政務外網IPv6部署演進

文 / 金夢然 周豪

IPv6是互聯網升級演進的必然趨勢、是網絡技術創新的重要方向、是網絡強國建設的基礎支撐。“十四五”時期，我國將加快數字化發展，大力推進數字政府建設。為貫徹落實黨中央決策部署，有效應對數字時代的業務挑戰，需要加快政務外網向IPv6演進。本文旨在通過對政務外網建設思路和演進路徑分析研究，為地方政務外網IPv6發展改造提供參考。

政務外網發展現狀

目前，全國政務外網接入部門達40余萬家，接入終端數達600余萬臺，承載應用包括公共服務、政務內部業務和基礎服務等。全國一體化政務服務平臺、全國信用信息共享交換平臺、投資項目在線審批監管平臺等重要跨部門應用均依托政務外網部署運行。如圖1所示，國家電子政務外網由網絡平臺和部門電子政務外網構成，平臺分為中央、省、市、縣四級。網絡平臺分為公用網絡區和互聯網接入區。公用網絡區提供跨部門業務互通功能；互聯網接入區向互聯網用戶提供服務。

圖1 電子政務外網基礎網絡架構

政務外網面臨業務挑戰

IPv4地址不足，制約政務業務發展

國家信息中心于2015年申請了64個B類IPv4公有地址，用于政務外網建設，劃分網段后，地址空間利用率為30%左右，每個部門平均可使用的全局IP地址小于4個，IP地址量嚴重制約信息系統建設和數據共享，影響政務業務持續創新。

網絡運營管理難度大

IPv4地址長度有限，可讀性差，不能進行直觀管理，致使管理難度加大；由于IPv4地址有限，出現私有地址采用，導致用戶級管理難以實現；網絡故障定位復雜度高，網絡負載調整不便；帶寬利用率低，影響業務體驗并提高成本；基于IPv4的政務外網，缺乏對業務的差異化保障能力，工作量大且容易出錯。

網絡安全防護難度增大

首先是私有地址重復，安全監測和溯源難度大。對于政務公共業務，政務部門經過NAT（網絡地址轉換）后進入政務外網，或者各省流量經過NAT后進入中央級政務外網，由于多個用戶共用一個IP地址，當安全監測平臺監測到攻擊后，并不能精準定位到具體主機進行取證。其次，公網地址錯誤私用，存在數據泄漏風險。當IPv4地址不足時，有些地方可能會把其他組織已申請但未啟用或非私網的IP地址作為私有地址使用，一旦這些地址后續在公網重新啟用，由于內網已經使用該地址，將導致內網用戶根據私網路由無法正常訪問公網啟用的相應服務。

IPv6產業加速升級

IPv6發展現狀

全球IPv6發展呈加速態勢，產業鏈已經基本成熟。

在操作系統層面，移動終端、固定終端和信創終端都支持IPv6，如表1所示。當業務服務器具有雙棧地址時優選IPv6，若IPv6地址不可達，根據《IPv6演進路線圖和實施技術指南——政務外網》的要求，可以切換到IPv4，通過IPv4/IPv6翻譯技術實現IPv4/IPv6雙向互訪，逐步過渡到IPv6單棧技術。

表1 主流操作系統IPv6支持情況

在網絡/安全設備層面，主流路由器、交換機已支持IPv6，安全產品已具備基本IPv6防護能力、檢測能力、審計能力和大數據分析能力，滿足基本商用部署需求，如表2所示。

表2 主流網絡/安全設備IPv6支持情況

在應用軟件層面，根據官方數據整理得出，當前主流的數據庫、中間件、程序開發軟件和辦公軟件已具備了IPv6基礎支撐能力。

在云平臺層面，主流云平臺已具備IPv6服務能力。

綜上可知，主流的操作系統、網絡/安全設備、應用軟件、云平臺已經具備IPv6能力，行業基礎信息化設施已經具備向IPv6演進的條件。

“IPv6+”產業現狀

“IPv6+”是基于IPv6下一代互聯網的升級，如圖2所示，包含兩方面：一是由萬物互聯向萬物智聯的升級，二是由消費互聯網向產業互聯網的升級。

圖2 IP網絡代際規劃

“IPv6+”包括：一是以SRv6分段路由、網絡編程、網絡切片、確定性轉發、隨流檢測等為代表的網絡技術體系的創新；二是以實時健康感知、網絡故障主動發現、故障快速識別、網絡智能自愈等為代表的智能運維體系的創新；三是以5GtoB、云間互聯、用戶上云等為代表的網絡商業模式的創新。目前，我國已逐步邁入“IPv6+”商用部署階段。多個運營商及行業用戶已相繼進行了部署。在數字政府領域，國內不少省市積極采用先進的“IPv6+”建網理念和網絡架構來建設新一代電子政務外網。

政務外網IPv6應用實踐

中央級政務外網IPv6雙棧改造與部門應用試點

截至2020年底，中央城域網支持IPv4/IPv6雙棧協議，對部分有互聯網業務的部委接入設備進行了替換。審計署辦公廳和國家電子政務外網管理中心在天津市和山東省聯合開展第一批金審三期IPv6試點工作。具體來說，審計署本級、國家電子政務外網先行改造；同時選取山東審計廳和天津審計局、以及山東省和天津市電子政務外網作為IPv6試點，完成試點審計廳（局）IPv6網絡建設以及應用的IPv6接入，完成試點省（市）電子政務外網IPv6升級改造，以及試點審計機關接入省（市）政務外網，并實現與審計署本級IPv6互聯互通。

廣東省政務外網IPv6+改造

秉承“全省一張網”的統籌規劃思路，廣東省在網絡升級改造過程中采用先進的IPv6+技術，打造新一代電子政務外網。2021年初，廣東省新一代電子政務外網正式上線。通過對IPv6+技術的應用，同時滿足省級政務應用視頻、數據一網承載的訴求，為推動政務網絡集約化建設打下基礎，有效解決原有電子政務網絡業務開通慢、體驗差、運維難等問題，為實現廣東省政務服務“一網通辦”、政府治理“一網統管”、政府運行“一網協同”提供了強有力的網絡保障。

國家衛健委IPv6升級和IPv6單棧平滑演進

2018年8月，國家衛健委官方網站通過無狀態IPv4/IPv6翻譯技術進行了IPv6升級，成為國家第一批IPv6升級改造示范案例之一，為公眾提供了穩定高效的IPv6訪問服務。在引入IPv6訪問后，國家衛健委實現了IPv4網站日志和無狀態翻譯設備的IPv6日志聯合分析，設計完善的審計監管機制，并對形成的數據進行分析，包括但不限于分析IPv6用戶的來源、分析訪問行為、收集可能的攻擊行為等，同時可以與其他來源的數據進行比對，幫助信息化部門更好地進行安全管理以及對系統進行訪問優化。

在上述工作基礎上，國家衛健委對整體業務系統和網絡進行了向IPv6單棧平滑演進的整體規劃，以無狀態翻譯技術為基礎，使得IPv4和IPv6可以雙向互聯互通，幫助現有的IPv4網絡和信息系統有計劃地循序漸進升級到純IPv6。該項工作符合國家關于單棧IPv6的發展規劃，也為基于IPv6的醫療健康領域新應用提供了經驗和基礎。

第一階段：國家衛健委門戶支持IPv6連接訪問。建設不低于現IPv4網絡防護能力的安全防護體系。

第二階段：國家衛健委面向公眾服務的互聯網應用全部支持IPv6連接訪問。新建純IPv6 DMZ網絡區（隔離區），用少量非關鍵業務做試點，通過無狀態翻譯技術對IPv4互聯網用戶提供服務，保證在IPv4/IPv6環境下，達到同等業務連續保障能力，滿足規模推廣階段要求。考慮到現有的安全設備和入侵檢測設備可能對IPv6支持并不理想，使用IPv6-IPv4-IPv6雙重翻譯技術，實現IPv4安全設備對IPv6流量的安全審計和安全防護，保護網絡、系統和數據的安全。

第三階段：國家衛健委在做好面向公眾服務的互聯網應用系統IPv6改造基礎上,平滑穩步推進IPv6規模部署，包括網絡、終端及業務應用系統逐步升級為純IPv6，同時保證全球互聯網IPv4的連接訪問需求。

基于IPv6構建下一代電子政務外網

政務外網IPv6演進思路

政務外網應采用統一規劃、分級負責的模式建設，IPv6演進過程遵循應用驅動、規劃先行、分級分域、保障安全的原則統籌推進。演進過程中必須保障業務的可持續性及網絡安全性，實現“業務不斷，安全不亂”。

各級政務外網IPv6演進需要政務云、網絡平臺、部門政務外網三方面協同發展，優先進行政務云互聯網接入區改造；優先進行基礎設施改造，打通政務外網IPv6訪問通路，為IPv6應用上線奠定基礎。

構建集約化、高品質、智安全的下一代電子政務外網

1.基于IPv6構建集約高效的政務基礎設施

一方面統一承載，進行集約化建設，通過為全網業務系統的服務器、終端等分配唯一的IPv6地址，實現政務非涉密業務通過統一的政務云、政務外網來承載，實現政務資源的集約化。

另一方面數據大集中，提升政務業務效率，在每個服務器和終端具有唯一的IPv6地址后，實現扁平化的架構，不同層級的服務器和終端等可以直接通信，提升政務業務的處理效率。

2.通過IPv6+，實現高品質政務體驗

一是網絡切片保障重保業務質量，通過網絡切片技術，為重保業務提供獨立的帶寬資源，在其他業務出現擁塞時，不影響重保業務的質量。

二是提高專線利用率，基于SRv6分段路由技術，實時采集整網鏈路的時延、丟包等質量信息，并自動進行優化，提升專線帶寬利用率，降低運營成本。

三是隨流檢測提升管理運維效率，通過iFIT隨流檢測技術，實時檢測業務的質量，結合APN6（IPv6應用感知網）技術，將視頻會議等終端與網絡深度協同，實現應用端到端可視和運維。

3.依托IPv6+安全優勢，提供精準安全管控和溯源

全網終端具有唯一的IPv6地址，通過安全監測分析平臺，實時檢測網絡威脅，精準溯源到終端位置，對異常終端進行阻斷，杜絕異常外聯及跨網攻擊的發生；利用IPv6地址豐富的擴展字段，可以攜帶用戶ID等信息，再通過用戶ID等信息，對用戶進行精準的認證和威脅防護。