基于IPv4的互联网面临网络地址消耗殆尽、服务质量难以保证等问题,IPv6能够提供充足的网络地址和广阔的创新空间,是全球公认的下一代互联网商业应用解决方案。2017年11月,中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,明确提出我国IPv6规模部署的总体要求、重点任务和实施步骤。
工信部于2018年4月印发关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,并于2019年开展IPv6网络就绪专项行动,对LTE网络和固定网络基础设施、终端设备、应用基础设施等提出工作要求。
人民银行、银保监会和证监会于2018年12月联合印发《关于金融行业贯彻落实<推进互联网协议第六版(IPv6)规范部署行动计划>的实施意见》,要求金融机构加快推进基于IPv6的下一代互联网在金融行业规模部署,促进互联网演进升级与金融领域的融合创新。
IPv6原理简析
IETF于1990年开始规划IPv4的下一代协议,并在1994年正式提议IPv6发展计划,该计划在1996年8月10日成为IETF的草案标准。1998年12月,IPv6被IETF正式推出,即互联网标准规范RFC2460。IPv6地址长度为128位,在一定程度上增加了开销,但巨大的地址空间在地址分配上具备更多的灵活性,可以解决IPv4网络地址资源数量不足的问题。与IPv4相比,IPv6具备地址空间更大。二是头部格式更为简化,同时取消校验和字段,以减少路由器中的分组处理时间。三是对任选项支持灵活,并且增加了流标签字段来识别某些对QoS有一定要求的分组流。在安全性方面,支持内置的认证和机密性。四是IPv6支持长度超过64K字节的载荷,从而支持更大的分组,并且路由器仅在源端分段,不执行分组分段。当一个分组需要被分段时,源端可以检查路径上的最小MTU,执行必要的分段。
IPv6改造的难点
一是协议兼容性。IPv4与IPv6在报文头格式、地址格式、协议栈存在较大差异,两者地址无法兼容,在推进IPv6改造过程中,不能直接实现协议的升级换代,必须通过中间过渡的技术方案。
二是地址规划。IPv6规模部署后需申请专用IPv6地址段,由于地址规模较大,既要保证规划要与当前IPv4网络设计吻合,降低风险,又要考虑业务类型增加和用户数增长,合理的预留地址空间,同时更要考虑地址使用的安全性。
三是网络架构。由于协议不能兼容,在设计网络架构时,要保证现有IPv4应用的正常使用,又要保证网络的可扩展性、稳定性和可扩展性,必须支持IPv4与IPv6网络的平滑过渡。
四是安全性。当前金融机构在IPv4网络下一般都建立了较为完整的安全防护体系,但IPv6相关软硬件仍处应用初期,尚不具备较为完善的安全机制,例如IPv6地址标识较为复杂,流量清洗、入侵检测等基于网络地址标识解析的传统手段将面临挑战,同时IPv6的新特性也可能带来扩展头攻击等新型安全风险。
五是实施复杂。网络层面,要考虑现有路由器、交换机、防火墙、负载均衡等网络设备对IPv6的支持程度,以及相应的软硬件升级或更换;应用层面,要考虑操作系统、数据库、web中间件等软件基础设施对IPv6的支持程度;代码层面,在开发或改造时需要对报文格式、api调用、字段长度等进行重点考虑。
IPv6改造技术方案
IPv4向IPv6升级演进是一个长期过程,IPv4和IPv6将长期共存,目前通常采用隧道、地址协议转换、双栈等技术方案实现IPv4向IPv6的过渡,保障IPv4和IPv6网络间的相互通信。
1.隧道技术
在隧道机制中,IPv6数据包被封装在IPv4数据包中,实现IPv6数据包在IPv4网络中传输。此种方式适用于孤立的IPv6网络之间,通过IPv4网络进行通信,沿途经过的网络设备不需要改造。
2.地址转换/协议转换
通过修改协议报文头等方式,实现IPv4和IPv6的网络地址转换和协议转换,使IPv4和IPv6网络能够互访。此种方式可仅针对IPv6和IPv4边界网络设备进行改造,或在边界网络部署专用的转换设备,改造难度相对较小。
目前常用的IPV6/IPV4转换技术为NAT64,可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。NAT64一般只支持IPv6网络侧用户发起连接访问IPv4侧网络资源,但也支持通过手工配置静态映射关系,实现IPv4网络主动发起连接访问IPv6网络。NAT64通常与DNS64协同工作,DNS64将DNS查询信息中的A记录(IPv4地址)合成到AAAA记录(IPv6地址)中,返回合成的AAAA记录用户给IPv6侧用户。
在实现NAT64时,通常会部署NAT64网关,分别连接到IPv4网络与IPv6网络的网关,并维护IPv6到IPv4的地址映射。IPv6网络的流量经由网关路由,其对两个网络之间传送的分组进行所有必要的翻译。地址映射方式主要分为静态与动态两种,静态映射需要提前完成一对一转换,并且需要手工维护地址转换表。在动态映射中,NAT64网关收到IPv6报文后,使用地址转换算法提取IPv6报文目的地址中的IPv4地址,根据策略配置的映射关系,动态的从IPv4地址池中选取一个地址做内网报文的源地址,最终在将IPv6报文转换为IPv4报文后进行转发。
3.双栈
双栈技术是指在网络层及应用层全部软硬件设备进行整体改造,同时支持IPv4和IPv6两个协议栈,能够同时处理IPv4和IPv6数据包,应用服务器既能与支持IPv4协议的客户端通信,又能与支持IPv6协议的客户端通信,真正实现同时支持IPv6/IPv4访问,是改造最为彻底的方案。
IPv6改造技术路径探讨
根据一行两会文件要求,到2019年底,金融服务机构门户网站支持IPv6连接访问;到2020年底,面向公众服务的互联网应用系统支持IPv6连接访问;自2021年起,持续推进IPv6规模部署。
1.在网络层面及网络边界处进行改造
在互联网出口进行双栈改造和部署NAT64,改造工作量相对较小,能快速提供IPv6服务,降低对现有业务的影响。
首先,在互联网接入区出口进行翻译转换,互联网接入区保持IPv4网络不变,在出口新增NAT64设备或通过域名服务商完成IPv6到IPv4的转换。
其次,互联网接入区内部设备完成翻译转换,利用互联网接入区防火墙等网络安全设备完成IPv6到IPv4的转换,内部Web服务器不需进行改造,仍为IPv4网络。
第三,互联网接入区新建IPv6接入区和DMZ区,IPv6接入区为单栈,新建DMZ区部署双栈,IPv4和IPv6用户分别使用不同的区域接入。
2.应用层面改造
互联网系统普遍为WEB、APP、DB三层结构部署,除网络层面外,可在应用层面进行更进一步的双栈改造。
首先对Web服务器前端进行双栈改造,应用服务器和数据库保持IPv4部署,Web服务器通过IPv4与应用服务器和数据库进行通信,此时需对网络、安全设备及DNS服务器双栈改造,添加AAAA记录,提供IPv4/IPv6DNS解析服务。
其次对Web服务器、应用服务器、数据库全部进行双栈改造,Web服务器、应用服务器、数据库间IPv4/IPv6双栈通信。服务器操作系统对IPv6的支持度主要包括是否安装IPv6协议栈、是否支持DHCPv6等,目前主流操作系统均支持IPv6。主流的Web中间件和数据库也支持IPv6,但需升级版本,根据下一代国家互联网工程中心的报告,部分web服务器软件和数据库对IPv6的支持度如下表。
实战 | 金融机构 IPv6 改造方案分析
表 部分 web 服务器软件和数据库对 IPv6 的支持度
结语
IPv6改造是一项复杂的系统性工程,改造后的稳定性还有待后续经过较长时间的验证,相关运维经验还需要较长时间的积累。金融机构应按照一行两会实施意见的要求,坚持“一个前提,两个结合”三项基本原则,稳中求进,加强人员培训,积累IPv6改造和运维经验,推动IPv6改造工作,最终全面实现IPv6环境建设。