门户网站IPv6改造探索与实践

门户网站IPv6改造探索与实践

肖中杰

上海国际港务（集团）股份有限公司，上海  200080

摘要：众所周知，IPv6具有快速、可控、可追溯等优点。它可以有效地解决IPv4网络地址耗尽、服务质量难以保证等制约性问题,被公认为下一代互联网演进解决方案。2020年7月上海市发布《上海市推进互联网协议第六版（IPv6）规模部署三年行动计划（2020-2022 年）》（以下简称《行动计划》），计划通过三年时间，统筹推进上海市IPv6的发展，形成独立的下一代互联网技术体系和产业生态，实现下一代互联网在经济社会各领域深度融合和应用。本文主要探讨集团门户网站在IPv6升级改造中的部署方案、特点分析和最终成果。

关键词：门户网站；IPv6；双栈；隧道；翻译

0 引言

《行动计划》提出开展基础网络IPv6改造、推动应用服务IPv6改造、加强IPv6网络安全、促进IPv6技术产业发展等主要任务。2021年底，推进上海市重点企业的外网网站全面完成IPv6改造，对互联网应用支持IPv6提出明确的要求，并设定相应的时间，在下一轮网络设备和业务系统更替时同步实施。

1 IPv6改造技术路径

由于地址设计原因，IPv6网络无法平滑实现过渡，IPv4网络无法访问到IPv6网络，所以为了向IPv6网络逐步演进，出现了三种主要的过渡技术，分别是双栈、隧道和翻译。可以使用其中一种，或多种技术混合使用来实现IPv4向IPv6过渡。目前，IPv6升级改造主要有三种技术方法：

1.1双栈技术

双栈模式工作原理可以简单概述为：如果目的地址是一个IPv4地址，则使用IPv4地址；如果目的地址是一个IPv6地址，则使用IPv6地址。当使用IPv6地址时有可能需要进行封装处理。

双栈技术是所有过渡技术的基础，支持灵活启用或禁用节点IPv4/IPv6功能，可以很好地过渡到纯IPv6环境，被认为是对网站IPv6升级技术最彻底的改造。然而，它需要所有节点都支持双栈，这可能涉及服务器和网络设备的升级，并且需要大量的投资和较长的转换期。作为一种长期演进技术，在短期内更适合架构和服务相对简单的网站IPv6升级。

1.2 隧道技术

隧道技术是指将另一个协议包的报头直接封装在原始数据包报头之前，从而可以在不同协议的网络上直接传输。此机制用于通过IPv4网络连接IPv6站点。站点可以是一个主机，也可以是多个主机。

隧道技术的优点是网站只需要增加一个IPv6隧道服务器，应用系统本身基本不受影响，便于快速部署，缺点是用户需要安装相应的IPv6隧道软件，通用性和便利性有限，无法解决“天窗”问题。该技术主要适用于C/S模式或用户可以安装终端的场景，但不适合大规模部署。

1.3 翻译技术

又称转换技术，在IPv6用户和IPv4网站之间部署协议翻译设备，来建立IPv6和IPv4地址和端口之间的映射，从而实现透明的IPv6和IPv4通信。

翻译技术由无状态IP/ICMP翻译技术（SIIT）和动态地址转换（NAT）技术结合和演进而来，SIIT 提供IPv4和IPv6之间的一对一的映射转换，NAT-PT支持在SIT基础上实现多对一或多对多的地址转换。

无论物理位置如何，该技术都可以灵活部署。网站只需要在其授权的DNS中添加相应的AAAA记录。此外，它还可以解决网站中外部链接导致的内容丢失问题（“天窗”问题），并且比其他转换技术具有更好的用户体验。

2 IPv6改造实现方式

2.1 仅改造网络边界

在网络出口部署负载均衡NAT64转换设备，实现IPv6到IPv4转换，只需出口设备和NAT设备支持双栈协议即可，实现内网客户端IPv6或Pv4的选路。不需要修改原有IPv4 业务系统，并且在域名服务提供商上添加AAAA记录指向负载均衡 NAT64转换设备配置的IPv6 地址；IPv6用户访问目标网站，经DNS解析调度后，转向访问负载均衡NAT64转换设备的IPv6地址，负载均衡NAT64转换设备在协议转换后将IPv6数据转换为IPV4，并将数据转发给内联网上的IPV4用户。

2.2 改造至业务边界

通过在IPV4业务区前端部署负载均衡，原有IPv4业务系统不需改造，通过负载均衡设备的NAT-PT功能，将IPv6访问请求转换为IPv4，但是负载均衡设备以上网络、安全设备需支持双栈协议。防火墙通过IPv4/IPv6协议，对双栈数据报文进行访问控制、路由转发、流量管理.

2.3新增IPv6平面

新建一个纯IPv6网络平面，在新增IPv6平面中部署两台NAT64负载均衡转换设备，复用IPv4现有的应用系统，原有IPv4 业务系统不需修改.外网的IPv6访问流量通过新建的IPv6网络平面进入到内网，再由NAT64负载均衡转换设备，将IPv6访问请求转换为IPv4转发到内网，但是NAT64负载均衡转换设备以上网络、安全设备需要支持IPv6。

2.4 新增IPv6平面并改造业务

将门户网站进行IPv6改造，并新建一个IPv6平面且在内网新建一个IPv6业务区，将已改造完成的IPv6门户网站部署迁移到IPv6区域，暂未改造完成的业务系统依旧部署在IPV4区域。满足门户网站IPv6线路接入访问，有效防范IPv6安全风险要求，采用双平面由IPv4向纯IPv6网络过渡，降低改造对业务产生的影响，后续可以直接切换到IPv6的网络中，充分考虑未来2-3年的业务层面的改造。

3 改造内容对比

4 改造实现及最终成果

4.1 改造实现

每种改造技术和方案都有其优缺点，因此需要根据实际需要在不同的场景中选择不同的改造技术：

（1）在新建业务系统的场景中，建议使用双栈技术，可以同时支持IPv4和IPv6；

（2）在多个孤立IPv6网络互通的场景中，若需多个IPv6数据中心的互联，可以采用隧道技术，将IPv6数据封装到IPv4网络上传输，以减少部署的成本和压力；

（3）对于在线业务系统，可以使用地址协议转换技术，低成本，实现快。

综合考虑，本次建设使用仅改造网络边界的改造方案，启用IPv6&IPv4双栈支持，完善现网的IPv6的建设，符合《行动计划》要求。本次改造新增4台负载均衡设备，分为两个功能区：

（1）双机部署在出口侧，作为互联网出口。该设备部署区主要承担：IPv6-IPv4地址转换区，链路负载能力。

（2）双机部署旁挂出口侧，作为IPv6 DNS域名解析。

4.2 改造成果

通过本次改造，实现了集团门户网站可通过IPv6客户端访问，可完成IPv6 DNS解析，并正常访问；同时，满足域名IPv6支持度、可访问性、IPV6和IPV4的一致性、访问稳定性、地址溯源能力等各项考核指标。

4.3 改造方案优势

通过负载设备进行IPv6改造，从技术层面解决了IPv6改造的两大难题：

（1）天窗问题：即通常的IPv6改造难以解决页面中子链接的IPv6支持度问题，常常发生主域名IPv6改造虽然已经完成，但是其子链接仍存在IPv6不支持的情况。通过上述方案的整改，可以满足主域名下所有子链接的IPv6访问支持，实现网站层面IPv6整改的全覆盖。

（2）审计问题：常规改造下，无法对IPv6用户的IP地址做到行为溯源，这是由于其入口地址均作了地址转换，相当于所有访问地址均为转换设备的IP地址，无法满足对IPv6地址的行为审计要求。通过上述方案进行修改时，通过独有的字段插入技术，可以确保每个IPv6地址的识别与透传，确保内部审计设备能够审计到IPv6用户的具体业务行为。

5 结论

本次改造方案的本质是通过负载均衡设备进行改造，设备本身具备链路负载功能，结合集团现网两条不同运营商线路，实现了线路的负载均衡，匹配具体的负载策略，便于进行策略优化和链路优化。

后续会根据国家政策、技术成熟度、业务需求等实际情况统一规划、分布实施，过度阶段采用转换技术，成熟阶段采用双栈技术，最终实现集团所有信息系统用户侧和应用侧的IPv6升级改造，为统筹推进 IPv6 发展，实现下一代互联网在经济社会领域的深度融合应用做出贡献！

参考文献

[1]《推进互联网协议第六版（IPv6）规模部署行动计划》中共中央办公厅、国务院办公厅印发.

[2]《上海市推进互联网协议第六版（IPv6）规模部署三年行动计划（2020-2022年）》上海市委网信办、上海市发展改革委、上海市经济信息化委、上海市通信管理局联合印发.

[3]付明腾.一种基于SPACE6的政府网站群IPv6改造方案[J].《电脑知识与技术》,2014年.26期:15_16+28.

[4][美] Joseph Davies 著，汪海霖 译.深入解析IPv6（第3版）[M].北京：人民邮电出版社,2014.