基于四六橋雙棧協議的IPv6部署與應用
——“邯鄲廣電網”IPv6的部署與應用

劉登超 杜曉鵬

邯鄲新聞傳媒中心 河北 邯鄲 056002

引言

隨著網絡在全球的快速發展，基于互聯網協議第四版（IPv4）的全球互聯網面臨前期規劃不足、網絡地址消耗殆盡、服務質量難以保證等制約性問題。IPv6能夠提供充足的網絡地址和廣闊的創新空間，是全球公認的下一代互聯網商業應用解決方案[1]。大力發展基于IPv6的下一代互聯網，有助于顯著提升我國互聯網的承載能力和服務水平，更好融入國際互聯網，共享全球發展成果，有力支撐經濟社會發展，贏得未來發展主動權。

1 項目實施背景

廣電總局科技司向各省廣電局、總局直屬各單位和中央廣播電視總臺辦公廳印發了《廣播電視媒體網站IPv6改造實施指南(2018)》(簡稱《實施指南》)，用于指導各有關單位順利推進IPv6相關改造工作[2]。

到2018年末，制定IPv6頂層規劃，強化重點廣播電視媒體網站及應用IPv6服務能力，加快推進全國廣播電視媒體網站改造。中央及省級以上廣播電視媒體網站系統完成改造，全面支持IPv6訪問。新建媒體網站系統、新上業務和應用全面支持IPv6。

到2020年末，全面推進廣播電視媒體網站IPv6改造。所有地市級廣播電視媒體網站系統完成改造，支持IPv6訪問。

到2025年末，所有廣播電視媒體網站相關各類系統及應用全面支持IPv6訪問。

2 項目實施目標

IPv6改造完成后，保證邯鄲廣電網主域名（www.hdbs.cn）具備AAAA記錄，并能夠正確被解析，能通過IPv6協議被成功訪問。

網站二級鏈接支持IPv6相關鏈接的域名具備AAAA記錄，并能夠正確被解析，能通過IPv6協議被成功訪問。網站二級鏈接IPv6濃度指在網站能通過IPv6協議成功訪問的二級鏈接占網站總的二級鏈接的比例（不包含網站外部鏈接），改造完成后保證二級鏈接IPv6濃度為100%。

網站三級鏈接指通過二級鏈接可點擊訪問的鏈接，網站三級鏈接支持IPv6指相關鏈接的域名具備AAAA記錄，并能夠正確被解析，能通過IPv6協議被成功訪問。網站三級鏈接IPv6濃度指在網站能通過IPv6協議訪問成功的三級鏈接占網站總的三級鏈接的比例（不包含網站外部鏈接），改造完成后保證三級鏈接IPv6濃度為100%。

3 網站及應用系統現狀及需求分析

“邯鄲廣電網”建設于2017年，將傳統廣播電視與新媒體充分有效結合，依托邯鄲聯通云機房，采用“新聞+政務+服務”模式，打造全媒體“中央廚房”——“邯鄲廣電網”，實現了政務辦事、新聞資訊、生活服務三大功能于一體。但由于當時的云系統，沒有IPv6 的要求，該網站的全部服務和系統后臺都運行在IPv4環境下，如果現在更改運行環境，意味著全部系統的淘汰與重新部署，不僅投資巨大，對于目前的資源也是一種巨大的浪費。

需要進行IPv6優化的域名有8個：http://www.hdbs.cn（主域名）、http://logs.hd.hdbs.cn（日志域名）、http://img.hd.hdbs.cn（圖片域名）、http://live.hd.hdbs.cn（直播域名）、http://video.hd.hdbs.cn（視頻域名）、http://res.hd.hdbs.cn（框架域名）、http://m.api.hd.hdbs.cn（接口域名）、http://m.hdbs.cn（手機站域名）。

4 邯鄲廣電網IPv6改造案例

網站若想完成IPv4/IPv6雙協議棧的徹底改造將是一個長期而復雜的過程，因為雙棧化徹底改造包括整個網站網絡、應用系統以及支撐系統三部分改造內容，而工作量更大的部分是整個網站業務應用邏輯必須進行全部代碼的重新梳理。面臨改造周期長，投資大，風險高等問題。

針對IPv6部署情況，考慮以“資本集約化、風險可控化、業務平穩化”實現由IPv4向IPv6過渡；根據相關政策要求及技術對比，結合現狀，采用了本地部署同時具備網絡層和應用層轉換能力的IPv6轉換平臺進行升級改造。

4.1 方案規劃

根據網站及應用系統現狀，結合國家政策等要求，推薦IPv6升級項目采用IPv6轉換平臺方式，如下部署模型：

圖1 邯鄲廣電網IPv6四六橋轉換系統拓撲圖

該方案只需在網站和應用系統的授權DNS服務器上，為對應域名增加相應的AAAA記錄，AAAA記錄對應的IPv6地址部署在轉換平臺上，原網站和應用系統的網絡部署和程序架構都不需要做任何修改。

當IPv6用戶訪問通過網站和應用系統時，客戶端首先向DNS查詢網站和應用系統所對應的IP地址，用戶從網站授權DNS上獲得相應的網站記錄對應的IPv6地址。IPv6用戶向解析回來的IPv6地址發出訪問請求，該請求被路由到四六橋平臺上，平臺將IPv6訪問請求轉換為IPv4訪問請求，并通過原有的IPv4安全體系規則過濾，到達內部應用系統。并把同步過來的信息直接反饋給用戶，從而幫助網站和應用系統滿足IPv6用戶的訪問需求，實現網站及應用雙棧化的目的[3]。

IPv6轉換服務平臺同時支持網絡層和應用層的協議轉換，解決了其他轉換產品只在網絡層轉換帶來的外鏈和復雜應用無法訪問的（“天窗”）問題，用戶可以自行適配協議轉換規則，可以支持所有原IPv4網站的業務。

5 邯鄲廣電網IPv6改造方案的優勢和效果

5.1 方案優勢

優點1：原IPv4網站不需要改造，不影響原有業務正常運行，快速實現IPv6 連接訪，實現IPv6平穩升級，避免開發成本的浪費。

優點2：解決了其他轉換產品只在網絡層轉換帶來的外鏈和復雜應用無法訪問的（“天窗”）問題。四六橋在網絡層和應用層實現的轉換，有效解決網站外部鏈接導致的內容缺失問題，滿足工信部和網信辦對IPv6改造濃度的要求。

優點3：不需要重新部署IPv6網絡環境，不需要開通IPv6專線，綜合費用低。

5.2 方案效果

5.2.1 IPv4/IPv6無縫對接。專用IPv6轉換設備，融合應用層協議轉換和網絡層轉換技術，同時從應用層和網絡層對IPv4/IPv6協議進行轉換，有效解決單網絡層翻譯技術普遍存在的內容缺失（天窗）問題，可以保證與原網站的內容一致性。同時能作為內容分發系統，提供網站加速和一定的安全防護，并可提供互聯網綜合業務服務，有效保護用戶前期的軟硬件投資，網站和應用無須更改現有系統結構和軟硬件設施，實現IPv4與IPv6網絡的無縫對接。

5.2.2 支持橫向和縱向擴展。可有效解決多用戶的高并發請求，并確保系統能安全穩定運行。

可根據業務的需要，靈活增加節點，在不影響現有業務的情況下，提升系統的處理能力。

5.2.3 支持高性能數據處理。能夠有效解決協議轉換對大規模數據處理的性能需求。可根據設備的硬件配置和需要，配置多個處理進程，以提升系統的數據吞吐能力。具有高效、穩定、可靠、可擴展等優點。

5.3 平臺輔助模塊的部署

5.3.1 安全模塊。IPv6轉換服務平臺僅進行協議轉換，實現原理上相當于一個管道，平臺本身無開啟端口，故IPv6轉換服務平臺無法成為攻擊目標。并且，IPv6轉換服務平臺具有簡單防火墻功能，啟用不同的處理模塊進行深度分析，區別惡意攻擊數據和私有數據，同時限制惡意客戶端訪問的時間間隔和并發連接數，為后端門戶網站、業務系統和App提供一定的網絡安全防護，可以抵御局部CC網絡攻擊。

在域名安全方面，用戶按照A記錄的設置方法，使用固定域名解析技術添加同域名的AAAA記錄，完成IPv6域名指向設置。不需要額外設置其他域名，特別是不需要設置有安全隱患的泛解析域名。

客戶端經由IPv6協議發起http的請求到達IPv6轉換服務平臺，根據配置定義，經安全模塊進行初步處理后，對請求地址進行解析，獲取目標URL（統一資源定位符）。

經DNS解析后找到對應IPv4服務器的地址，網絡轉換層通過NAT技術處理內部鏈接，應用轉換層使用通用ALG技術的轉換規則并行處理外部鏈接。所有轉換完畢后，最終數據返回客戶端。

5.3.2 內容加速模塊。內容加速模塊在IPv6地址轉換平臺的基礎上增加高速存儲技術，實現智能數據壓縮、緩存和負載分擔，主要側重點是緩存圖片、視頻等靜態數據，提升數據響應速度，給用戶更好的體驗。對于業務應用系統或網站應用，通過對一些靜態數據、視頻或圖片等元素的緩存，當有客戶端再次訪問這些數據時，不需再去原IPv4網站讀取數據，可直接把緩存數據返回給終端，從而大大減輕源網站的業務壓力。

6 平臺功能匯總

表1 IPv6監測平臺深度檢測報告

7 結束語

對網站正常運行所需的8個子域名進行IPv6的解析工作，截至目前邯鄲廣電網的IPv6改造工作全部完成，所有鏈接均可在IPv6環境下打開，且IPv6的轉換濃度為100%。

邯鄲廣電網IPv6改造工作的完成，為邯鄲新聞傳媒中心的融媒體發展奠定了堅實的第一步。我們要堅實走好融媒建設的每一步，加快推進我中心媒體深度融合、事業轉型發展，開拓融媒建設新時代。