怡红院一区_欧美视频在线观看一区二区三区_精品少妇人妻av免费久久洗澡_日韩女女同性aa女同_内射后入在线观看一区_av无码久久久久不卡网站蜜桃_亚洲欧美日韩一区在线观看_亚洲中文字慕日产2021_免费黄色在线视频_日韩欧美亚洲_欧洲女人牲交视频免费_国产成人无码免费网站

企業(yè)IPv6升級解決方案

中國聯(lián)通研究院

網絡改造技術篇/前沿技術/其他

1 概述

2018年3月12日，國資委印發(fā)了《關于做好互聯(lián)網協(xié)議第六版（IPv6）部署應用有關工作的通知》，要求央企在18年完成門戶網站和面向用戶的在線服務窗口的IPv6改造。2018年5月3日，工信部發(fā)布《推進互聯(lián)網協(xié)議第六版(IPv6)規(guī)模部署行動計劃》通知，鼓勵典型行業(yè)、重點工業(yè)企業(yè)開展工業(yè)互聯(lián)網IPv6網絡化改造，創(chuàng)新工業(yè)互聯(lián)網應用實踐，構建工業(yè)互聯(lián)網IPv6標準體系。為響應國家IPv6發(fā)展，企業(yè)開展基于IPv6的創(chuàng)新業(yè)務，對網絡接入、內部網絡及系統(tǒng)提出新的需求。企業(yè)IPv6升級解決方案根據企業(yè)內部現(xiàn)有網絡及系統(tǒng)情況，提供從內部網絡IPv6升級改造技術路線到企業(yè)系統(tǒng)的IPv6規(guī)劃、升級和部署相關解決方案，以滿足企業(yè)開展IPv6業(yè)務，適用于工業(yè)互聯(lián)網網絡體系中工廠控制系統(tǒng)和工業(yè)云平臺部分。

1.1 背景

2017年11月26日中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，明確了推進IPv6部署的重要意義，提出了部署的總體要求和主要目標，要用5到10年時間，形成下一代互聯(lián)網自主技術體系和產業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應用網絡，實現(xiàn)下一代互聯(lián)在經濟社會各領域深度融合應用。為貫徹落實中共中央辦公廳、國務院辦公廳印發(fā)的《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，加快網絡基礎設施和應用基礎設施升級步伐，促進下一代互聯(lián)網與經濟社會各領域的融合創(chuàng)新，工信部發(fā)布關于貫徹落實《推進互聯(lián)網協(xié)議第六版(IPv6)規(guī)模部署行動計劃》通知，積極推進內部網絡和應用IPv6改造，加快推進企業(yè)生產管理信息系統(tǒng)等內部網絡和應用的IPv6改造，加強IPv6環(huán)境下移動互聯(lián)網、物聯(lián)網、工業(yè)互聯(lián)網、云計算、大數據、人工智能等研究與應用，強化IPv6環(huán)境下網絡安全保障等。物聯(lián)網、移動互聯(lián)網、云計算等新興產業(yè)的發(fā)展都需要海量的IP地址作為支撐，IP地址不足已經嚴重制約著這些處于全球競爭前沿、具有最廣闊前景的新興產業(yè)發(fā)展。隨著物聯(lián)網、移動互聯(lián)網、云計算等業(yè)務不斷發(fā)展壯大，運營商不停地擴大網絡規(guī)模，這也使IPv4地址枯竭的速度更快了，分配殆盡的IPv4地址已經成為制約我國物聯(lián)網、移動互聯(lián)網、云計算發(fā)展的瓶頸。

1.2 實施目標

基于互聯(lián)網協(xié)議第四版（IPv4）的全球互聯(lián)網面臨網絡地址消耗殆盡、服務質量難以保證等制約性問題，IPv6能夠提供充足的網絡地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網商業(yè)應用解決方案。大力發(fā)展基于IPv6的下一代互聯(lián)網，有助于顯著提升我國互聯(lián)網的承載能力和服務水平，更好融入國際互聯(lián)網，共享全球發(fā)展成果，有力支撐經濟社會發(fā)展，贏得未來發(fā)展主動。

推進IPv6規(guī)模部署是互聯(lián)網技術產業(yè)生態(tài)的一次全面升級，深刻影響著網絡信息技術、產業(yè)、應用的創(chuàng)新和變革。大力發(fā)展基于IPv6的下一代互聯(lián)網，有助于提升我國網絡信息技術自主創(chuàng)新能力和產業(yè)高端發(fā)展水平，高效支撐移動互聯(lián)網、物聯(lián)網、工業(yè)互聯(lián)網、云計算、大數據、人工智能等新興領域快速發(fā)展，不斷催生新技術新業(yè)態(tài)，促進網絡應用進一步繁榮，打造先進開放的下一代互聯(lián)網技術產業(yè)生態(tài)。

1.3 適用范圍

企業(yè)IPv6升級解決方案針對企業(yè)內部現(xiàn)有網絡及系統(tǒng)情況，提供從內部網絡IPv6升級改造技術路線到企業(yè)系統(tǒng)的IPv6規(guī)劃、升級和部署相關解決方案，以滿足企業(yè)開展IPv6業(yè)務，適用于工業(yè)互聯(lián)網網絡體系中工廠控制系統(tǒng)和工業(yè)云平臺IPv6升級演進，可應用到企業(yè)智能網絡IPv6組網、智能機器升級、工廠云平臺IPv6改造升級以及工業(yè)互聯(lián)網應用IPv6業(yè)務等。

1.4 在工業(yè)互聯(lián)網網絡體系架構中的位置

企業(yè)IPv6升級解決方案針對工廠控制系統(tǒng)，工業(yè)云平臺IPv6的升級，提供相應的改造方案。在智能機器中，物品應具有4個特性：可識別性、可感知性、可定位性以及可控制性。這四個特性使得物聯(lián)網對地址資源具有以下的特殊需求：工業(yè)互聯(lián)網需要地址資源支持海量性，因為工業(yè)互聯(lián)網中存在著海量的物品，這些物品的數量將以萬億計，而任意的物品之間均可能需要互聯(lián)，互聯(lián)時需要網絡地址用于定位，這些地址也將可能以萬億計；聯(lián)網需要地址資源支持安全性，物聯(lián)網將比互聯(lián)網具有更高的安全需求。 在工業(yè)云體系架構中，隨著虛擬化技術的發(fā)展，一臺物理主機上能夠運行多個虛擬主機，導致云計算所需的IP地址數量成比例增長，亟需海量的IPv6地址資源。利用主機虛擬化技術，能夠在一臺物理主機上運行多個虛擬主機，并且各個虛擬主機之間相互獨立、互不影響，用戶可以在虛擬主機上靈活的安裝任何軟件。通過在流量進出口的匯聚節(jié)點上部署IPv6/IPv4轉換網關，可以面向IPv6用戶，實現(xiàn)IPv6與IPv4協(xié)議轉換。但在云化數據中心中，網絡結構從匯聚變?yōu)楸馄?，流量的進出口數量不再唯一，需要在數據中心所有的流量進出口上都配備IPv6/IPv4轉換網關，這樣使得網絡改造起來較為復雜。另外，轉換網關需要維護處理數據中心內外所有業(yè)務的IPv6與IPv4協(xié)議轉換，對其處理性能也提出了更高的要求。

圖1 工業(yè)互聯(lián)網互聯(lián)示意圖

2 需求分析

根據工信部關于落實貫徹《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》通知，要求發(fā)展工業(yè)互聯(lián)網IPv6應用，選擇典型行業(yè)、重點企業(yè)開展工廠企業(yè)網絡改造，創(chuàng)新工業(yè)互聯(lián)網應用，構建工業(yè)互聯(lián)網IPv6標準體系。在智能機器中，工業(yè)互聯(lián)網需要地址資源支持海量性；在工業(yè)云體系架構中，隨著虛擬化技術的發(fā)展，一臺物理主機上能夠運行多個虛擬主機，導致云計算所需的IP地址數量成比例增長，亟需海量的IPv6地址資源。2018年3月12日，國資委印發(fā)《關于做好互聯(lián)網協(xié)議第六版（IPv6）部署應用有關工作的通知》，要求央企在18年完成門戶網站和面向用戶的在線服務窗口的IPv6改造。

IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經提出了許多機制，它們的實現(xiàn)原理和應用環(huán)境各有側重。目前，應用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。

3 解決方案

互聯(lián)網是關系國民經濟和社會發(fā)展的重要基礎設施，深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家，在技術研發(fā)、網絡建設、應用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎和條件。抓住全球網絡信息技術加速創(chuàng)新變革、信息基礎設施快速演進升級的歷史機遇，加強統(tǒng)籌謀劃，加快推進IPv6規(guī)模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網，是加快網絡強國建設、加速國家信息化進程、助力經濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。工業(yè)互聯(lián)網作為新一代信息技術與實體經濟深度融合的制高點，以及制造業(yè)轉型升級的主攻方向，成為IPv6網絡化改造的重點應用場景。

3.1 方案介紹

近年來，全球IPv6產業(yè)鏈條發(fā)展穩(wěn)步推進。在網絡上設備方面，已經覆蓋了IPv4產品的所有類型，包括數據網、固網、移動交換網、移動核心網及安全等，能夠滿足網絡端到端的部署需求；在應用軟件方面，包括操作系統(tǒng)、Web引擎、數據庫、瀏覽器等通用軟件均支持IPv6。根據工業(yè)互聯(lián)網智能工程系統(tǒng)架構情況，設計相應的IPv6升級方案，可根據實際情況通過全面技術升級，將涉及到的業(yè)務各類應用系統(tǒng)和設備升級成支持IPv4和IPv6雙協(xié)議棧，完成基于IPv4和IPv6協(xié)議的業(yè)務互通；或通過技術改造，在IPv6協(xié)議和IPv4協(xié)議間建立映射聯(lián)系，滿足IPv6用戶能夠正確的獲取IPv4資源。

3.2 IPv6升級技術

IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經提出了許多機制，它們的實現(xiàn)原理和應用環(huán)境各有側重。目前，應用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。

雙棧策略是指在網絡節(jié)點中同時具有IPv4和IPv6兩個協(xié)議棧，這樣，它既可以接收、處理、收發(fā)IPv4的分組，也可以接收、處理、收發(fā)IPv6的分組。雙棧策略的優(yōu)點是概念清晰，易于理解，網絡規(guī)劃相對簡單，同時在IPv6邏輯網絡中可以充分發(fā)揮IPv6協(xié)議的所有優(yōu)點（如安全性、路由約束、流的支持等方面）。

隧道策略是IPv6升級中經常使用到的一種過渡機制。所謂“隧道”簡單地講就是利用一種協(xié)議來傳輸另一種協(xié)議的數據的技術。隧道技術主要實現(xiàn)了在IPv4數據包中封裝IPv6數據包，隨著IPv6技術的發(fā)展和廣泛應用，未來也將會出現(xiàn)在IPv4數據包中封裝IPv6數據包的隧道技術。隧道技術能夠充分利用現(xiàn)有的網絡投資，因此在過渡初期是一種方便的選擇。但是，在隧道的入口處會出現(xiàn)負載協(xié)議數據包的拆分，在隧道出口處會出現(xiàn)負載協(xié)議數據包的重組。這就增加了隧道出入口的實現(xiàn)復雜度，不利于大規(guī)模的應用。

翻譯策略可以分為兩個層面來進行，一方面是IPv4與IPv6協(xié)議層的翻譯，另一方面是IPv4應用與IPv6應用之間的翻譯。前者主要是通過NAT－PT技術實現(xiàn)的，后者則主要通過應用代理網關ALG來實現(xiàn)。NAT－PT實現(xiàn)了網絡層的協(xié)議翻譯；應用代理網關則實現(xiàn)應用層的協(xié)議翻譯，對于不同的應用，需要配置不同的應用代理網關。翻譯技術的優(yōu)點是不需要進行IPv4、IPv6節(jié)點的升級改造，缺點是IPv4節(jié)點訪問IPv6節(jié)點的實現(xiàn)方法比較復雜，網絡設備進行協(xié)議轉換、地址轉換的處理開銷較大。因此，該策略一般是在其他互通方式無法使用的情況下使用。

3.3 企業(yè)IPv6演進

在IPv4向IPv6的演進過程中，為保證業(yè)務平臺的平滑、穩(wěn)定演進，可以采用三種方案：第一種是互通網關方案，保持業(yè)務平臺現(xiàn)有結構不變，通過分別在IPv4和IPv6的網絡邊界部署網關設備，利用IPv4/IPv6翻譯技術接入IPv6用戶；第二種是IPv4和IPv6應用并存方案，業(yè)務平臺中IPv4和IPv6應用并存，使得平臺具備同時支持IPv4和IPv6的功能；第三種是全面升級方案，完成全業(yè)務平臺以及周邊系統(tǒng)IPv6升級，同時要求在IPv4網絡停止運營前,基于IPv4的業(yè)務平臺需要繼續(xù)支持IPv4用戶。

3.3.1 互通網關方案

保持平臺現(xiàn)有結構不變，通過協(xié)議轉換機制（NAT-PT/ALGA）支持IPv6用戶的接入。如下圖所示，通過在IPv4/IPv6網絡邊界部署網關設備，當IPv6終端用戶從IPv6網絡接入，與互通網關建立隧道后，可以使用IPv4網絡中的應用，類似的，當IPv4終端用戶從IPv4網絡接入，與互通網關建立隧道后，可以使用IPv6網絡中的應用。

圖2 基于翻譯技術的IPv6過渡方案

3.3.2 IPv4和IPv6應用并存方案

將業(yè)務平臺升級到IPv6后，IPv4和IPv6應用將并存。如下圖所示，將IPv4業(yè)務平臺的部分應用升級到IPv6，包括對外門戶和接口、核心業(yè)務邏輯，同時為了兼容IPv4用戶以及其它相關系統(tǒng)，保留原有IPv4業(yè)務平臺的對外門戶和接口暫時不變，核心業(yè)務交由IPv6核心業(yè)務邏輯處理。升級完成后，IPv4對外門戶和接口為IPv4用戶提供服務，IPv6對外門戶和接口為IPv6用戶提供服務，核心業(yè)務邏輯升級成IPv6實現(xiàn)共用。

圖3 IPv4和IPv6應用并存的IPv6過渡方案

業(yè)務平臺中IPv4和IPv6應用并存，同時支持IPv4和IPv6用戶的接入。

3.3.3 全面升級方案

一些企業(yè)需要滿足國家政策性要求或者自身發(fā)展需求，需要大量IP地址，對IPv6網絡改造有迫切需求，需要全面升級到IPv6網絡和服務，完成所有業(yè)務平臺和SP應用平臺的IPv6升級改造建設，包括數據中心的所有設備、網絡設備、終端系統(tǒng)和應用系統(tǒng)等全面支持IPv6，同時要求在IPv4網絡停止運營前, 基于IPv4的業(yè)務平臺需要繼續(xù)支持IPv4用戶。

3.3.4 方案對比

圖4 方案優(yōu)劣對比

互通網關方案業(yè)務平臺工作量小，無風險，投入小，能快速實施，比較適合IPv6試商用階段；IPv4和IPv6應用并存方案改造部分業(yè)務平臺，為全面實現(xiàn)IPv6打下基礎，工作量中等，風險小，投入中等，比較適合IPv6規(guī)模商用階段；全面升級方案工作量大，風險大，投入大，只有在IPv6全面商用階段才會出現(xiàn)。

4 成功案例

4.1 案例一 國家電網IPv6升級方案

根據國家電網309家國電系統(tǒng)單位分區(qū)域整合互聯(lián)網出口，增強互聯(lián)網訪問的安全性，消除各分公司、子公司互聯(lián)網出口帶來的安全薄弱點；通過對互聯(lián)網出口整合，實現(xiàn)用戶上網流量統(tǒng)一管理、統(tǒng)一控制，合理、有效、按需分配帶寬，避免帶寬濫用、資源浪費，提升網絡質量；通過對互聯(lián)網出口整合，實現(xiàn)安全事件統(tǒng)一管理，做到事前預防、事中控制、事后追查，避免安全事件重復發(fā)生；并對國家電網100多個系統(tǒng)進行調研，根據系統(tǒng)架構及中間件情況，根據國家電網內部系統(tǒng)的架構有針對性的進行IPv6升級方案，考慮到國家電網系統(tǒng)比較復雜，為保證國家電網能完成平滑演進，采取了分步融合方案。具備改造條件的系統(tǒng)采用IPv4和IPv6應用方案，采用邊界升級方案，通過企業(yè)邊界的防火墻等設備實現(xiàn)NAT64等地址轉換，以最低成本實現(xiàn)IPv6的服務訴求。僅需要改造企業(yè)邊界的防火墻、路由器/交換機、日志審計等必要設備即可，通過邊界防火墻實現(xiàn)IPv6到IPv4的NAT64報文轉換，使得進入企業(yè)內部的流量全部轉換成IPv4流量，企業(yè)內部的入侵檢測、WAF、網絡設備、服務器和終端等設備都不需要改造。對于個別雙棧終端需要訪問外部的IPv6資源時，可以通過ISATAP隧道技術實現(xiàn)雙棧終端穿越IPv4網絡，實現(xiàn)IPv6資源的訪問需求。

圖5 國家電網IPv6改造方案

4.2 案例二 中國聯(lián)通企業(yè)官網IPv6升級方案

為了滿足工信部對央企網站IPv6改造的需求，為用戶提供IPv6業(yè)務，對該企業(yè)內部系統(tǒng)進行調研，根據系統(tǒng)情況，針對不同系統(tǒng)設計相應的IPv6升級方案，并對自己的官網提出了相應的IPV6升級改造要求，并采用互通網關方案。改造的重點在路由、網絡結構和協(xié)議轉換等方面。

圖6 聯(lián)通企業(yè)官網改造方案

路由需要的路徑改造：流量從公網進入資源池核心交換機之后通過靜態(tài)路由到安全等保設備，由于安全等保設備不支持IPv6，于是需要通過添加靜態(tài)路由的方式，把流量引導到直接進入負載均衡上去。在路徑改造之后，為了保證網絡安全，在現(xiàn)有網絡結構上，添加一對防火墻來實現(xiàn)IPv4與IPv6的轉換，位置旁掛于資源池核心交換機或集團門戶匯聚交換機，此方案路由走向需要重新指定，并于防火墻上完成配置。

客戶端以IPv6地址訪問負載均衡（或防火墻）設備的虛地址（IPv6類型）,在負載均衡（或防火墻）設備上做源地址轉換，源地址轉換為SNAT地址池中的IPv4地址后再訪問后端應用服務器。