ipv6改造方案分析

基于IPv4的互聯網面臨網絡地址消耗殆盡、服務質量難以保證等問題，IPv6能夠提供充足的網絡地址和廣闊的創新空間，是全球公認的下一代互聯網商業應用解決方案。2017年11月，中共中央辦公廳、國務院辦公廳印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》，明確提出我國IPv6規模部署的總體要求、重點任務和實施步驟。

工信部于2018年4月印發關于貫徹落實《推進互聯網協議第六版（IPv6）規模部署行動計劃》的通知，并于2019年開展IPv6網絡就緒專項行動，對LTE網絡和固定網絡基礎設施、終端設備、應用基礎設施等提出工作要求。

人民銀行、銀保監會和證監會于2018年12月聯合印發《關于金融行業貫徹落實<推進互聯網協議第六版（IPv6）規范部署行動計劃>的實施意見》，要求金融機構加快推進基于IPv6的下一代互聯網在金融行業規模部署，促進互聯網演進升級與金融領域的融合創新。

IPv6原理簡析 

IETF于1990年開始規劃IPv4的下一代協議，并在1994年正式提議IPv6發展計劃，該計劃在1996年8月10日成為IETF的草案標準。1998年12月，IPv6被IETF正式推出，即互聯網標準規范RFC2460。IPv6地址長度為128位，在一定程度上增加了開銷，但巨大的地址空間在地址分配上具備更多的靈活性，可以解決IPv4網絡地址資源數量不足的問題。與IPv4相比，IPv6具備地址空間更大。二是頭部格式更為簡化，同時取消校驗和字段，以減少路由器中的分組處理時間。三是對任選項支持靈活，并且增加了流標簽字段來識別某些對QoS有一定要求的分組流。在安全性方面，支持內置的認證和機密性。四是IPv6支持長度超過64K字節的載荷，從而支持更大的分組，并且路由器僅在源端分段，不執行分組分段。當一個分組需要被分段時，源端可以檢查路徑上的最小MTU，執行必要的分段。

IPv6改造的難點

一是協議兼容性。IPv4與IPv6在報文頭格式、地址格式、協議棧存在較大差異，兩者地址無法兼容，在推進IPv6改造過程中，不能直接實現協議的升級換代，必須通過中間過渡的技術方案。

二是地址規劃。IPv6規模部署后需申請專用IPv6地址段，由于地址規模較大，既要保證規劃要與當前IPv4網絡設計吻合，降低風險，又要考慮業務類型增加和用戶數增長，合理的預留地址空間，同時更要考慮地址使用的安全性。

三是網絡架構。由于協議不能兼容，在設計網絡架構時，要保證現有IPv4應用的正常使用，又要保證網絡的可擴展性、穩定性和可擴展性，必須支持IPv4與IPv6網絡的平滑過渡。

四是安全性。當前金融機構在IPv4網絡下一般都建立了較為完整的安全防護體系，但IPv6相關軟硬件仍處應用初期，尚不具備較為完善的安全機制，例如IPv6地址標識較為復雜，流量清洗、入侵檢測等基于網絡地址標識解析的傳統手段將面臨挑戰，同時IPv6的新特性也可能帶來擴展頭攻擊等新型安全風險。

五是實施復雜。網絡層面，要考慮現有路由器、交換機、防火墻、負載均衡等網絡設備對IPv6的支持程度，以及相應的軟硬件升級或更換；應用層面，要考慮操作系統、數據庫、web中間件等軟件基礎設施對IPv6的支持程度；代碼層面，在開發或改造時需要對報文格式、api調用、字段長度等進行重點考慮。

IPv6改造技術方案

IPv4向IPv6升級演進是一個長期過程，IPv4和IPv6將長期共存，目前通常采用隧道、地址協議轉換、雙棧等技術方案實現IPv4向IPv6的過渡，保障IPv4和IPv6網絡間的相互通信。

1.隧道技術

在隧道機制中，IPv6數據包被封裝在IPv4數據包中，實現IPv6數據包在IPv4網絡中傳輸。此種方式適用于孤立的IPv6網絡之間，通過IPv4網絡進行通信，沿途經過的網絡設備不需要改造。

2.地址轉換/協議轉換

通過修改協議報文頭等方式，實現IPv4和IPv6的網絡地址轉換和協議轉換，使IPv4和IPv6網絡能夠互訪。此種方式可僅針對IPv6和IPv4邊界網絡設備進行改造，或在邊界網絡部署專用的轉換設備，改造難度相對較小。

目前常用的IPV6/IPV4轉換技術為NAT64，可實現TCP、UDP、ICMP協議下的IPv6與IPv4網絡地址和協議轉換。NAT64一般只支持IPv6網絡側用戶發起連接訪問IPv4側網絡資源，但也支持通過手工配置靜態映射關系，實現IPv4網絡主動發起連接訪問IPv6網絡。NAT64通常與DNS64協同工作，DNS64將DNS查詢信息中的A記錄（IPv4地址）合成到AAAA記錄（IPv6地址）中，返回合成的AAAA記錄用戶給IPv6側用戶。

在實現NAT64時，通常會部署NAT64網關，分別連接到IPv4網絡與IPv6網絡的網關，并維護IPv6到IPv4的地址映射。IPv6網絡的流量經由網關路由，其對兩個網絡之間傳送的分組進行所有必要的翻譯。地址映射方式主要分為靜態與動態兩種，靜態映射需要提前完成一對一轉換，并且需要手工維護地址轉換表。在動態映射中，NAT64網關收到IPv6報文后，使用地址轉換算法提取IPv6報文目的地址中的IPv4地址，根據策略配置的映射關系，動態的從IPv4地址池中選取一個地址做內網報文的源地址，最終在將IPv6報文轉換為IPv4報文后進行轉發。

3.雙棧

雙棧技術是指在網絡層及應用層全部軟硬件設備進行整體改造，同時支持IPv4和IPv6兩個協議棧，能夠同時處理IPv4和IPv6數據包，應用服務器既能與支持IPv4協議的客戶端通信，又能與支持IPv6協議的客戶端通信，真正實現同時支持IPv6/IPv4訪問，是改造最為徹底的方案。

IPv6改造技術路徑探討

根據一行兩會文件要求，到2019年底，金融服務機構門戶網站支持IPv6連接訪問；到2020年底，面向公眾服務的互聯網應用系統支持IPv6連接訪問；自2021年起，持續推進IPv6規模部署。

1.在網絡層面及網絡邊界處進行改造

在互聯網出口進行雙棧改造和部署NAT64，改造工作量相對較小，能快速提供IPv6服務，降低對現有業務的影響。

首先，在互聯網接入區出口進行翻譯轉換，互聯網接入區保持IPv4網絡不變，在出口新增NAT64設備或通過域名服務商完成IPv6到IPv4的轉換。

其次，互聯網接入區內部設備完成翻譯轉換，利用互聯網接入區防火墻等網絡安全設備完成IPv6到IPv4的轉換，內部Web服務器不需進行改造，仍為IPv4網絡。

第三，互聯網接入區新建IPv6接入區和DMZ區，IPv6接入區為單棧，新建DMZ區部署雙棧，IPv4和IPv6用戶分別使用不同的區域接入。

2.應用層面改造

互聯網系統普遍為WEB、APP、DB三層結構部署，除網絡層面外，可在應用層面進行更進一步的雙棧改造。

首先對Web服務器前端進行雙棧改造，應用服務器和數據庫保持IPv4部署，Web服務器通過IPv4與應用服務器和數據庫進行通信，此時需對網絡、安全設備及DNS服務器雙棧改造，添加AAAA記錄，提供IPv4/IPv6DNS解析服務。

其次對Web服務器、應用服務器、數據庫全部進行雙棧改造，Web服務器、應用服務器、數據庫間IPv4/IPv6雙棧通信。服務器操作系統對IPv6的支持度主要包括是否安裝IPv6協議棧、是否支持DHCPv6等，目前主流操作系統均支持IPv6。主流的Web中間件和數據庫也支持IPv6，但需升級版本，根據下一代國家互聯網工程中心的報告，部分web服務器軟件和數據庫對IPv6的支持度如下表。

                                                  表?部分 web 服務器軟件和數據庫對 IPv6 的支持度

結語

IPv6改造是一項復雜的系統性工程，改造后的穩定性還有待后續經過較長時間的驗證，相關運維經驗還需要較長時間的積累。金融機構應按照一行兩會實施意見的要求，堅持“一個前提，兩個結合”三項基本原則，穩中求進，加強人員培訓，積累IPv6改造和運維經驗，推動IPv6改造工作，最終全面實現IPv6環境建設。