IPv6升级改造技术路线建议书(仅供参备考资料)

1、IPv6升级改造技术路线建议书（仅供参考）、国家推进IPv6规模部署的时代背景从2012年开始，APNIC的IPv4地址池基本枯竭，亚太地区的电信运营商无法 再获得批量IPv4地址。由于移动互联网、云计算、大数据、物联网、人工智能等新兴 信息技术持续高速发展，对IP地址资源的需求异常旺盛，电信运营商持有的IPv4地 址快速消耗，被迫大量采取 NAT转换技术来应对IPv4地址缺乏的困境。IPv4地址资源匮乏已经成为数字经济发展的制约因素。 面对IPv4地址短缺的现状，大规模部署IPv6推进互联网向IPv6升级演进是解决IP地址问题的唯一根本性解决方案。2017年9月份党的19大报告中指出，中国特

2、色社会主义进入了新时代；新时代中国共产党的历史使命是实现中华民族伟大复兴；建设科技强国、质量强国、航天 强国、网络强国、交通强国、数字中国、智慧社会；把我国建成富强民主文明和谐美 丽的社会主义现代化强国。2017年11月26 日，中办和国办共同发文，为贯彻落实党中央、国务院关于建 设网络强国的战略部署，特制定推进互联网协议第六版（I Pv6 ）规模部署行动计划。文件指出：IPv6是互联网演进升级的必然趋势；以协同推进IPv6规模部署为主线,以典型应用改造和特色应用创新为主攻方向，实现互联网向IPv6演进升级，构建高速、移动、安全、泛在的新一代信息基础设施，为网络强国建设奠定坚实基础。两办推进I

3、Pv6规模部署行动计划明确了两点，第一是要进行大规模部署, 推进中国信息基础设施向IPv6整体演进升级。第二是要政府带头，应用牵引，协同 推进。各级政府机构、运营商、广电、ICP、IDC、ISP等都要行动起来，真抓实干, 推进IPv6规模部署和演进升级，为网络强国建设奠定基础。推进IPv6规模部署行动计划提出五项重点任务，其中第一项重点任务就是: 加快互联网应用服务升级，不断丰富网络信源 。具体包括:重点任务具体内容1）.升级典型应用推动用户量大、服务面广的门户、社交、视频、电商、搜索、游 戏、应用商店及上线应用等网络服务和应用全面支持IPv6。2）升级政府网站升级政府、中央媒体、中央企业网站

4、。强化政府网站、新闻及广 播电视媒体网站和应用的示范带动作用，在相关政府采购活动中明确提出支持IPv6的具体需求，积极开展各级政府网站、新 闻及广播电视媒体网站、中央企业外网网站IPv6升级改造。3 ）.创新特色应用支持地址需求量大的特色 IPv6应用创新与示范，在宽带中国、“互联网+ ”、新型智慧城市、工业互联网、云计算、物联网、智能制造、人工智能等重大战略行动中加大IPv6推广应用力度。推进IPv6规模部署行动计划第四部分：实施步骤（一）：“2017年2018 年重点工作”要求:2018重点工作具体内容典型互联网应用升级鼓励和支持国内龙头互联网企业制定并发布主流互联网应用IPv6升级计划

5、明确“十三五”期间年度工作时间表。政府网站升级改造省部级以上政府网站IPv6改造。初步完成国家电子政务外网改 造，完成中央部委、省级政府门户网站改造。新建电子政务系 统、信息化系统及服务平台全面支持IPv6。新闻广播电视媒体网站升 级改造省级以上新闻及广播电视媒体网站IPv6改造。完成中央及省级新闻宣传媒体门户网站改造，新建新闻及广播电视媒体网络信息系统全面支持IPv6。央企网站升级改造完成中央企业门户网站和面向公众的在线服务窗口改造，加快企业生产管理信息系统等内部网络和应用的IPv6改造。两办推进IPv6规模部署行动计划文件明确了 “应用拉动、政府先行”的原则, 政府网站要率先支持IPv6访

6、问，带动商业网站支持IPv6访问，带动IPv6演进升级。三、网站支持IPv6升级的技术策略分析IPv6。根据两办文件部署，2018年要实现中央部委网站、各省级政府网站、中央企业网 站、中央新闻广播电视媒体网站、面向公众的在线服务窗口升级改造支持1、过渡方案：网络地址转换、IP v4/I Pv6协议转换网络地址转换、IPv4/IPv6协议转换技术，是互联网从IPv4向IPv6演进过程中使用比较广泛的一种过渡技术。客观来看，由于v4向v6演进过渡期至少5年时间,所以地址转换/协议转换过渡技术也将在过渡期内长期存在和使用。协议转换技术的特点是：在IPv4网站外部，挂接一台V4/V6翻译转换设备，原

7、有IPv4源站不需修改，把DNS域名解析AAAA记录指向转换设备配置的IPv6地 址；IPv6用户访问目标网站，经DNS解析调度后转向访问转换设备的IPv6地址,IPv6用户。转换设备从IPv4源站读取数据，经过协议转换后发送数据给采用网络地址转换/协议转换技术进行IPv6升级，IPv4源站现有的业务系统、网 站代码均不需要改造，仅需做好以下三项工作:第一、第二、第三、网络层改造：接入IPv6带宽和获得地址，原有IPv4网络架构不改变。设备层改造：1 Pv4源站不变，在网络出口部署IPv6转换设备（双机热备）。DNS启用4A记录：DNS系统启用AAAA记录支持IPv6地址解析。协议转换技术方案

8、的主要工作内容序号改造内容软硬件设备升级时间及成本1网络层改造1. 接入IPv6带宽2. 获得IPv6地址1. IPv6带宽:5万元/G/月2. IPv6地址费0元。2设备层改造1. 路由器可能需要启用IPv6 协议栈2. 增加两台转换设备，采用 双机热备，提咼可靠性。1. 如果转换设备的接入端口在 防火墙内侧，老旧路由器设备 可能需要升级，或购买 IPv6 授权。如果通过交换机直接上 联运营商互联网专线，则不需 升级路由器。2. 配置转换设备，约需要3个工 作日。3业务系统基本上无需改造成本基本为04网站代码基本上无需修改成本基本为0协议转换技术方案的优缺点优点缺点1. 方案简单，快速实施。

9、只需配置2台转换设备，双机热备。IPv4源站不需修改，不 需要对网站整个系统进行全面改造。大约 3-5个工作日即可实现支持IPv6访问。2. 如遭遇来自IPv6网络的攻击，只能攻击到1、 转换技术适用于v4v6演进过渡期，仅实现 web网站支持IPv6访冋，不能代替真正的 v4/v6双栈网站。2、如果网站和应用涉及到物联网应用部署，工业互联网应用部署，不能使用转换方案，/- - '-11- - ' F y / P 7转换设备，不能直接攻击到IPv4源站。必须采用v4/v6双栈技术方案。3.目前信息系统安全等级保护制度暂未更新3、不适用于新建网站。按照两办文件要求，新如何支持IP

10、v6的新版本，使用转换设备不建网站直接采用V4/V6双栈方案，一步到影响政府网站已有的安全等保三级认证。位。不必使用协议转换技术方案。4.技术人员的维护工作量基本不增加。5.可以解决老网站、架构复杂的网站实现支持IPv6访问的难题。2、终极方案：IPv4/IPv6 双栈技术方案网站升级IPv4/IPv6双栈方案，是网站IPv6升级改造的最终目标，是真正实现 了两办推进IPv6规模部署行动计划文件要求的IPv6升级改造目标。也是我们 推崇的最主要的技术方案。网站升级IPv4/IPv6双栈，是系统性的整体升级改造。双栈策略的特点是：全部软硬件设备同时运行IPv4和IPv6两个协议栈，能够同时处理I

11、Pv4和IPv6数据包，实现同时支持IPv6和IPv4访问。双栈升级包括以下方面:第一、网络层改造：制定IPv6网络升级规划,接入电信运营商、教育网的IPv6带宽，获得IPv6地址，制订内部IPv6地址DHCP策略。第二、设备层改造：所有硬件设备均需支持IPv6,全部开启IPv6协议栈。第三、业务系统改造：所有前后台业务管理系统、数据库系统、网络安全系统、 应用系统，全部启用IPv6协议，支持同时运行IPv4/IPv6双协议栈。第四、网站代码改造：对网站代码不能运行IPv6协议栈的部分进行修改。（此项 工作比较复杂易出错，需要特别慎重）升级IPv4/IPv6 双栈的主要工作内容序号改造内容软硬

12、件设备升级工作内容1. 接入IPv6带宽1. 接入IPv6静态/BGP带宽网络层改造2. 获得IPv6地址2. IPv6地址免费。设备层改造业务系统改造网络代码改造1.2.3.4.5.1.2.3.4.5.6.路由器启用IPv6防火墙配置IPv6负载均衡设备启用交换机配置IPv6协议栈策略IPv6策略操作系统启用IPv6协议数据库系统支持IPv6WebCMSDNSWeb1.2.3.4.1.老旧路由器设备可能需升级，或购买IPv6授权。老防火墙可能需升级或淘汰负载均衡设备无需升级老旧交换机需要淘汰更新。很老的数据库可能需要升级中间件系统启用IPv6系统支持IPv6启用AAAA记录防护系统启用IPv

13、6日志统计系统启用IPv61、网页/APP中以IPv4地址直2.3.老Web中间件可能需要升级老CMS系统可能需要升级,WordP ressCMS 系统需更换。4. DNS域名解析支持AAAA记录；如使用ZDNS需启用高级功接写入的文件URL或链接URL更换成域名。2、网页代码中存在无法处理IPv6地址的函数更换成同时程序员修改全站代码。支持IPv4和IPv6的函数和程序。3、程序中存储IP地址的数据空间（IPv4为32位）修改为同时支持IPv4（ 32位）和IPv6 （ 128位）的变量结构、数据库结构或API。所需时间由网站的规模、复杂程度，程序员团队开发水平，决定工作量和升级时间。具体花

14、费时间很难预测。IPv4/IPv6 双栈方案的优缺点优点问题1、IPv4/IPv6双栈是最为彻底的一种网站支1、全系统升级，涉及到软件、硬件、网络、业持IPv6升级改造技术，概念清晰，易于理务管理平台、业务系统、网络安全系统等多解，升级工作一步到位，永久解决问题。是系统的协同，必须要做好升级工作的整体互联网向IPv6演进升级的最终目标。统筹规划、多部门有效协同。2、同时运行IPv4和IPv6两个协议栈，可实2、系统整体升级，可能需要更新软硬件设备,现IPv4对IPv4、IPv6对IPv6的单协议栈投资较高。通信，访问效果较好。3、网管人员可能不熟悉IPv6，需要培训。3、国家要求从2018年起

15、，新建政府网站和应4、网站部分代码需要修改，工作量不好准确用系统必须支持IPv6,因此新建网站和应估计，可能耗时较长。用系统的架构应直接采用双栈。5、防火墙等设备同时启用IPv4和IPv6两套4、网站改造，新建不久的网站、结构不太复杂策略；技术人员的维护工作量增加1倍。的网站，适用于从IPv4改造为双栈。6、不适合对老旧网站、结构复杂的IPv4网站做代码层改造，风险较大。3、过渡期的升级技术路线分析IPv6是互联网演进升级的必然趋势，在从IPv4向IPv6演进的过程中，web网站支持IPv6的升级路线，将经历以下三个阶段:第一阶段：纯IPv4阶段，网站只运行IPv4协议，不支持IPv6用户访问

16、。第二阶段：IPv4/IPv6 双栈阶段，由于IPv4和IPv6在未来十年还将长期共存,所以在过渡阶段，网站需要同时支持IPv4和IPv6访问。2018年是中国互联网向IPv6大规模演进升级的元年，两办文件要求推进TOPICP网站、政府、央企、新闻、媒体网站实现支持IPv6 ,最终建成IPv4/IPv6 双栈网站。在具体实施过程中，根据实际情况，可以采取一步到位直接升级双栈的技术策略，也可以分两步走，采用过渡技术策略，第一步在IPv4网站加挂“v4转 v6”转换设备支持IPv6访问，第二步再升级IPv4/IPv6双栈。第三阶段：纯IPv6阶段，这个阶段的特点是：99%以上的用户都已经使用IPv

17、6 地址和网络，残余的纯IPv4用户很少，因此从维护网络安全、降低运维成本角度, 网站仅配置IPv6-oniy协议，不再运行IPv4协议栈。对于残留的少量IPv4用户,IPv6网站可以外挂一台“ v6转v4 ”转换设备，使IPv6网站支持IPv4用户访问。4、网站IPv6升级的技术路线选择在IPv4/IPv6过渡阶段，不同类型的网站，应根据自身特点和优势，采取不同的IPv6升级策略。海量用户带来海量互联网流量,网络流量不咼，日均浏览量在万网络流量每天浏览量超过10亿次，TOP次到10万次量级。TOP新闻媒体网站的浏览量可达千万次。技术现状'级自建技术实力强大的开发、运信息安全需要符合国

18、家等级保维团队，网络安全技术能力很护管理制度。政府网站受人员编强，反应灵活，有能力及时应对制影响，缺乏足够的技术力量,网络攻击，快速处理各种故障;出现问题后能够快速恢复网站的正常运行。TOPICP与教育网在IPv6方面有长期合作与广泛技术特别是缺乏网络安全方面的咼端技术力量。目前技术人员对IPv6网络不熟悉。交流，熟悉IPv6网络。对于具备条件的单位，可以采用一步到位直接升级IPv4/IPv6技术策略建议步到位直接升级V4/V6双栈对于技术储备不足，准备工作双栈的技术策略。不足、调整预算有难度的单位, 可以考虑采取“两步走”策略。四、实施方案建议根据两办文件要求：2018年初步完成国家电子政务

19、外网改造，包括完成中央部委、 省级政府门户网站改造；完成中央及省级新闻宣传媒体门户网站改造，新建新闻及广 播电视媒体网络信息系统全面支持IPv6 ;完成中央企业门户网站和面向公众的在线服 务窗口改造。IPv6升级改综合各方面的实际情况，秉持实事求是、注重安全、整体规划、分步实施，既 要走得快，也要走得稳的工作原则，对政府、央企、新闻媒体网站支持 造的技术方案，提出如下建议。第一步，政府、新闻媒体网站采用“ IPv4源站+转换设备”支持IPv6访问。由于IPv4网站防护系统已经非常完善，如果发生来自IPv6的网络攻击，只能攻击到转换设备，IPv4源站不会遭受IPv6网络攻击。第二步，预计2018年底或2019年初，国家新的信息系统安全等级保护制度（IPv6版）将会出台，可以遵循新版信息系统安全等级保护