企业IPv6升级解决方案.docx

1、企业IPv6升级解决方案企业 IPv6 升级解决方案企业 IPv6 升级解决方案1 概述2018 年 3 月 12 日，国资委印发了关于做好互联网协议第六版（IPv6）部署应用有关工作的通知，要求央企在 18 年完成门户网站和面向用户的在线服务窗口的 IPv6 改造。2018 年 5 月 3 日，工信部发布推进互联网协议第六版(IPv6)规模部署行动计划通知，鼓励典型行业、重点工业企业开展工业互联网 IPv6 网络化改造，创新工业互联网应用实践，构建工业互联网 IPv6 标准体系。为响应国家 IPv6 发展，企业开展基于 IPv6 的创新业务，对网络接入、内部网络及系统提出新的需求。企业 IP

2、v6 升级解决方案根据企业内部现有网络及系统情况，提供从内部网络 IPv6 升级改造技术路线到企业系统的 IPv6 规划、升级和部署相关解决方案，以满足企业开展 IPv6 业务，适用于工业互联网网络体系中工厂控制系统和工业云平台部分。1.1 背景2017 年 11 月 26 日中共中央办公厅、国务院办公厅印发了推进互联网协议第六版（IPv6）规模部署行动计划，明确了 推进 IPv6 部署的重要意义，提出了部署的总体要求和主要目标， 要用 5 到 10 年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的 IPv6 商业应用网络，实现下一代互联 在经济社会各领域深度融合应用。为贯彻

3、落实中共中央办公厅、国务院办公厅印发的推进互联网协议第六版（IPv6）规模部 署行动计划，加快网络基础设施和应用基础设施升级步伐，促 进下一代互联网与经济社会各领域的融合创新，工信部发布关 于贯彻落实推进互联网协议第六版(IPv6)规模部署行动计划通知，积极推进内部网络和应用 IPv6 改造，加快推进企业生产管理信息系统等内部网络和应用的 IPv6 改造，加强 IPv6 环境 下移动互联网、物联网、工业互联网、云计算、大数据、人工 智能等研究与应用，强化 IPv6 环境下网络安全保障等。物联网、移动互联网、云计算等新兴产业的发展都需要海量的 IP 地址作为支撑，IP 地址不足已经严重制约着这些

4、处于全球竞争前沿、具有最广阔前景的新兴产业发展。随着物联网、移动互联网、 云计算等业务不断发展壮大，运营商不停地扩大网络规模，这 也使 IPv4 地址枯竭的速度更快了，分配殆尽的 IPv4 地址已经成为制约我国物联网、移动互联网、云计算发展的瓶颈。1.2 实施目标基于互联网协议第四版（IPv4）的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题，IPv6 能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用解决方案。大力发展基于 IPv6 的下一代互联网，有助于显著提升我国互联网的承载能力和服务水平，更好融入国际互联网，共享全球发展成果，有力支撑经济社会发展，赢

5、得未来发展主动。推进 IPv6 规模部署是互联网技术产业生态的一次全面升级， 深刻影响着网络信息技术、产业、应用的创新和变革。大力发展基于 IPv6 的下一代互联网，有助于提升我国网络信息技术自主创新能力和产业高端发展水平，高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴领域快速发展，不断催生新技术新业态，促进网络应用进一步繁荣，打造先进开放的下一代互联网技术产业生态。1.3 适用范围企业 IPv6 升级解决方案针对企业内部现有网络及系统情况， 提供从内部网络 IPv6 升级改造技术路线到企业系统的 IPv6 规划、升级和部署相关解决方案，以满足企业开展 IPv6 业务，

6、适用于工业互联网网络体系中工厂控制系统和工业云平台 IPv6 升级演进，可应用到企业智能网络 IPv6 组网、智能机器升级、工厂云平台 IPv6 改造升级以及工业互联网应用 IPv6 业务等。1.4 在工业互联网网络体系架构中的位置企业 IPv6 升级解决方案针对工厂控制系统，工业云平台IPv6 的升级，提供相应的改造方案。在智能机器中，物品应具有 4 个特性：可识别性、可感知性、可定位性以及可控制性。这四个特性使得物联网对地址资源具有以下的特殊需求：工业互联网需要地址资源支持海量性，因为工业互联网中存在着海量的物品，这些物品的数量将以万亿计，而任意的物品之间均可能需要互联，互联时需要网络地址

7、用于定位，这些地址也将可能以万亿计；联网需要地址资源支持安全性，物联网将比互联网具有更高的安全需求。 在工业云体系架构中，随着虚拟化技术的发展，一台物理主机上能够运行多个虚拟主机，导致云 计算所需的 IP 地址数量成比例增长，亟需海量的 IPv6 地址资源。利用主机虚拟化技术，能够在一台物理主机上运行多个虚拟主机，并且各个虚拟主机之间相互独立、互不影响，用户可以在虚拟主机上灵活的安装任何软件。通过在流量进出口的汇聚节点上部署 IPv6/IPv4 转换网关，可以面向 IPv6 用户，实现IPv6 与IPv4 协议转换。但在云化数据中心中，网络结构从汇聚变为扁平，流量的进出口数量不再唯一，需要在数

8、据中心所有的流量进出口上都配备 IPv6/IPv4 转换网关，这样使得网络改造起来较为复杂。另外，转换网关需要维护处理数据中心内外所有业务的 IPv6 与 IPv4 协议转换，对其处理性能也提出了更高的要求。2 需求分析图 1 工业互联网互联示意图根据工信部关于落实贯彻推进互联网协议第六版（IPv6） 规模部署行动计划通知，要求发展工业互联网 IPv6 应用，选择典型行业、重点企业开展工厂企业网络改造，创新工业互联 网应用，构建工业互联网 IPv6 标准体系。在智能机器中，工业互联网需要地址资源支持海量性；在工业云体系架构中，随着虚拟化技术的发展，一台物理主机上能够运行多个虚拟主机， 导致云计

9、算所需的IP 地址数量成比例增长，亟需海量的IPv6 地址资源。2018 年 3 月 12 日，国资委印发关于做好互联网协议第六版（IPv6）部署应用有关工作的通知，要求央企在 18 年完成门户网站和面向用户的在线服务窗口的 IPv6 改造。IPv6 在设计的过程中就已经考虑到了 IPv4 到 IPv6 的过渡问题，并提供了一些特性使过渡过程简化。针对IPv4 到IPv6 过渡问题已经提出了许多机制，它们的实现原理和应用环境各有侧重。目前，应用比较广泛的过渡策略主要包括双栈策略、隧道策略以及翻译策略。3 解决方案互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安

10、全格局。我国是世界上较早开展 IPv6 试验和应用的国家，在技术研发、网络建设、应用创新方面取得了重要阶段性成果，已具备大规模部署的基础和条件。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，加强统筹谋划，加快推进 IPv6 规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网， 是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。工业互联网作为新一代信息技术与实体经济深度融合的制高点，以及制造业转型升级的主攻方向，成为 IPv6 网络化改造的重点应用场景。 191 3.1 方案介绍近年来，全球 IPv6 产业链条发展稳步推进

11、。在网络上设备方面，已经覆盖了 IPv4 产品的所有类型，包括数据网、固网、移动交换网、移动核心网及安全等，能够满足网络端到端的部署需求；在应用软件方面，包括操作系统、Web 引擎、数据库、浏览器等通用软件均支持 IPv6。根据工业互联网智能工程系统架构情况，设计相应的 IPv6 升级方案，可根据实际情况通过全面技术升级，将涉及到的业务各类应用系统和设备升级成支持IPv4 和 IPv6 双协议栈，完成基于 IPv4 和 IPv6 协议的业务互通；或通过技术改造，在 IPv6 协议和 IPv4 协议间建立映射联系，满足 IPv6 用户能够正确的获取 IPv4 资源。3.2 IPv6 升级技术IP

12、v6 在设计的过程中就已经考虑到了 IPv4 到 IPv6 的过渡问题，并提供了一些特性使过渡过程简化。针对IPv4 到IPv6 过渡问题已经提出了许多机制，它们的实现原理和应用环境各有侧重。目前，应用比较广泛的过渡策略主要包括双栈策略、隧道策略以及翻译策略。双栈策略是指在网络节点中同时具有 IPv4 和 IPv6 两个协议栈，这样，它既可以接收、处理、收发 IPv4 的分组，也可以接收、处理、收发 IPv6 的分组。双栈策略的优点是概念清晰， 易于理解，网络规划相对简单，同时在 IPv6 逻辑网络中可以充分发挥 IPv6 协议的所有优点（如安全性、路由约束、流的支持等方面）。隧道策略是 IP

13、v6 升级中经常使用到的一种过渡机制。所谓 192 “隧道”简单地讲就是利用一种协议来传输另一种协议的数据的技术。隧道技术主要实现了在 IPv4 数据包中封装 IPv6 数据包，随着IPv6 技术的发展和广泛应用，未来也将会出现在IPv4 数据包中封装 IPv6 数据包的隧道技术。隧道技术能够充分利用现有的网络投资，因此在过渡初期是一种方便的选择。但是， 在隧道的入口处会出现负载协议数据包的拆分，在隧道出口处会出现负载协议数据包的重组。这就增加了隧道出入口的实现复杂度，不利于大规模的应用。翻译策略可以分为两个层面来进行，一方面是IPv4 与IPv6 协议层的翻译，另一方面是IPv4 应用与IP

14、v6 应用之间的翻译。前者主要是通过 NATPT 技术实现的，后者则主要通过应用代理网关ALG 来实现。NATPT 实现了网络层的协议翻译；应用代理网关则实现应用层的协议翻译，对于不同的应用，需要配置不同的应用代理网关。翻译技术的优点是不需要进行 IPv4、IPv6 节点的升级改造，缺点是 IPv4 节点访问 IPv6 节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较大。因此，该策略一般是在其他互通方式无法使用的情况下使用。3.3 企业IPv6 演进在 IPv4 向 IPv6 的演进过程中，为保证业务平台的平滑、稳定演进，可以采用三种方案：第一种是互通网关方案，保持业务平台现

15、有结构不变，通过分别在 IPv4 和 IPv6 的网络边界部署网关设备，利用 IPv4/IPv6 翻译技术接入 IPv6 用户；第二种是IPv4 和IPv6 应用并存方案，业务平台中IPv4 和IPv6 应用 193 并存，使得平台具备同时支持 IPv4 和 IPv6 的功能；第三种是全面升级方案，完成全业务平台以及周边系统 IPv6 升级，同时要求在 IPv4 网络停止运营前,基于 IPv4 的业务平台需要继续支持 IPv4 用户。3.3.1 互通网关方案保持平台现有结构不变，通过协议转换机制（NAT-PT/ALGA） 支持 IPv6 用户的接入。如下图所示，通过在 IPv4/IPv6 网络

16、边界部署网关设备，当 IPv6 终端用户从 IPv6 网络接入，与互通网关建立隧道后，可以使用 IPv4 网络中的应用，类似的，当IPv4 终端用户从IPv4 网络接入，与互通网关建立隧道后，可以使用 IPv6 网络中的应用。图 2 基于翻译技术的 IPv6 过渡方案3.3.2 IPv4 和 IPv6 应用并存方案将业务平台升级到 IPv6 后，IPv4 和 IPv6 应用将并存。如下图所示，将IPv4 业务平台的部分应用升级到IPv6，包括对外门户和接口、核心业务逻辑，同时为了兼容 IPv4 用户以及其它 相关系统，保留原有 IPv4 业务平台的对外门户和接口暂时不变， 核心业务交由IPv6

17、 核心业务逻辑处理。升级完成后，IPv4 对外 194 门户和接口为IPv4 用户提供服务，IPv6 对外门户和接口为IPv6用户提供服务，核心业务逻辑升级成 IPv6 实现共用。图 3 IPv4 和 IPv6 应用并存的 IPv6 过渡方案业务平台中IPv4 和IPv6 应用并存，同时支持IPv4 和IPv6用户的接入。3.3.3 全面升级方案一些企业需要满足国家政策性要求或者自身发展需求，需要大量 IP 地址，对 IPv6 网络改造有迫切需求，需要全面升级到 IPv6 网络和服务，完成所有业务平台和 SP 应用平台的 IPv6 升级改造建设，包括数据中心的所有设备、网络设备、终端系统和应用

18、系统等全面支持IPv6，同时要求在IPv4 网络停止运营前, 基于 IPv4 的业务平台需要继续支持 IPv4 用户。3.3.4 方案对比 195 互通网关方案 业务平台不需要改造 只需要在网路层实现IP转换 结论：工作量小、无风险、投入小、快速IPv4和IPv6应用并存方案 部分业务平台需要改造 结论：工作量中等、风险小、投入中等全面升级方案 所有业务平台需要改造 结论：工作量大、风险大、投入大图 4 方案优劣对比互通网关方案业务平台工作量小，无风险，投入小，能快 速实施，比较适合 IPv6 试商用阶段；IPv4 和 IPv6 应用并存方案改造部分业务平台，为全面实现 IPv6 打下基础，工

19、作量中等， 风险小，投入中等，比较适合 IPv6 规模商用阶段；全面升级方案工作量大，风险大，投入大，只有在 IPv6 全面商用阶段才会出现。4 成功案例4.1 案例一 国家电网IPv6 升级方案根据国家电网 309 家国电系统单位分区域整合互联网出口， 增强互联网访问的安全性，消除各分公司、子公司互联网出口 带来的安全薄弱点；通过对互联网出口整合，实现用户上网流 量统一管理、统一控制，合理、有效、按需分配带宽，避免带 宽滥用、资源浪费，提升网络质量；通过对互联网出口整合， 实现安全事件统一管理，做到事前预防、事中控制、事后追查， 避免安全事件重复发生；并对国家电网 100 多个系统进行调研，

20、 196 根据系统架构及中间件情况，根据国家电网内部系统的架构有 针对性的进行 IPv6 升级方案，考虑到国家电网系统比较复杂， 为保证国家电网能完成平滑演进，采取了分步融合方案。具备 改造条件的系统采用 IPv4 和 IPv6 应用方案，采用边界升级方案，通过企业边界的防火墙等设备实现 NAT64 等地址转换，以最低成本实现 IPv6 的服务诉求。仅需要改造企业边界的防火墙、路由器/交换机、日志审计等必要设备即可，通过边界防火墙实 现IPv6 到IPv4 的NAT64 报文转换，使得进入企业内部的流量全部转换成 IPv4 流量，企业内部的入侵检测、WAF、网络设备、服务器和终端等设备都不需要

21、改造。对于个别双栈终端需要访 问外部的 IPv6 资源时，可以通过 ISATAP 隧道技术实现双栈终端穿越 IPv4 网络，实现 IPv6 资源的访问需求。图 5 国家电网 IPv6 改造方案4.2 案例二 中国联通企业官网 IPv6 升级方案为了满足工信部对央企网站 IPv6 改造的需求，为用户提供IPv6 业务，对该企业内部系统进行调研，根据系统情况，针对不同系统设计相应的 IPv6 升级方案，并对自己的官网提出了相应的 IPV6 升级改造要求，并采用互通网关方案。改造的重点在路由、网络结构和协议转换等方面。 197 图 6 联通企业官网改造方案路由需要的路径改造：流量从公网进入资源池核心交换机之后通过静态路由到安全等保设备，由于安全等保设备不支持IPv6，于是需要通过添加静态路由的方式，把流量引导到直接进入负载均衡上去。在路径改造之后，为了保证网络安全，在现有网络结构上，添加一对防火墙来实现 IPv4 与 IPv6 的转换， 位置旁挂于资源池核心交换机或集团门户汇聚交换机，此方案路由走向需要重新指定，并于防火墙上完成配置。客户端以 IPv6 地址访问负载均衡（或防火墙）设备的虚地址（IPv6 类型）,在负载均衡（或防火墙）设备上做源地址转换， 源地址转换为 SNAT 地址池中的 IPv4 地址后再访问后端应用服务器。