文 / 金夢然 周豪

IPv6是互聯(lián)網(wǎng)升級演進的必然趨勢、是網(wǎng)絡(luò)技術(shù)創(chuàng)新的重要方向、是網(wǎng)絡(luò)強國建設(shè)的基礎(chǔ)支撐?！笆奈濉睍r期，我國將加快數(shù)字化發(fā)展，大力推進數(shù)字政府建設(shè)。為貫徹落實黨中央決策部署，有效應(yīng)對數(shù)字時代的業(yè)務(wù)挑戰(zhàn)，需要加快政務(wù)外網(wǎng)向IPv6演進。本文旨在通過對政務(wù)外網(wǎng)建設(shè)思路和演進路徑分析研究，為地方政務(wù)外網(wǎng)IPv6發(fā)展改造提供參考。

政務(wù)外網(wǎng)發(fā)展現(xiàn)狀

目前，全國政務(wù)外網(wǎng)接入部門達40余萬家，接入終端數(shù)達600余萬臺，承載應(yīng)用包括公共服務(wù)、政務(wù)內(nèi)部業(yè)務(wù)和基礎(chǔ)服務(wù)等。全國一體化政務(wù)服務(wù)平臺、全國信用信息共享交換平臺、投資項目在線審批監(jiān)管平臺等重要跨部門應(yīng)用均依托政務(wù)外網(wǎng)部署運行。如圖1所示，國家電子政務(wù)外網(wǎng)由網(wǎng)絡(luò)平臺和部門電子政務(wù)外網(wǎng)構(gòu)成，平臺分為中央、省、市、縣四級。網(wǎng)絡(luò)平臺分為公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)。公用網(wǎng)絡(luò)區(qū)提供跨部門業(yè)務(wù)互通功能；互聯(lián)網(wǎng)接入?yún)^(qū)向互聯(lián)網(wǎng)用戶提供服務(wù)。

圖1 電子政務(wù)外網(wǎng)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

政務(wù)外網(wǎng)面臨業(yè)務(wù)挑戰(zhàn)

IPv4地址不足，制約政務(wù)業(yè)務(wù)發(fā)展

國家信息中心于2015年申請了64個B類IPv4公有地址，用于政務(wù)外網(wǎng)建設(shè)，劃分網(wǎng)段后，地址空間利用率為30%左右，每個部門平均可使用的全局IP地址小于4個，IP地址量嚴重制約信息系統(tǒng)建設(shè)和數(shù)據(jù)共享，影響政務(wù)業(yè)務(wù)持續(xù)創(chuàng)新。

網(wǎng)絡(luò)運營管理難度大

IPv4地址長度有限，可讀性差，不能進行直觀管理，致使管理難度加大；由于IPv4地址有限，出現(xiàn)私有地址采用，導(dǎo)致用戶級管理難以實現(xiàn)；網(wǎng)絡(luò)故障定位復(fù)雜度高，網(wǎng)絡(luò)負載調(diào)整不便；帶寬利用率低，影響業(yè)務(wù)體驗并提高成本；基于IPv4的政務(wù)外網(wǎng)，缺乏對業(yè)務(wù)的差異化保障能力，工作量大且容易出錯。

網(wǎng)絡(luò)安全防護難度增大

首先是私有地址重復(fù)，安全監(jiān)測和溯源難度大。對于政務(wù)公共業(yè)務(wù)，政務(wù)部門經(jīng)過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）后進入政務(wù)外網(wǎng)，或者各省流量經(jīng)過NAT后進入中央級政務(wù)外網(wǎng)，由于多個用戶共用一個IP地址，當安全監(jiān)測平臺監(jiān)測到攻擊后，并不能精準定位到具體主機進行取證。其次，公網(wǎng)地址錯誤私用，存在數(shù)據(jù)泄漏風險。當IPv4地址不足時，有些地方可能會把其他組織已申請但未啟用或非私網(wǎng)的IP地址作為私有地址使用，一旦這些地址后續(xù)在公網(wǎng)重新啟用，由于內(nèi)網(wǎng)已經(jīng)使用該地址，將導(dǎo)致內(nèi)網(wǎng)用戶根據(jù)私網(wǎng)路由無法正常訪問公網(wǎng)啟用的相應(yīng)服務(wù)。

IPv6產(chǎn)業(yè)加速升級

IPv6發(fā)展現(xiàn)狀

全球IPv6發(fā)展呈加速態(tài)勢，產(chǎn)業(yè)鏈已經(jīng)基本成熟。

在操作系統(tǒng)層面，移動終端、固定終端和信創(chuàng)終端都支持IPv6，如表1所示。當業(yè)務(wù)服務(wù)器具有雙棧地址時優(yōu)選IPv6，若IPv6地址不可達，根據(jù)《IPv6演進路線圖和實施技術(shù)指南——政務(wù)外網(wǎng)》的要求，可以切換到IPv4，通過IPv4/IPv6翻譯技術(shù)實現(xiàn)IPv4/IPv6雙向互訪，逐步過渡到IPv6單棧技術(shù)。

表1 主流操作系統(tǒng)IPv6支持情況

在網(wǎng)絡(luò)/安全設(shè)備層面，主流路由器、交換機已支持IPv6，安全產(chǎn)品已具備基本IPv6防護能力、檢測能力、審計能力和大數(shù)據(jù)分析能力，滿足基本商用部署需求，如表2所示。

表2 主流網(wǎng)絡(luò)/安全設(shè)備IPv6支持情況

在應(yīng)用軟件層面，根據(jù)官方數(shù)據(jù)整理得出，當前主流的數(shù)據(jù)庫、中間件、程序開發(fā)軟件和辦公軟件已具備了IPv6基礎(chǔ)支撐能力。

在云平臺層面，主流云平臺已具備IPv6服務(wù)能力。

綜上可知，主流的操作系統(tǒng)、網(wǎng)絡(luò)/安全設(shè)備、應(yīng)用軟件、云平臺已經(jīng)具備IPv6能力，行業(yè)基礎(chǔ)信息化設(shè)施已經(jīng)具備向IPv6演進的條件。

“IPv6+”產(chǎn)業(yè)現(xiàn)狀

“IPv6+”是基于IPv6下一代互聯(lián)網(wǎng)的升級，如圖2所示，包含兩方面：一是由萬物互聯(lián)向萬物智聯(lián)的升級，二是由消費互聯(lián)網(wǎng)向產(chǎn)業(yè)互聯(lián)網(wǎng)的升級。

圖2 IP網(wǎng)絡(luò)代際規(guī)劃

“IPv6+”包括：一是以SRv6分段路由、網(wǎng)絡(luò)編程、網(wǎng)絡(luò)切片、確定性轉(zhuǎn)發(fā)、隨流檢測等為代表的網(wǎng)絡(luò)技術(shù)體系的創(chuàng)新；二是以實時健康感知、網(wǎng)絡(luò)故障主動發(fā)現(xiàn)、故障快速識別、網(wǎng)絡(luò)智能自愈等為代表的智能運維體系的創(chuàng)新；三是以5GtoB、云間互聯(lián)、用戶上云等為代表的網(wǎng)絡(luò)商業(yè)模式的創(chuàng)新。目前，我國已逐步邁入“IPv6+”商用部署階段。多個運營商及行業(yè)用戶已相繼進行了部署。在數(shù)字政府領(lǐng)域，國內(nèi)不少省市積極采用先進的“IPv6+”建網(wǎng)理念和網(wǎng)絡(luò)架構(gòu)來建設(shè)新一代電子政務(wù)外網(wǎng)。

政務(wù)外網(wǎng)IPv6應(yīng)用實踐

中央級政務(wù)外網(wǎng)IPv6雙棧改造與部門應(yīng)用試點

截至2020年底，中央城域網(wǎng)支持IPv4/IPv6雙棧協(xié)議，對部分有互聯(lián)網(wǎng)業(yè)務(wù)的部委接入設(shè)備進行了替換。審計署辦公廳和國家電子政務(wù)外網(wǎng)管理中心在天津市和山東省聯(lián)合開展第一批金審三期IPv6試點工作。具體來說，審計署本級、國家電子政務(wù)外網(wǎng)先行改造；同時選取山東審計廳和天津?qū)徲嬀?、以及山東省和天津市電子政務(wù)外網(wǎng)作為IPv6試點，完成試點審計廳（局）IPv6網(wǎng)絡(luò)建設(shè)以及應(yīng)用的IPv6接入，完成試點?。ㄊ校╇娮诱?wù)外網(wǎng)IPv6升級改造，以及試點審計機關(guān)接入?。ㄊ校┱?wù)外網(wǎng)，并實現(xiàn)與審計署本級IPv6互聯(lián)互通。

廣東省政務(wù)外網(wǎng)IPv6+改造

秉承“全省一張網(wǎng)”的統(tǒng)籌規(guī)劃思路，廣東省在網(wǎng)絡(luò)升級改造過程中采用先進的IPv6+技術(shù)，打造新一代電子政務(wù)外網(wǎng)。2021年初，廣東省新一代電子政務(wù)外網(wǎng)正式上線。通過對IPv6+技術(shù)的應(yīng)用，同時滿足省級政務(wù)應(yīng)用視頻、數(shù)據(jù)一網(wǎng)承載的訴求，為推動政務(wù)網(wǎng)絡(luò)集約化建設(shè)打下基礎(chǔ)，有效解決原有電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)開通慢、體驗差、運維難等問題，為實現(xiàn)廣東省政務(wù)服務(wù)“一網(wǎng)通辦”、政府治理“一網(wǎng)統(tǒng)管”、政府運行“一網(wǎng)協(xié)同”提供了強有力的網(wǎng)絡(luò)保障。

國家衛(wèi)健委IPv6升級和IPv6單棧平滑演進

2018年8月，國家衛(wèi)健委官方網(wǎng)站通過無狀態(tài)IPv4/IPv6翻譯技術(shù)進行了IPv6升級，成為國家第一批IPv6升級改造示范案例之一，為公眾提供了穩(wěn)定高效的IPv6訪問服務(wù)。在引入IPv6訪問后，國家衛(wèi)健委實現(xiàn)了IPv4網(wǎng)站日志和無狀態(tài)翻譯設(shè)備的IPv6日志聯(lián)合分析，設(shè)計完善的審計監(jiān)管機制，并對形成的數(shù)據(jù)進行分析，包括但不限于分析IPv6用戶的來源、分析訪問行為、收集可能的攻擊行為等，同時可以與其他來源的數(shù)據(jù)進行比對，幫助信息化部門更好地進行安全管理以及對系統(tǒng)進行訪問優(yōu)化。

在上述工作基礎(chǔ)上，國家衛(wèi)健委對整體業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)進行了向IPv6單棧平滑演進的整體規(guī)劃，以無狀態(tài)翻譯技術(shù)為基礎(chǔ)，使得IPv4和IPv6可以雙向互聯(lián)互通，幫助現(xiàn)有的IPv4網(wǎng)絡(luò)和信息系統(tǒng)有計劃地循序漸進升級到純IPv6。該項工作符合國家關(guān)于單棧IPv6的發(fā)展規(guī)劃，也為基于IPv6的醫(yī)療健康領(lǐng)域新應(yīng)用提供了經(jīng)驗和基礎(chǔ)。

第一階段：國家衛(wèi)健委門戶支持IPv6連接訪問。建設(shè)不低于現(xiàn)IPv4網(wǎng)絡(luò)防護能力的安全防護體系。

第二階段：國家衛(wèi)健委面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用全部支持IPv6連接訪問。新建純IPv6 DMZ網(wǎng)絡(luò)區(qū)（隔離區(qū)），用少量非關(guān)鍵業(yè)務(wù)做試點，通過無狀態(tài)翻譯技術(shù)對IPv4互聯(lián)網(wǎng)用戶提供服務(wù)，保證在IPv4/IPv6環(huán)境下，達到同等業(yè)務(wù)連續(xù)保障能力，滿足規(guī)模推廣階段要求?？紤]到現(xiàn)有的安全設(shè)備和入侵檢測設(shè)備可能對IPv6支持并不理想，使用IPv6-IPv4-IPv6雙重翻譯技術(shù)，實現(xiàn)IPv4安全設(shè)備對IPv6流量的安全審計和安全防護，保護網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的安全。

第三階段：國家衛(wèi)健委在做好面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)IPv6改造基礎(chǔ)上,平滑穩(wěn)步推進IPv6規(guī)模部署，包括網(wǎng)絡(luò)、終端及業(yè)務(wù)應(yīng)用系統(tǒng)逐步升級為純IPv6，同時保證全球互聯(lián)網(wǎng)IPv4的連接訪問需求。

基于IPv6構(gòu)建下一代電子政務(wù)外網(wǎng)

政務(wù)外網(wǎng)IPv6演進思路

政務(wù)外網(wǎng)應(yīng)采用統(tǒng)一規(guī)劃、分級負責的模式建設(shè)，IPv6演進過程遵循應(yīng)用驅(qū)動、規(guī)劃先行、分級分域、保障安全的原則統(tǒng)籌推進。演進過程中必須保障業(yè)務(wù)的可持續(xù)性及網(wǎng)絡(luò)安全性，實現(xiàn)“業(yè)務(wù)不斷，安全不亂”。

各級政務(wù)外網(wǎng)IPv6演進需要政務(wù)云、網(wǎng)絡(luò)平臺、部門政務(wù)外網(wǎng)三方面協(xié)同發(fā)展，優(yōu)先進行政務(wù)云互聯(lián)網(wǎng)接入?yún)^(qū)改造；優(yōu)先進行基礎(chǔ)設(shè)施改造，打通政務(wù)外網(wǎng)IPv6訪問通路，為IPv6應(yīng)用上線奠定基礎(chǔ)。

構(gòu)建集約化、高品質(zhì)、智安全的下一代電子政務(wù)外網(wǎng)

1.基于IPv6構(gòu)建集約高效的政務(wù)基礎(chǔ)設(shè)施

一方面統(tǒng)一承載，進行集約化建設(shè)，通過為全網(wǎng)業(yè)務(wù)系統(tǒng)的服務(wù)器、終端等分配唯一的IPv6地址，實現(xiàn)政務(wù)非涉密業(yè)務(wù)通過統(tǒng)一的政務(wù)云、政務(wù)外網(wǎng)來承載，實現(xiàn)政務(wù)資源的集約化。

另一方面數(shù)據(jù)大集中，提升政務(wù)業(yè)務(wù)效率，在每個服務(wù)器和終端具有唯一的IPv6地址后，實現(xiàn)扁平化的架構(gòu)，不同層級的服務(wù)器和終端等可以直接通信，提升政務(wù)業(yè)務(wù)的處理效率。

2.通過IPv6+，實現(xiàn)高品質(zhì)政務(wù)體驗

一是網(wǎng)絡(luò)切片保障重保業(yè)務(wù)質(zhì)量，通過網(wǎng)絡(luò)切片技術(shù)，為重保業(yè)務(wù)提供獨立的帶寬資源，在其他業(yè)務(wù)出現(xiàn)擁塞時，不影響重保業(yè)務(wù)的質(zhì)量。

二是提高專線利用率，基于SRv6分段路由技術(shù)，實時采集整網(wǎng)鏈路的時延、丟包等質(zhì)量信息，并自動進行優(yōu)化，提升專線帶寬利用率，降低運營成本。

三是隨流檢測提升管理運維效率，通過iFIT隨流檢測技術(shù)，實時檢測業(yè)務(wù)的質(zhì)量，結(jié)合APN6（IPv6應(yīng)用感知網(wǎng)）技術(shù)，將視頻會議等終端與網(wǎng)絡(luò)深度協(xié)同，實現(xiàn)應(yīng)用端到端可視和運維。

3.依托IPv6+安全優(yōu)勢，提供精準安全管控和溯源

全網(wǎng)終端具有唯一的IPv6地址，通過安全監(jiān)測分析平臺，實時檢測網(wǎng)絡(luò)威脅，精準溯源到終端位置，對異常終端進行阻斷，杜絕異常外聯(lián)及跨網(wǎng)攻擊的發(fā)生；利用IPv6地址豐富的擴展字段，可以攜帶用戶ID等信息，再通過用戶ID等信息，對用戶進行精準的認證和威脅防護。