負載均衡實現(xiàn)門戶網(wǎng)站雙棧訪問研究

宮帥 李彬 柴吳軍

摘 ? 要：為貫徹落實中共中央辦公廳、國務院辦公廳《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》有關部署，切實做好中央企業(yè)部署應用IPv6有關工作，國家電網(wǎng)有限公司（以下簡稱“國網(wǎng)公司”）根據(jù)國資委文件要求，積極開展門戶網(wǎng)站和面向公眾的在線服務窗口IPv6改造工作。文章以國網(wǎng)公司下屬某省級公司信息網(wǎng)絡為例，探討在不改變現(xiàn)有網(wǎng)絡結構的基礎上，以應用負載均衡設備實現(xiàn)門戶網(wǎng)站IPv6/IPv4協(xié)議的雙棧訪問。

關鍵詞：互聯(lián)網(wǎng)協(xié)議第6版;雙棧;門戶網(wǎng)站;應用負載均衡

國網(wǎng)公司數(shù)據(jù)通信網(wǎng)基于互聯(lián)網(wǎng)協(xié)議第4版（Internet Protocol Version 4，IPv4）技術，互聯(lián)網(wǎng)協(xié)議（Internet Protocol，IP）地址不足問題已經(jīng)顯現(xiàn)，部分發(fā)達下屬省公司中IPv4地址已經(jīng)枯竭，新增系統(tǒng)和新建節(jié)點多采用地址轉換方式，應用私網(wǎng)地址緩解地址資源不足問題。這種解決方式將增加網(wǎng)絡管理復雜性、降低網(wǎng)絡綜合性能，小規(guī)模部分補充使用時這些問題尚能接受，一旦大規(guī)模應用，將嚴重影響網(wǎng)絡管理的效率和性能，危害通信安全，因此，不具有規(guī)模應用可能。國網(wǎng)公司開展門戶網(wǎng)站和面向公眾的在線服務窗口互聯(lián)網(wǎng)協(xié)議第6版（Internet Protocol Version 6，IPv6）改造工作，符合國家主管部門要求，符合國網(wǎng)公司網(wǎng)絡發(fā)展實際需要，符合國內(nèi)外網(wǎng)絡技術發(fā)展趨勢，對國網(wǎng)公司未來信息化發(fā)展具有重要意義[1]。

1 ? ?網(wǎng)絡現(xiàn)狀

1.1 ?網(wǎng)絡拓撲

某省電力公司信息外網(wǎng)出口網(wǎng)絡拓撲如圖1所示，某省公司（以下簡稱公司）信息外網(wǎng)按其功能劃分為網(wǎng)絡出口區(qū)、用戶終端區(qū)、服務器區(qū)等3大區(qū)域。網(wǎng)絡出口區(qū)是作為整個網(wǎng)絡出口區(qū)域，通過在出口部署兩臺Radware負載均衡設備實現(xiàn)多運營商、多鏈路的流量負載與冗余。出口防火墻及UTM設備承擔整體網(wǎng)絡的安全防護作用，通過配置安全策略實現(xiàn)互聯(lián)網(wǎng)對公司內(nèi)網(wǎng)網(wǎng)絡的安全訪問。用戶終端區(qū)網(wǎng)絡作為公司辦公終端的接入網(wǎng)絡，通過部署行為管理和郵件阻斷設備，實現(xiàn)對用戶終端的訪問行為和業(yè)務帶寬進行安全控制。服務器區(qū)網(wǎng)絡主要承載公司外網(wǎng)所有業(yè)務系統(tǒng)，通過在出口處部署Web應用防護系統(tǒng)（Web Application Firewall，WAF）設備，實現(xiàn)對Web應用的安全防護。

整體網(wǎng)絡以兩臺華為S7706交換機作為匯聚點，各網(wǎng)絡區(qū)域分別與匯聚點互聯(lián)，實現(xiàn)區(qū)域之間的業(yè)務互訪。兩臺匯聚點交換機與兩臺出口匯聚交換機、兩臺用戶區(qū)核心交換機、兩臺服務器核心交換機之間運行OSPF V2，通過修改各鏈路COST值，實現(xiàn)主備路徑選擇。

1.2 ?系統(tǒng)拓撲

外網(wǎng)網(wǎng)站應用服務器采用多節(jié)點部署，通過業(yè)務負載均衡對外提供服務。兩臺負載均衡設備主備部署分別旁掛在服務器區(qū)接入交換機上。應用服務器同時接入服務器區(qū)接入交換機上。用戶訪問通過主機名訪問外網(wǎng)網(wǎng)站系統(tǒng)，直接訪問負載均衡地址，負載均衡地址收到請求后，根據(jù)負載均衡算法選擇應用服務器。將數(shù)據(jù)請求進行源地址轉換后，發(fā)送至應用服務器。應用服務器響應請求，并返回數(shù)據(jù)至負載均衡。負載均衡返回數(shù)據(jù)給用戶[2]。

1.3 ?DNS解析

互聯(lián)網(wǎng)IPv4用戶向本地域名系統(tǒng)（Domain Name System，DNS）域名服務器發(fā)起針對公司外網(wǎng)網(wǎng)站的域名解析請求，本地域名服務器無相關記錄，向國網(wǎng)公司根域名服務器發(fā)起請求;根域名服務器根據(jù)本地NS記錄，向授權的公司二級域名服務器發(fā)起請求;公司域名服務器根據(jù)本地A記錄，返回域名對應IPv4地址[3]。

2 ? ?改造思路

根據(jù)現(xiàn)有技術特點分析，共有4種方式可以實現(xiàn)門戶網(wǎng)站的雙棧訪問，具體如下：

（1）外網(wǎng)出口設備地址轉換。在外網(wǎng)出口網(wǎng)絡地址轉換（Network Address Translation，NAT）設備上啟用IPv4與IPv6地址轉換技術，在NAT設備配置內(nèi)部IPv4地址與公網(wǎng)IPv6地址的映射關系，網(wǎng)絡內(nèi)部仍然采用IPv4部署模式。外部用戶可通過公網(wǎng)IPv6地址訪問公司業(yè)務，在NAT設備將訪問業(yè)務系統(tǒng)的IPv6報文轉換為IPv4報文。網(wǎng)絡中只需在出口NAT設備支持雙棧協(xié)議即可，其他網(wǎng)絡設備、安全設備及業(yè)務系統(tǒng)無需調(diào)整。

（2）應用負載均衡設備地址轉換。網(wǎng)絡出口、核心、匯聚等網(wǎng)絡及安全設備均運行雙棧協(xié)議，在應用負載均衡上為需要實現(xiàn)IPv6部署的業(yè)務系統(tǒng)新增IPv6地址。用戶IPv4和IPv6訪問請求均先訪問負載均衡設備，由負載均衡設備將訪問請求轉換為內(nèi)部IPv4訪問請求。負載均衡以下均運行IPv4，無需對業(yè)務系統(tǒng)進行調(diào)整，負載均衡以上運行雙棧協(xié)議。該方案需對外網(wǎng)DNS進行調(diào)整，保證公網(wǎng)用戶請求DNS服務器時可返回解析后的IPv6地址。

（3）新建IPv6網(wǎng)絡專區(qū)。原IPv4網(wǎng)絡架構不變，在出口防火墻下新建IPv6區(qū)域，新增獨立的核心、匯聚、接入、負載均衡等支持雙棧協(xié)議設備，將需要改造的業(yè)務系統(tǒng)遷移至該區(qū)域。

（4）全外網(wǎng)區(qū)域改造。網(wǎng)絡出口、核心、匯聚等網(wǎng)絡設備及安全設備均運行IPv6/IPv4雙棧協(xié)議，負載均衡進行IPv6地址的虛地址和實地址映射，業(yè)務及DNS系統(tǒng)兩套部署，支持IPv6和IPv4協(xié)議各一套[4]。

根據(jù)網(wǎng)絡現(xiàn)狀，結合現(xiàn)有資源情況，某省公司計劃采用方式二進行外網(wǎng)門戶網(wǎng)絡的IPv6改造。改造后的某省電力公司信息外網(wǎng)出口網(wǎng)絡拓撲如圖2所示。

3 ? ?設計方案

3.1 ?總體架構

從運營商引入IPv6出口，增加網(wǎng)站域名對應IPv6地址的域名解析。IPv6改造深入至業(yè)務邊界，在業(yè)務負載均衡上配置IPv6虛地址（站點本地地址），在NAT設備上進行IPv6虛地址與IPv6實地址（全局單播地址）的一對一映射，在業(yè)務負載均衡上同時監(jiān)聽IPv4和IPv6的端口訪問請求，通過業(yè)務負載均衡將IPv6訪問請求轉換為IPv4訪問請求，發(fā)送給對應的業(yè)務系統(tǒng)。業(yè)務負載均衡設備及以上的網(wǎng)絡運行IPv6和IPv4雙棧，業(yè)務負載均衡設備及以下運行僅IPv4地址。

3.2 ?拓撲設計

本方案設計無需改動公司現(xiàn)有外網(wǎng)網(wǎng)絡架構，在原有網(wǎng)絡架構的基礎上完成以下工作：

（1）申請運營商IPv6接入及相應IPv6地址。

（2）申請外網(wǎng)網(wǎng)站對應IPv6域名。

（3）出口鏈路負載均衡、出口匯聚交換機、出口防火墻、UTM、外網(wǎng)匯聚點、WAF、服務器區(qū)防火墻、服務器區(qū)核心交換機、業(yè)務負載均衡等設備配置IPv4/IPv6雙棧協(xié)議。

（4）出口匯聚交換機、外網(wǎng)匯聚點、服務器區(qū)防火墻部署OSPF V3動態(tài)路由協(xié)議。

3.3 ?系統(tǒng)設計

在應用負載均衡啟用IPv4/IPv6雙棧協(xié)議，新增外網(wǎng)網(wǎng)站IPv6 VS，同時，關聯(lián)原IPv4 Pool。IPv6用戶請求IPv6 DNS系統(tǒng)，查詢對應的IPv6地址。IPv6 DNS根據(jù)記錄響應用戶請求，并返回對應負載均衡IPv6地址。用戶主機直接訪問負載均衡 IPv6地址，負載均衡地址收到請求后，進行IPv6-IPv4轉換，發(fā)送IPv4數(shù)據(jù)包至應用服務器。應用服務器響應請求，并返回數(shù)據(jù)至負載均衡。負載均衡返回數(shù)據(jù)給用戶。

IPv4用戶請求IPv4 DNS系統(tǒng)，查詢對應的IPv4地址。IPv4 DNS根據(jù)記錄響應用戶請求，并返回對應負載均衡 IPv4地址。用戶主機直接訪問負載均衡IPv4地址，負載均衡地址收到請求后，進行源地址轉換，發(fā)送IPv4數(shù)據(jù)包至應用服務器;應用服務器響應請求，并返回數(shù)據(jù)至負載均衡;負載均衡返回數(shù)據(jù)給用戶。

3.4 ?路由規(guī)劃

外網(wǎng)出口負載均衡設備與運營商設備運行IPv6靜態(tài)路由協(xié)議，實現(xiàn)路由交互。內(nèi)部網(wǎng)絡為保證其可靠性，規(guī)劃兩臺出口匯聚交換機、兩臺匯聚點交換機、兩臺服務器區(qū)防火墻板卡之間運行OSPF V3動態(tài)路由協(xié)議，通過修改各鏈路COST值，實現(xiàn)主備路徑選擇。

3.5 ?地址規(guī)劃

公司辦公外網(wǎng)出口采用IPv6靜態(tài)路由協(xié)議與運營商網(wǎng)絡對接，按照國網(wǎng)公司IPv6地址整體規(guī)劃，內(nèi)部資源分為設備管理及互聯(lián)、業(yè)務、辦公等地址網(wǎng)段。其中，網(wǎng)段2405：6F00：E01A：：/49為設備管理及互聯(lián)，網(wǎng)段2405：6F00：E61A：：/49為業(yè)務，網(wǎng)段2405：6F00：E69A：：/49為辦公，某省電力公司外網(wǎng)IPv6地址規(guī)劃如表1所示。

4 ? ?結語

國網(wǎng)公司下屬某省電力公司深入貫徹落實中辦、國辦印發(fā)的《推薦互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》要求，按照國資委具體工作部署，結合自身網(wǎng)絡現(xiàn)狀，開展外網(wǎng)門戶網(wǎng)站IPv6改造工作。在不改變現(xiàn)有網(wǎng)絡結構的基礎上，以應用負載均衡設備實現(xiàn)門戶網(wǎng)站IPv6/IPv4協(xié)議的雙棧訪問。此次工作不但充分利用現(xiàn)有設備降低整體費用，同時，為后續(xù)其他系統(tǒng)IPv6改造提供了寶貴的經(jīng)驗。

[參考文獻]

[1]伍孝金.IPv6技術與應用[M].北京：清華大學出版社，2010.

[2]JOSEPH D.深入解析IPv6[M].3版.北京：人民郵電出版社，2016.

[3]張東亮，李淵，任黎科.IPv6技術[M].北京：清華大學出版社，2010.

[4]沈鑫剡，伍紅兵，俞海英，等.IPv4網(wǎng)絡和IPv6網(wǎng)絡互聯(lián)技術[J].中國新通信，2008（5）：29-33.