企業(yè)IPv6升級解決方案

中國聯(lián)通研究院

網(wǎng)絡改造技術篇/前沿技術/其他

1 概述

2018年3月12日，國資委印發(fā)了《關于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應用有關工作的通知》，要求央企在18年完成門戶網(wǎng)站和面向用戶的在線服務窗口的IPv6改造。2018年5月3日，工信部發(fā)布《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》通知，鼓勵典型行業(yè)、重點工業(yè)企業(yè)開展工業(yè)互聯(lián)網(wǎng)IPv6網(wǎng)絡化改造，創(chuàng)新工業(yè)互聯(lián)網(wǎng)應用實踐，構建工業(yè)互聯(lián)網(wǎng)IPv6標準體系。為響應國家IPv6發(fā)展，企業(yè)開展基于IPv6的創(chuàng)新業(yè)務，對網(wǎng)絡接入、內部網(wǎng)絡及系統(tǒng)提出新的需求。企業(yè)IPv6升級解決方案根據(jù)企業(yè)內部現(xiàn)有網(wǎng)絡及系統(tǒng)情況，提供從內部網(wǎng)絡IPv6升級改造技術路線到企業(yè)系統(tǒng)的IPv6規(guī)劃、升級和部署相關解決方案，以滿足企業(yè)開展IPv6業(yè)務，適用于工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系中工廠控制系統(tǒng)和工業(yè)云平臺部分。

1.1 背景

2017年11月26日中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，明確了推進IPv6部署的重要意義，提出了部署的總體要求和主要目標，要用5到10年時間，形成下一代互聯(lián)網(wǎng)自主技術體系和產業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應用網(wǎng)絡，實現(xiàn)下一代互聯(lián)在經濟社會各領域深度融合應用。為貫徹落實中共中央辦公廳、國務院辦公廳印發(fā)的《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，加快網(wǎng)絡基礎設施和應用基礎設施升級步伐，促進下一代互聯(lián)網(wǎng)與經濟社會各領域的融合創(chuàng)新，工信部發(fā)布關于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》通知，積極推進內部網(wǎng)絡和應用IPv6改造，加快推進企業(yè)生產管理信息系統(tǒng)等內部網(wǎng)絡和應用的IPv6改造，加強IPv6環(huán)境下移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等研究與應用，強化IPv6環(huán)境下網(wǎng)絡安全保障等。物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算等新興產業(yè)的發(fā)展都需要海量的IP地址作為支撐，IP地址不足已經嚴重制約著這些處于全球競爭前沿、具有最廣闊前景的新興產業(yè)發(fā)展。隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算等業(yè)務不斷發(fā)展壯大，運營商不停地擴大網(wǎng)絡規(guī)模，這也使IPv4地址枯竭的速度更快了，分配殆盡的IPv4地址已經成為制約我國物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算發(fā)展的瓶頸。

1.2 實施目標

基于互聯(lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)面臨網(wǎng)絡地址消耗殆盡、服務質量難以保證等制約性問題，IPv6能夠提供充足的網(wǎng)絡地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網(wǎng)商業(yè)應用解決方案。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于顯著提升我國互聯(lián)網(wǎng)的承載能力和服務水平，更好融入國際互聯(lián)網(wǎng)，共享全球發(fā)展成果，有力支撐經濟社會發(fā)展，贏得未來發(fā)展主動。

推進IPv6規(guī)模部署是互聯(lián)網(wǎng)技術產業(yè)生態(tài)的一次全面升級，深刻影響著網(wǎng)絡信息技術、產業(yè)、應用的創(chuàng)新和變革。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于提升我國網(wǎng)絡信息技術自主創(chuàng)新能力和產業(yè)高端發(fā)展水平，高效支撐移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新興領域快速發(fā)展，不斷催生新技術新業(yè)態(tài)，促進網(wǎng)絡應用進一步繁榮，打造先進開放的下一代互聯(lián)網(wǎng)技術產業(yè)生態(tài)。

1.3 適用范圍

企業(yè)IPv6升級解決方案針對企業(yè)內部現(xiàn)有網(wǎng)絡及系統(tǒng)情況，提供從內部網(wǎng)絡IPv6升級改造技術路線到企業(yè)系統(tǒng)的IPv6規(guī)劃、升級和部署相關解決方案，以滿足企業(yè)開展IPv6業(yè)務，適用于工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系中工廠控制系統(tǒng)和工業(yè)云平臺IPv6升級演進，可應用到企業(yè)智能網(wǎng)絡IPv6組網(wǎng)、智能機器升級、工廠云平臺IPv6改造升級以及工業(yè)互聯(lián)網(wǎng)應用IPv6業(yè)務等。

1.4 在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系架構中的位置

企業(yè)IPv6升級解決方案針對工廠控制系統(tǒng)，工業(yè)云平臺IPv6的升級，提供相應的改造方案。在智能機器中，物品應具有4個特性：可識別性、可感知性、可定位性以及可控制性。這四個特性使得物聯(lián)網(wǎng)對地址資源具有以下的特殊需求：工業(yè)互聯(lián)網(wǎng)需要地址資源支持海量性，因為工業(yè)互聯(lián)網(wǎng)中存在著海量的物品，這些物品的數(shù)量將以萬億計，而任意的物品之間均可能需要互聯(lián)，互聯(lián)時需要網(wǎng)絡地址用于定位，這些地址也將可能以萬億計；聯(lián)網(wǎng)需要地址資源支持安全性，物聯(lián)網(wǎng)將比互聯(lián)網(wǎng)具有更高的安全需求。 在工業(yè)云體系架構中，隨著虛擬化技術的發(fā)展，一臺物理主機上能夠運行多個虛擬主機，導致云計算所需的IP地址數(shù)量成比例增長，亟需海量的IPv6地址資源。利用主機虛擬化技術，能夠在一臺物理主機上運行多個虛擬主機，并且各個虛擬主機之間相互獨立、互不影響，用戶可以在虛擬主機上靈活的安裝任何軟件。通過在流量進出口的匯聚節(jié)點上部署IPv6/IPv4轉換網(wǎng)關，可以面向IPv6用戶，實現(xiàn)IPv6與IPv4協(xié)議轉換。但在云化數(shù)據(jù)中心中，網(wǎng)絡結構從匯聚變?yōu)楸馄?，流量的進出口數(shù)量不再唯一，需要在數(shù)據(jù)中心所有的流量進出口上都配備IPv6/IPv4轉換網(wǎng)關，這樣使得網(wǎng)絡改造起來較為復雜。另外，轉換網(wǎng)關需要維護處理數(shù)據(jù)中心內外所有業(yè)務的IPv6與IPv4協(xié)議轉換，對其處理性能也提出了更高的要求。

圖1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖

2 需求分析

根據(jù)工信部關于落實貫徹《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》通知，要求發(fā)展工業(yè)互聯(lián)網(wǎng)IPv6應用，選擇典型行業(yè)、重點企業(yè)開展工廠企業(yè)網(wǎng)絡改造，創(chuàng)新工業(yè)互聯(lián)網(wǎng)應用，構建工業(yè)互聯(lián)網(wǎng)IPv6標準體系。在智能機器中，工業(yè)互聯(lián)網(wǎng)需要地址資源支持海量性；在工業(yè)云體系架構中，隨著虛擬化技術的發(fā)展，一臺物理主機上能夠運行多個虛擬主機，導致云計算所需的IP地址數(shù)量成比例增長，亟需海量的IPv6地址資源。2018年3月12日，國資委印發(fā)《關于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應用有關工作的通知》，要求央企在18年完成門戶網(wǎng)站和面向用戶的在線服務窗口的IPv6改造。

IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經提出了許多機制，它們的實現(xiàn)原理和應用環(huán)境各有側重。目前，應用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。

3 解決方案

互聯(lián)網(wǎng)是關系國民經濟和社會發(fā)展的重要基礎設施，深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家，在技術研發(fā)、網(wǎng)絡建設、應用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎和條件。抓住全球網(wǎng)絡信息技術加速創(chuàng)新變革、信息基礎設施快速演進升級的歷史機遇，加強統(tǒng)籌謀劃，加快推進IPv6規(guī)模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡強國建設、加速國家信息化進程、助力經濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。工業(yè)互聯(lián)網(wǎng)作為新一代信息技術與實體經濟深度融合的制高點，以及制造業(yè)轉型升級的主攻方向，成為IPv6網(wǎng)絡化改造的重點應用場景。

3.1 方案介紹

近年來，全球IPv6產業(yè)鏈條發(fā)展穩(wěn)步推進。在網(wǎng)絡上設備方面，已經覆蓋了IPv4產品的所有類型，包括數(shù)據(jù)網(wǎng)、固網(wǎng)、移動交換網(wǎng)、移動核心網(wǎng)及安全等，能夠滿足網(wǎng)絡端到端的部署需求；在應用軟件方面，包括操作系統(tǒng)、Web引擎、數(shù)據(jù)庫、瀏覽器等通用軟件均支持IPv6。根據(jù)工業(yè)互聯(lián)網(wǎng)智能工程系統(tǒng)架構情況，設計相應的IPv6升級方案，可根據(jù)實際情況通過全面技術升級，將涉及到的業(yè)務各類應用系統(tǒng)和設備升級成支持IPv4和IPv6雙協(xié)議棧，完成基于IPv4和IPv6協(xié)議的業(yè)務互通；或通過技術改造，在IPv6協(xié)議和IPv4協(xié)議間建立映射聯(lián)系，滿足IPv6用戶能夠正確的獲取IPv4資源。

3.2 IPv6升級技術

IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經提出了許多機制，它們的實現(xiàn)原理和應用環(huán)境各有側重。目前，應用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。

雙棧策略是指在網(wǎng)絡節(jié)點中同時具有IPv4和IPv6兩個協(xié)議棧，這樣，它既可以接收、處理、收發(fā)IPv4的分組，也可以接收、處理、收發(fā)IPv6的分組。雙棧策略的優(yōu)點是概念清晰，易于理解，網(wǎng)絡規(guī)劃相對簡單，同時在IPv6邏輯網(wǎng)絡中可以充分發(fā)揮IPv6協(xié)議的所有優(yōu)點（如安全性、路由約束、流的支持等方面）。

隧道策略是IPv6升級中經常使用到的一種過渡機制。所謂“隧道”簡單地講就是利用一種協(xié)議來傳輸另一種協(xié)議的數(shù)據(jù)的技術。隧道技術主要實現(xiàn)了在IPv4數(shù)據(jù)包中封裝IPv6數(shù)據(jù)包，隨著IPv6技術的發(fā)展和廣泛應用，未來也將會出現(xiàn)在IPv4數(shù)據(jù)包中封裝IPv6數(shù)據(jù)包的隧道技術。隧道技術能夠充分利用現(xiàn)有的網(wǎng)絡投資，因此在過渡初期是一種方便的選擇。但是，在隧道的入口處會出現(xiàn)負載協(xié)議數(shù)據(jù)包的拆分，在隧道出口處會出現(xiàn)負載協(xié)議數(shù)據(jù)包的重組。這就增加了隧道出入口的實現(xiàn)復雜度，不利于大規(guī)模的應用。

翻譯策略可以分為兩個層面來進行，一方面是IPv4與IPv6協(xié)議層的翻譯，另一方面是IPv4應用與IPv6應用之間的翻譯。前者主要是通過NAT－PT技術實現(xiàn)的，后者則主要通過應用代理網(wǎng)關ALG來實現(xiàn)。NAT－PT實現(xiàn)了網(wǎng)絡層的協(xié)議翻譯；應用代理網(wǎng)關則實現(xiàn)應用層的協(xié)議翻譯，對于不同的應用，需要配置不同的應用代理網(wǎng)關。翻譯技術的優(yōu)點是不需要進行IPv4、IPv6節(jié)點的升級改造，缺點是IPv4節(jié)點訪問IPv6節(jié)點的實現(xiàn)方法比較復雜，網(wǎng)絡設備進行協(xié)議轉換、地址轉換的處理開銷較大。因此，該策略一般是在其他互通方式無法使用的情況下使用。

3.3 企業(yè)IPv6演進

在IPv4向IPv6的演進過程中，為保證業(yè)務平臺的平滑、穩(wěn)定演進，可以采用三種方案：第一種是互通網(wǎng)關方案，保持業(yè)務平臺現(xiàn)有結構不變，通過分別在IPv4和IPv6的網(wǎng)絡邊界部署網(wǎng)關設備，利用IPv4/IPv6翻譯技術接入IPv6用戶；第二種是IPv4和IPv6應用并存方案，業(yè)務平臺中IPv4和IPv6應用并存，使得平臺具備同時支持IPv4和IPv6的功能；第三種是全面升級方案，完成全業(yè)務平臺以及周邊系統(tǒng)IPv6升級，同時要求在IPv4網(wǎng)絡停止運營前,基于IPv4的業(yè)務平臺需要繼續(xù)支持IPv4用戶。

3.3.1 互通網(wǎng)關方案

保持平臺現(xiàn)有結構不變，通過協(xié)議轉換機制（NAT-PT/ALGA）支持IPv6用戶的接入。如下圖所示，通過在IPv4/IPv6網(wǎng)絡邊界部署網(wǎng)關設備，當IPv6終端用戶從IPv6網(wǎng)絡接入，與互通網(wǎng)關建立隧道后，可以使用IPv4網(wǎng)絡中的應用，類似的，當IPv4終端用戶從IPv4網(wǎng)絡接入，與互通網(wǎng)關建立隧道后，可以使用IPv6網(wǎng)絡中的應用。

圖2 基于翻譯技術的IPv6過渡方案

3.3.2 IPv4和IPv6應用并存方案

將業(yè)務平臺升級到IPv6后，IPv4和IPv6應用將并存。如下圖所示，將IPv4業(yè)務平臺的部分應用升級到IPv6，包括對外門戶和接口、核心業(yè)務邏輯，同時為了兼容IPv4用戶以及其它相關系統(tǒng)，保留原有IPv4業(yè)務平臺的對外門戶和接口暫時不變，核心業(yè)務交由IPv6核心業(yè)務邏輯處理。升級完成后，IPv4對外門戶和接口為IPv4用戶提供服務，IPv6對外門戶和接口為IPv6用戶提供服務，核心業(yè)務邏輯升級成IPv6實現(xiàn)共用。

圖3 IPv4和IPv6應用并存的IPv6過渡方案

業(yè)務平臺中IPv4和IPv6應用并存，同時支持IPv4和IPv6用戶的接入。

3.3.3 全面升級方案

一些企業(yè)需要滿足國家政策性要求或者自身發(fā)展需求，需要大量IP地址，對IPv6網(wǎng)絡改造有迫切需求，需要全面升級到IPv6網(wǎng)絡和服務，完成所有業(yè)務平臺和SP應用平臺的IPv6升級改造建設，包括數(shù)據(jù)中心的所有設備、網(wǎng)絡設備、終端系統(tǒng)和應用系統(tǒng)等全面支持IPv6，同時要求在IPv4網(wǎng)絡停止運營前, 基于IPv4的業(yè)務平臺需要繼續(xù)支持IPv4用戶。

3.3.4 方案對比

圖4 方案優(yōu)劣對比

互通網(wǎng)關方案業(yè)務平臺工作量小，無風險，投入小，能快速實施，比較適合IPv6試商用階段；IPv4和IPv6應用并存方案改造部分業(yè)務平臺，為全面實現(xiàn)IPv6打下基礎，工作量中等，風險小，投入中等，比較適合IPv6規(guī)模商用階段；全面升級方案工作量大，風險大，投入大，只有在IPv6全面商用階段才會出現(xiàn)。

4 成功案例

4.1 案例一 國家電網(wǎng)IPv6升級方案

根據(jù)國家電網(wǎng)309家國電系統(tǒng)單位分區(qū)域整合互聯(lián)網(wǎng)出口，增強互聯(lián)網(wǎng)訪問的安全性，消除各分公司、子公司互聯(lián)網(wǎng)出口帶來的安全薄弱點；通過對互聯(lián)網(wǎng)出口整合，實現(xiàn)用戶上網(wǎng)流量統(tǒng)一管理、統(tǒng)一控制，合理、有效、按需分配帶寬，避免帶寬濫用、資源浪費，提升網(wǎng)絡質量；通過對互聯(lián)網(wǎng)出口整合，實現(xiàn)安全事件統(tǒng)一管理，做到事前預防、事中控制、事后追查，避免安全事件重復發(fā)生；并對國家電網(wǎng)100多個系統(tǒng)進行調研，根據(jù)系統(tǒng)架構及中間件情況，根據(jù)國家電網(wǎng)內部系統(tǒng)的架構有針對性的進行IPv6升級方案，考慮到國家電網(wǎng)系統(tǒng)比較復雜，為保證國家電網(wǎng)能完成平滑演進，采取了分步融合方案。具備改造條件的系統(tǒng)采用IPv4和IPv6應用方案，采用邊界升級方案，通過企業(yè)邊界的防火墻等設備實現(xiàn)NAT64等地址轉換，以最低成本實現(xiàn)IPv6的服務訴求。僅需要改造企業(yè)邊界的防火墻、路由器/交換機、日志審計等必要設備即可，通過邊界防火墻實現(xiàn)IPv6到IPv4的NAT64報文轉換，使得進入企業(yè)內部的流量全部轉換成IPv4流量，企業(yè)內部的入侵檢測、WAF、網(wǎng)絡設備、服務器和終端等設備都不需要改造。對于個別雙棧終端需要訪問外部的IPv6資源時，可以通過ISATAP隧道技術實現(xiàn)雙棧終端穿越IPv4網(wǎng)絡，實現(xiàn)IPv6資源的訪問需求。

圖5 國家電網(wǎng)IPv6改造方案

4.2 案例二 中國聯(lián)通企業(yè)官網(wǎng)IPv6升級方案

為了滿足工信部對央企網(wǎng)站IPv6改造的需求，為用戶提供IPv6業(yè)務，對該企業(yè)內部系統(tǒng)進行調研，根據(jù)系統(tǒng)情況，針對不同系統(tǒng)設計相應的IPv6升級方案，并對自己的官網(wǎng)提出了相應的IPV6升級改造要求，并采用互通網(wǎng)關方案。改造的重點在路由、網(wǎng)絡結構和協(xié)議轉換等方面。

圖6 聯(lián)通企業(yè)官網(wǎng)改造方案

路由需要的路徑改造：流量從公網(wǎng)進入資源池核心交換機之后通過靜態(tài)路由到安全等保設備，由于安全等保設備不支持IPv6，于是需要通過添加靜態(tài)路由的方式，把流量引導到直接進入負載均衡上去。在路徑改造之后，為了保證網(wǎng)絡安全，在現(xiàn)有網(wǎng)絡結構上，添加一對防火墻來實現(xiàn)IPv4與IPv6的轉換，位置旁掛于資源池核心交換機或集團門戶匯聚交換機，此方案路由走向需要重新指定，并于防火墻上完成配置。

客戶端以IPv6地址訪問負載均衡（或防火墻）設備的虛地址（IPv6類型）,在負載均衡（或防火墻）設備上做源地址轉換，源地址轉換為SNAT地址池中的IPv4地址后再訪問后端應用服務器。