ipv6升級(jí)改造建設(shè)方案

ipv6升級(jí)改造建設(shè)方案

內(nèi)容介紹ipv6改造面臨的問(wèn)題2.ipv6改造背景1.ipv6成功案例4.ipv6改造建議及思考3.01：國(guó)家戰(zhàn)略02：政策驅(qū)動(dòng)01ipv6改造背景03：演進(jìn)路線IPv6全面升級(jí)-國(guó)家戰(zhàn)略目前互聯(lián)網(wǎng)是基于IPv4的，由IPv4根服務(wù)器來(lái)管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺(tái)IPv4時(shí)代，中國(guó)沒(méi)有“根”服務(wù)器，失去互聯(lián)網(wǎng)掌控力美國(guó)（主）美國(guó)（9個(gè)輔）歐洲（2個(gè)輔）日本（1個(gè)輔）IPv4網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)，在美國(guó)、日本、印度、俄羅斯、德國(guó)、法國(guó)等全球16個(gè)國(guó)家設(shè)立25臺(tái)IPv6根服務(wù)器（互聯(lián)網(wǎng)協(xié)議第六版）。中國(guó)：1主3輔，主根服務(wù)器在北京，三臺(tái)輔根分別在上海、成都、廣州中國(guó)（1個(gè)主）美國(guó)（2個(gè)輔）歐洲（10個(gè)輔）中國(guó)（3個(gè)輔）美國(guó)（1個(gè)主）日本（1個(gè)主）印度（3個(gè)輔）非洲（1個(gè)輔）澳洲（2個(gè)輔）南美（1個(gè)輔）IPv6網(wǎng)絡(luò)IPv6時(shí)代，中國(guó)有了根服務(wù)器,可以掌控自己的互聯(lián)網(wǎng)iPv6全面升級(jí)-政策驅(qū)動(dòng)十三五規(guī)劃超前布局下一代互聯(lián)網(wǎng)，全面向互聯(lián)網(wǎng)協(xié)議第6版（IPv6）演進(jìn)升級(jí)?！秶?guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》（2016-2020年）十三五規(guī)劃2017年11月26日2018年3月12日2018年5月3日兩辦發(fā)文中共中央辦公廳國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》國(guó)資委發(fā)文國(guó)資委【央企發(fā)文】關(guān)于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應(yīng)用有關(guān)工作的通知工信部發(fā)文工業(yè)和信息化部關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知iPv6全面升級(jí)-政策驅(qū)動(dòng)（續(xù)）iPv6建設(shè)演進(jìn)路線04：信息安全方面02：網(wǎng)絡(luò)改造方面02ipv6改造面臨的問(wèn)題03：應(yīng)用改造方面01：終端行為方面ipv6終端行為分析01終端行為方面02網(wǎng)絡(luò)改造方面03應(yīng)用改造方面04信息安全方面終端對(duì)IPv6支持情況雙棧情況下，IPv4/IPv6優(yōu)選哪個(gè)鏈路失敗時(shí)，是否可以實(shí)現(xiàn)IPv4和IPv6平滑切換網(wǎng)絡(luò)架構(gòu)的最終目標(biāo)與過(guò)渡方案互聯(lián)網(wǎng)線路及IP地址的申請(qǐng)IPv6地址規(guī)劃及配置問(wèn)題運(yùn)維管理方面的自動(dòng)化、可視化IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)IPv6應(yīng)用安全風(fēng)險(xiǎn)IPv6運(yùn)維管理天窗問(wèn)題客戶端地址溯源移動(dòng)端APP是否支持IPv6？切換session會(huì)話處理ipv6終端行為分析ipv6終端行為分析雙棧技術(shù)實(shí)現(xiàn)ipv6訪問(wèn)地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)ipv6的訪問(wèn)NAT-64通常是指通過(guò)路由器或防火墻設(shè)備進(jìn)行IPV6和IPV4的地址轉(zhuǎn)換，等同于NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)），使用該技術(shù)可以實(shí)現(xiàn)IPV6用戶訪問(wèn)IPV4資源，但是存在無(wú)法溯源源IP地址的問(wèn)題。VIP-64通常在鏈路負(fù)載均衡設(shè)備上來(lái)實(shí)現(xiàn)，原理和NAT64一致，但是在協(xié)議層上VIP具備可擴(kuò)展性，可以插入TCP-Option、X-Forwarded-FOR等特性從而保證客戶端地址溯源。地址轉(zhuǎn)換技術(shù)-整改思路內(nèi)容翻譯設(shè)備實(shí)現(xiàn)ipv6訪問(wèn)內(nèi)容翻譯設(shè)備

內(nèi)容翻譯設(shè)備以代理的形式提供客戶端到后端服務(wù)器的訪問(wèn)，不存在天窗問(wèn)題，且無(wú)需門戶網(wǎng)站改造，給開發(fā)人員爭(zhēng)取寶貴時(shí)間。內(nèi)容翻譯設(shè)備本身具備多塊網(wǎng)卡和較高的計(jì)算存儲(chǔ)能力，通過(guò)在內(nèi)容翻譯設(shè)備上配置IPV6和IPV4地址可以實(shí)現(xiàn)2張網(wǎng)絡(luò)的通信，客戶端訪問(wèn)web服務(wù)器時(shí)實(shí)際上是訪問(wèn)內(nèi)容翻譯設(shè)備，由內(nèi)容翻譯設(shè)備再去訪問(wèn)真實(shí)的web服務(wù)器獲取訪問(wèn)數(shù)據(jù)。如果門戶網(wǎng)站存儲(chǔ)在第三方外鏈時(shí)有內(nèi)容翻譯設(shè)備向外鏈方請(qǐng)求數(shù)據(jù)，并返回給實(shí)際客戶端。

天窗問(wèn)題ALG代理方案解決天窗問(wèn)題應(yīng)用改造應(yīng)用改造要求應(yīng)用至少改造以下內(nèi)容（具體內(nèi)容）：以IPv4地址直接寫入的文件URL或鏈接，以DNS域名替換IP地址；或考慮同時(shí)支持IPv4和IPv6。網(wǎng)頁(yè)代碼及應(yīng)用代碼中存在無(wú)法處理IPv6地址的程序或函數(shù)，使用同時(shí)支持IPv4/IPv6的函數(shù)或程序當(dāng)前應(yīng)用存儲(chǔ)IP地址的數(shù)據(jù)空間為32位定長(zhǎng)，無(wú)法存放128位地址，使用同時(shí)支持IPv4/IPv6的變量、數(shù)據(jù)庫(kù)結(jié)構(gòu)或API等其他專門處理IPv4的代碼（如業(yè)務(wù)的溯源代碼），進(jìn)行同時(shí)支持IPv4和IPv6改造。ipv6改造方案對(duì)比序號(hào)對(duì)比維度地址轉(zhuǎn)換技術(shù)方案雙棧技術(shù)方案新建純ipv6專區(qū)1網(wǎng)絡(luò)架構(gòu)改造難度較小，NAT64技術(shù)方案對(duì)當(dāng)前網(wǎng)絡(luò)架構(gòu)變動(dòng)較小，可以采用新增ipv6出口區(qū)域，包含ipv6DNS解析設(shè)備實(shí)現(xiàn)4A記錄的解析。較高，要求所有的網(wǎng)絡(luò)及安全設(shè)備均支持雙棧，要對(duì)現(xiàn)網(wǎng)設(shè)備做全面評(píng)估。/2應(yīng)用改造難度較小，與應(yīng)用相關(guān)的訪問(wèn)關(guān)系仍然是iPv4網(wǎng)絡(luò)，應(yīng)用層面基本無(wú)需做任何改動(dòng)。較高，應(yīng)用需要支持能夠被ipv6訪問(wèn)的網(wǎng)絡(luò)，與ip地址相關(guān)的配置文件和代碼都需要進(jìn)行修改。較高，應(yīng)用需要支持能夠被ipv6訪問(wèn)的網(wǎng)絡(luò)，與ip地址相關(guān)的配置文件和代碼都需要進(jìn)行修改。3設(shè)備運(yùn)行壓力較高，該方案需要防火墻或者負(fù)載均衡設(shè)備進(jìn)行ipv6到iPv4的地址轉(zhuǎn)換，對(duì)設(shè)備性能會(huì)造成額外壓力。較高，該方案同時(shí)開啟iPv4和ipv6兩種協(xié)議，對(duì)設(shè)備性能提出了新的要求。對(duì)現(xiàn)有iPv4區(qū)域影響小，運(yùn)行穩(wěn)定性能較高。較低，新網(wǎng)絡(luò)網(wǎng)絡(luò)已經(jīng)完成ipv6適配，不會(huì)對(duì)設(shè)備造成很大壓力。4設(shè)備成本投入較低，只需要采購(gòu)互聯(lián)網(wǎng)出口區(qū)域設(shè)備即可，新采設(shè)備數(shù)量較少。較高，需要采購(gòu)?fù)暾幕ヂ?lián)網(wǎng)區(qū)網(wǎng)絡(luò)設(shè)備和安全設(shè)備，一次性投入較高。較高，新建ipv6專區(qū)需要新增大量設(shè)備。5涉及設(shè)備涉及互聯(lián)網(wǎng)出口區(qū)域網(wǎng)絡(luò)及安全設(shè)備。范圍較大，涉及各類網(wǎng)絡(luò)、安全、服務(wù)器等。范圍較大，涉及各類網(wǎng)絡(luò)、安全、服務(wù)器等。6應(yīng)用改造應(yīng)用程序基本無(wú)需改造所有與iPv4相關(guān)的應(yīng)用程序都要改成支持ipv6。所有與iPv4相關(guān)的應(yīng)用程序都要改成支持ipv6。7實(shí)施難度大中大8部署周期長(zhǎng)中中03ipv6改造建議及思考ipv6改造建議（雙棧模式）IPv6雙棧改造的思路是對(duì)網(wǎng)站原有架構(gòu)的所有組成環(huán)節(jié)，包括域名服務(wù)、WEB服務(wù)、安全防護(hù)、運(yùn)營(yíng)支撐系統(tǒng)等，所有涉及的硬件設(shè)備和軟件系統(tǒng)，按照雙棧技術(shù)標(biāo)準(zhǔn)進(jìn)行升級(jí)，完成網(wǎng)站的IPv6改造工作。雙棧模式改造實(shí)施步驟如下：現(xiàn)狀梳理與準(zhǔn)備域名服務(wù)改造線路及IPv6過(guò)渡技術(shù)支持改造網(wǎng)絡(luò)及安全架構(gòu)雙棧改造操作系統(tǒng)雙棧改造數(shù)據(jù)庫(kù)、中間件、應(yīng)用、終端app雙棧改造網(wǎng)管等周邊系統(tǒng)改造IPv6持續(xù)建設(shè)截至2020年底初期建設(shè)階段自2022年起持續(xù)建設(shè)階段截至2021年底規(guī)模部署階段第一階段建設(shè)的技術(shù)類型翻譯技術(shù)

VIP64VIP64是與NAT64技術(shù)類型基本一致但在可擴(kuò)展性上高于NAT64支持XFF插入，以提供金融行業(yè)對(duì)IP地址溯源的需求。內(nèi)容翻譯設(shè)備

內(nèi)容翻譯設(shè)備以代理的形式提供客戶端到后端服務(wù)器的訪問(wèn)，不存在天窗問(wèn)題，且無(wú)需門戶網(wǎng)站改造，給開發(fā)人員爭(zhēng)取寶貴時(shí)間。第一階段ipv6建設(shè)方案DDOS設(shè)備GSLB全局負(fù)載均衡（DNS）應(yīng)用負(fù)載均衡（LTM）內(nèi)容翻譯設(shè)備第二階段ipv6建設(shè)方案1第二階段ipv6建設(shè)方案2第二階段ipv6建設(shè)方案-業(yè)務(wù)連續(xù)性方案持續(xù)建設(shè)階段-網(wǎng)管等周邊系統(tǒng)改造

網(wǎng)管系統(tǒng)、流量分析平臺(tái)、日志管理等周邊系統(tǒng)向IPv6演進(jìn)過(guò)程中仍可暫時(shí)延用IPv4地址，但需具備以下功能：

01基于IPv6的識(shí)別與管理能夠?qū)崿F(xiàn)各種基于IPv6地址類型的識(shí)別和管理

03基于IPv6數(shù)據(jù)采集能力支持對(duì)IPv6設(shè)備和雙棧設(shè)備的性能、資源、故障等數(shù)據(jù)采集能力02有效訪問(wèn)IPv6MIB允許使用IPv4地址，通過(guò)SNMP等網(wǎng)絡(luò)管理協(xié)議，訪問(wèn)相關(guān)設(shè)備IPv6MIB配置和流量等相關(guān)信息04歷史數(shù)據(jù)平滑關(guān)聯(lián)使得雙棧設(shè)備的各種資源、性能、故障等數(shù)據(jù)能夠與歷史數(shù)據(jù)平滑關(guān)聯(lián)04ipv6成功案例中原銀行2019年IPv6改造項(xiàng)目

通過(guò)對(duì)中原銀行IPv6改造，實(shí)現(xiàn)互聯(lián)網(wǎng)區(qū)IPv4到IPv6的平滑過(guò)渡，解決互聯(lián)網(wǎng)區(qū)在網(wǎng)絡(luò)能力、網(wǎng)絡(luò)安全等方面的問(wèn)題，優(yōu)化互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)結(jié)構(gòu)，提高外網(wǎng)管理能力、公共服務(wù)能力和應(yīng)急能力。本項(xiàng)目新增高性能設(shè)備，替換原有老舊設(shè)備，擴(kuò)容網(wǎng)絡(luò)帶寬，增加冗余網(wǎng)絡(luò)安全設(shè)備，提高網(wǎng)絡(luò)安全性，使互聯(lián)網(wǎng)區(qū)成為一張結(jié)構(gòu)合理，高可靠性、高安全性，能適應(yīng)未來(lái)5到10年業(yè)務(wù)發(fā)展的優(yōu)質(zhì)網(wǎng)絡(luò)。通過(guò)對(duì)中原銀行互聯(lián)網(wǎng)區(qū)IPv6改造，可以為其今后ipv6升級(jí)改造建設(shè)積累經(jīng)驗(yàn)。本次項(xiàng)目改造，涉及部署域名解析設(shè)備（DNS64），提供基于IPv4和IPv6的雙向解析服務(wù)；部署翻譯設(shè)備，實(shí)現(xiàn)IPv4資源與IPv6資源之間進(jìn)行IP地址互轉(zhuǎn)和端口映射；部署WAF防火墻、邊界防火墻、入侵防御（IPS）、鏈路負(fù)載均衡和邊界網(wǎng)閘設(shè)備等安全防護(hù)設(shè)備，保障互聯(lián)網(wǎng)區(qū)入口安全；部署交換機(jī)，主要用于抗DDOS、負(fù)載均衡、WAF防火墻、入侵檢測(cè)（IPS）、域名解析服務(wù)器和翻譯設(shè)備的匯聚，滿足IPv6資源的數(shù)據(jù)交換。項(xiàng)目介紹項(xiàng)目意義成功案例（部分）序號(hào)客戶名稱項(xiàng)目名稱金額時(shí)間1中原銀行股份有限公司中原銀行股份有限公司2019年IPv6改造項(xiàng)目--協(xié)議轉(zhuǎn)換設(shè)備采購(gòu)1300000RMB2019年11月1日2中國(guó)移動(dòng)通信集團(tuán)云南有限公司中國(guó)移動(dòng)云南公司2019年網(wǎng)管支撐網(wǎng)安管平臺(tái)IPv6改造服務(wù)項(xiàng)目530000RMB2019年6月21日3咪咕音樂(lè)有限公司咪咕公司2019年IPv6改造工程成都節(jié)點(diǎn)單項(xiàng)工程Array改造升級(jí)采購(gòu)合同400000RMB2019年4月18日4中國(guó)電信股份有限公司北京分公司2018北京電信IDC網(wǎng)絡(luò)信息安全配套設(shè)備IPv6改造項(xiàng)目300000RMB2018年1月2日5盤古文化傳播有限公司搜索應(yīng)用網(wǎng)站系統(tǒng)IPv6升級(jí)改造項(xiàng)目一期工程服務(wù)器和交換機(jī)采購(gòu)合同870000RMB2013年5月31日6中國(guó)移動(dòng)通信集團(tuán)廣東有限公司廣東公司