ipv6改造方案，如何让网站支持ipv6-威尼斯5994

基于ipv4的互联网面临网络地址消耗殆尽、服务质量难以保证等问题，ipv6能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用威尼斯5994的解决方案。2017年11月，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（ipv6）规模部署行动计划》，明确提出我国ipv6规模部署的总体要求、重点任务和实施步骤。

 

工信部于2018年4月印发关于贯彻落实《推进互联网协议第六版（ipv6）规模部署行动计划》的通知，并于2019年开展ipv6网络就绪专项行动，对lte网络和固定网络基础设施、终端设备、应用基础设施等提出工作要求。

 

人民银行、银保监会和证监会于2018年12月联合印发《关于金融行业贯彻落实<推进互联网协议第六版（ipv6）规范部署行动计划>的实施意见》，要求金融机构加快推进基于ipv6的下一代互联网在金融行业规模部署，促进互联网演进升级与金融领域的融合创新。

 

ipv6原理简析

ietf于1990年开始规划ipv4的下一代协议，并在1994年正式提议ipv6发展计划，该计划在1996年8月10日成为ietf的草案标准。1998年12月，ipv6被ietf正式推出，即互联网标准规范rfc2460。ipv6地址长度为128位，在一定程度上增加了开销，但巨大的地址空间在地址分配上具备更多的灵活性，可以解决ipv4网络地址资源数量不足的问题。与ipv4相比，ipv6具备地址空间更大。二是头部格式更为简化，同时取消校验和字段，以减少路由器中的分组处理时间。三是对任选项支持灵活，并且增加了流标签字段来识别某些对qos有一定要求的分组流。在安全性方面，支持内置的认证和机密性。四是ipv6支持长度超过64k字节的载荷，从而支持更大的分组，并且路由器仅在源端分段，不执行分组分段。当一个分组需要被分段时，源端可以检查路径上的最小mtu，执行必要的分段。

 

ipv6改造的难点

一是协议兼容性。ipv4与ipv6在报文头格式、地址格式、协议栈存在较大差异，两者地址无法兼容，在推进ipv6改造过程中，不能直接实现协议的升级换代，必须通过中间过渡的技术方案。

 

二是地址规划。ipv6规模部署后需申请专用ipv6地址段，由于地址规模较大，既要保证规划要与当前ipv4网络设计吻合，降低风险，又要考虑业务类型增加和用户数增长，合理的预留地址空间，同时更要考虑地址使用的安全性。

 

三是网络架构。由于协议不能兼容，在设计网络架构时，要保证现有ipv4应用的正常使用，又要保证网络的可扩展性、稳定性和可扩展性，必须支持ipv4与ipv6网络的平滑过渡。

 

四是安全性。当前金融机构在ipv4网络下一般都建立了较为完整的安全防护体系，但ipv6相关软硬件仍处应用初期，尚不具备较为完善的安全机制，例如ipv6地址标识较为复杂，流量清洗、入侵检测等基于网络地址标识解析的传统手段将面临挑战，同时ipv6的新特性也可能带来扩展头攻击等新型安全风险。

 

五是实施复杂。网络层面，要考虑现有路由器、交换机、防火墙、负载均衡等网络设备对ipv6的支持程度，以及相应的软硬件升级或更换；应用层面，要考虑操作系统、数据库、web中间件等软件基础设施对ipv6的支持程度；代码层面，在开发或改造时需要对报文格式、api调用、字段长度等进行重点考虑。

 

ipv6改造技术方案

ipv4向ipv6升级演进是一个长期过程，ipv4和ipv6将长期共存，目前通常采用隧道、地址协议转换、双栈等技术方案实现ipv4向ipv6的过渡，保障ipv4和ipv6网络间的相互通信。

 

1.隧道技术

 

在隧道机制中，ipv6数据包被封装在ipv4数据包中，实现ipv6数据包在ipv4网络中传输。此种方式适用于孤立的ipv6网络之间，通过ipv4网络进行通信，沿途经过的网络设备不需要改造。

 

2.地址转换/协议转换

 

通过修改协议报文头等方式，实现ipv4和ipv6的网络地址转换和协议转换，使ipv4和ipv6网络能够互访。此种方式可仅针对ipv6和ipv4边界网络设备进行改造，或在边界网络部署专用的转换设备，改造难度相对较小。

 

目前常用的ipv6/ipv4转换技术为nat64，可实现tcp、udp、icmp协议下的ipv6与ipv4网络地址和协议转换。nat64一般只支持ipv6网络侧用户发起连接访问ipv4侧网络资源，但也支持通过手工配置静态映射关系，实现ipv4网络主动发起连接访问ipv6网络。nat64通常与dns64协同工作，dns64将dns查询信息中的a记录（ipv4地址）合成到aaaa记录（ipv6地址）中，返回合成的aaaa记录用户给ipv6侧用户。

 

在实现nat64时，通常会部署nat64网关，分别连接到ipv4网络与ipv6网络的网关，并维护ipv6到ipv4的地址映射。ipv6网络的流量经由网关路由，其对两个网络之间传送的分组进行所有必要的翻译。地址映射方式主要分为静态与动态两种，静态映射需要提前完成一对一转换，并且需要手工维护地址转换表。在动态映射中，nat64网关收到ipv6报文后，使用地址转换算法提取ipv6报文目的地址中的ipv4地址，根据策略配置的映射关系，动态的从ipv4地址池中选取一个地址做内网报文的源地址，最终在将ipv6报文转换为ipv4报文后进行转发。

 

3.双栈

 

双栈技术是指在网络层及应用层全部软硬件设备进行整体改造，同时支持ipv4和ipv6两个协议栈，能够同时处理ipv4和ipv6数据包，应用服务器既能与支持ipv4协议的客户端通信，又能与支持ipv6协议的客户端通信，真正实现同时支持ipv6/ipv4访问，是改造最为彻底的方案。

 

ipv6改造技术路径探讨

根据一行两会文件要求，到2019年底，金融服务机构门户网站支持ipv6连接访问；到2020年底，面向公众服务的互联网应用系统支持ipv6连接访问；自2021年起，持续推进ipv6规模部署。

 

1.在网络层面及网络边界处进行改造

 

在互联网出口进行双栈改造和部署nat64，改造工作量相对较小，能快速提供ipv6服务，降低对现有业务的影响。

 

首先，在互联网接入区出口进行翻译转换，互联网接入区保持ipv4网络不变，在出口新增nat64设备或通过域名服务商完成ipv6到ipv4的转换。

 

其次，互联网接入区内部设备完成翻译转换，利用互联网接入区防火墙等网络安全设备完成ipv6到ipv4的转换，内部web服务器不需进行改造，仍为ipv4网络。

 

第三，互联网接入区新建ipv6接入区和dmz区，ipv6接入区为单栈，新建dmz区部署双栈，ipv4和ipv6用户分别使用不同的区域接入。

 

2.应用层面改造

 

互联网系统普遍为web、app、db三层结构部署，除网络层面外，可在应用层面进行更进一步的双栈改造。

 

首先对web服务器前端进行双栈改造，应用服务器和数据库保持ipv4部署，web服务器通过ipv4与应用服务器和数据库进行通信，此时需对网络、安全设备及dns服务器双栈改造，添加aaaa记录，提供ipv4/ipv6dns解析服务。

 

其次对web服务器、应用服务器、数据库全部进行双栈改造，web服务器、应用服务器、数据库间ipv4/ipv6双栈通信。服务器操作系统对ipv6的支持度主要包括是否安装ipv6协议栈、是否支持dhcpv6等，目前主流操作系统均支持ipv6。主流的web中间件和数据库也支持ipv6，但需升级版本，根据下一代国家互联网工程中心的报告，部分web服务器软件和数据库对ipv6的支持度如下表。

 

实战 | 金融机构 ipv6 改造方案分析

表 部分 web 服务器软件和数据库对 ipv6 的支持度

 

结语