銀行IPv6建設(shè)規(guī)劃與規(guī)模部署方案

1、 銀行IPv6 建設(shè)規(guī)劃與規(guī)模部署方案 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc66556343 銀行IPv6 建設(shè)規(guī)劃與規(guī)模部署方案 PAGEREF _Toc66556343 h 1 HYPERLINK l _Toc66556344 一、背景 PAGEREF _Toc66556344 h 3 HYPERLINK l _Toc66556345 二、建設(shè)規(guī)劃與規(guī)模部署思路 PAGEREF _Toc66556345 h 4 HYPERLINK l _Toc66556346 三、下一步建設(shè)目標 PAGEREF _Toc66556346 h 7 HYPERLINK l

2、_Toc66556347 四、結(jié)語 PAGEREF _Toc66556347 h 8【摘要】本文根據(jù)中國人民銀行 中國銀保監(jiān)會 中國證監(jiān)會關(guān)于金融行業(yè)貫徹推進互聯(lián)網(wǎng)協(xié)議第六版（ IPv6 ）規(guī)模部署行動計劃的實施意見銀發(fā) 2018 343 號文件的要求，在充分調(diào)研與交流的基礎(chǔ)上，結(jié)合中小銀行信息系統(tǒng) IT 基礎(chǔ)架構(gòu)情況，初步形成了中小銀行 IPv6 建設(shè)規(guī)劃與規(guī)模部署思路，即為了切實貫徹落實國家戰(zhàn)略部署及行業(yè)監(jiān)管要求，同時更好的支撐與保障銀行業(yè)務(wù)發(fā)展，以“總體規(guī)劃，分步實施，穩(wěn)步推進”為總體思路，以實現(xiàn)雙中心、雙協(xié)議棧應(yīng)用雙活部署為總體目標，同時實現(xiàn)雙協(xié)議棧的自動化控制及可視化監(jiān)控。一、背景I

3、P 地址是互聯(lián)網(wǎng)的重要基礎(chǔ)資源。眾所周知，全球 IPv4 （互聯(lián)網(wǎng)協(xié)議第四版）地址總庫早在 2011 年已經(jīng)分配完畢，目前我國 IPv4 地址規(guī)?；揪S持自 2011 年的 3.4 億左右不變，人均僅 0.42 個。根據(jù) APNIC 統(tǒng)計我國在用 IPv4 地址已經(jīng)攀升至總地址量的 90% 。詳見圖 1 所示。圖 1互聯(lián)網(wǎng)是關(guān)系國民經(jīng)濟和社會發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟格局、利益格局和安全格局，加快推進 IPv6 規(guī)模部署，是加快網(wǎng)絡(luò)強國建設(shè)、加速國家信息化進程、助力經(jīng)濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。而現(xiàn)有 IPv4 地址資源與我國互聯(lián)網(wǎng)發(fā)展需求嚴重不匹配，對我國 “

4、互聯(lián)網(wǎng) +” 、 5G 、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等信息化戰(zhàn)略部署和實施造成嚴重制約。為保障國家戰(zhàn)略部署， 2017 年 11 月 中共中央辦公廳、國務(wù)院辦公廳聯(lián)合發(fā)文推進互聯(lián)網(wǎng)協(xié)議第六版 (IPv6) 規(guī)模部署行動計劃，明確了實施路線圖和規(guī)模部署目標。從通信運營商、 CDN 內(nèi)容分發(fā)服務(wù)商等基礎(chǔ)服務(wù)端入手，開始全面推廣 IPv6 建設(shè)，為全國范圍全行業(yè)實現(xiàn) IPv6 接入提供了基礎(chǔ)支撐。從統(tǒng)計數(shù)據(jù)可以看到，無論是從實際分配 IPv6 地址數(shù)量還是從 IPv6 活躍用戶數(shù)，從 2017 年開始均有了顯著增長。詳見圖 2 。圖 22019 年 1 月 10 日，中國人民銀行、

5、銀保監(jiān)會、證監(jiān)會聯(lián)合發(fā)布關(guān)于金融行業(yè)貫徹 的實施意見，進一步明確了未來金融行業(yè) IPv6 建設(shè)與規(guī)模部署的行動目標。二、建設(shè)規(guī)劃與規(guī)模部署思路IPv4 和 IPv6 協(xié)議并不兼容，二者在 IP 地址格式 、網(wǎng)絡(luò)架構(gòu)、 DNS 解析過程、終端行為、主機系統(tǒng)、存量業(yè)務(wù)應(yīng)用等層面不能直接通信，因此在其長期共存、階段過渡、規(guī)模升級的過程中，應(yīng)當充分考量網(wǎng)絡(luò)和業(yè)務(wù)場景適應(yīng)、技術(shù)風(fēng)險控制、投資合理性及投資保護等方面因素，并遵循以下原則執(zhí)行 IPv4 到 IPv6 的技術(shù)演進及規(guī)模部署 :1、以不影響“現(xiàn)有 IPv4 存量業(yè)務(wù)”為前提由于國內(nèi) IPv6 推廣略有滯后，從 IT 基礎(chǔ)設(shè)施的建設(shè)到運維經(jīng)驗的積累

6、均需要時間和過程的積累。為避免由于 IPv6 建設(shè)過程中對 IPv4 存量業(yè)務(wù)造成影響，影響用戶體驗， IPv6 建設(shè)的相關(guān)設(shè)備與應(yīng)用建議獨立部署，不與 IPv4 共用基礎(chǔ)架構(gòu)。2、遵循 343 號文 “ 三步走 ” 的實施路徑要求初期階段：至 2019 年底，實現(xiàn)門戶網(wǎng)站支持 IPv6 連接訪問。規(guī)模推廣階段：至 2020 年底，面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)支持 IPv6 連接訪問，并具備與 IPv6 改造前同等的業(yè)務(wù)連續(xù)性保障能力。持續(xù)建設(shè)階段：2021 年起，在做好面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng) IPv6 改造基礎(chǔ)上，持續(xù)推進 IPv6 規(guī)模部署，逐步構(gòu)建高速率、廣普及、全覆蓋、智能化的下

7、一代互聯(lián)網(wǎng)。3、以合理可控的成本漸進式改造部署以較為合理的技術(shù)改造成本進行路線選型和規(guī)劃，有效保護已有的投資，避免全網(wǎng)設(shè)備更替、業(yè)務(wù)重構(gòu)；4、把控運維管理風(fēng)險IPv6 的引入必然會對傳統(tǒng)網(wǎng)絡(luò)的可視化運營、自動化維護、安全管理帶來新的挑戰(zhàn)，規(guī)模升級 IPv6 要經(jīng)歷一個逐步成熟完善的過程，一方面需要確?？煽乜晒艿陌踩\維機制同步建立，另一方面盡可能降低共存演進時期場景復(fù)雜度帶來的運維風(fēng)險；5、按步驟引入 IPv6 適配新業(yè)務(wù)部署 IPv6 在保障支持現(xiàn)有用戶業(yè)務(wù)的前提下，應(yīng)逐步豐富 IPv6 建設(shè)與規(guī)模部署經(jīng)驗，帶動存量設(shè)備和應(yīng)用的加速演進，不斷提升網(wǎng)絡(luò)的承載能力和服務(wù)水平，促進創(chuàng)新網(wǎng)絡(luò)安全保障

8、手段，實現(xiàn)下一代互聯(lián)網(wǎng)各環(huán)節(jié)平滑演進升級。根據(jù)以上原則并結(jié)合中小銀行現(xiàn)有 IT 基礎(chǔ)架構(gòu)，整體規(guī)劃了以下建設(shè)技術(shù)思路：在初期規(guī)劃時選擇新建單獨 IPv6 接入?yún)^(qū)的方式實現(xiàn)業(yè)務(wù)發(fā)布。IPv6 接入?yún)^(qū)中通過智能 DNS 實現(xiàn) AAAA 記錄的發(fā)布以及流量的智能調(diào)度。在滿足當前業(yè)務(wù)需求的前提下，為 2020 年實現(xiàn)更高的 IPv6 業(yè)務(wù)連續(xù)性提供架構(gòu)保障。通過本地負載均衡 LTM 實現(xiàn) IPv6 業(yè)務(wù)的發(fā)布和改造初期的應(yīng)用適配。整體建設(shè)上將 IPv6 區(qū)域以灰度發(fā)布的思路進行部署， 對于業(yè)務(wù)最關(guān)鍵的價值是 IPv6 區(qū)域的故障完全不影響原 IPv4 區(qū)域業(yè)務(wù)的安全穩(wěn)定運行。初期規(guī)劃 既保證了 成本的

9、合理可控，又為后續(xù)漸進式改造部署提供了靈活性及可拓展性。DNS智能引導(dǎo)的必要性IPv6 規(guī)模建設(shè)初期，全國范圍內(nèi)實現(xiàn)運營商互通的骨干交換節(jié)點數(shù)量有限。運營商之間通信可能通過較長的路徑到達數(shù)據(jù)中心，跨運營商通信的業(yè)務(wù)延遲將會對用戶體驗帶來影響。因此在 DNS 解析層面需要實現(xiàn)智能的流量引導(dǎo)。其中最基本的原則是根據(jù) LDNS 所屬的運營商做智能的判斷，返回給 LDNS 相同運營商的業(yè)務(wù)地址。DNS 設(shè)備在選型時需要考慮設(shè)備自身 IPv6 地址庫的完整性、可自定義性和可更新性。在此基礎(chǔ)上，還需要對運營商線路進行實時有效的監(jiān)控，并可通過 DNS 設(shè)備反應(yīng)出線路的故障，實現(xiàn)線路故障時平滑切換到其他 IP

10、v6 或 IPv4 線路。初期 IPv6 上線過程中，可能存在沒有申請全部運營商線路的情況，為了保證客戶體驗需 DNS 設(shè)備通過動態(tài) RTT 監(jiān)測，選擇 RTT 最優(yōu)的線路返回業(yè)務(wù)地址?？傊悄?DNS 作為流量引導(dǎo)的“大腦”，通過合理的算法組合確保終端用戶能夠以最優(yōu)的路徑訪問到數(shù)據(jù)中心。改造初期應(yīng)用層適配初期 IPv6 改造中重點需要考慮的應(yīng)用層問題是客戶端地址溯源和外鏈天窗的適配。IPv6 地址轉(zhuǎn)換成 IPv4 地址后，對于 C/S 架構(gòu)的應(yīng)用可以將客戶端真實地址插入到 TCP Option 中，后端程序需要開發(fā)相應(yīng)的模塊對 TCP Option 中的真實地址進行提取。對于 B/S 架構(gòu)

11、的應(yīng)用，可以將客戶端真實地址插入到 X-Forward-For 頭中，后端程序針對相應(yīng)的插入位置進行提取即可。如果后端程序提取 IPv6 地址存在困難，也可通過應(yīng)用交付設(shè)備將地址轉(zhuǎn)換前后的對應(yīng)列表以日志的方式輸出到外部日志平臺。IPv6 改造過程中的應(yīng)用天窗問題關(guān)乎客戶體驗，也是不可忽視的一個環(huán)節(jié)。此問題可通過應(yīng)用交付設(shè)備上的可編程功能功能來完美的實現(xiàn)適配，遵循的基本原則是將外鏈替換為數(shù)據(jù)中心自身的地址，通過應(yīng)用交付設(shè)備代理客戶端訪問外鏈地址。在實際改造中會碰到一些負載的外鏈，例如多層 js 嵌套的外部鏈接，需要對 js 進行分析后進行相應(yīng)的適配。通過外鏈天窗的適配，可以保證終端客戶無感知的切

12、換到 IPv6 服務(wù)。三、下一步建設(shè)目標IPv6 建設(shè)及規(guī)模部署將會是一個長期漸進的過程，根據(jù) 343 號文件要求，至 2020 年底，面向公眾服務(wù)的中小銀行互聯(lián)網(wǎng)應(yīng)用系統(tǒng)支持 IPv6 連接訪問，并具備與 IPv6 改造前同等的業(yè)務(wù)連續(xù)性保障能力。針對 IPv6 長期建設(shè)的目標需要從縱向應(yīng)用建設(shè)、橫向多中心建設(shè)、自動化部署、運維可視化及 IPv6 信息安全幾個方面進行規(guī)劃。從整體架構(gòu)擴展的角度看，縱向應(yīng)用建設(shè)是將 IPv6 改造從接入?yún)^(qū)逐漸縱向推進到 DMZ 區(qū)以及應(yīng)用區(qū)，實現(xiàn) IPv4 和 IPv6 業(yè)務(wù)區(qū)的獨立部署。初期實踐過程中會包括新增應(yīng)用和已經(jīng)完成 IPv6 改造的應(yīng)用。原有只支持

13、 IPv4 的應(yīng)用仍在原有應(yīng)用區(qū)部署和運行。協(xié)議棧之間的彼此通訊通過應(yīng)用交付設(shè)備來實現(xiàn)，最終實現(xiàn)單一中心內(nèi)雙協(xié)議棧的并行運行。橫向多中心建設(shè)是指在單中心雙協(xié)議棧運行穩(wěn)定后，通過在同城中心部署相同的架構(gòu)實現(xiàn)雙中心雙協(xié)議棧的應(yīng)用雙活。整體雙活架構(gòu)通過智能 DNS 進行調(diào)度，之前 IPv4 雙活和 IPv6 運營經(jīng)驗可以幫助在雙中心雙協(xié)議棧雙活建設(shè)中提供經(jīng)驗。進一步確保雙協(xié)議棧下業(yè)務(wù)的高可用性。由于 IPv6 地址長度的增加，人工配置和管理 IPv6 地址的挑戰(zhàn)將會非常大，自動化部署在 IPv6 環(huán)境中變得必不可少。在 IPv6 未來的自動化部署中可遵循以下流程實現(xiàn)配置的自動化和管理的標準化：IPv

14、6 地址統(tǒng)一管理，統(tǒng)一規(guī)劃通過工單系統(tǒng)實現(xiàn)自動的 IPv6 地址申請通過自動化平臺自動配置 IPv6 地址到對應(yīng)的網(wǎng)絡(luò)設(shè)備、服務(wù)器或應(yīng)用交付設(shè)備業(yè)務(wù)發(fā)布通過自動化腳本實現(xiàn)通過 DNS API 進行自動域名添加，實現(xiàn)域名與 IPv6 地址自動對應(yīng)，便于管理運維可視化展示平臺可以體現(xiàn)未來雙中心雙協(xié)議棧的運營情況。雙中心雙協(xié)議棧運營情況下，通過對設(shè)備告警，設(shè)備狀態(tài)以及業(yè)務(wù)數(shù)據(jù)進行收集，實現(xiàn)對告警基線，安全基線和業(yè)務(wù)基線的評估，從而根據(jù)這些基線實現(xiàn)基于大數(shù)據(jù)的智能運維。針對運維可視化部分可以通過對所有設(shè)備實現(xiàn)統(tǒng)一的納管和告警以及狀態(tài)的收集實現(xiàn)運維大數(shù)據(jù)分析，實現(xiàn)智能告警和智能運維。通過 DNS 設(shè)備調(diào)度日志的收取，形成雙中心和雙協(xié)議棧的運營數(shù)據(jù)的展示；通過應(yīng)用數(shù)據(jù)的收集，形成業(yè)務(wù)基線和安全基線，從而實現(xiàn)業(yè)務(wù)大數(shù)據(jù)的分和展現(xiàn)。針對 IPv6 網(wǎng)絡(luò)安全方面，堅持建設(shè)與安全并舉，實現(xiàn)網(wǎng)絡(luò)、應(yīng)用、安全的協(xié)同，將 IPv6 改造與運維保障、網(wǎng)絡(luò)安全工作同步規(guī)劃、同步建設(shè)、同步運行，穩(wěn)步推進 IPv6 規(guī)模部署。除了在訪問控制、入侵檢測防御、流量分析清洗、 WEB 安全防護方面保障 IPv6 網(wǎng)絡(luò)安全防護能力外，同時還要不斷跟蹤