行動計劃第四部分：實施步驟（一）：“ 2017 年 2018 年重點工作”要求：2018 重點工作具體

5、容鼓勵和支持國龍頭互聯(lián)網(wǎng)企業(yè)制定并發(fā)布主流互聯(lián)網(wǎng)應(yīng)用典型互聯(lián)網(wǎng)應(yīng)用升級IPv6 升級計劃，明確“十三五”期間年度工作時間表。省部級以上政府IPv6 改造。初步完成國家電子政務(wù)外網(wǎng)改政府升級改造造，完成中央部委、省級政府門戶改造。新建電子政務(wù)系統(tǒng)、信息化系統(tǒng)及服務(wù)平臺全面支持IPv6 。省級以上新聞及廣播電視媒體IPv6 改造。完成中央及省級新聞廣播電視媒體升新聞宣傳媒體門戶改造，新建新聞及廣播電視媒體網(wǎng)絡(luò)信級改造息系統(tǒng)全面支持IPv6 。完成中央企業(yè)門戶和面向公眾的在線服務(wù)窗口改造，加快央企升級改造企業(yè)生產(chǎn)管理信息系統(tǒng)等部網(wǎng)絡(luò)和應(yīng)用的IPv6 改造。兩辦推進 IPv6 規(guī)模部署行動計劃 文件明

6、確了 “應(yīng)用拉動、政府先行 ”的原則，政府要率先支持IPv6 訪問，帶動商業(yè)支持 IPv6 訪問，帶動 IPv6 演進升級。三、支持IPv6 升級的技術(shù)策略分析根據(jù)兩辦文件部署， 2018 年要實現(xiàn)中央部委、各省級政府、中央企業(yè)、中央新聞廣播電視媒體、面向公眾的在線服務(wù)窗口升級改造支持IPv6 。1、過渡方案：網(wǎng)絡(luò)地址轉(zhuǎn)換、IPv4/IPv6協(xié)議轉(zhuǎn)換. . .網(wǎng)絡(luò)地址轉(zhuǎn)換、 IPv4/IPv6協(xié)議轉(zhuǎn)換技術(shù)，是互聯(lián)網(wǎng)從IPv4 向 IPv6 演進過程中使用比較廣泛的一種過渡技術(shù)?？陀^來看，由于v4 向 v6 演進過渡期至少5 年時間，所以地址轉(zhuǎn)換 / 協(xié)議轉(zhuǎn)換過渡技術(shù)也將在過渡期長期存在和使用。

7、協(xié)議轉(zhuǎn)換技術(shù)的特點是：在 IPv4 外部，掛接一臺v4/v6翻譯轉(zhuǎn)換設(shè)備， 原有IPv4 源站不需修改，把 DNS域名解析AAAA記錄指向轉(zhuǎn)換設(shè)備配置的IPv6 地址；IPv6 用戶訪問目標(biāo)，經(jīng)DNS解析調(diào)度后轉(zhuǎn)向訪問轉(zhuǎn)換設(shè)備的IPv6 地址，轉(zhuǎn)換設(shè)備從 IPv4 源站讀取數(shù)據(jù)，經(jīng)過協(xié)議轉(zhuǎn)換后發(fā)送數(shù)據(jù)給IPv6 用戶。采用網(wǎng)絡(luò)地址轉(zhuǎn)換 / 協(xié)議轉(zhuǎn)換技術(shù)進行 IPv6 升級， IPv4 源站現(xiàn)有的業(yè)務(wù)系統(tǒng)、代碼均不需要改造，僅需做好以下三項工作：第一、網(wǎng)絡(luò)層改造 ：接入 IPv6 帶寬和獲得地址，原有IPv4 網(wǎng)絡(luò)架構(gòu)不改變。第二、設(shè)備層改造 ：IPv4 源站不變，在網(wǎng)絡(luò)出口部署 IPv6 轉(zhuǎn)換

8、設(shè)備（雙機熱備）。第三、 DNS啟用 4A記錄：DNS系統(tǒng)啟用 AAAA記錄支持 IPv6 地址解析。協(xié)議轉(zhuǎn)換技術(shù)方案的主要工作容序號改造容軟硬件設(shè)備升級時間及成本1.接入 IPv6 帶寬1.IPv6 帶寬 :5 萬元 /G/ 月12網(wǎng)絡(luò)層改造2.獲得 IPv6 地址2.IPv6 地址費 0 元。1.路由器可能需要啟用 IPv61.如果轉(zhuǎn)換設(shè)備的接入端口在設(shè)備層改造協(xié)議棧防火墻側(cè)， 老舊路由器設(shè)備2.增加兩臺轉(zhuǎn)換設(shè)備，采用可能需要升級，或購買 IPv6雙機熱備，提高可靠性。授權(quán)。如果通過交換機直接上. . .34.聯(lián)運營商互聯(lián)網(wǎng)專線，則不需升級路由器。2.配置轉(zhuǎn)換設(shè)備， 約需要 3 個工作日。

9、業(yè)務(wù)系統(tǒng)基本上無需改造成本基本為0代碼基本上無需修改成本基本為0協(xié)議轉(zhuǎn)換技術(shù)方案的優(yōu)缺點優(yōu)點缺點1.方案簡單，快速實施。只需配置2 臺轉(zhuǎn)換1、轉(zhuǎn)換技術(shù)適用于v4v6 演進過渡期， 僅實現(xiàn)設(shè)備，雙機熱備。 IPv4 源站不需修改，不web 支持 IPv6訪問，不能代替真正的需要對整個系統(tǒng)進行全面改造。大約v4/v6 雙棧。3-5 個工作日即可實現(xiàn)支持IPv6 訪問。2、如果和應(yīng)用涉及到物聯(lián)網(wǎng)應(yīng)用部署，2.如遭遇來自 IPv6 網(wǎng)絡(luò)的攻擊， 只能攻擊到工業(yè)互聯(lián)網(wǎng)應(yīng)用部署， 不能使用轉(zhuǎn)換方案，轉(zhuǎn)換設(shè)備，不能直接攻擊到IPv4 源站。必須采用 v4/v6 雙棧技術(shù)方案。3.目前信息系統(tǒng)安全等級保護制度

10、暫未更新3、不適用于新建。 按照兩辦文件要求， 新如何支持 IPv6 的新版本， 使用轉(zhuǎn)換設(shè)備不建直接采用 v4/v6 雙棧方案，一步到影響政府已有的安全等保三級認(rèn)證。位。不必使用協(xié)議轉(zhuǎn)換技術(shù)方案。4. 技術(shù)人員的維護工作量基本不增加。5. 可以解決老、架構(gòu)復(fù)雜的實現(xiàn)支持 IPv6 訪問的難題。2、終極方案： IPv4/IPv6雙棧技術(shù)方案. . .升級 IPv4/IPv6 雙棧方案，是 IPv6 升級改造的最終目標(biāo)， 是真正實現(xiàn)了兩辦推進 IPv6 規(guī)模部署行動計劃文件要求的 IPv6 升級改造目標(biāo)。也是我們推崇的最主要的技術(shù)方案。升級 IPv4/IPv6雙棧，是系統(tǒng)性的整體升級改造。雙棧策

11、略的特點是：全部軟硬件設(shè)備同時運行IPv4 和 IPv6 兩個協(xié)議棧，能夠同時處理 IPv4 和 IPv6 數(shù)據(jù)包，實現(xiàn)同時支持IPv6 和 IPv4 訪問。雙棧升級包括以下方面：第一、網(wǎng)絡(luò)層改造： 制定 IPv6 網(wǎng)絡(luò)升級規(guī)劃，接入電信運營商、教育網(wǎng)的IPv6帶寬，獲得 IPv6 地址，制訂部 IPv6 地址 DHCP策略。第二、設(shè)備層改造： 所有硬件設(shè)備均需支持IPv6 ，全部開啟 IPv6 協(xié)議棧。第三、業(yè)務(wù)系統(tǒng)改造： 所有前后臺業(yè)務(wù)管理系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)安全系統(tǒng)、應(yīng)用系統(tǒng)，全部啟用 IPv6 協(xié)議，支持同時運行 IPv4/IPv6 雙協(xié)議棧。第四、代碼改造： 對代碼不能運行IPv6

12、 協(xié)議棧的部分進行修改。（此項工作比較復(fù)雜易出錯，需要特別慎重）升級 IPv4/IPv6雙棧的主要工作容序號改造容軟硬件設(shè)備升級工作容1.接入 IPv6 帶寬1.接入 IPv6 靜態(tài) /BGP帶寬1 網(wǎng)絡(luò)層改造2.獲得 IPv6 地址2.IPv6 地址免費。. . .234設(shè)備層改造業(yè)務(wù)系統(tǒng)改造網(wǎng)絡(luò)代碼改造.1.老舊路由器設(shè)備可能需升1.路由器啟用 IPv6協(xié)議棧級，或購買 IPv6 授權(quán)。2.防火墻配置 IPv6策略3.負(fù)載均衡設(shè)備啟用IPv62.老防火墻可能需升級或淘汰4.交換機配置 IPv6策略3.負(fù)載均衡設(shè)備無需升級5.操作系統(tǒng)啟用 IPv6 協(xié)議4.老舊交換機需要淘汰更新。5.操作系

13、統(tǒng)無需更換。1.很老的數(shù)據(jù)庫可能需要升級1.數(shù)據(jù)庫系統(tǒng)支持IPv62.老 Web中間件可能需要升級2.Web中間件系統(tǒng)啟用 IPv63.老 CMS系統(tǒng)可能需要升級，3.CMS系統(tǒng)支持 IPv6WordPressCMS系統(tǒng)需更換。4.DNS啟用 AAAA記錄4.DNS域名解析支持 AAAA記5.Web防護系統(tǒng)啟用IPv6錄；如使用 ZDNS需啟用高級功6.日志統(tǒng)計系統(tǒng)啟用IPv6能。5.Web防護系統(tǒng)可能需要升級。1、網(wǎng)頁 /APP 中以 IPv4 地址直6.日志統(tǒng)計系統(tǒng)升級。接寫入的文件URL或URL更換成域名。程序員修改全站代碼。2、網(wǎng)頁代碼中存在無法處理IPv6 地址的函數(shù)更換成同時所需時

14、間由的規(guī)模、復(fù)雜程支持 IPv4 和 IPv6 的函數(shù)和度，程序員團隊開發(fā)水平，決定程序。工作量和升級時間。3、程序中存儲IP 地址的數(shù)據(jù)具體花費時間很難預(yù)測?？臻g（ IPv4 為 32 位）修改為同時支持IPv4 （ 32 位）和IPv6 （ 128 位）的變量結(jié)構(gòu)、數(shù)據(jù)庫結(jié)構(gòu)或API。IPv4/IPv6雙棧方案的優(yōu)缺點優(yōu)點問題1、 IPv4/IPv6雙棧是最為徹底的一種支1、全系統(tǒng)升級， 涉及到軟件、 硬件、網(wǎng)絡(luò)、業(yè). . .持 IPv6 升級改造技術(shù)， 概念清晰， 易于理務(wù)管理平臺、 業(yè)務(wù)系統(tǒng)、 網(wǎng)絡(luò)安全系統(tǒng)等多解，升級工作一步到位， 永久解決問題。 是系統(tǒng)的協(xié)同，必須要做好升級工作的整

15、體互聯(lián)網(wǎng)向 IPv6演進升級的最終目標(biāo)。統(tǒng)籌規(guī)劃、多部門有效協(xié)同。2、同時運行 IPv4和 IPv6 兩個協(xié)議棧，可實2、系統(tǒng)整體升級， 可能需要更新軟硬件設(shè)備，現(xiàn) IPv4 對 IPv4 、IPv6 對 IPv6 的單協(xié)議棧投資較高。通信，訪問效果較好。3、網(wǎng)管人員可能不熟悉IPv6 ，需要培訓(xùn)。3、國家要求從 2018 年起，新建政府和應(yīng)4、部分代碼需要修改，工作量不好準(zhǔn)確用系統(tǒng)必須支持IPv6 ，因此新建和應(yīng)估計，可能耗時較長。用系統(tǒng)的架構(gòu)應(yīng)直接采用雙棧。5、防火墻等設(shè)備同時啟用IPv4 和 IPv6 兩套4、改造，新建不久的、 結(jié)構(gòu)不太復(fù)雜策略；技術(shù)人員的維護工作量增加1 倍。的，適用

16、于從IPv4 改造為雙棧。6、不適合對老舊、 結(jié)構(gòu)復(fù)雜的 IPv4做代碼層改造，風(fēng)險較大。3、過渡期的升級技術(shù)路線分析IPv6 是互聯(lián)網(wǎng)演進升級的必然趨勢，在從IPv4 向 IPv6 演進的過程中， web支持IPv6 的升級路線，將經(jīng)歷以下三個階段：第一階段：純 IPv4 階段，只運行 IPv4 協(xié)議，不支持 IPv6 用戶訪問。第二階段： IPv4/IPv6 雙棧階段 ，由于 IPv4 和 IPv6 在未來十年還將長期共存，所以在過渡階段，需要同時支持 IPv4 和 IPv6 訪問。2018 年是中國互聯(lián)網(wǎng)向 IPv6 大規(guī)模演進升級的元年，兩辦文件要求推進TOPICP、政府、央企、新聞、

17、媒體實現(xiàn)支持 IPv6 ，最終建成 IPv4/IPv6 雙棧。在具體實施過程中，根據(jù)實際情況，可以采取一步到位直接升級雙棧的技術(shù)策略，也. . .可以分兩步走，采用過渡技術(shù)策略，第一步在IPv4 加掛“ v4 轉(zhuǎn) v6”轉(zhuǎn)換設(shè)備支持IPv6 訪問，第二步再升級IPv4/IPv6雙棧。第三階段：純 IPv6 階段，這個階段的特點是： 99%以上的用戶都已經(jīng)使用IPv6 地址和網(wǎng)絡(luò)，殘余的純IPv4 用戶很少，因此從維護網(wǎng)絡(luò)安全、降低運維成本角度，僅配置 IPv6-only 協(xié)議，不再運行 IPv4 協(xié)議棧。對于殘留的少量 IPv4 用戶， IPv6 可以外掛一臺“ v6 轉(zhuǎn) v4”轉(zhuǎn)換設(shè)備，使

18、IPv6 支持 IPv4 用戶訪問。4、 IPv6 升級的技術(shù)路線選擇在 IPv4/IPv6 過渡階段，不同類型的，應(yīng)根據(jù)自身特點和優(yōu)勢，采取不同的 IPv6 升級策略。類型網(wǎng)絡(luò)流量技術(shù)現(xiàn)狀TOP級 ICP政府、央企、新聞媒體海量用戶帶來海量互聯(lián)網(wǎng)流量，網(wǎng)絡(luò)流量不高，日均瀏覽量在萬每天瀏覽量超過 10 億次， TOP級次到 10 萬次量級。 TOP新聞媒體ICP 的日均瀏覽量超過百億次。的瀏覽量可達千萬次。自建技術(shù)實力強大的開發(fā)、運信息安全需要符合國家等級保維團隊，網(wǎng)絡(luò)安全技術(shù)能力很護管理制度。政府受人員編強，反應(yīng)靈活，有能力及時應(yīng)對制影響，缺乏足夠的技術(shù)力量，網(wǎng)絡(luò)攻擊，快速處理各種故障；特別

19、是缺乏網(wǎng)絡(luò)安全方面的高端出現(xiàn)問題后能夠快速恢復(fù)的技術(shù)力量。正常運行。 TOPICP與教育網(wǎng)在目前技術(shù)人員對IPv6 網(wǎng)絡(luò)不IPv6 方面有長期合作與廣泛技術(shù)熟悉。交流，熟悉 IPv6 網(wǎng)絡(luò)。對于具備條件的單位，可以采用一步到位直接升級IPv4/IPv6技術(shù)策略雙棧的技術(shù)策略。一步到位直接升級v4/v6 雙棧建議對于技術(shù)儲備不足，準(zhǔn)備工作不足、調(diào)整預(yù)算有難度的單位，可以考慮采取“兩步走”策略。. . .四、實施方案建議根據(jù)兩辦文件要求： 2018 年初步完成國家電子政務(wù)外網(wǎng)改造， 包括完成中央部委、省級政府門戶改造；完成中央及省級新聞宣傳媒體門戶改造，新建新聞及廣播電視媒體網(wǎng)絡(luò)信息系統(tǒng)全面支持IPv6 ；完成中央企業(yè)門戶和面向公眾的在線服務(wù)窗口改造。綜合各方面的實際情況，秉持實事求是、注重安全、整體規(guī)劃、分步實施，既要走得快，也要走得穩(wěn)的工作原則，對政府、央企、新聞媒體支持 IPv6 升級改造的技術(shù)方案，提出如下建議。第一步，政府、新聞媒體采用“ IPv4 源站 +轉(zhuǎn)換設(shè)備”支持 IPv6 訪問。由于 IPv4 防護系統(tǒng)已經(jīng)非常完善，如果發(fā)生來自 IPv6 的網(wǎng)絡(luò)攻擊，只能攻擊到轉(zhuǎn)換設(shè)備， IPv4 源站不會遭受 IPv6 網(wǎng)絡(luò)攻擊。第二步，預(yù)計 2018 年底或 2019 年初，國家新的信息系統(tǒng)安全等級保護制度（ IPv6 版）將會出臺，可以遵循新版信息系統(tǒng)安全等級保護制度的相關(guān)