蚌埠市政務(wù)外網(wǎng)IPV6改造方案設(shè)計

董超

摘要：隨著政務(wù)部門網(wǎng)絡(luò)系統(tǒng)的建設(shè)和發(fā)展，目前以IPv4技術(shù)為基礎(chǔ)構(gòu)建的網(wǎng)絡(luò)系統(tǒng)逐漸暴露出許多問題和缺點(diǎn)，為滿足下一代“互聯(lián)網(wǎng)+”政務(wù)發(fā)展， 我市電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)加快推進(jìn)IPv6網(wǎng)絡(luò)升級改造。根據(jù)安徽省經(jīng)濟(jì)信息中心印發(fā)的《關(guān)于推進(jìn)國家電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）改造工作的通知》文件要求，市級電子政務(wù)外網(wǎng)IPv6改造應(yīng)全面支持政務(wù)部門IPV6門戶網(wǎng)站部署，本文介紹了我市政務(wù)外網(wǎng)的IPV6改造方案。

關(guān)鍵詞：政務(wù)外網(wǎng);IPV6;雙棧模式

中圖分類號：TP311? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）17-0255-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 建設(shè)目標(biāo)和思路

我市計劃采用IPv4＼IPv6雙棧模式設(shè)計改造方案，實現(xiàn)政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)能夠支撐部門IPV6業(yè)務(wù)部署為目標(biāo)。完成市政務(wù)云數(shù)據(jù)中心互聯(lián)網(wǎng)區(qū)IPv6的改造，IPv6地址分配，核心網(wǎng)絡(luò)設(shè)備開啟雙棧協(xié)議，保證市級政務(wù)門戶網(wǎng)站可以滿足互聯(lián)網(wǎng)上IPv6用戶可以通過DNS6域名訪問市政務(wù)云數(shù)據(jù)中心市政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)部署的業(yè)務(wù)系統(tǒng); 完成IPv6業(yè)務(wù)區(qū)域建設(shè)，包含防火墻、IPS、WAF、IPv6安全運(yùn)維模塊等一整套設(shè)備部署，并對市政務(wù)中心網(wǎng)絡(luò)進(jìn)行IPv6雙棧改造，用戶具備獲取IPv4＼IPv6地址的功能。具體建設(shè)思路如下：

1）網(wǎng)絡(luò)和業(yè)務(wù)調(diào)研，收集政務(wù)網(wǎng)DMZ區(qū)設(shè)備現(xiàn)狀和IPv6支持情況，統(tǒng)計不支持IPv6設(shè)備清單，并收集提供當(dāng)前網(wǎng)絡(luò)的用戶數(shù)量、網(wǎng)絡(luò)峰值流量等業(yè)務(wù)情況;

2）申請IPv6出口資源，使得網(wǎng)絡(luò)出口鏈路支持IPv6;

3）優(yōu)化現(xiàn)有網(wǎng)絡(luò)架構(gòu)，將相關(guān)業(yè)務(wù)進(jìn)行平滑過渡割接。對現(xiàn)有較老舊和不支持IPv6設(shè)備進(jìn)行替換升級，新購設(shè)備按照IPV6標(biāo)準(zhǔn)選型入網(wǎng)。對現(xiàn)有較老舊和不支持IPv6設(shè)備進(jìn)行版本升級，升級后的設(shè)備滿足IPv6標(biāo)準(zhǔn)，升級完成后的網(wǎng)絡(luò)系統(tǒng)完全支持IPv4/IPv6雙棧;

4）現(xiàn)有設(shè)備開啟雙棧，同時承載IPv4和IPv6互聯(lián)網(wǎng)流量，互聯(lián)網(wǎng)出口鏈路進(jìn)行升級改造;

5）IPv6路由設(shè)計、路由策略、流量流向等與IPv4保持一致，業(yè)務(wù)承載方式與IPv4保持一致，雙棧流量對現(xiàn)有的業(yè)務(wù)不產(chǎn)生影響;

實現(xiàn)自動化運(yùn)維IT支撐系統(tǒng)、云管平臺系統(tǒng)等應(yīng)用的需求。

2 建設(shè)原則

1）統(tǒng)籌規(guī)劃原則：在推進(jìn)本次IPv6升級改造過程中，應(yīng)著眼長遠(yuǎn)，統(tǒng)籌規(guī)劃，確保投資的可持續(xù)性和技術(shù)路線的持續(xù)演進(jìn)發(fā)展。

2）平滑過渡原則：在本次改造的過程中，需要保證各項服務(wù)的不間斷性，既支撐IPv6應(yīng)用部署及用戶訪問，又保證IPv4網(wǎng)絡(luò)穩(wěn)定安全運(yùn)行。

3）安全保障原則：從IPv4向IPv6遷移改造需要關(guān)注IPv6引入的安全風(fēng)險，做好相應(yīng)安全防護(hù)策略和安全技術(shù)部署。

4）節(jié)約高效原則：在IPv6改造過程中，應(yīng)充分利用已有各項基礎(chǔ)設(shè)施，保護(hù)現(xiàn)有投資。

3 方案設(shè)計

3.1 整體方案

政務(wù)外網(wǎng)以IPv4網(wǎng)絡(luò)為主，整個網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用還是處于IPv4階段，業(yè)務(wù)采取IPv6逐步改造，因此很長時間內(nèi)處于IPv4/IPv6網(wǎng)絡(luò)共存的階段。針對IPv6實際部署涉及范圍廣和具有技術(shù)復(fù)雜性的特點(diǎn)，在政務(wù)外網(wǎng)DMZ區(qū)IPv4向IPv6網(wǎng)絡(luò)演進(jìn)過程中，采用平滑過渡方式。

1） 針對電子政務(wù)外網(wǎng)全新建設(shè)的網(wǎng)絡(luò)需求，按照IPv4/IPv6雙協(xié)議棧進(jìn)行規(guī)劃和設(shè)計，使建設(shè)完成后的網(wǎng)絡(luò)系統(tǒng)支持IPv4/IPv6雙棧。

2） IPv6地址規(guī)劃，分別為業(yè)務(wù)地址段和網(wǎng)絡(luò)互聯(lián)地址段。在IPv6地址的65-128掩碼長度中標(biāo)定設(shè)備標(biāo)識和業(yè)務(wù)標(biāo)識，部署方式參考IPv4部署模式（vlanif利舊、服務(wù)器網(wǎng)卡利舊）。

3） 網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備采用業(yè)界支持IPv4/IPv6雙棧的主流設(shè)備，能夠同時支持IPv4、IPv6的IP協(xié)議和路由協(xié)議。

4） 服務(wù)器：客戶端、服務(wù)器的硬件和操作系統(tǒng)采用成熟的、能夠支持IPv4/IPv6雙協(xié)議棧的硬件和軟件。

5）重要業(yè)務(wù)系統(tǒng)及應(yīng)用在不影響業(yè)務(wù)系統(tǒng)運(yùn)行的條件通過改造，支持IPv4/IPv6雙協(xié)議棧。

6）對于調(diào)研后可以支持IPv6的現(xiàn)網(wǎng)設(shè)備，通過升級支持IPv4/IPv6雙協(xié)議棧，升級后能夠同時支持IPv4、IPv6路由和路由協(xié)議。針對個別老舊、完全不支持IPv6協(xié)議棧網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)備替換或版本升級，升級為支持IPv4/IPv6雙棧協(xié)議及路由的網(wǎng)絡(luò)設(shè)備。

7） 在IPv4/IPv6網(wǎng)絡(luò)共存的階段，原有IPv4用戶訪問IPv6應(yīng)用，或IPv6用戶訪問IPv4應(yīng)用需要采用翻譯技術(shù)。

8）增加了支持IPv4/IPv6雙棧技術(shù)的自動化運(yùn)維IT支撐系統(tǒng)、云管平臺等新型網(wǎng)絡(luò)平臺系統(tǒng)。

3.2 IPv4/v6雙棧實施

政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)的部署改造點(diǎn)主要包括：互聯(lián)網(wǎng)出口層、負(fù)載均衡設(shè)備、防火墻等安全設(shè)備、WEB防火墻設(shè)備、核心交換機(jī)。

根據(jù)政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)目前設(shè)備支持IPv6的情況和開啟IPv6功能的現(xiàn)狀，結(jié)合方案的思路，具體實施步驟如下：

1）設(shè)備替換和版本升級： IPv6改造前首先對不支持IPv6的設(shè)備進(jìn)行替換和版本升級，采取雙平面分步替換方式，替換過程不影響業(yè)務(wù)中斷。（替換奇平面時將流量切換至偶平面，替換完成后切換回奇平面。偶平面替換步驟相同。）;政務(wù)網(wǎng)絡(luò)出口層升級方案; 互聯(lián)網(wǎng)出口鏈路進(jìn)行升級改造，開啟雙棧實現(xiàn)IPv4和IPv6互聯(lián)網(wǎng)資源訪問; 新增1條IPv6專線，接入負(fù)載均衡設(shè)備，實施IPv6協(xié)議開啟，實現(xiàn)互聯(lián)網(wǎng)路由協(xié)議互通;出口負(fù)載均衡設(shè)備和防火墻、WEB防火墻、IPS等外網(wǎng)安全設(shè)備實施IPv6協(xié)議開啟，實現(xiàn)互聯(lián)網(wǎng)路由協(xié)議互通; IPv6網(wǎng)絡(luò)安全部署實施。

2）政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)核心層升級改造方案：全網(wǎng)核心設(shè)備開啟雙棧，啟用IGP協(xié)議;IPv6相關(guān)路由策略與IPv4保持一致;IPv6網(wǎng)絡(luò)安全部署實施;IPv6相關(guān)DHCP等功能部署實施。

3）政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)匯聚層及接入層升級改造方案：全網(wǎng)匯聚及接入設(shè)備開啟雙棧，啟用IGP協(xié)議;IPv6相關(guān)路由策略與IPv4保持一致;IPv6網(wǎng)絡(luò)安全部署實施;IPv6相關(guān)DHCP、DNS功能部署實施;IPv6安全防護(hù);針對IPv6業(yè)務(wù)部署安全防護(hù)（設(shè)備登錄防護(hù)ACL、CPU防護(hù)、攻擊防護(hù)策略）加強(qiáng)IPv6網(wǎng)絡(luò)的健壯性。

3.3 核心設(shè)備部署

核心交換機(jī)要求支持并開啟雙棧，運(yùn)行IPv4/IPv6功能，為用戶同時分配IPv4地址和IPv6地址，提供IPv4/IPv6雙棧接入能力，同時承載IPv4和IPv6業(yè)務(wù)流量。對于不支持IPv6的設(shè)備，應(yīng)逐步替換設(shè)備，割接業(yè)務(wù);對軟件版本未支持IPv6的，應(yīng)先通過軟件升級支持IPv6;對已支持IPv6的設(shè)備，應(yīng)啟動IPv6功能。 用戶側(cè)基于現(xiàn)有模式提供雙棧接入。對于支持IPv6的終端，終端分配IPv4公有地址和IPv6地址;對于不支持IPv6的終端，終端只分配IPv4公有地址。 核心交換機(jī)配置內(nèi)容包括基本配置和路由協(xié)議配置兩個方面。

1） 基本配置：全局模型下開啟IPv6協(xié)議棧，同時運(yùn)行IPv4/IPv6功能;配置設(shè)備LOOPBACK接口的IPv6地址;上行三層接口開啟IPv6，并配置IPv6地址;下行三層接口開啟IPv6功能支持DHCPv6;配置IPv4地址、IPv6地址以及IPv6 PD前綴池;運(yùn)行DHCP/DHCPv6，為用戶分配IPv4地址和IPv6地址。

2）路由協(xié)議配置：全局運(yùn)行IGP路由協(xié)議， 在設(shè)備的LOOPBACK接口以及三層上連接口啟用OSPFv3;原來運(yùn)行ISIS協(xié)議的設(shè)備，同時運(yùn)行ISIS/ISISv6，開啟多拓?fù)涔δ?配置BGP路由協(xié)議，與兩臺政務(wù)外網(wǎng)核心之間建立iBGP4+鄰居關(guān)系，與核心路由器設(shè)備之間運(yùn)行iBGP4+，交互IPv4和IPv6用戶路由信息。

3）電子政務(wù)IPv6地址規(guī)劃。用戶地址選擇：考慮到統(tǒng)一地址規(guī)劃，提高可管理性，建議使用GUA，需要在邊界路由器對這些路由進(jìn)行過濾;設(shè)備互聯(lián)地址選擇：僅應(yīng)用于兩個設(shè)備之間的鏈路（Point-to-PointLink）;使用/64-prefix，RFC4291、RFC5375 、RFC3627等多個RFC均作為推薦首選局域網(wǎng)前綴長度選擇（PrefixLength），推薦使用/64前綴長度;管理地址：使用loopback/128前綴長度。

4）IPv6地址分配。主機(jī)地址可使用靜態(tài)配置或自動配置，靜態(tài)配置類似于IPv4，主機(jī)地址、掩碼、域名系統(tǒng)（DNS）服務(wù)器和缺省網(wǎng)關(guān)址通過人工方式定義，自動配置為無狀態(tài)DHCPv6主機(jī)使用SLAAC獲取地址前綴和默認(rèn)網(wǎng)關(guān)，通過DHCPv6來獲取其它參數(shù)，如DNS服務(wù)器、TFTP服務(wù)器、WINS等。基于狀態(tài)的DHCPv6—主機(jī)使用DHCP獲取IPv6地址。主機(jī)與DHCPv6服務(wù)器不在相同網(wǎng)絡(luò)時，需要在網(wǎng)關(guān)處部署DHCPv6 Relay。

5）VLAN劃分：在雙棧場景下，IPv6與IPv4共用相同的VLAN劃分，由于IPv6是網(wǎng)絡(luò)層協(xié)議，對VLAN的規(guī)劃可以使用與原有IPv4VLAN相同的規(guī)劃，建議盡量保持IPv4與IPv6使用相同的VLAN規(guī)劃。

3.4 IPv6安全管理改造方案

為應(yīng)對 IPv6 全面改造及 IPv4到IPv6 過渡期間面臨的各類安全風(fēng)險，構(gòu)建積極的安全防御體系，按照“安全三同步”原則，將安全防護(hù)措施貫穿于 IPv6 規(guī)劃、建設(shè)、運(yùn)行階段， 并分層實現(xiàn)協(xié)議安全、安全設(shè)備、業(yè)務(wù)安全和安全管理，在每個安全層采用多種管控技術(shù)手段，實現(xiàn)全流程端到端安全。

結(jié)束語：本次蚌埠市政務(wù)外網(wǎng)IPv6改造工程最大化利用現(xiàn)有設(shè)備，盡可能減少對現(xiàn)有系統(tǒng)的改動，保證業(yè)務(wù)連續(xù)性，保障安全性， 新增設(shè)備與原網(wǎng)絡(luò)設(shè)備無縫對接并統(tǒng)一納管，同時IPv4/IPv6雙棧升級改造不影響原有安全防護(hù)體系，不影響互聯(lián)網(wǎng)用戶原有訪問使用體驗。

參考文獻(xiàn)：

[1] 楊灝.淺析電子政務(wù)外網(wǎng)中的IPv6升級改造[J].中國信息化，2020（4）：79-80.

[2] 姚娟，聞琛陽.門戶網(wǎng)站IPv6改造的技術(shù)路線選擇[J].通信電源技術(shù)，2019，36（2）：197-198.

[3] 陳吉寧.廣西電子政務(wù)外網(wǎng)IPv6網(wǎng)絡(luò)平臺設(shè)計[J].廣西科學(xué)院學(xué)報，2014，30（1）：21-23，31.

[4] 何黎明，梅洪.省級電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)區(qū)IPv6改造研究[J].江西通信科技，2019（1）：4-7.

[5] 錢福利.淺析IPv6網(wǎng)絡(luò)的安全風(fēng)險與應(yīng)對措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（7）：25-26.

【通聯(lián)編輯：梁書】