ipv6升級改造建設方案

ipv6升級改造建設方案

內(nèi)容介紹ipv6改造面臨的問題2.ipv6改造背景1.ipv6成功案例4.ipv6改造建議及思考3.01：國家戰(zhàn)略02：政策驅動01ipv6改造背景03：演進路線IPv6全面升級-國家戰(zhàn)略目前互聯(lián)網(wǎng)是基于IPv4的，由IPv4根服務器來管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺IPv4時代，中國沒有“根”服務器，失去互聯(lián)網(wǎng)掌控力美國（主）美國（9個輔）歐洲（2個輔）日本（1個輔）IPv4網(wǎng)絡下一代互聯(lián)網(wǎng)，在美國、日本、印度、俄羅斯、德國、法國等全球16個國家設立25臺IPv6根服務器（互聯(lián)網(wǎng)協(xié)議第六版）。中國：1主3輔，主根服務器在北京，三臺輔根分別在上海、成都、廣州中國（1個主）美國（2個輔）歐洲（10個輔）中國（3個輔）美國（1個主）日本（1個主）印度（3個輔）非洲（1個輔）澳洲（2個輔）南美（1個輔）IPv6網(wǎng)絡IPv6時代，中國有了根服務器,可以掌控自己的互聯(lián)網(wǎng)iPv6全面升級-政策驅動十三五規(guī)劃超前布局下一代互聯(lián)網(wǎng)，全面向互聯(lián)網(wǎng)協(xié)議第6版（IPv6）演進升級?！秶窠?jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》（2016-2020年）十三五規(guī)劃2017年11月26日2018年3月12日2018年5月3日兩辦發(fā)文中共中央辦公廳國務院辦公廳印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》國資委發(fā)文國資委【央企發(fā)文】關于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應用有關工作的通知工信部發(fā)文工業(yè)和信息化部關于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知iPv6全面升級-政策驅動（續(xù)）iPv6建設演進路線04：信息安全方面02：網(wǎng)絡改造方面02ipv6改造面臨的問題03：應用改造方面01：終端行為方面ipv6終端行為分析01終端行為方面02網(wǎng)絡改造方面03應用改造方面04信息安全方面終端對IPv6支持情況雙棧情況下，IPv4/IPv6優(yōu)選哪個鏈路失敗時，是否可以實現(xiàn)IPv4和IPv6平滑切換網(wǎng)絡架構的最終目標與過渡方案互聯(lián)網(wǎng)線路及IP地址的申請IPv6地址規(guī)劃及配置問題運維管理方面的自動化、可視化IPv6網(wǎng)絡安全風險IPv6應用安全風險IPv6運維管理天窗問題客戶端地址溯源移動端APP是否支持IPv6？切換session會話處理ipv6終端行為分析ipv6終端行為分析雙棧技術實現(xiàn)ipv6訪問地址轉換技術實現(xiàn)ipv6的訪問NAT-64通常是指通過路由器或防火墻設備進行IPV6和IPV4的地址轉換，等同于NAT（網(wǎng)絡地址轉換技術），使用該技術可以實現(xiàn)IPV6用戶訪問IPV4資源，但是存在無法溯源源IP地址的問題。VIP-64通常在鏈路負載均衡設備上來實現(xiàn)，原理和NAT64一致，但是在協(xié)議層上VIP具備可擴展性，可以插入TCP-Option、X-Forwarded-FOR等特性從而保證客戶端地址溯源。地址轉換技術-整改思路內(nèi)容翻譯設備實現(xiàn)ipv6訪問內(nèi)容翻譯設備

內(nèi)容翻譯設備以代理的形式提供客戶端到后端服務器的訪問，不存在天窗問題，且無需門戶網(wǎng)站改造，給開發(fā)人員爭取寶貴時間。內(nèi)容翻譯設備本身具備多塊網(wǎng)卡和較高的計算存儲能力，通過在內(nèi)容翻譯設備上配置IPV6和IPV4地址可以實現(xiàn)2張網(wǎng)絡的通信，客戶端訪問web服務器時實際上是訪問內(nèi)容翻譯設備，由內(nèi)容翻譯設備再去訪問真實的web服務器獲取訪問數(shù)據(jù)。如果門戶網(wǎng)站存儲在第三方外鏈時有內(nèi)容翻譯設備向外鏈方請求數(shù)據(jù)，并返回給實際客戶端。

天窗問題ALG代理方案解決天窗問題應用改造應用改造要求應用至少改造以下內(nèi)容（具體內(nèi)容）：以IPv4地址直接寫入的文件URL或鏈接，以DNS域名替換IP地址；或考慮同時支持IPv4和IPv6。網(wǎng)頁代碼及應用代碼中存在無法處理IPv6地址的程序或函數(shù)，使用同時支持IPv4/IPv6的函數(shù)或程序當前應用存儲IP地址的數(shù)據(jù)空間為32位定長，無法存放128位地址，使用同時支持IPv4/IPv6的變量、數(shù)據(jù)庫結構或API等其他專門處理IPv4的代碼（如業(yè)務的溯源代碼），進行同時支持IPv4和IPv6改造。ipv6改造方案對比序號對比維度地址轉換技術方案雙棧技術方案新建純ipv6專區(qū)1網(wǎng)絡架構改造難度較小，NAT64技術方案對當前網(wǎng)絡架構變動較小，可以采用新增ipv6出口區(qū)域，包含ipv6DNS解析設備實現(xiàn)4A記錄的解析。較高，要求所有的網(wǎng)絡及安全設備均支持雙棧，要對現(xiàn)網(wǎng)設備做全面評估。/2應用改造難度較小，與應用相關的訪問關系仍然是iPv4網(wǎng)絡，應用層面基本無需做任何改動。較高，應用需要支持能夠被ipv6訪問的網(wǎng)絡，與ip地址相關的配置文件和代碼都需要進行修改。較高，應用需要支持能夠被ipv6訪問的網(wǎng)絡，與ip地址相關的配置文件和代碼都需要進行修改。3設備運行壓力較高，該方案需要防火墻或者負載均衡設備進行ipv6到iPv4的地址轉換，對設備性能會造成額外壓力。較高，該方案同時開啟iPv4和ipv6兩種協(xié)議，對設備性能提出了新的要求。對現(xiàn)有iPv4區(qū)域影響小，運行穩(wěn)定性能較高。較低，新網(wǎng)絡網(wǎng)絡已經(jīng)完成ipv6適配，不會對設備造成很大壓力。4設備成本投入較低，只需要采購互聯(lián)網(wǎng)出口區(qū)域設備即可，新采設備數(shù)量較少。較高，需要采購完整的互聯(lián)網(wǎng)區(qū)網(wǎng)絡設備和安全設備，一次性投入較高。較高，新建ipv6專區(qū)需要新增大量設備。5涉及設備涉及互聯(lián)網(wǎng)出口區(qū)域網(wǎng)絡及安全設備。范圍較大，涉及各類網(wǎng)絡、安全、服務器等。范圍較大，涉及各類網(wǎng)絡、安全、服務器等。6應用改造應用程序基本無需改造所有與iPv4相關的應用程序都要改成支持ipv6。所有與iPv4相關的應用程序都要改成支持ipv6。7實施難度大中大8部署周期長中中03ipv6改造建議及思考ipv6改造建議（雙棧模式）IPv6雙棧改造的思路是對網(wǎng)站原有架構的所有組成環(huán)節(jié)，包括域名服務、WEB服務、安全防護、運營支撐系統(tǒng)等，所有涉及的硬件設備和軟件系統(tǒng)，按照雙棧技術標準進行升級，完成網(wǎng)站的IPv6改造工作。雙棧模式改造實施步驟如下：現(xiàn)狀梳理與準備域名服務改造線路及IPv6過渡技術支持改造網(wǎng)絡及安全架構雙棧改造操作系統(tǒng)雙棧改造數(shù)據(jù)庫、中間件、應用、終端app雙棧改造網(wǎng)管等周邊系統(tǒng)改造IPv6持續(xù)建設截至2020年底初期建設階段自2022年起持續(xù)建設階段截至2021年底規(guī)模部署階段第一階段建設的技術類型翻譯技術

VIP64VIP64是與NAT64技術類型基本一致但在可擴展性上高于NAT64支持XFF插入，以提供金融行業(yè)對IP地址溯源的需求。內(nèi)容翻譯設備

內(nèi)容翻譯設備以代理的形式提供客戶端到后端服務器的訪問，不存在天窗問題，且無需門戶網(wǎng)站改造，給開發(fā)人員爭取寶貴時間。第一階段ipv6建設方案DDOS設備GSLB全局負載均衡（DNS）應用負載均衡（LTM）內(nèi)容翻譯設備第二階段ipv6建設方案1第二階段ipv6建設方案2第二階段ipv6建設方案-業(yè)務連續(xù)性方案持續(xù)建設階段-網(wǎng)管等周邊系統(tǒng)改造

網(wǎng)管系統(tǒng)、流量分析平臺、日志管理等周邊系統(tǒng)向IPv6演進過程中仍可暫時延用IPv4地址，但需具備以下功能：

01基于IPv6的識別與管理能夠實現(xiàn)各種基于IPv6地址類型的識別和管理

03基于IPv6數(shù)據(jù)采集能力支持對IPv6設備和雙棧設備的性能、資源、故障等數(shù)據(jù)采集能力02有效訪問IPv6MIB允許使用IPv4地址，通過SNMP等網(wǎng)絡管理協(xié)議，訪問相關設備IPv6MIB配置和流量等相關信息04歷史數(shù)據(jù)平滑關聯(lián)使得雙棧設備的各種資源、性能、故障等數(shù)據(jù)能夠與歷史數(shù)據(jù)平滑關聯(lián)04ipv6成功案例中原銀行2019年IPv6改造項目

通過對中原銀行IPv6改造，實現(xiàn)互聯(lián)網(wǎng)區(qū)IPv4到IPv6的平滑過渡，解決互聯(lián)網(wǎng)區(qū)在網(wǎng)絡能力、網(wǎng)絡安全等方面的問題，優(yōu)化互聯(lián)網(wǎng)區(qū)網(wǎng)絡結構，提高外網(wǎng)管理能力、公共服務能力和應急能力。本項目新增高性能設備，替換原有老舊設備，擴容網(wǎng)絡帶寬，增加冗余網(wǎng)絡安全設備，提高網(wǎng)絡安全性，使互聯(lián)網(wǎng)區(qū)成為一張結構合理，高可靠性、高安全性，能適應未來5到10年業(yè)務發(fā)展的優(yōu)質(zhì)網(wǎng)絡。通過對中原銀行互聯(lián)網(wǎng)區(qū)IPv6改造，可以為其今后ipv6升級改造建設積累經(jīng)驗。本次項目改造，涉及部署域名解析設備（DNS64），提供基于IPv4和IPv6的雙向解析服務；部署翻譯設備，實現(xiàn)IPv4資源與IPv6資源之間進行IP地址互轉和端口映射；部署WAF防火墻、邊界防火墻、入侵防御（IPS）、鏈路負載均衡和邊界網(wǎng)閘設備等安全防護設備，保障互聯(lián)網(wǎng)區(qū)入口安全；部署交換機，主要用于抗DDOS、負載均衡、WAF防火墻、入侵檢測（IPS）、域名解析服務器和翻譯設備的匯聚，滿足IPv6資源的數(shù)據(jù)交換。項目介紹項目意義成功案例（部分）序號客戶名稱項目名稱金額時間1中原銀行股份有限公司中原銀行股份有限公司2019年IPv6改造項目--協(xié)議轉換設備采購1300000RMB2019年11月1日2中國移動通信集團云南有限公司中國移動云南公司2019年網(wǎng)管支撐網(wǎng)安管平臺IPv6改造服務項目530000RMB2019年6月21日3咪咕音樂有限公司咪咕公司2019年IPv6改造工程成都節(jié)點單項工程Array改造升級采購合同400000RMB2019年4月18日4中國電信股份有限公司北京分公司2018北京電信IDC網(wǎng)絡信息安全配套設備IPv6改造項目300000RMB2018年1月2日5盤古文化傳播有限公司搜索應用網(wǎng)站系統(tǒng)IPv6升級改造項目一期工程服務器和交換機采購合同870000RMB2013年5月31日6中國移動通信集團廣東有限公司廣東公司