IPv6升级改造技术路线建议书(仅供参备考资料).doc

《IPv6升级改造技术路线建议书(仅供参备考资料).doc》由会员分享，可在线阅读，更多相关《IPv6升级改造技术路线建议书(仅供参备考资料).doc（13页珍藏版）》请在三一办公上搜索。

1、IPv6升级改造技术路线建议书（仅供参考）一、国家推进IPv6规模部署的时代背景从2012年开始，APNIC的IPv4地址池基本枯竭，亚太地区的电信运营商无法再获得批量IPv4地址。由于移动互联网、云计算、大数据、物联网、人工智能等新兴信息技术持续高速发展，对IP地址资源的需求异常旺盛，电信运营商持有的IPv4地址快速消耗，被迫大量采取NAT转换技术来应对IPv4地址缺乏的困境。IPv4地址资源匮乏已经成为数字经济发展的制约因素。面对IPv4地址短缺的现状，大规模部署IPv6推进互联网向IPv6升级演进是解决IP地址问题的唯一根本性解决方案。2017年9月份党的19大报告中指出，中国特色社会主

2、义进入了新时代；新时代中国共产党的历史使命是实现中华民族伟大复兴；建设科技强国、质量强国、航天强国、网络强国、交通强国、数字中国、智慧社会；把我国建成富强民主文明和谐美丽的社会主义现代化强国。2017年11月26日，中办和国办共同发文，为贯彻落实党中央、国务院关于建设网络强国的战略部署，特制定推进互联网协议第六版（IPv6）规模部署行动计划。文件指出：IPv6是互联网演进升级的必然趋势；以协同推进IPv6规模部署为主线，以典型应用改造和特色应用创新为主攻方向，实现互联网向IPv6演进升级，构建高速、移动、安全、泛在的新一代信息基础设施，为网络强国建设奠定坚实基础。两办推进IPv6规模部署行动计

3、划明确了两点，第一是要进行大规模部署，推进中国信息基础设施向IPv6整体演进升级。第二是要政府带头，应用牵引，协同推进。各级政府机构、运营商、广电、ICP、IDC、ISP等都要行动起来，真抓实干，推进IPv6规模部署和演进升级，为网络强国建设奠定基础。推进IPv6规模部署行动计划提出五项重点任务，其中第一项重点任务就是：加快互联网应用服务升级，不断丰富网络信源。具体包括：重点任务具体内容1）升级典型应用推动用户量大、服务面广的门户、社交、视频、电商、搜索、游戏、应用商店及上线应用等网络服务和应用全面支持IPv6。2）升级政府网站升级政府、中央媒体、中央企业网站。强化政府网站、新闻及广播电视媒体

4、网站和应用的示范带动作用，在相关政府采购活动中明确提出支持IPv6的具体需求，积极开展各级政府网站、新闻及广播电视媒体网站、中央企业外网网站IPv6升级改造。3）创新特色应用支持地址需求量大的特色IPv6应用创新与示范，在宽带中国、“互联网+”、新型智慧城市、工业互联网、云计算、物联网、智能制造、人工智能等重大战略行动中加大IPv6推广应用力度。推进IPv6规模部署行动计划第四部分：实施步骤（一）：“2017年2018年重点工作”要求：2018重点工作具体内容典型互联网应用升级鼓励和支持国内龙头互联网企业制定并发布主流互联网应用IPv6升级计划，明确“十三五”期间年度工作时间表。政府网站升级改

5、造省部级以上政府网站IPv6改造。初步完成国家电子政务外网改造，完成中央部委、省级政府门户网站改造。新建电子政务系统、信息化系统及服务平台全面支持IPv6。新闻广播电视媒体网站升省级以上新闻及广播电视媒体网站IPv6改造。完成中央及省级新闻宣传媒体门户网站改造，新建新闻及广播电视媒体网络信级改造息系统全面支持IPv6。央企网站升级改造完成中央企业门户网站和面向公众的在线服务窗口改造，加快企业生产管理信息系统等内部网络和应用的IPv6改造。两办推进IPv6规模部署行动计划文件明确了“应用拉动、政府先行”的原则，政府网站要率先支持IPv6访问，带动商业网站支持IPv6访问，带动IPv6演进升级。三

6、、网站支持IPv6升级的技术策略分析根据两办文件部署，2018年要实现中央部委网站、各省级政府网站、中央企业网站、中央新闻广播电视媒体网站、面向公众的在线服务窗口升级改造支持IPv6。1、过渡方案：网络地址转换、IPv4/IPv6协议转换网络地址转换、IPv4/IPv6协议转换技术，是互联网从IPv4向IPv6演进过程中使用比较广泛的一种过渡技术。客观来看，由于v4向v6演进过渡期至少5年时间，所以地址转换/协议转换过渡技术也将在过渡期内长期存在和使用。协议转换技术的特点是：在IPv4网站外部，挂接一台v4/v6翻译转换设备，原有IPv4源站不需修改，把DNS域名解析AAAA记录指向转换设备配

7、置的IPv6地址；IPv6用户访问目标网站，经DNS解析调度后转向访问转换设备的IPv6地址，转换设备从IPv4源站读取数据，经过协议转换后发送数据给IPv6用户。采用网络地址转换/协议转换技术进行IPv6升级，IPv4源站现有的业务系统、网站代码均不需要改造，仅需做好以下三项工作：第一、网络层改造：接入IPv6带宽和获得地址，原有IPv4网络架构不改变。第二、设备层改造：IPv4源站不变，在网络出口部署IPv6转换设备（双机热备）。第三、DNS启用4A记录：DNS系统启用AAAA记录支持IPv6地址解析。协议转换技术方案的主要工作内容序号改造内容软硬件设备升级时间及成本1网络层改造1.接入I

8、Pv6带宽1.IPv6带宽:5万元/G/月2.获得IPv6地址2.IPv6地址费0元。2设备层改造1.路由器可能需要启用IPv61.如果转换设备的接入端口在协议栈防火墙内侧，老旧路由器设备2.增加两台转换设备，采用可能需要升级，或购买IPv6双机热备，提高可靠性。授权。如果通过交换机直接上联运营商互联网专线，则不需升级路由器。2.配置转换设备，约需要3个工作日。3业务系统基本上无需改造成本基本为04网站代码基本上无需修改成本基本为0协议转换技术方案的优缺点优点缺点1.方案简单，快速实施。只需配置2台转换1、转换技术适用于v4v6演进过渡期，仅实现设备，双机热备。IPv4源站不需修改，不web网

9、站支持IPv6访问，不能代替真正的需要对网站整个系统进行全面改造。大约v4/v6双栈网站。3-5个工作日即可实现支持IPv6访问。2、如果网站和应用涉及到物联网应用部署，2.如遭遇来自IPv6网络的攻击，只能攻击到工业互联网应用部署，不能使用转换方案，转换设备，不能直接攻击到IPv4源站。必须采用v4/v6双栈技术方案。3.目前信息系统安全等级保护制度暂未更新3、不适用于新建网站。按照两办文件要求，新如何支持IPv6的新版本，使用转换设备不建网站直接采用v4/v6双栈方案，一步到影响政府网站已有的安全等保三级认证。位。不必使用协议转换技术方案。4.技术人员的维护工作量基本不增加。5.可以解决老

10、网站、架构复杂的网站实现支持IPv6访问的难题。2、终极方案：IPv4/IPv6双栈技术方案网站升级IPv4/IPv6双栈方案，是网站IPv6升级改造的最终目标，是真正实现了两办推进IPv6规模部署行动计划文件要求的IPv6升级改造目标。也是我们推崇的最主要的技术方案。网站升级IPv4/IPv6双栈，是系统性的整体升级改造。双栈策略的特点是：全部软硬件设备同时运行IPv4和IPv6两个协议栈，能够同时处理IPv4和IPv6数据包，实现同时支持IPv6和IPv4访问。双栈升级包括以下方面：第一、网络层改造：制定IPv6网络升级规划，接入电信运营商、教育网的IPv6带宽，获得IPv6地址，制订内部

11、IPv6地址DHCP策略。第二、设备层改造：所有硬件设备均需支持IPv6，全部开启IPv6协议栈。第三、业务系统改造：所有前后台业务管理系统、数据库系统、网络安全系统、应用系统，全部启用IPv6协议，支持同时运行IPv4/IPv6双协议栈。第四、网站代码改造：对网站代码不能运行IPv6协议栈的部分进行修改。（此项工作比较复杂易出错，需要特别慎重）升级IPv4/IPv6双栈的主要工作内容序号改造内容软硬件设备升级工作内容1网络层改造1.接入IPv6带宽2.获得IPv6地址1.接入IPv6静态/BGP带宽2.IPv6地址免费。2设备层改造1.路由器启用IPv6协议栈2.防火墙配置IPv6策略3.负

12、载均衡设备启用IPv64.交换机配置IPv6策略5.操作系统启用IPv6协议1.老旧路由器设备可能需升级，或购买IPv6授权。2.老防火墙可能需升级或淘汰3.负载均衡设备无需升级4.老旧交换机需要淘汰更新。5.操作系统无需更换。3业务系统改造1.数据库系统支持IPv62.Web中间件系统启用IPv63. CMS系统支持IPv64. DNS启用AAAA记录5. Web防护系统启用IPv66. 日志统计系统启用IPv61.很老的数据库可能需要升级2.老Web中间件可能需要升级3.老CMS系统可能需要升级，WordPressCMS系统需更换。4.DNS域名解析支持AAAA记录；如使用ZDNS需启用高

13、级功能。5.Web防护系统可能需要升级。6.日志统计系统升级。4网络代码改造1、网页/APP中以IPv4地址直程序员修改全站代码。接写入的文件URL或链接URL更换成域名。2、网页代码中存在无法处理IPv6地址的函数更换成同时所需时间由网站的规模、复杂程支持IPv4和IPv6的函数和度，程序员团队开发水平，决定程序。工作量和升级时间。3、程序中存储IP地址的数据具体花费时间很难预测。空间（IPv4为32位）修改为同时支持IPv4（32位）和IPv6（128位）的变量结构、数据库结构或API。IPv4/IPv6双栈方案的优缺点优点问题1、IPv4/IPv6双栈是最为彻底的一种网站支1、全系统升级

14、，涉及到软件、硬件、网络、业持IPv6升级改造技术，概念清晰，易于理务管理平台、业务系统、网络安全系统等多解，升级工作一步到位，永久解决问题。是系统的协同，必须要做好升级工作的整体互联网向IPv6演进升级的最终目标。统筹规划、多部门有效协同。2、同时运行IPv4和IPv6两个协议栈，可实2、系统整体升级，可能需要更新软硬件设备，现IPv4对IPv4、IPv6对IPv6的单协议栈投资较高。通信，访问效果较好。3、网管人员可能不熟悉IPv6，需要培训。3、国家要求从2018年起，新建政府网站和应4、网站部分代码需要修改，工作量不好准确用系统必须支持IPv6，因此新建网站和应估计，可能耗时较长。用系

15、统的架构应直接采用双栈。5、防火墙等设备同时启用IPv4和IPv6两套4、网站改造，新建不久的网站、结构不太复杂策略；技术人员的维护工作量增加1倍。的网站，适用于从IPv4改造为双栈。6、不适合对老旧网站、结构复杂的IPv4网站做代码层改造，风险较大。3、过渡期的升级技术路线分析IPv6是互联网演进升级的必然趋势，在从IPv4向IPv6演进的过程中，web网站支持IPv6的升级路线，将经历以下三个阶段：第一阶段：纯IPv4阶段，网站只运行IPv4协议，不支持IPv6用户访问。第二阶段：IPv4/IPv6双栈阶段，由于IPv4和IPv6在未来十年还将长期共存，所以在过渡阶段，网站需要同时支持IP

16、v4和IPv6访问。2018年是中国互联网向IPv6大规模演进升级的元年，两办文件要求推进TOPICP网站、政府、央企、新闻、媒体网站实现支持IPv6，最终建成IPv4/IPv6双栈网站。在具体实施过程中，根据实际情况，可以采取一步到位直接升级双栈的技术策略，也可以分两步走，采用过渡技术策略，第一步在IPv4网站加挂“v4转v6”转换设备支持IPv6访问，第二步再升级IPv4/IPv6双栈。第三阶段：纯IPv6阶段，这个阶段的特点是：99%以上的用户都已经使用IPv6地址和网络，残余的纯IPv4用户很少，因此从维护网络安全、降低运维成本角度，网站仅配置IPv6-only协议，不再运行IPv4协

17、议栈。对于残留的少量IPv4用户，IPv6网站可以外挂一台“v6转v4”转换设备，使IPv6网站支持IPv4用户访问。4、网站IPv6升级的技术路线选择在IPv4/IPv6过渡阶段，不同类型的网站，应根据自身特点和优势，采取不同的IPv6升级策略。网站类型TOP级ICP网站政府、央企、新闻媒体网站网络流量海量用户带来海量互联网流量，每天浏览量超过10亿次，TOP级ICP的日均浏览量超过百亿次。网络流量不高，日均浏览量在万次到10万次量级。TOP新闻媒体网站的浏览量可达千万次。技术现状自建技术实力强大的开发、运信息安全需要符合国家等级保维团队，网络安全技术能力很护管理制度。政府网站受人员编强，反

18、应灵活，有能力及时应对制影响，缺乏足够的技术力量，网络攻击，快速处理各种故障；特别是缺乏网络安全方面的高端出现问题后能够快速恢复网站的技术力量。正常运行。TOPICP与教育网在目前技术人员对IPv6网络不IPv6方面有长期合作与广泛技术熟悉。交流，熟悉IPv6网络。技术策略一步到位直接升级v4/v6双栈对于具备条件的单位，可以采用一步到位直接升级IPv4/IPv6双栈的技术策略。建议对于技术储备不足，准备工作不足、调整预算有难度的单位，可以考虑采取“两步走”策略。四、实施方案建议根据两办文件要求：2018年初步完成国家电子政务外网改造，包括完成中央部委、省级政府门户网站改造；完成中央及省级新闻

19、宣传媒体门户网站改造，新建新闻及广播电视媒体网络信息系统全面支持IPv6；完成中央企业门户网站和面向公众的在线服务窗口改造。综合各方面的实际情况，秉持实事求是、注重安全、整体规划、分步实施，既要走得快，也要走得稳的工作原则，对政府、央企、新闻媒体网站支持IPv6升级改造的技术方案，提出如下建议。第一步，政府、新闻媒体网站采用“IPv4源站+转换设备”支持IPv6访问。由于IPv4网站防护系统已经非常完善，如果发生来自IPv6的网络攻击，只能攻击到转换设备，IPv4源站不会遭受IPv6网络攻击。第二步，预计2018年底或2019年初，国家新的信息系统安全等级保护制度（IPv6版）将会出台，可以遵

20、循新版信息系统安全等级保护制度的相关规定，各方面准备工作完善之后，网站合规稳妥升级为IPv4/IPv6双栈。两步走，先上一个台阶，取得阶段性成果，再上一个台阶，实现最终目标。使用转换设备实现网站支持IPv6访问网站采购两台转换设备（双机热备），进行部署。IPv6网络用户通过转换设备，实现对目标网站的正常访问。对于考虑采取“两步走”策略的网站，建议制订一个为期两年或三年的网站IPv6升级行动计划，分阶段实施。“两步走”时间表与路线图阶段技术策略建议第一阶段：2018-2019年网站采取“IPv4网站加挂转换设备”的技术策略，可以快速实现网站支持IPv6，按时完成两办文件的要求。在此期间，一方面等

21、待国内的IPv6网络安全相关技术和产品经过实战检验，软件升级版本走向稳定成熟；另一方面获得充裕的时间，进行整体统筹规划，申请较为充足的预算，妥善制定网站升级IPv4/IPv6双栈的技术方案。第二阶段：国家信息系统安全等级保护制度（IPv6版）已经发布，各类网络安全系统和设备经过1年多的实战验证和改进已经比较完善。2019-2020年网站采取“系统整体升级IPv4/IPv6双栈”的技术策略，对整个网站的系统、软硬件设备、网络安全策略进行整体全面升级，并淘汰各种老旧软硬件设备。采取“两步走”的策略，2018年采用“IPv4源站+转换设备”技术方案，可以迅速实现网站支持IPv6访问，快速取得阶段性成果，提前完成两办文件的工作要求。同时可以在2018年为2019年和2020年安排充足的预算和时间，从容推进网站升级为IPv4/IPv6双栈。