ipv6升级改造建设方案

ipv6升级改造建设方案

内容介绍ipv6改造面临的问题2.ipv6改造背景1.ipv6成功案例4.ipv6改造建议及思考3.01：国家战略02：政策驱动01ipv6改造背景03：演进路线IPv6全面升级-国家战略目前互联网是基于IPv4的，由IPv4根服务器来管理互联网的主目录，全世界只有13台IPv4时代，中国没有“根”服务器，失去互联网掌控力美国（主）美国（9个辅）欧洲（2个辅）日本（1个辅）IPv4网络下一代互联网，在美国、日本、印度、俄罗斯、德国、法国等全球16个国家设立25台IPv6根服务器（互联网协议第六版）。中国：1主3辅，主根服务器在北京，三台辅根分别在上海、成都、广州中国（1个主）美国（2个辅）欧洲（10个辅）中国（3个辅）美国（1个主）日本（1个主）印度（3个辅）非洲（1个辅）澳洲（2个辅）南美（1个辅）IPv6网络IPv6时代，中国有了根服务器,可以掌控自己的互联网iPv6全面升级-政策驱动十三五规划超前布局下一代互联网，全面向互联网协议第6版（IPv6）演进升级。《国民经济和社会发展第十三个五年规划纲要》（2016-2020年）十三五规划2017年11月26日2018年3月12日2018年5月3日两办发文中共中央办公厅国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》国资委发文国资委【央企发文】关于做好互联网协议第六版（IPv6）部署应用有关工作的通知工信部发文工业和信息化部关于贯彻落实《推进互联网协议第六版（IPv6）规模部署行动计划》的通知iPv6全面升级-政策驱动（续）iPv6建设演进路线04：信息安全方面02：网络改造方面02ipv6改造面临的问题03：应用改造方面01：终端行为方面ipv6终端行为分析01终端行为方面02网络改造方面03应用改造方面04信息安全方面终端对IPv6支持情况双栈情况下，IPv4/IPv6优选哪个链路失败时，是否可以实现IPv4和IPv6平滑切换网络架构的最终目标与过渡方案互联网线路及IP地址的申请IPv6地址规划及配置问题运维管理方面的自动化、可视化IPv6网络安全风险IPv6应用安全风险IPv6运维管理天窗问题客户端地址溯源移动端APP是否支持IPv6？切换session会话处理ipv6终端行为分析ipv6终端行为分析双栈技术实现ipv6访问地址转换技术实现ipv6的访问NAT-64通常是指通过路由器或防火墙设备进行IPV6和IPV4的地址转换，等同于NAT（网络地址转换技术），使用该技术可以实现IPV6用户访问IPV4资源，但是存在无法溯源源IP地址的问题。VIP-64通常在链路负载均衡设备上来实现，原理和NAT64一致，但是在协议层上VIP具备可扩展性，可以插入TCP-Option、X-Forwarded-FOR等特性从而保证客户端地址溯源。地址转换技术-整改思路内容翻译设备实现ipv6访问内容翻译设备

内容翻译设备以代理的形式提供客户端到后端服务器的访问，不存在天窗问题，且无需门户网站改造，给开发人员争取宝贵时间。内容翻译设备本身具备多块网卡和较高的计算存储能力，通过在内容翻译设备上配置IPV6和IPV4地址可以实现2张网络的通信，客户端访问web服务器时实际上是访问内容翻译设备，由内容翻译设备再去访问真实的web服务器获取访问数据。如果门户网站存储在第三方外链时有内容翻译设备向外链方请求数据，并返回给实际客户端。

天窗问题ALG代理方案解决天窗问题应用改造应用改造要求应用至少改造以下内容（具体内容）：以IPv4地址直接写入的文件URL或链接，以DNS域名替换IP地址；或考虑同时支持IPv4和IPv6。网页代码及应用代码中存在无法处理IPv6地址的程序或函数，使用同时支持IPv4/IPv6的函数或程序当前应用存储IP地址的数据空间为32位定长，无法存放128位地址，使用同时支持IPv4/IPv6的变量、数据库结构或API等其他专门处理IPv4的代码（如业务的溯源代码），进行同时支持IPv4和IPv6改造。ipv6改造方案对比序号对比维度地址转换技术方案双栈技术方案新建纯ipv6专区1网络架构改造难度较小，NAT64技术方案对当前网络架构变动较小，可以采用新增ipv6出口区域，包含ipv6DNS解析设备实现4A记录的解析。较高，要求所有的网络及安全设备均支持双栈，要对现网设备做全面评估。/2应用改造难度较小，与应用相关的访问关系仍然是iPv4网络，应用层面基本无需做任何改动。较高，应用需要支持能够被ipv6访问的网络，与ip地址相关的配置文件和代码都需要进行修改。较高，应用需要支持能够被ipv6访问的网络，与ip地址相关的配置文件和代码都需要进行修改。3设备运行压力较高，该方案需要防火墙或者负载均衡设备进行ipv6到iPv4的地址转换，对设备性能会造成额外压力。较高，该方案同时开启iPv4和ipv6两种协议，对设备性能提出了新的要求。对现有iPv4区域影响小，运行稳定性能较高。较低，新网络网络已经完成ipv6适配，不会对设备造成很大压力。4设备成本投入较低，只需要采购互联网出口区域设备即可，新采设备数量较少。较高，需要采购完整的互联网区网络设备和安全设备，一次性投入较高。较高，新建ipv6专区需要新增大量设备。5涉及设备涉及互联网出口区域网络及安全设备。范围较大，涉及各类网络、安全、服务器等。范围较大，涉及各类网络、安全、服务器等。6应用改造应用程序基本无需改造所有与iPv4相关的应用程序都要改成支持ipv6。所有与iPv4相关的应用程序都要改成支持ipv6。7实施难度大中大8部署周期长中中03ipv6改造建议及思考ipv6改造建议（双栈模式）IPv6双栈改造的思路是对网站原有架构的所有组成环节，包括域名服务、WEB服务、安全防护、运营支撑系统等，所有涉及的硬件设备和软件系统，按照双栈技术标准进行升级，完成网站的IPv6改造工作。双栈模式改造实施步骤如下：现状梳理与准备域名服务改造线路及IPv6过渡技术支持改造网络及安全架构双栈改造操作系统双栈改造数据库、中间件、应用、终端app双栈改造网管等周边系统改造IPv6持续建设截至2020年底初期建设阶段自2022年起持续建设阶段截至2021年底规模部署阶段第一阶段建设的技术类型翻译技术

VIP64VIP64是与NAT64技术类型基本一致但在可扩展性上高于NAT64支持XFF插入，以提供金融行业对IP地址溯源的需求。内容翻译设备

内容翻译设备以代理的形式提供客户端到后端服务器的访问，不存在天窗问题，且无需门户网站改造，给开发人员争取宝贵时间。第一阶段ipv6建设方案DDOS设备GSLB全局负载均衡（DNS）应用负载均衡（LTM）内容翻译设备第二阶段ipv6建设方案1第二阶段ipv6建设方案2第二阶段ipv6建设方案-业务连续性方案持续建设阶段-网管等周边系统改造

网管系统、流量分析平台、日志管理等周边系统向IPv6演进过程中仍可暂时延用IPv4地址，但需具备以下功能：

01基于IPv6的识别与管理能够实现各种基于IPv6地址类型的识别和管理

03基于IPv6数据采集能力支持对IPv6设备和双栈设备的性能、资源、故障等数据采集能力02有效访问IPv6MIB允许使用IPv4地址，通过SNMP等网络管理协议，访问相关设备IPv6MIB配置和流量等相关信息04历史数据平滑关联使得双栈设备的各种资源、性能、故障等数据能够与历史数据平滑关联04ipv6成功案例中原银行2019年IPv6改造项目

通过对中原银行IPv6改造，实现互联网区IPv4到IPv6的平滑过渡，解决互联网区在网络能力、网络安全等方面的问题，优化互联网区网络结构，提高外网管理能力、公共服务能力和应急能力。本项目新增高性能设备，替换原有老旧设备，扩容网络带宽，增加冗余网络安全设备，提高网络安全性，使互联网区成为一张结构合理，高可靠性、高安全性，能适应未来5到10年业务发展的优质网络。通过对中原银行互联网区IPv6改造，可以为其今后ipv6升级改造建设积累经验。本次项目改造，涉及部署域名解析设备（DNS64），提供基于IPv4和IPv6的双向解析服务；部署翻译设备，实现IPv4资源与IPv6资源之间进行IP地址互转和端口映射；部署WAF防火墙、边界防火墙、入侵防御（IPS）、链路负载均衡和边界网闸设备等安全防护设备，保障互联网区入口安全；部署交换机，主要用于抗DDOS、负载均衡、WAF防火墙、入侵检测（IPS）、域名解析服务器和翻译设备的汇聚，满足IPv6资源的数据交换。项目介绍项目意义成功案例（部分）序号客户名称项目名称金额时间1中原银行股份有限公司中原银行股份有限公司2019年IPv6改造项目--协议转换设备采购1300000RMB2019年11月1日2中国移动通信集团云南有限公司中国移动云南公司2019年网管支撑网安管平台IPv6改造服务项目530000RMB2019年6月21日3咪咕音乐有限公司咪咕公司2019年IPv6改造工程成都节点单项工程Array改造升级采购合同400000RMB2019年4月18日4中国电信股份有限公司北京分公司2018北京电信IDC网络信息安全配套设备IPv6改造项目300000RMB2018年1月2日5盘古文化传播有限公司搜索应用网站系统IPv6升级改造项目一期工程服务器和交换机采购合同870000RMB2013年5月31日6中国移动通信集团广东有限公司广东公司