基于IPv6+的電子政務外網能力提升方法研究

夏國光，吳 欣

（江蘇省大數據管理中心，江蘇 南京 210019）

1 電子政務外網發(fā)展現狀

國家電子政務外網自2002年開始建設，至今已發(fā)展近20年時間，是我國電子政務重要公共基礎設施，服務于各級黨委、人大、政府、政協、法院和檢察院等政務部門，滿足經濟調節(jié)、市場監(jiān)管、社會管理和公共服務等方面的需要。電子政務外網采用分級建設模式，從縱向來看，包括連接上下級部門的廣域骨干網，目前已完成中央、省、市、縣的四級縱向網絡覆蓋，部分地區(qū)已實現網絡到鄉(xiāng)鎮(zhèn)、村的縱向覆蓋；從橫向來看，包括各級城域網以及部委辦局接入局域網。

隨著集約化建設以及專網整合的不斷推進，各部門的業(yè)務專網不斷地向電子政務外網遷移，國家視頻大聯網的發(fā)展趨勢也給電子政務外網的承載提出了更高的要求。電子政務外網除了需要滿足各類業(yè)務專網數據交換的需求，還要滿足有關部門對于業(yè)務隔離的需求，多業(yè)務在電子政務外網混合傳送已是日常狀態(tài)[1]。根據國家《推進互聯網協議第六版（IPv6）規(guī)模部署行動計劃》的相關部署要求，各地區(qū)不斷加快電子政務外網IPv6迭代升級，持續(xù)推動著政務云、政務物聯網等發(fā)展，給未來IPv6+技術的應用提供了平臺基礎。

2 存在主要問題

2.1 業(yè)務上線速度較慢

電子政務外網主要通過IPsec業(yè)務加密的方式進行業(yè)務承載與隔離，設備所采用的路由配置方法為OSPF方式，該方式不支持業(yè)務快速上線，不支持業(yè)務路徑可視及網絡資源的靈活部署，通常一項業(yè)務上線部署需花費一周以上的時間。不同地區(qū)所采用的技術標準并不完全統(tǒng)一，導致出現業(yè)務無法互通的情況。這已經不能適應越來越豐富的政務業(yè)務應用。

2.2 業(yè)務保障能力不足

基于政務外網集約化建設的原則，政務專網整合的進程將會進一步加速，各類辦公網、視頻大聯網以及智慧城市感知網等業(yè)務都將不斷歸攏到電子政務外網當中，業(yè)務的多樣性和差異性將會表現得越來越明顯，且所有政務外網的流量都通過同一張物理網絡承載。然而，目前的電子政務外網只能夠通過各類VPN技術對不同業(yè)務完成簡單的邏輯隔離，無法針對重點業(yè)務完成精準業(yè)務質量保障，現網缺乏業(yè)務質量剛性保障能力。

2.3 技術煩瑣且不易擴展

VPN技術中較為常用的MPLS技術包括了LDP協議和REVP-TE技術，前者LDP協議主要實現了標簽分發(fā)，但是該技術所涉及協議較多，控制面和轉發(fā)面的協議不統(tǒng)一。REVP-TE技術是基于流量工程擴展的資源預留協議，但是該技術需要不斷維護全網每個節(jié)點的鏈路情況，節(jié)點數量一旦較多，信息交互效率將會大大降低，且擴展能力差。

2.4 運維手段及效率不足

當前，電子政務外網整體網絡運維以被動處理故障申告為主，一般都要經過出現問題、影響業(yè)務、故障申告、故障定位、故障處理、業(yè)務恢復這幾個階段，且全程均為人工主導，缺乏主動發(fā)現網絡問題、故障定位與處理的手段和能力，整體故障處理與運維效率偏低。

3 IPv6+相關技術特點

IPv6技術為政務物聯網、網絡安全等帶來了發(fā)展機遇，但IPv6并不是下一代網絡的全部，而是IPv6+技術發(fā)展和應用的起點和平臺。在歷經了網絡可達的Native IP時代、多業(yè)務綜合承載的MPLS時代后，人們迎來了更加自動化、智能化、云網協同的IPv6+時代。IPv6+技術體系通過利用IPv6擴展頭可編程的特性實現了網絡定向能力的提升，主要包含了SRv6、網絡切片、iFIT等技術，這些技術能夠在不同的維度為電子政務外網提供新的能力[2]。

3.1 SDN技術特點

SDN（Software Defined Network，軟件定義網絡）是一種新型的IP網絡創(chuàng)新架構，將網絡資源統(tǒng)一資源池化并集中管理，使得資源隨需而動、應需而變。SDN良好地融合了IPv6+相關技術，為SRv6、iFIT等技術提供了集中控制架構。SDN網絡架構的核心是在網絡中引入一個SDN控制器，實現轉發(fā)控制分離和集中控制，SDN控制器就如同網絡的大腦，可以對所有轉發(fā)設備進行控制。把控制平面集中到SDN控制器后，不需要原先MPLS VPN架構中大量的分布式控制平面所需要的分布式控制協議，網絡架構變得簡單，SDN解決了傳統(tǒng)的分布式算路帶來的網絡流量路徑不能靈活調整、新業(yè)務升級速度慢、網絡協議復雜等問題。

3.2 SRv6技術特點

SRv6（Segment Routing IPv6）是一種基于IPv6和源路由理念而設計的數據包轉發(fā)協議。基于IPv6轉發(fā)面的SRv6，通過在IPv6報文中插入一個路由擴展頭SRH（Segment Routing Header），在SRH中壓入一個顯式的IPv6地址棧，通過中間節(jié)點不斷進行更新目的地址和偏移地址棧的操作來完成轉發(fā)，SRv6路由包如圖1所示。

圖1 SRv6路由包

SRv6技術對IP網絡的控制面和轉發(fā)面協議進行了簡化和統(tǒng)一，采用源路由技術，天然面向SDN架構設計，通過SDN集中式算路，可以實現各種流量工程，根據不同業(yè)務提供按需的SLA保障。另外，SRv6還具備靈活的編程能力，可以基于應用進行網絡編程，能夠實現應用級的網絡SLA保障。SRv6技術可以解決目前電子政務外網中業(yè)務路由手工配置、流量轉發(fā)、設備選路路徑無法做到最優(yōu)等問題。

3.3 iFIT技術特點

iFIT是一種對實際業(yè)務流進行特征標記（染色），并對特征字段進行丟包、時延測量的隨流檢測技術?；陔S流檢測原理，iFIT提供真實業(yè)務流的端到端及逐跳SLA（丟包、流量、時延、抖動等）測量能力，可快速感知網絡性能相關故障，并進行精準定界、排障。在對業(yè)務檢測過程中，iFIT技術將會在Ingress端對被檢測的標記字段進行染色，同時統(tǒng)計周期內的染色報文數量并上報給集中計算單元。同樣的，iFIT技術還將Egress端對周期內對特征業(yè)務流染色報文的數量進行統(tǒng)計并上報給集中計算單元。最后，SDN控制器平臺集中計算單位根據Ingress端和Egress端上報的統(tǒng)計信息判斷業(yè)務的丟包及時延等信息，進而分析得到故障點位。

3.4 網絡切片技術特點

網絡切片技術可以實現在一個物理網絡中，根據用戶的不同需求將網絡通道劃分為若干個差異化的子網絡切片通道，各個切片網絡的管理層、控制層各自獨立，轉發(fā)面采用FlEX-E以及信道化子接口技術，可實現各切片業(yè)務的硬隔離和嚴格的帶寬保證。網絡切片技術良好地適配了電子政務外網多部門、多業(yè)務、多樣化需求的網絡情況，是電子政務外網實現一網多平面、專網整合和分級業(yè)務質量保證目標的重要支撐。

4 IPv6+技術在電子政務外網中的應用

4.1 SDN技術打造集中控制的電子政務外網

通過在電子政務外網統(tǒng)一部署下一代網管SDN控制器，整個電子政務外網的控制功能將得到集中，相應的管理將變得更加智能。SDN控制器具備對整個電子政務外網網絡設備的集中控制、管理以及分析的能力，工程師可通過更為先進的下一代網管實現電子政務外網的大數據智能分析，SDN控制器、網絡管理的統(tǒng)一融合，最終實現數字化智能網絡升級。

基于SDN的電子政務外網具備以下能力：

（1）集中的控制層面：從電子政務外網全局出發(fā)，改變電子政務外網的傳統(tǒng)分布式控制架構，進行整網集中控制與管理，對網絡流量實現靈活、集中、細粒度的控制，實現網絡所見即所得。

（2）管理運維更簡單：通過網絡控制器對整個電子政務外網進行管理控制，實現網絡配置自動化，降低管理復雜度和減少人工操作可能帶來的錯誤，從而減少網絡故障時間。

（3）開放的編程接口：在SDN架構下，應用和網絡無縫集成，通過公開的、開放的編程接口，電子政務外網運維開發(fā)人員可以自行開發(fā)網絡新功能，實現對網絡資源的按需調配和應用創(chuàng)新。

4.2 SRv6技術構建流量靈活的電子政務外網

通過在電子政務外網部署支持SRv6協議的設備并且在服務器中部署SDN控制器功能，即可構建基于SRv6技術的電子政務外網，工程師可通過SDN控制器對網絡中業(yè)務基于SRv6完成路由編排、隧道建立、路徑可視、路徑調優(yōu)等一系列操作[3]?；赟Rv6技術的電子政務外網相關能力包括以下方面。

（1）VPN業(yè)務部署一鍵下發(fā)：電子政務外網部署SRv6支持基于SDN的統(tǒng)一配置能力，改變傳統(tǒng)政務外網MPLS業(yè)務開通需要逐設備逐跳配置的現狀，支持VPN業(yè)務部署一鍵下發(fā)，可以極大地提升業(yè)務部署效率。當電子政務外網上線一項新的業(yè)務時，工程師可直接通過網管進行圖形化操作配置，省時省力。

（2）業(yè)務端到端路徑可視：電子政務外網部署SRv6支持基于源路由+SDN技術的端到端業(yè)務路徑可視，通過建立SRv6虛擬隧道，實現不同業(yè)務之間的邏輯隔離。另外，當網絡中出現故障時，端到端的路徑也可以更方便地進行業(yè)務故障定界定位，提升業(yè)務維護效率。

（3）業(yè)務質量可保障：電子政務外網部署SRv6支持端到端業(yè)務質量可視，并可以根據業(yè)務質量靈活地進行選路調整，提升IP網絡的業(yè)務質量保障能力，保障業(yè)務體驗。如：對于大帶寬的辦公業(yè)務，SDN控制器能夠收集全網拓撲及狀態(tài)，參考多因子實現集中算路并選擇時延最低的路由，從而滿足業(yè)務大帶寬的需求。

4.3 iFIT技術實現故障可定位的電子政務外網

目前，電子政務外網網絡設備數量較大，運維技術人員較為緊缺，對日常的網絡運維提出了較高的要求。隨著網絡的升級和擴容，未來政務外網的運維壓力將會進一步增大，網絡在帶寬、時延、連接靈活性等多方面也將提出更高要求。iFIT智能運維技術可為電子政務外網的網絡運維提供技術管理手段。全局部署攜帶iFIT功能的網絡設備，配合SDN集中控制器可實現故障的定位定界。

當網絡發(fā)生擁塞或延遲時，iFIT能夠針對具體的業(yè)務完成染色及隨流檢測，并計算、定位至具體問題路由，從而有的放矢并修復故障。基于iFIT技術的電子政務外網相關能力包括以下方面。

（1）網絡日常性能監(jiān)控。iFIT技術能夠提供基于IP業(yè)務流級的實時SLA監(jiān)控，掌握電子政務外網實時健康狀況，滿足日常運維監(jiān)控需求。

（2）網絡快速排障、定界能力。該技術對網絡外部故障可提供快速、精準的測量手段，以確定故障位置，如省本級與市級網絡的問題界面將被進一步劃分清楚。該技術對電子政務外網內部故障，逐跳隨流檢測，自動業(yè)務路徑還原，端口和鏈路級精確定位，提供快速排障定界手段，快速定位故障點，對故障進行隔離、修復。

（3）網絡自動化、智能化運維。隨著電子政務外網規(guī)模越來越大，網絡維護也更加復雜，需要推動網絡運維向自動化、智能化轉變。依賴全網實時性能檢測數據，構建大數據智能運維系統(tǒng)，對網絡可能發(fā)生的風險進行提前干預、調整、優(yōu)化，實現自動化、智能化的運維。

（4）該技術對于重大保障業(yè)務的投訴，可進行追溯，支持7×24小時數據記錄，方便歷史問題的溯源。

4.4 切片技術打造業(yè)務剛性隔離的電子政務外網

電子政務外網網絡切片的原動力來源于電子政務外網的多樣化業(yè)務場景，每種場景對于網絡的需求各異，網絡切片能夠為電子政務外網提供“一網多平面”能力，將電子政務外網劃分為多個滿足不同業(yè)務需求的剛性切片專用通道，既可滿足業(yè)務的質量保障，同時可以提供業(yè)務間的安全隔 離[4]。比如：將網絡通過網絡切片劃分為醫(yī)保局、應急廳、公共政務3個平面，醫(yī)保局業(yè)務通過醫(yī)保局平面承載，應急指揮業(yè)務通過應急廳平面承載，其他業(yè)務采用公共政務平面承載。當出現擁塞時，公共政務平面的業(yè)務不會對醫(yī)保局和應急廳平面產生影響。業(yè)務切片能力如圖2所示。

圖2 電子政務外網固網切片能力示意

未來電子政務外網可通過SDN控制器在全網劃分若干個切片以滿足不同的數據傳送需求，如：可根據業(yè)務流量的測算值并預留相應的帶寬，將全網劃分為綜合辦公切片、視頻傳送網切片、重要保障業(yè)務切片等，各類業(yè)務能夠在對應的切片中獲得良好的質量保障以及安全保障。此外，電子政務外網還可以通過SRv6在切片內建立虛擬隧道，滿足切片內業(yè)務的邏輯隔離。網絡切片是電子政務外網加快專網整合、實現一網多平面以及分級業(yè)務質量保證的有效手段。相比傳統(tǒng)的專網建設、物理多平面建設方案，電子政務外網基于網絡切片的一網多平面方案能夠大幅節(jié)省投資并有效保證專網業(yè)務體驗。

5 結語

IPv6+技術體系利用IPv6網絡可編程等特性，同時結合大數據、人工智能等技術實現了業(yè)務的定向質量保障，推動網絡與業(yè)務的相互感知，不斷加快數字化社會從萬物互聯向萬物智聯進化。在電子政務外網當中，IPv6+技術體系在專網整合、業(yè)務保障、智能運維、智慧城市、政務云平臺等方面可提供大有可為的應用和發(fā)揮空間，為每一項業(yè)務提供確定性的網絡能力保障。在未來，IPv6+技術可預見性地迭代傳統(tǒng)MPLS技術發(fā)展路徑，推動國家數字政府、電子政務朝著更加智能、更加定制化的方向邁進，實現跨越式發(fā)展。