村镇银行 IPv6 改造过程中的思考建议 附IPv6网络体系结构及网络改造的思考

辖内村镇银行已于2019年至2020年分别完成对IPv6的硬件基础设施、网站域名IPv6支持、申请IPv6链路等相关工作，并搭建IPv6测试平台，目前已实现门户网站IPv6的全面改造，完成部分应用系统IPv6升级，改造项目均符合IPv6技术要求，当前改造效果良好，但仍存在一些问题。村镇银行IPv6改造技术路线辖内村镇银行在IPv6项目升级改造过程中，考虑其现有业务体量和核心信息系统整体结构等情况，决定采用NAT64方式的IPv6改造方案。具体步骤如下：一是运营商添加上行IPv6网关；二是新购F5BIG-IPLTM设备，实现IPv6到IPv4的NAT64转换，同时发布IPv4和IPv6的服务器到互联网；三是新购F5BIG-IPDNS,实现IPv4的A记录解析和IPv6的AAAA解析；四是复用现有的网络安全设备，所有网络安全设备都需要支持IPv4与IPv6协议；五是从F5BIG-IPLTM以下均采用原有IPv4网络设备；六是内部网络设备替换为全部支持IPv6功能的网络设备。改造过程中因NAT64方案的技术特性，村镇银行对其整体网络结构改动较小，投入资金少，改造周期短，在较快时间内完成IPv6改造部署上线。IPv6出口链路改造使用运营商ISP直接分配IPv6地址段的方式进行改造，其业务系统出口路由器使用IPv6地址段，其它网络、应用设备使用IPv4地址段。村镇银行IPv6改造建议为进一步提升村镇银行IPv6项目升级改造效果，有效落实《推进互联网协议第六版(IPv6)规模部署行动计划》，统筹做好IPv6升级改造指导工作，在村镇银行IPv6改造过程中应重点注意以下几个方面。一是村镇银行要充分认识IPv6项目建设改造的重要性，深刻领会IPv6建设是互联网演进升级的必然趋势，是网络安全能力强化的迫切需要，是国家网络安全战略的重要基石。树立科技创新推动业务的创新思想，提高IPv6工作的统一协调，加强改造工作的重视程度，完善改造升级技术方案和制定长远的实施规划,对IPv6改造过程中的重大问题进行统一的决策部署。二是村镇银行要全面制定掌控技术实施方案和改造路线，充分认清第三方信息托管机构仅是信息系统的托管方，在IPv6系统改造建设中不能完全依托托管机构制定技术方案,应从自身角度出发，充分摸清本机构核心信息系统建设情况、网络结构和托管方信息建设架构，并根据情况制定本机构IPv6改造技术实施路线和改造方案；严格要求托管机构按照IPv6改造技术方案实施，针对目前IPv6中NAT64改造方案缺陷，如：“天窗问题”和“溯源问题”等，采用成熟的技术手段予以解决，提高IPv6改造效率，实现全面掌控、持续推进。三是加强科技队伍建设力度，重视科技人员技术培训，重点学习前沿技术应用、网络发展趋势、网络安全等内容，加强IPv6改造工作中各项文件、规范的学习培训，对IPv6改造的重要意义、技术规范、总体要求和实施步骤重点学习，从多维度提升科技人员知识面，满足当前金融科技发展需要，安排专人负责信息科技工作，有效地充实科技力量，提高整体IPv6改造工作的效率。四是村镇银行IPv6改造方案中，要进一步升级改造现有网络安全设施，提升感知、溯源、处置、防范能力，强化地址管理，建立地址申请、分配制度，强化针对IPv6特有攻击的防范能力，重新规划建设WEB应用服务器、防火墙、入侵检测防护等设备，预防IPv6协议攻击特有的网络安全风险。五是村镇银行在IPv6升级改造过程中都应进行业务系统全生命周期IPv6测试工作。在升级改造前，应对业务系统服务器、网络设备、操作系统、数据库等进行IPv6支持程度测试，对支持程度不高的业务系统设备进行优化升级。改造过程中，对改造内容完成逐项测试，确保业务系统改造程度满足IPv6改造各项标准。改造完成后，对改造业务系统所有功能进行IPv6访问量、成功率、访问对话时长、业务系统一致性等全面测试，测试用例应准确、全面、细致,满足IPv6业务系统改造要求。IPv6网络体系结构及网络改造的几点思考摘要：文章简单分析了IPv6网络体系结构及其通信网路方案的主要特点，并结合油田企业数字化与信息中心的实践经验，从IPv6网络的总体改造思路、细节改造设计、安全性方案设计这几方面入手，对IPv6网络体系结构的网络改造要点内容进行了着重说明，旨在更好缓解IPv4的IP地址短缺问题，实现IPv6与IPv4业务的兼容。关键词：IPv6网络;IPv4网络;网络改造;智慧油田引言：在当前的智慧油田建设中，无论是地质云、无人生产，还是智能生产决策、油藏仿真等业务，均对于物联网的部署极为依赖，引入的物联网终端数量大幅上升。基于这样的情况，原有的IPv4网络无法满足现阶段智慧油田的运行需要，难以应对物联网对IP地址近乎无尽的需求。此时，人们将目光逐步转向IPv6油田通信网方案方面，旨在彻底解决IP地址短缺问题，并同时为智慧油田发展实现坚实基础。一、IPv6网络体系结构IPv6网络为互联网工程任务组所设计的用于替代现行版本IP协议（即IPv4网络）的新一代协议，相比于IPv4网络来说，IPv6网络最为明显的应用优势为:与IPv4网络所拥有的40亿个地址相比，IPv6网络这一新版本的互联网协议能够提供更多的地址，一般可以达到3409兆兆兆，能够实现对当前互联网现实需求的更好满足，有效避免地址不充足的问题发生。一般来说，基于油田生产的IPv6通信网络方案的特点主要集中在以下几方面：第一，平滑过渡。在使用IPv6展开对局域网、城域/广域网络的改造过程中，不会对原本IPv4的业务提供造成负面影响。第二，安全坚固。IPv6网络相比于IPv4网络的功能性、稳定性更为理想，可以达到对生产网络中所有针对IPv4存在的安全威胁因素进行彻底解决的效果。第三，统一易管。对于IPv6网络体系结构来说，其可以参考采油厂+作业区+井口编号的方式为的传感器编写地址，方便后续统一管理，并同时提升管理工作的直观性。二、IPv6网络体系结构的网络改造要点内容探究（一）IPv6网络的总体改造思路当前，受到人工智能技术成熟度持续提升的影响，其在油田建设中逐步得到应用，促进数字化油田转变为智慧油田。同时，在大量物联网终端加入网络的大背景下，如果依旧沿用IPv4网络，则会造成较为明显的地址短缺问题发生，从而限制油田生产网络的发展。基于这样的情况，部分油田企业在生产网络部署方面引入NAT,以此实现对地址矛盾的暂时性缓解，但是这样的处理方式也会同时带来大量问题，具体如下：第一，NAT的加设促使原有网络端到端的稳定性连接结构被破坏，直接使得对生产网络各终端的直接性访问与控制难度大幅增高。第二，NAT的引入进一步加剧现有网络结构的复杂性程度，造成难以实现对全网的统一管理问题发生概率上升。第三，NAT的设置促使部分网络拓扑结构被隐藏起来，因此潜在的安全隐患问题更为严重。在这样的大背景下，利用IPv6网络对油田通信网的构建方案展开优化升级受到更多关注。对于IPv6网络而言，其主要使用了双栈、隧道以及地址翻译等技术，通过对生产网络与指挥调度中心、数据中心以及城域/骨干网络进行技术升级改造，同时利用IPv6网络承载油气田生产业务，能够实现对原有IPv4网络地址不充足问题的有效处理，为智慧油FT1的实现提供支持。（二）IPv6网络的细节改造设计.生产网络与指挥调度中心改造部署对现行生产网络中存在着的RTU、接入层、汇聚层、核心层等节点展升级处理，促使其转化为支持IPv6的设备，并通过IPv6协议的使用，促使所有物联网终端的数据迅速、全面传递至IPv6应用平台数据中心内汇总。在调度中心内，针对所有终端加设IPv6以及IPv4双协议栈，在此基础上，对所有网络节点同时展开升级处理，引入可以支持IPv6以及IPv4双栈的设备。依托这样的改造方式，相关人员可以在数据中心生产业务平台中的IPv6业务进行访问的基础上，能够对原有IPv4办公业务进行兼容。.数据中心改造部署依托分区域改造的模式展开对数据中心的优化改造，划分并搭建起无人值守生产、基于IPv6的地质云、油藏仿真、视频监控等多个业务的服务器区域;在此基础上，对接入层、汇聚层的节点展开升级处理，在其中引入IPv6设备。其中，对于核心层来说，在完成技术改造后该层可以支持IPv6以及IPv4双协议栈，由此实现对各个生产驻地网络上传数据现实需求的切实满足，同时为相关工作人员展开调度指挥网络访问操作的落实提供支持。需要注意的是，针对其他办公等原有业务区域的网络，不需要配套展开升级改造处理，因为依托IPv6的数据中心改造不会对原有业务的展开造成影响。.城域/骨干网络的改造部署在展开城域/骨干网络的改造过程中，可以选用的方式主要有三种，具体包括：第一，全网改造，这种改造部署方案一般在企业存在光纤资源的条件下引入,且需要保证预算充足。第二，MPLS边缘层改造，这种改造部署方案的适用基本条件为现有网络中完成了MPLS的部署，相比于全网改造方案有着更低的成本消耗。第三，不改造广域网络而使用60ver4隧道穿越广域网，这种改造部署方案在租用运营商的网络中更为适用，针对一些不方便展开广域网改造的网络也可以选用隧道穿越现网的方案。相比于全网改造以及MPLS边缘层改造来说，隧道穿越现网改造所消耗的成本维持在最低水平。在进行这三种改造方案的选择过程中，需要切实参考是否存在自有光纤资源、是否部署MPLS现网情况，以及预算和风险承受能力这三方面内容完成，选择一种更为合适的方案，保证可以与IPv6业务互联互通的基础上，不会对原本IPv4业务的提供产生负面影响。（三）IPv6网络的安全性方案设计为了确保改造后IPv6网络的运行安全平稳性，需要引入如下安全措施，具体有：第一，网络病毒攻击与入侵的抵御。在网络出口区域加设防火墙，同时配套引入多样性的网络病毒防控措施。例如，在部分病毒的端口保持不变的前提下，通过利用ACL列表即可关闭传播端口，从而达到避免病毒大范围传播扩散的效果，并以此为基础构建起更为理想、可靠、安全的网络环境。第二，在网络中设置安全口令。实践中，应当尽量设置难度、复杂程度更高的安全口令，以此达到防范病毒在网络内恶意、大范围传播的效果。出于对切实发挥出安全口令实效性的考量，可以选用“用户名+密码”的形式提升口令的安全水平。在此基础上，还应当定期组织对网络安全口令的及时性更新。另外，需要对TELNET权限进行明确，依托ACL的使用，有效控制设备访问权限，只允许拥有专门IP地址的TELNET接入系统网络内，以此达到降低网络系统受到非法入侵问题发生概率的效果，促使IPv6网络可以长时间维持在安全稳定运行的水平下。第三，保证获取唯一的IPv6网络抵制。对于IPv6网络而言，其地址空间保持在较大水平，所以可以实现网络溯源。在企蕖网视域下，任意物联网终端均可以获取到唯一的IPv6地址，并绑定相关信息。在这样的条件下，能够实现真实源地址的验证，提升IPv6主机接入的稳定程度;利用验证接入层IPv6源地址的操作落实，有