IPv6技術在電子政務網應用分析

殷曉杭，楊守滂

(中國電信股份有限公司溫州分公司，浙江 溫州 325000)

0 引言

市電子政務外網是市電子政務的重要網絡基礎工程，是國家及省政務外網的延伸和拓展。市電子政務外網與互聯網邏輯隔離，主要用于運行政府部門不需要在內網上運行的業務和政府部門面向社會的服務業務，為政府部門的業務系統提供網絡、信息、安全等支撐服務，為社會公眾提供政務信息支撐服務。現有的電子政務網建于2000年初，包括市行政中心核心節點（骨干網）和市行政中心區域網絡，并實現幾百家市級單位的橫向接入，以及省電子政務外網和各個縣（市、區）電子政務外網的縱向接入，市本級接入用戶在萬人左右，雖經過設備及鏈路的升級改造，網絡結構變的復雜，而功能區域邊界仍模糊，對于網絡維護及故障判斷造成極大不便。

1 市電子政務網現狀分析

市電子政務外網是一個集資源共享、日常辦公自動化及信息公開為一體的MPLS-VPN 網絡，是市各級行政機構信息服務的綜合平臺，整個網絡自建設以來，運行情況基本良好，但伴隨著接入規模的擴大，整個電子政務外網的帶寬需求劇增，部分設備的處理能力出現了較明顯的瓶頸，部分設備運行年限也超過服役時間，性能跟不上現在信息化的支撐,降低了整個電子政務外網的安全性、穩定性；同時隨著各類服務的上線，原有部分業務劃分不夠清晰，安全防護部分也面臨這新的挑戰。現有PE 主要運行VPN2、VPN3 主要業務，其中VPN2Resource、Public 各存在4W+路由并存在三個實例均為重復表現VPN3專網路由表存在1W+左右路由；以及OSPF本地路由在3000左右，未做路由過濾和優化共存在160K 路由表。安全方面由于缺少針對系統層面的整體安全防護與邊界防護，出口安全設備陳舊，無法應對應用層的攻擊，還不能滿足《網絡安全法》和等級保護相關要求。

2 IPV6電子政務網的構建

因此構成市電子政務外網的核心網絡設備將全部更新換代并支持Ipv6 及MPLSVPN 功能：由政務外網的各個節點構成的骨干環網部署IPv4/IPv6雙棧；

核心將采用高性能設備支持SDN 平滑升級，具備較大的IPv4和IPv6路由表以及轉發表項，供互聯互通和業務隔離。接入層交換機支持IPV6，滿足IPV6用戶的接入。

2.1 基礎網絡層面

整網采用星型架構，根據網絡扁平化設計思路，整個網絡包括核心路由區、用戶接入區、行政中心外單位網絡區、各云區、數據中心接入區、互聯網出口接入區、安全管理區。主要節點采用兩臺高性能設備虛擬化成一臺邏輯設備與電子政務外網互聯。

2.2 出口安全層面

我國非常重視互聯網安全，尤其是針對IP 地址的安全體系和措施，光是IPv4 的備案系統就有三套。一旦從IPv4 更換為IPv6，那么整體的架構和產品都要重新設計。[1]互聯網出口采用兩臺高性能負載均衡防火墻路由部署實現整體安全防護和高可靠性。下一代防火墻核心產品兼具入侵防御，APT 檢測，網站防篡改等應用層功能，實現對電子政務外網的整體防護。互聯網出口網橋部署上網行為管理設備，實現對政務外網用戶的上網管理與審計，以滿足《網絡安全法》日志審計保留6個月的要求。邊界區域配置下一代防火墻，實現區域邊界隔離與防護。

2.3 IP分布情況

目前，政務外網內存在三類地址，第一類是公網地址，其作為資源共享區和互聯網區的服務器地址；第二類是10網段地址，其作為電子政務外網的私網地址使用，在電子政務外網內統一規劃；第三類是各接入部門內部的局域網地址，一般由各部門自行規劃，或根據縱向業務接入要求進行規劃。

2.4 IPV6過渡規劃

解決IPv6 終端用戶能使用IPv4 業務應用的問題是推動IPv6用戶發展、激活IPv6產業鏈的關鍵。因為IPv4 網絡及應用在相當長的時間內仍是主流，盡管用戶對采用IPv4還是IPv6接入網絡并不關心，但在IPv6發展的初期，必須確保用戶能夠訪問目前主流的IPv4互聯網應用，進而保證IPv6 寬帶接入網絡得以健康發展。

為解決IPv6 的平穩和平滑過渡，業界當前有三種主流的關鍵過渡技術：雙棧、隧道和轉換技術。實際組網中，往往是多種技術方案組合部署，應對多種應用場景。請根據具體的應用場景靈活選擇相應的技術。

3 IPv4/IPv電子政務網的實現

現有網絡大致可分為骨干網絡區和行政中心網絡區，兩個區域功能交叉重疊，用戶和數據中心無法有效隔離，不利于精細化管理和控制。希望能夠將核心區、數據中心區（含電子政務云）、用戶接入區等進行清晰劃分，區域之間實現安全隔離，整網根據電子政務網絡技術規范進行設計，由于用戶數量難以精確統計，故經過橫向比較，參考經驗數據，預測未來幾年接入市政務外網的總用戶數大致會達到10000。同時由于部門業務專網的整合和業務系統的上云用戶的業務流量也會逐步從原有的部門專網和局域網上移至市電子政務外網，網絡業務的類型也會更為豐富。因此，必須要有高效穩定的網絡平臺作為基礎保障。核心骨干網絡應當支持萬兆以上帶寬，政務云等數據中心支持萬兆以上接入，并且可以根據業務需要進行適當擴展，整網要具備流控功能，確保關鍵業務的優先帶寬保障等等,同時網絡的可靠性、自愈能力也需要進一步增強。

3.1 雙棧技術的應用

由于現有的網絡有大量的IPv4 設備，在升級的過程中，很容易出現業務中斷。而雙棧技術可以低成本的解決中斷的問題。“合理的網絡規劃，比如采用雙棧同時支持IPv4 和IPv6 訪問，或者使用NAT64 臨時轉換等，這樣業務中斷的時間完全可控。”[2]雙棧定義在RFC4213 中，是指允許在終端設備和網絡節點上同時安裝IPv4和IPv6協議棧，實現與不同協議節點間的信息交流。這是一種有效的IPv4向IPv6過渡技術，為其他過渡技術提供基礎。網絡節點支持IPv4 和IPv6 協議棧，根據需要選擇不同協議棧進行通信，設備根據報文協議類型進行處理和轉發。

3.2 隧道技術的應用

隧道技術將一種協議封裝到另一種協議中，用于連接孤立的IPv6 網絡或IPv4 島嶼。邊界節點實現雙棧，通過隧道在不同地址族之間傳輸數據。IPv6 報文封裝在IPv4 報文中，通過現有IPv4 網絡連接到目標IPv6網絡，然后解封裝，恢復原始IPv6報文進行轉發。

3.3 MPLS6PE/6vPE技術的應用

現有骨干IPv4MPLS網絡改造升級支持IPv6的接入和承載，同時可以提供IPv6VPN 業務。骨干網PE設備開啟雙棧，支持IPv6 靜態、動態路由，運行MPBGP，LDP，6PE 或6vPE。新增IPv6RR，或升級原IPv4RR，以避免MP-BGP鄰居間的全連接。原有骨干IPv4MPLS 網絡不需進行大規模的網絡改造升級即可支持IPv6的接入和承載，同時可以提供IPv6VPN 業務且不影響原有IPv4VPN業務。

3.4 互聯網出口IPV6升級

關于互聯網接入區改造，面向公眾服務應用提供IPv6 訪問，目前已有技術路線主要有如下三種：一是互聯網接入區新建IPv6 單棧，二是IVI 技術實現Ipv6和Ipv4互訪，三是NAT64方案。

由于IPv4和IPv6協議互不兼容，導致向IPv6演進的過程中，產生了很多網絡和應用的遷移過渡技術，需要確保IPv4 協議用戶和IPv6 協議用戶均能夠訪問并獲取服務。應對當前市電子政務網IPv6 升級改的實際情況，確定采納應用以下三種技術。

⑴互聯網出口新建IPv6單棧應用

新建單棧IPv6 互聯網接入區，DMZ 區部署雙棧，IPv4 和IPv6 用戶分別使用不同的區域接入。新建IPv6 互聯網接入區和DMZ 區，新建包括AntiDDos、出口路由器、LB、FW、IPS/IDS、WAF，日志系統等，并進行IPv6 相關配置，部署ipv6 業務系統（IPv6 門戶網站、DNSv6、WEB、APP等）。新增IPv6接入線路，對接ISP的IPv6 互聯網，支持IPv6 接入；在DNS 服務器上添加AAAA 記錄，并對外發布。IPv4 終端通過原有IPv4 互聯網接入區訪問IPv4 業務系統，訪問流程不變；IPv6終端通過新建IPv6互聯網接入區訪問IPv6業務系統。

⑵IVI技術實現Ipv6和Ipv4互訪應用

“IVI 是將IPv4 地址嵌入到IPv6 地址形成一個具有specfic-prefix 的IPv6 地址，這個地址配置在IPv6 網絡的用戶或者服務器上，此IPv6 用戶或者服務器可以直接訪問IPv6 域用戶和業務，也可以通過XLAT 設備訪問IPv4 域的用戶和業務。”[3]同時，IPv4 網絡的用戶和業務可以直接訪問這個內嵌的IPv4 地址，通過XLAT 設備后轉換為IPv6 報文訪問到實際的用戶和服務器。

⑶NAT64應用方案

在IPv6 網絡的發展過程中，面臨最大的問題應該是IPv6與IPv4的不兼容性，因此無法實現二種不兼容網絡之間的互訪。為了實現IPv6與IPv4的互訪，IETF（互聯網工程任務組）在早期設計了NAT-PT 的解決方案：RFC2766，NAT-PT 通過IPv6 與IPv4 的網絡地址與協議轉換，實現了IPv6網絡與IPv4網絡的雙向互訪。但NAT-PT 在實際網絡應用中面臨各種缺陷，IETF推薦不再使用，因此已被RFC4966所廢除。為了解決NAT-PT 中的各種缺陷，同時實現IPv6與IPv4之間的網絡地址與協議轉換技術，IETF（互聯網工程任務組）重新設計一項新的解決方案：NAT64 與DNS64技術。

由于當前主流在線業務基本上為IPV4業務，為應對新技術發展需求，需要部分升級到IPV6，為互聯網或者廣域網上的部分ipv6 用戶提供服務；在保護用戶投資的同時，以最小代價完成IPV4 業務升級到IPV6。將原有的IPV4 業務和新建IPV6 業務組合在一起統一對外提供IPV6業務對于這種情況當外網訪問時，要能對用戶靈活提供IPV4或者ipv6服務；因此在網絡出口部署ipv4/ipv6 雙棧、翻譯、代理技術的技術，實現Ipv6與Ipv4的用戶對網站的無縫升級訪問。

4 結束語

總之，在總體構建和關鍵設備上考慮對IPv6 和IPv4 兩種協議的兼容，支持雙棧，保證整個網絡今后能夠順利平滑升級至IPv6 階段。做到已有投資設備可使用的同時，不需要大規模的網絡改造升級。核心設備支持雙棧，邊緣采用6PE/6VPE 的方式，可支持IPv6 的接入和承載，同時提供IPv6VPN 業務。在經濟上和工程實施上，較為節省和敏捷，無須大規模的網絡改造升級，適用于大多數電子政務網分步式改造。