ipv6升級改造建設(shè)方案

ipv6升級改造建設(shè)方案

內(nèi)容介紹ipv6改造面臨的問題2.ipv6改造背景1.ipv6成功案例4.ipv6改造建議及思考3.01：國家戰(zhàn)略02：政策驅(qū)動01ipv6改造背景03：演進路線IPv6全面升級-國家戰(zhàn)略目前互聯(lián)網(wǎng)是基于IPv4的，由IPv4根服務(wù)器來管理互聯(lián)網(wǎng)的主目錄，全世界只有13臺IPv4時代，中國沒有“根”服務(wù)器，失去互聯(lián)網(wǎng)掌控力美國（主）美國（9個輔）歐洲（2個輔）日本（1個輔）IPv4網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)，在美國、日本、印度、俄羅斯、德國、法國等全球16個國家設(shè)立25臺IPv6根服務(wù)器（互聯(lián)網(wǎng)協(xié)議第六版）。中國：1主3輔，主根服務(wù)器在北京，三臺輔根分別在上海、成都、廣州中國（1個主）美國（2個輔）歐洲（10個輔）中國（3個輔）美國（1個主）日本（1個主）印度（3個輔）非洲（1個輔）澳洲（2個輔）南美（1個輔）IPv6網(wǎng)絡(luò)IPv6時代，中國有了根服務(wù)器,可以掌控自己的互聯(lián)網(wǎng)iPv6全面升級-政策驅(qū)動十三五規(guī)劃超前布局下一代互聯(lián)網(wǎng)，全面向互聯(lián)網(wǎng)協(xié)議第6版（IPv6）演進升級?！秶窠?jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》（2016-2020年）十三五規(guī)劃2017年11月26日2018年3月12日2018年5月3日兩辦發(fā)文中共中央辦公廳國務(wù)院辦公廳印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》國資委發(fā)文國資委【央企發(fā)文】關(guān)于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應(yīng)用有關(guān)工作的通知工信部發(fā)文工業(yè)和信息化部關(guān)于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知iPv6全面升級-政策驅(qū)動（續(xù)）iPv6建設(shè)演進路線04：信息安全方面02：網(wǎng)絡(luò)改造方面02ipv6改造面臨的問題03：應(yīng)用改造方面01：終端行為方面ipv6終端行為分析01終端行為方面02網(wǎng)絡(luò)改造方面03應(yīng)用改造方面04信息安全方面終端對IPv6支持情況雙棧情況下，IPv4/IPv6優(yōu)選哪個鏈路失敗時，是否可以實現(xiàn)IPv4和IPv6平滑切換網(wǎng)絡(luò)架構(gòu)的最終目標與過渡方案互聯(lián)網(wǎng)線路及IP地址的申請IPv6地址規(guī)劃及配置問題運維管理方面的自動化、可視化IPv6網(wǎng)絡(luò)安全風險IPv6應(yīng)用安全風險IPv6運維管理天窗問題客戶端地址溯源移動端APP是否支持IPv6？切換session會話處理ipv6終端行為分析ipv6終端行為分析雙棧技術(shù)實現(xiàn)ipv6訪問地址轉(zhuǎn)換技術(shù)實現(xiàn)ipv6的訪問NAT-64通常是指通過路由器或防火墻設(shè)備進行IPV6和IPV4的地址轉(zhuǎn)換，等同于NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)），使用該技術(shù)可以實現(xiàn)IPV6用戶訪問IPV4資源，但是存在無法溯源源IP地址的問題。VIP-64通常在鏈路負載均衡設(shè)備上來實現(xiàn)，原理和NAT64一致，但是在協(xié)議層上VIP具備可擴展性，可以插入TCP-Option、X-Forwarded-FOR等特性從而保證客戶端地址溯源。地址轉(zhuǎn)換技術(shù)-整改思路內(nèi)容翻譯設(shè)備實現(xiàn)ipv6訪問內(nèi)容翻譯設(shè)備

內(nèi)容翻譯設(shè)備以代理的形式提供客戶端到后端服務(wù)器的訪問，不存在天窗問題，且無需門戶網(wǎng)站改造，給開發(fā)人員爭取寶貴時間。內(nèi)容翻譯設(shè)備本身具備多塊網(wǎng)卡和較高的計算存儲能力，通過在內(nèi)容翻譯設(shè)備上配置IPV6和IPV4地址可以實現(xiàn)2張網(wǎng)絡(luò)的通信，客戶端訪問web服務(wù)器時實際上是訪問內(nèi)容翻譯設(shè)備，由內(nèi)容翻譯設(shè)備再去訪問真實的web服務(wù)器獲取訪問數(shù)據(jù)。如果門戶網(wǎng)站存儲在第三方外鏈時有內(nèi)容翻譯設(shè)備向外鏈方請求數(shù)據(jù)，并返回給實際客戶端。

天窗問題ALG代理方案解決天窗問題應(yīng)用改造應(yīng)用改造要求應(yīng)用至少改造以下內(nèi)容（具體內(nèi)容）：以IPv4地址直接寫入的文件URL或鏈接，以DNS域名替換IP地址；或考慮同時支持IPv4和IPv6。網(wǎng)頁代碼及應(yīng)用代碼中存在無法處理IPv6地址的程序或函數(shù)，使用同時支持IPv4/IPv6的函數(shù)或程序當前應(yīng)用存儲IP地址的數(shù)據(jù)空間為32位定長，無法存放128位地址，使用同時支持IPv4/IPv6的變量、數(shù)據(jù)庫結(jié)構(gòu)或API等其他專門處理IPv4的代碼（如業(yè)務(wù)的溯源代碼），進行同時支持IPv4和IPv6改造。ipv6改造方案對比序號對比維度地址轉(zhuǎn)換技術(shù)方案雙棧技術(shù)方案新建純ipv6專區(qū)1網(wǎng)絡(luò)架構(gòu)改造難度較小，NAT64技術(shù)方案對當前網(wǎng)絡(luò)架構(gòu)變動較小，可以采用新增ipv6出口區(qū)域，包含ipv6DNS解析設(shè)備實現(xiàn)4A記錄的解析。較高，要求所有的網(wǎng)絡(luò)及安全設(shè)備均支持雙棧，要對現(xiàn)網(wǎng)設(shè)備做全面評估。/2應(yīng)用改造難度較小，與應(yīng)用相關(guān)的訪問關(guān)系仍然是iPv4網(wǎng)絡(luò)，應(yīng)用層面基本無需做任何改動。較高，應(yīng)用需要支持能夠被ipv6訪問的網(wǎng)絡(luò)，與ip地址相關(guān)的配置文件和代碼都需要進行修改。較高，應(yīng)用需要支持能夠被ipv6訪問的網(wǎng)絡(luò)，與ip地址相關(guān)的配置文件和代碼都需要進行修改。3設(shè)備運行壓力較高，該方案需要防火墻或者負載均衡設(shè)備進行ipv6到iPv4的地址轉(zhuǎn)換，對設(shè)備性能會造成額外壓力。較高，該方案同時開啟iPv4和ipv6兩種協(xié)議，對設(shè)備性能提出了新的要求。對現(xiàn)有iPv4區(qū)域影響小，運行穩(wěn)定性能較高。較低，新網(wǎng)絡(luò)網(wǎng)絡(luò)已經(jīng)完成ipv6適配，不會對設(shè)備造成很大壓力。4設(shè)備成本投入較低，只需要采購互聯(lián)網(wǎng)出口區(qū)域設(shè)備即可，新采設(shè)備數(shù)量較少。較高，需要采購完整的互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)設(shè)備和安全設(shè)備，一次性投入較高。較高，新建ipv6專區(qū)需要新增大量設(shè)備。5涉及設(shè)備涉及互聯(lián)網(wǎng)出口區(qū)域網(wǎng)絡(luò)及安全設(shè)備。范圍較大，涉及各類網(wǎng)絡(luò)、安全、服務(wù)器等。范圍較大，涉及各類網(wǎng)絡(luò)、安全、服務(wù)器等。6應(yīng)用改造應(yīng)用程序基本無需改造所有與iPv4相關(guān)的應(yīng)用程序都要改成支持ipv6。所有與iPv4相關(guān)的應(yīng)用程序都要改成支持ipv6。7實施難度大中大8部署周期長中中03ipv6改造建議及思考ipv6改造建議（雙棧模式）IPv6雙棧改造的思路是對網(wǎng)站原有架構(gòu)的所有組成環(huán)節(jié)，包括域名服務(wù)、WEB服務(wù)、安全防護、運營支撐系統(tǒng)等，所有涉及的硬件設(shè)備和軟件系統(tǒng)，按照雙棧技術(shù)標準進行升級，完成網(wǎng)站的IPv6改造工作。雙棧模式改造實施步驟如下：現(xiàn)狀梳理與準備域名服務(wù)改造線路及IPv6過渡技術(shù)支持改造網(wǎng)絡(luò)及安全架構(gòu)雙棧改造操作系統(tǒng)雙棧改造數(shù)據(jù)庫、中間件、應(yīng)用、終端app雙棧改造網(wǎng)管等周邊系統(tǒng)改造IPv6持續(xù)建設(shè)截至2020年底初期建設(shè)階段自2022年起持續(xù)建設(shè)階段截至2021年底規(guī)模部署階段第一階段建設(shè)的技術(shù)類型翻譯技術(shù)

VIP64VIP64是與NAT64技術(shù)類型基本一致但在可擴展性上高于NAT64支持XFF插入，以提供金融行業(yè)對IP地址溯源的需求。內(nèi)容翻譯設(shè)備

內(nèi)容翻譯設(shè)備以代理的形式提供客戶端到后端服務(wù)器的訪問，不存在天窗問題，且無需門戶網(wǎng)站改造，給開發(fā)人員爭取寶貴時間。第一階段ipv6建設(shè)方案DDOS設(shè)備GSLB全局負載均衡（DNS）應(yīng)用負載均衡（LTM）內(nèi)容翻譯設(shè)備第二階段ipv6建設(shè)方案1第二階段ipv6建設(shè)方案2第二階段ipv6建設(shè)方案-業(yè)務(wù)連續(xù)性方案持續(xù)建設(shè)階段-網(wǎng)管等周邊系統(tǒng)改造

網(wǎng)管系統(tǒng)、流量分析平臺、日志管理等周邊系統(tǒng)向IPv6演進過程中仍可暫時延用IPv4地址，但需具備以下功能：

01基于IPv6的識別與管理能夠?qū)崿F(xiàn)各種基于IPv6地址類型的識別和管理

03基于IPv6數(shù)據(jù)采集能力支持對IPv6設(shè)備和雙棧設(shè)備的性能、資源、故障等數(shù)據(jù)采集能力02有效訪問IPv6MIB允許使用IPv4地址，通過SNMP等網(wǎng)絡(luò)管理協(xié)議，訪問相關(guān)設(shè)備IPv6MIB配置和流量等相關(guān)信息04歷史數(shù)據(jù)平滑關(guān)聯(lián)使得雙棧設(shè)備的各種資源、性能、故障等數(shù)據(jù)能夠與歷史數(shù)據(jù)平滑關(guān)聯(lián)04ipv6成功案例中原銀行2019年IPv6改造項目

通過對中原銀行IPv6改造，實現(xiàn)互聯(lián)網(wǎng)區(qū)IPv4到IPv6的平滑過渡，解決互聯(lián)網(wǎng)區(qū)在網(wǎng)絡(luò)能力、網(wǎng)絡(luò)安全等方面的問題，優(yōu)化互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)結(jié)構(gòu)，提高外網(wǎng)管理能力、公共服務(wù)能力和應(yīng)急能力。本項目新增高性能設(shè)備，替換原有老舊設(shè)備，擴容網(wǎng)絡(luò)帶寬，增加冗余網(wǎng)絡(luò)安全設(shè)備，提高網(wǎng)絡(luò)安全性，使互聯(lián)網(wǎng)區(qū)成為一張結(jié)構(gòu)合理，高可靠性、高安全性，能適應(yīng)未來5到10年業(yè)務(wù)發(fā)展的優(yōu)質(zhì)網(wǎng)絡(luò)。通過對中原銀行互聯(lián)網(wǎng)區(qū)IPv6改造，可以為其今后ipv6升級改造建設(shè)積累經(jīng)驗。本次項目改造，涉及部署域名解析設(shè)備（DNS64），提供基于IPv4和IPv6的雙向解析服務(wù)；部署翻譯設(shè)備，實現(xiàn)IPv4資源與IPv6資源之間進行IP地址互轉(zhuǎn)和端口映射；部署WAF防火墻、邊界防火墻、入侵防御（IPS）、鏈路負載均衡和邊界網(wǎng)閘設(shè)備等安全防護設(shè)備，保障互聯(lián)網(wǎng)區(qū)入口安全；部署交換機，主要用于抗DDOS、負載均衡、WAF防火墻、入侵檢測（IPS）、域名解析服務(wù)器和翻譯設(shè)備的匯聚，滿足IPv6資源的數(shù)據(jù)交換。項目介紹項目意義成功案例（部分）序號客戶名稱項目名稱金額時間1中原銀行股份有限公司中原銀行股份有限公司2019年IPv6改造項目--協(xié)議轉(zhuǎn)換設(shè)備采購1300000RMB2019年11月1日2中國移動通信集團云南有限公司中國移動云南公司2019年網(wǎng)管支撐網(wǎng)安管平臺IPv6改造服務(wù)項目530000RMB2019年6月21日3咪咕音樂有限公司咪咕公司2019年IPv6改造工程成都節(jié)點單項工程Array改造升級采購合同400000RMB2019年4月18日4中國電信股份有限公司北京分公司2018北京電信IDC網(wǎng)絡(luò)信息安全配套設(shè)備IPv6改造項目300000RMB2018年1月2日5盤古文化傳播有限公司搜索應(yīng)用網(wǎng)站系統(tǒng)IPv6升級改造項目一期工程服務(wù)器和交換機采購合同870000RMB2013年5月31日6中國移動通信集團廣東有限公司廣東公司