董超

摘要：隨著政務部門網絡系統(tǒng)的建設和發(fā)展，目前以IPv4技術為基礎構建的網絡系統(tǒng)逐漸暴露出許多問題和缺點，為滿足下一代“互聯(lián)網+”政務發(fā)展， 我市電子政務外網互聯(lián)網區(qū)加快推進IPv6網絡升級改造。根據(jù)安徽省經濟信息中心印發(fā)的《關于推進國家電子政務外網互聯(lián)網協(xié)議第六版（IPv6）改造工作的通知》文件要求，市級電子政務外網IPv6改造應全面支持政務部門IPV6門戶網站部署，本文介紹了我市政務外網的IPV6改造方案。

關鍵詞：政務外網;IPV6;雙棧模式

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）17-0255-02

開放科學（資源服務）標識碼（OSID）：

1 建設目標和思路

我市計劃采用IPv4＼IPv6雙棧模式設計改造方案，實現(xiàn)政務外網互聯(lián)網區(qū)能夠支撐部門IPV6業(yè)務部署為目標。完成市政務云數(shù)據(jù)中心互聯(lián)網區(qū)IPv6的改造，IPv6地址分配，核心網絡設備開啟雙棧協(xié)議，保證市級政務門戶網站可以滿足互聯(lián)網上IPv6用戶可以通過DNS6域名訪問市政務云數(shù)據(jù)中心市政務外網互聯(lián)網區(qū)部署的業(yè)務系統(tǒng); 完成IPv6業(yè)務區(qū)域建設，包含防火墻、IPS、WAF、IPv6安全運維模塊等一整套設備部署，并對市政務中心網絡進行IPv6雙棧改造，用戶具備獲取IPv4＼IPv6地址的功能。具體建設思路如下：

1）網絡和業(yè)務調研，收集政務網DMZ區(qū)設備現(xiàn)狀和IPv6支持情況，統(tǒng)計不支持IPv6設備清單，并收集提供當前網絡的用戶數(shù)量、網絡峰值流量等業(yè)務情況;

2）申請IPv6出口資源，使得網絡出口鏈路支持IPv6;

3）優(yōu)化現(xiàn)有網絡架構，將相關業(yè)務進行平滑過渡割接。對現(xiàn)有較老舊和不支持IPv6設備進行替換升級，新購設備按照IPV6標準選型入網。對現(xiàn)有較老舊和不支持IPv6設備進行版本升級，升級后的設備滿足IPv6標準，升級完成后的網絡系統(tǒng)完全支持IPv4/IPv6雙棧;

4）現(xiàn)有設備開啟雙棧，同時承載IPv4和IPv6互聯(lián)網流量，互聯(lián)網出口鏈路進行升級改造;

5）IPv6路由設計、路由策略、流量流向等與IPv4保持一致，業(yè)務承載方式與IPv4保持一致，雙棧流量對現(xiàn)有的業(yè)務不產生影響;

實現(xiàn)自動化運維IT支撐系統(tǒng)、云管平臺系統(tǒng)等應用的需求。

2 建設原則

1）統(tǒng)籌規(guī)劃原則：在推進本次IPv6升級改造過程中，應著眼長遠，統(tǒng)籌規(guī)劃，確保投資的可持續(xù)性和技術路線的持續(xù)演進發(fā)展。

2）平滑過渡原則：在本次改造的過程中，需要保證各項服務的不間斷性，既支撐IPv6應用部署及用戶訪問，又保證IPv4網絡穩(wěn)定安全運行。

3）安全保障原則：從IPv4向IPv6遷移改造需要關注IPv6引入的安全風險，做好相應安全防護策略和安全技術部署。

4）節(jié)約高效原則：在IPv6改造過程中，應充分利用已有各項基礎設施，保護現(xiàn)有投資。

3 方案設計

3.1 整體方案

政務外網以IPv4網絡為主，整個網絡及業(yè)務應用還是處于IPv4階段，業(yè)務采取IPv6逐步改造，因此很長時間內處于IPv4/IPv6網絡共存的階段。針對IPv6實際部署涉及范圍廣和具有技術復雜性的特點，在政務外網DMZ區(qū)IPv4向IPv6網絡演進過程中，采用平滑過渡方式。

1） 針對電子政務外網全新建設的網絡需求，按照IPv4/IPv6雙協(xié)議棧進行規(guī)劃和設計，使建設完成后的網絡系統(tǒng)支持IPv4/IPv6雙棧。

2） IPv6地址規(guī)劃，分別為業(yè)務地址段和網絡互聯(lián)地址段。在IPv6地址的65-128掩碼長度中標定設備標識和業(yè)務標識，部署方式參考IPv4部署模式（vlanif利舊、服務器網卡利舊）。

3） 網絡設備：網絡設備采用業(yè)界支持IPv4/IPv6雙棧的主流設備，能夠同時支持IPv4、IPv6的IP協(xié)議和路由協(xié)議。

4） 服務器：客戶端、服務器的硬件和操作系統(tǒng)采用成熟的、能夠支持IPv4/IPv6雙協(xié)議棧的硬件和軟件。

5）重要業(yè)務系統(tǒng)及應用在不影響業(yè)務系統(tǒng)運行的條件通過改造，支持IPv4/IPv6雙協(xié)議棧。

6）對于調研后可以支持IPv6的現(xiàn)網設備，通過升級支持IPv4/IPv6雙協(xié)議棧，升級后能夠同時支持IPv4、IPv6路由和路由協(xié)議。針對個別老舊、完全不支持IPv6協(xié)議棧網絡設備進行設備替換或版本升級，升級為支持IPv4/IPv6雙棧協(xié)議及路由的網絡設備。

7） 在IPv4/IPv6網絡共存的階段，原有IPv4用戶訪問IPv6應用，或IPv6用戶訪問IPv4應用需要采用翻譯技術。

8）增加了支持IPv4/IPv6雙棧技術的自動化運維IT支撐系統(tǒng)、云管平臺等新型網絡平臺系統(tǒng)。

3.2 IPv4/v6雙棧實施

政務外網互聯(lián)網區(qū)網絡的部署改造點主要包括：互聯(lián)網出口層、負載均衡設備、防火墻等安全設備、WEB防火墻設備、核心交換機。

根據(jù)政務外網互聯(lián)網區(qū)目前設備支持IPv6的情況和開啟IPv6功能的現(xiàn)狀，結合方案的思路，具體實施步驟如下：

1）設備替換和版本升級： IPv6改造前首先對不支持IPv6的設備進行替換和版本升級，采取雙平面分步替換方式，替換過程不影響業(yè)務中斷。（替換奇平面時將流量切換至偶平面，替換完成后切換回奇平面。偶平面替換步驟相同。）;政務網絡出口層升級方案; 互聯(lián)網出口鏈路進行升級改造，開啟雙棧實現(xiàn)IPv4和IPv6互聯(lián)網資源訪問; 新增1條IPv6專線，接入負載均衡設備，實施IPv6協(xié)議開啟，實現(xiàn)互聯(lián)網路由協(xié)議互通;出口負載均衡設備和防火墻、WEB防火墻、IPS等外網安全設備實施IPv6協(xié)議開啟，實現(xiàn)互聯(lián)網路由協(xié)議互通; IPv6網絡安全部署實施。

2）政務外網互聯(lián)網區(qū)核心層升級改造方案：全網核心設備開啟雙棧，啟用IGP協(xié)議;IPv6相關路由策略與IPv4保持一致;IPv6網絡安全部署實施;IPv6相關DHCP等功能部署實施。

3）政務外網互聯(lián)網區(qū)匯聚層及接入層升級改造方案：全網匯聚及接入設備開啟雙棧，啟用IGP協(xié)議;IPv6相關路由策略與IPv4保持一致;IPv6網絡安全部署實施;IPv6相關DHCP、DNS功能部署實施;IPv6安全防護;針對IPv6業(yè)務部署安全防護（設備登錄防護ACL、CPU防護、攻擊防護策略）加強IPv6網絡的健壯性。

3.3 核心設備部署

核心交換機要求支持并開啟雙棧，運行IPv4/IPv6功能，為用戶同時分配IPv4地址和IPv6地址，提供IPv4/IPv6雙棧接入能力，同時承載IPv4和IPv6業(yè)務流量。對于不支持IPv6的設備，應逐步替換設備，割接業(yè)務;對軟件版本未支持IPv6的，應先通過軟件升級支持IPv6;對已支持IPv6的設備，應啟動IPv6功能。 用戶側基于現(xiàn)有模式提供雙棧接入。對于支持IPv6的終端，終端分配IPv4公有地址和IPv6地址;對于不支持IPv6的終端，終端只分配IPv4公有地址。 核心交換機配置內容包括基本配置和路由協(xié)議配置兩個方面。

1） 基本配置：全局模型下開啟IPv6協(xié)議棧，同時運行IPv4/IPv6功能;配置設備LOOPBACK接口的IPv6地址;上行三層接口開啟IPv6，并配置IPv6地址;下行三層接口開啟IPv6功能支持DHCPv6;配置IPv4地址、IPv6地址以及IPv6 PD前綴池;運行DHCP/DHCPv6，為用戶分配IPv4地址和IPv6地址。

2）路由協(xié)議配置：全局運行IGP路由協(xié)議， 在設備的LOOPBACK接口以及三層上連接口啟用OSPFv3;原來運行ISIS協(xié)議的設備，同時運行ISIS/ISISv6，開啟多拓撲功能;配置BGP路由協(xié)議，與兩臺政務外網核心之間建立iBGP4+鄰居關系，與核心路由器設備之間運行iBGP4+，交互IPv4和IPv6用戶路由信息。

3）電子政務IPv6地址規(guī)劃。用戶地址選擇：考慮到統(tǒng)一地址規(guī)劃，提高可管理性，建議使用GUA，需要在邊界路由器對這些路由進行過濾;設備互聯(lián)地址選擇：僅應用于兩個設備之間的鏈路（Point-to-PointLink）;使用/64-prefix，RFC4291、RFC5375 、RFC3627等多個RFC均作為推薦首選局域網前綴長度選擇（PrefixLength），推薦使用/64前綴長度;管理地址：使用loopback/128前綴長度。

4）IPv6地址分配。主機地址可使用靜態(tài)配置或自動配置，靜態(tài)配置類似于IPv4，主機地址、掩碼、域名系統(tǒng)（DNS）服務器和缺省網關址通過人工方式定義，自動配置為無狀態(tài)DHCPv6主機使用SLAAC獲取地址前綴和默認網關，通過DHCPv6來獲取其它參數(shù)，如DNS服務器、TFTP服務器、WINS等?；跔顟B(tài)的DHCPv6—主機使用DHCP獲取IPv6地址。主機與DHCPv6服務器不在相同網絡時，需要在網關處部署DHCPv6 Relay。

5）VLAN劃分：在雙棧場景下，IPv6與IPv4共用相同的VLAN劃分，由于IPv6是網絡層協(xié)議，對VLAN的規(guī)劃可以使用與原有IPv4VLAN相同的規(guī)劃，建議盡量保持IPv4與IPv6使用相同的VLAN規(guī)劃。

3.4 IPv6安全管理改造方案

為應對 IPv6 全面改造及 IPv4到IPv6 過渡期間面臨的各類安全風險，構建積極的安全防御體系，按照“安全三同步”原則，將安全防護措施貫穿于 IPv6 規(guī)劃、建設、運行階段， 并分層實現(xiàn)協(xié)議安全、安全設備、業(yè)務安全和安全管理，在每個安全層采用多種管控技術手段，實現(xiàn)全流程端到端安全。

結束語：本次蚌埠市政務外網IPv6改造工程最大化利用現(xiàn)有設備，盡可能減少對現(xiàn)有系統(tǒng)的改動，保證業(yè)務連續(xù)性，保障安全性， 新增設備與原網絡設備無縫對接并統(tǒng)一納管，同時IPv4/IPv6雙棧升級改造不影響原有安全防護體系，不影響互聯(lián)網用戶原有訪問使用體驗。

參考文獻：

[1] 楊灝.淺析電子政務外網中的IPv6升級改造[J].中國信息化，2020（4）：79-80.

[2] 姚娟，聞琛陽.門戶網站IPv6改造的技術路線選擇[J].通信電源技術，2019，36（2）：197-198.

[3] 陳吉寧.廣西電子政務外網IPv6網絡平臺設計[J].廣西科學院學報，2014，30（1）：21-23，31.

[4] 何黎明，梅洪.省級電子政務外網互聯(lián)網區(qū)IPv6改造研究[J].江西通信科技，2019（1）：4-7.

[5] 錢福利.淺析IPv6網絡的安全風險與應對措施[J].網絡安全技術與應用，2019（7）：25-26.

【通聯(lián)編輯：梁書】