网站支持IPv6升级改造.pdf-道客多多

资源描述

1、政府网站支持 IPv6 升级改造技术方案 2018 年 4 月网站支持 IPv6 升级改造技术方案 1 政府网站支持 IPv6 升级改造技术方案一、国家推进 IPv6 规模部署的时代背景从 2012 年开始， APNIC 的 IPv4 地址池基本枯竭，亚太地区的电信运营商无法再获得批量 IPv4 地址。由于移动互联网、云计算、大数据、物联网、人工智能等新兴信息技术持续高速发展，对 IP 地址资源的需求异常旺盛，电信运营商持有的 IPv4 地址快速消耗，被迫大量采取 NAT 转换技术来应对 IPv4 地址缺乏的困

2、境。 IPv4 地址资源匮乏已经成为数字经济发展的制约因素。面对 IPv4 地址短缺的现状，大规模部署 IPv6推进互联网向 IPv6 升级演进是解决 IP 地址问题的唯一根本性解决方案。 IP 地址短缺造成 NAT 方案在电信网络中广泛部署，导致网络安全问题层出不穷。由于 NAT之后 IPv4地址无法溯源，大量电脑被注入病毒和木马后成为网络攻击工具。IPv6 可以解决用户使用真实 IP 地址的问题，实现真实源地址认证和 IP 地址实名制，可以大大提高网络安全管控。 2017 年 9 月份党的 19 大报告中指出，中国特色社会主义进入了新时代；新时代中国共产党的历

3、史使命是实现中华民族伟大复兴；建设科技强国、质量强国、航天强国、网络强国、交通强国、数字中国、智慧社会；把我国建成富强民主文明和谐美丽的社会主义现代化强国。 2017 年 11 月 26 日中办和国办共同发文，为贯彻落实建设网络强国的战略部署，特制定推进互联网协议第六版（ IPv6）规模部署行动计划。文件指出： IPv6 是互联网演进升级的必然趋势；以协同推进 IPv6 规模部署为主线，以典型应用改造和特色应用创新为主攻方向，实现互联网向 IPv6 演进升级，构建高速、移动、安全、泛在的新一代信息基础设施，为网络强国建设奠定坚实基础。两办推进 IPv6 规模部署行动计划

4、明确了两点，第一是要进行大规模部署，推进中国信息基础设施向 IPv6 整体演进升级。第二是要政府带头，应用牵引，协同推进。各级政府机构、运营商、广电、 ICP、 IDC、 ISP 等都要行动起来，真抓实干，推进 IPv6 规模部署和演进升级。推进 IPv6 规模部署行动计划提出五项重点任务，其中第一项重点任务就是：加快互联网应用服务升级，不断丰富网络信源。具体包括：网站支持 IPv6 升级改造技术方案 2 重点任务具体内容 1）升级典型应用推动用户量大、服务面广的门户、社交、视频、电商、搜索、游戏、应用商店及上线应用等网络服务和应用全面支

5、持 IPv6。 2）升级政府网站升级政府、中央媒体、中央企业网站。强化政府网站、新闻及广播电视媒体网站和应用的示范带动作用，在相关政府采购活动中明确提出支持 IPv6 的具体需求，积极开展各级政府网站、新闻及广播电视媒体网站、中央企业外网网站 IPv6 升级改造。 3）创新特色应用支持地址需求量大的特色 IPv6 应用创新与示范，在宽带中国、“ 互联网 +” 、新型智慧城市、工业互联网、云计算、物联网、智能制造、人工智能等重大战略行动中加大 IPv6推广应用力度。推进 IPv6 规模部署行动计划的实施步骤（一）： “ 2017 年 2018 年重点工作 ”要求： 2018

6、重点工作具体内容政府网站升级改造省部级以上政府网站 IPv6 改造。初步完成国家电子政务外网改造，完成中央部委、省级政府门户网站改造。新建电子政务系统、信息化系统及服务平台全面支持 IPv6。新闻广播电视媒体网站升级改造省级以上新闻及广播电视媒体网站 IPv6 改造。完成中央及省级新闻宣传媒体门户网站改造，新建新闻及广播电视媒体网络信息系统全面支持 IPv6。央企网站升级改造完成中央企业门户网站和面向公众的在线服务窗口改造，加快企业生产管理信息系统等内部网络和应用的 IPv6 改造。两办推进 IPv6 规模部署行动计划文件明确了 “ 应用拉动、政府先行 ”的原则，政

7、府网站、央企网站、国家新闻媒体网站要率先支持 IPv6 访问。 2018 年 3 月，国资委下发关于做好 IPv6 部署应用有关工作的通知，安排央企网站升级 IPv6 工作，要求中央企业集团及下属企业门户网站和面向公众的在线服务窗口网站支持 IPv6，确保于 2018 年内完成相关改造工作。 2018 年 4 月 24 日，国务院办公厅印发 2018 年政务公开工作要点（国办发 201823 号）文件，明确指示：“ 推进政府网站部署互联网协议第六版（ IPv6），省级政府、国务院部门要在年内完成门户网站相关改造工作，新建的政府网站要全面支持互联网协议第六版。完善政府网站安全保障

8、机制，做好防攻击、防篡改、防病毒等工作。 ” 网站支持 IPv6 升级改造技术方案 3 二、 IPv4/IPv6 过渡技术两办推进 IPv6 规模部署文件发布，吹响了中国互联网从从 IPv4 向 IPv6 升级演进的启航号角，按照推进 IPv6 规模部署文件制定的路线图和时间表，从 2018年到 2025 年，中国将全面完成向 IPv6 的演进升级，并建成世界最大的 IPv6 商业网络，成为全球下一代互联网的领导者。在这 8 年时间里， IPv4 和 IPv6 网络在中国将长期共存，此消彼长，逐步实现升级换代。在 IPv4 和 IPv6 共存的情况下，实现 IPv4 和 IPv6

9、互联互通的组网技术有： 1、双栈技术双栈策略是指在网元中同时运行 IPv4 和 IPv6 两个协议栈，它既可以接收、处理、收发 IPv4 的分组，也可以接收、处理、收发 IPv6 的分组。网站运行 IPv4/IPv6 双栈，是真正实现 IPv6 升级。 2、网络地址转换 /协议转换技术 IPv4 向 IPv6 演进，存在一个较为长期的过渡期，也存在着各种各样的实际情况。在某些特定的环境条件下，可以采用“地址转换 /协议转换”过渡技术，实现网站对IPv6 用户访问的支持。网络地址转换 /协议转换技术可以实现只安装了 IPv6 的主机和只安装了 IPv4 机器的大

10、部分应用的相互通信。三、网站支持 IPv6 升级的技术策略分析根据两办文件部署， 2018 年要实现中央部委网站、各省级政府网站、中央企业网站、中央新闻广播电视媒体网站、面向公众的在线服务窗口升级改造支持 IPv6。 1、终极方案： IPv4/IPv6 双栈技术方案网站支持 IPv6 升级改造技术方案 4 网站升级 IPv4/IPv6 双栈方案，是网站 IPv6 升级改造的最终目标，真正实现了两办推进 IPv6 规模部署行动计划文件要求的 IPv6 升级改造，是最终目标。双栈策略的特点是：对网站全系统进行整体升级改造 ,全部软、硬件设

11、备同时运行IPv4 和 IPv6 两个协议栈，能够同时处理 IPv4 和 IPv6 数据包，实现同时支持 IPv6 和IPv4 访问。网站升级 IPv4/IPv6 双栈包括以下方面：第一、网络层改造：制定 IPv6 网络升级规划，接入 IPv6 带宽，获得 IPv6 地址，制订内部 IPv6 地址 DHCP 策略。第二、设备层改造：所有硬件设备均需支持 IPv6，全部开启 IPv6 协议栈。第三、业务系统改造：所有前后台业务管理系统、数据库系统、网络安全系统、应用系统，全部启用 IPv6 协议，支持同时运行 IPv4/I

12、Pv6 双协议栈。第四、网站代码改造：对网站代码不能运行 IPv6 协议栈的部分进行修改。（此项工作比较复杂易出错，需要特别慎重） IPv4/IPv6 双栈方案的优缺点优点问题 1、 IPv4/IPv6 双栈是最为彻底的一种网站支持 IPv6 升级改造技术，概念清晰，易于理解，升级工作一步到位，永久解决问题。是互联网向 IPv6 演进升级的最终目标。 2、同时运行 IPv4 和 IPv6 两个协议栈，可实现 IPv4 对 IPv4、 IPv6 对 IPv6 的单协议栈通信，访问效果较好。 3、国家要求从 2018 年起，新建政府网站和应用系统必须支持

13、 IPv6，因此新建网站和应用系统的架构应直接采用双栈。 4、网站改造，新建不久的网站、结构不太复杂的网站，适用于从 IPv4 改造为双栈。 1、全系统升级，涉及到软件、硬件、网络、业务管理平台、业务系统、网络安全系统等多系统的协同，需要整体规划、多部门协同。 2、系统整体升级，可能需要更新软硬件设备，投资较高。 3、网管人员可能不熟悉 IPv6，需要培训。 4、网站部分代码需要修改，工作量不好准确估计，可能耗时较长。 5、防火墙等设备同时启用 IPv4 和 IPv6 两套策略；技术人员的维护工作量增加 1 倍。

14、6、不适合对老旧网站、结构复杂的 IPv4 网站做代码层改造，风险较大。网站支持 IPv6 升级改造技术方案 5 2、过渡方案：网络地址转换、 IPv4/IPv6 协议转换 IPv4 向 IPv6 演进将存在一个较长的过渡期，在某些特定环境下，直接升级双栈可能存在条件不成熟、系统复杂、耗时较久、网络风险较大等情况。这时可以采用“ 地址转换 /协议转换 ” 过渡技术，实现网站对 IPv6 用户访问的支持。协议转换技术的特点是：在 IPv4 网站外部，挂接一台 v4/v6 翻译转换设备，原有 IPv4 源站不需修改， DNS 把 IPv6 用户访问网站请求解析到转换设备 I

15、Pv6 地址，转换设备从 IPv4 源站读取数据，经过协议转换后发送数据给 IPv6 用户。 DNS 解析 AAAA 记录到转换设备采用网络地址转换 /协议转换技术进行 IPv6 升级， IPv4 源站现有的业务系统、网站代码均不需要改造，仅需做好以下三项工作：第一、网络层改造：接入 IPv6 带宽和获得地址，原有 IPv4 网络架构不改变。第二、设备层改造： IPv4 源站不变，在网络出口部署 IPv6 转换设备（双机热备）。第三、 DNS 启用 4A 记录： DNS 系统启用 AAAA 记录支持 IPv6 地址解析。网站支持 IPv6 升

16、级改造技术方案 6 协议转换技术方案的优缺点优点缺点 1. 方案简单，快速实施。只需配置 2 台转换设备，双机热备。 IPv4 源站不需修改，不需要对网站整个系统进行全面改造。大约3-5 个工作日即可实现支持 IPv6 访问。 2. 如遭遇来自 IPv6 网络的攻击，只能攻击到转换设备，不能直接攻击到 IPv4 源站。 3. 目前信息系统安全等级保护制度暂未更新如何支持 IPv6 的新版本，使用转换设备不影响政府网站已有的安全等保三级认证。 4. 技术人员的维护工作量基本不增加。 5. 可以解决老网站、架构复杂的网站实现支持 IP

17、v6 访问的难题。 1、转换技术适用于 v4v6 演进过渡期，仅实现web 网站支持 IPv6 访问，不能代替真正的v4/v6 双栈网站。 2、如果网站和应用涉及到物联网应用部署，工业互联网应用部署，不能使用转换方案，必须采用 v4/v6 双栈技术方案。 3、不适用于新建网站。按照两办文件要求，新建网站直接采用 v4/v6 双栈方案，一步到位。不必使用协议转换技术方案。 3、过渡期的升级技术路线分析 IPv6 是互联网演进升级的必然趋势，在从 IPv4 向 IPv6 演进的过程中， web 网站支持 IPv6 的升级路线，将经

18、历以下三个阶段：第一阶段：纯 IPv4 阶段，网站只运行 IPv4 协议，不支持 IPv6 用户访问。第二阶段： IPv4/IPv6 双栈阶段，由于 IPv4 和 IPv6 在未来十年还将长期共存，所以在过渡阶段，网站需要同时支持 IPv4 和 IPv6 访问。网站支持 IPv6 升级改造技术方案 7 2018 年是中国互联网向 IPv6 大规模演进升级的元年，政府、央企、新闻、媒体网站实现支持 IPv6，最终建成 IPv4/IPv6 双栈网站。在具体实施过程中，根据实际情况，可以一步到位升级双栈的技术策略，也可以分两步走，采用

19、过渡技术策略，第一步 IPv4 源站外挂转换设备支持 IPv6 访问，第二步整体升级 IPv4/IPv6 双栈。第三阶段：纯 IPv6 阶段，这个阶段的特点是： 99%以上的用户都已经使用 IPv6地址和网络，残余的纯 IPv4 用户很少，为了降低运维成本，网站仅配置 IPv6-only协议，不再运行 IPv4 协议栈。对于少量残留纯 IPv4 用户， IPv6 网站可以外挂一台“ v6 转 v4” 转换设备，使 IPv6 网站支持 IPv4 用户访问。 4、网站 IPv6 升级的技术路线选择在 IPv4/IPv6 过渡阶段

20、，不同类型的网站，应根据自身特点和优势，采取不同的IPv6 升级策略。网站类型大型网站中小型网站网络流量每天浏览量超过 10 亿次日均浏览量 100 万次量级。技术能力技术开发、运维，网络安全技术能力很强，抗风险能力强，能够应对网络攻击，快速处理故障。缺乏技术力量，特别是缺乏网络安全方面的技术力量。技术人员对 IPv6 不熟悉。技术策略选择建议一步到位直接升级 v4/v6 双栈资源和资金充足的单位，可以一步到位升级 IPv4/IPv6 双栈。技术储备不足，准备工作不足、调整预算有难度，可以考虑采取 “ 两步走

21、 ” 策略。四、实施方案建议根据两办文件要求： 2018 年初步完成国家电子政务外网改造，包括完成中央部委、省级政府门户网站改造；完成中央及省级新闻宣传媒体门户网站改造，新建新闻及广播电视媒体网络信息系统全面支持 IPv6；完成中央企业门户网站和面向公众的在线服务窗口改造。网站支持 IPv6 升级改造技术方案 8 综合各方面的实际情况，秉持实事求是、注重安全、整体规划、稳妥实施的工作原则，对政府、央企、新闻媒体网站支持 IPv6 升级改造的技术方案，建议如下： 1、网站系统整体升级 IPv4/IPv6 双栈对于技术团队实力强，熟悉 I

22、Pv6 技术，网络安全管理能力较强，预算资金充足的政府、企业、机关单位、新闻媒体的网站，建议采取一步到位、整体升级 IPv4/IPv6双栈的策略，完成 IPv6 升级改造工作。网站系统整体升级 IPv4/IPv6 双栈，主要包括网络设备、业务系统、数据库、OS、日志系统、网络安全系统等方面的升级。详见下表。网站 IPv6 升级双栈工作清单系统 /设备技术工作内容互联网带宽接入 IPv6 带宽，获得 IPv6 地址。使用 IPv6 静态带宽 /申请自有 IPv6 地址，接入运营商 BGP 带宽。网络设备设备全

23、部启用 IPv6 协议栈；部分设备需要购买 IPv6 授权。更新部分老旧网络设备。做现有网络设备是否支持 IPv6 排查，确认需要购买 IPv6 授权的设备清单，确认需要更新的设备清单和预算。操作系统服务器全部启用 IPv6 协议做服务器操作系统排查，对于不支持IPv6 的操作系统，进行版本升级。私有云平台升级版本支持 IPv6 协议。做私有云平台是否支持 IPv6 的排查，对于低版本私有云平台，联系厂家做版本升级支持双栈。数据库系统数据库服务器启用 IPv6；排查现有数据库系统是否支持 IPv6。对老版本的数据库进行升级。网站支持

24、 IPv6 升级改造技术方案 9 中间件平台服务器配置启用 IPv6；中间件系统配置启用 IPv6。检查现有中间件系统是否支持 IPv6。对老版本做系统升级。 CMS 内容管理系统服务器启用 IPv6 协议； CMS 系统升级版本支持 IPv6。检查确认 CMS 系统是否支持 IPv6. 联系厂家落实 CMS 系统升级。如 CMS 不支持 IPv6，厂家升级版本；或者招标采购新 CMS 系统。日志系统服务器启用 IPv6 协议。日志系统启用 IPv6 地址访问统计。防火墙启用双栈，配置 IPv6 策略。防火墙 ROM 更新，或硬件淘汰换新。

25、启用 IPv6 地址映射。配置 IPv6 防火墙策略，可能需要设备厂家提供技术支持。权威 DNS 域名解析启用 AAAA 记录排查 DNS 服务器是否支持 AAAA 解析。排查 DNS 云服务商的是否支持 IPv6 解析，如不支持，更换 DNS 服务商。权威 DNS 启用 AAAA 解析。网站代码改造网站代码、业务系统代码、应用系统的代码进行修改， API 接口、数据库函数调用等全部支持 IPv6 地址标准。程序员进行网站代码、业务系统代码、应用系统代码修改。特别提示：对于已建成电子政务云，政府网站全部在政务云上部署的网站，要先升级电子政务云平

26、台支持 IPv6 之后，再做政府网站的升级。 2、 “两步走” 实施方案及原因分析对于技术团队实力不足，预算资金不足、现有技术人员对 IPv6 缺乏经验的网站，建议采取分两步走的策略，完成 IPv6 升级改造工作。 “ 两步走 ”技术策略是：第一步，网站采用 “ IPv4 源站 +转换设备 ”支持 IPv6 访问。由于 IPv4 网站防护系统已经非常完善，如果发生来自 IPv6 的网络攻击，只能攻击到转换设备， IPv4 源站不会遭受 IPv6 网络攻击。第二步，预计 2018 年底或 2019 年初，国家新的信息系统安全等级保护

27、制度（ IPv6 版）将会出台，可以遵循新版信息系统安全等级保护制度的相关规定，各方面准备工作完善之后，网站合规稳妥升级为 IPv4/IPv6 双栈。两步走，先上一个台阶，取得阶段性成果，再上一个台阶，实现最终目标。网站支持 IPv6 升级改造技术方案 10 协议转换技术方案的主要工作内容序号改造内容软硬件设备升级备注 1 网络接入 IPv6 带宽，获得地址 2 设备 1. 路由器、防火墙可能需要启用 IPv6 协议栈 2. 增加两台转换设备，采用双机热备，提高可靠性。 1. 转换设备放在防火墙内侧，防火墙和出口路由器需要启用I

28、Pv6 协议栈。 2. 约需要 3 个工作日。 3 业务系统基本上无需改造 4 网站代码基本上无需修改网站采取 “两步走” 策略的升级支持 IPv6，建议制订一个为期两年的网站IPv6 升级计划，分阶段实施。 “两步走” 时间表与路线图阶段技术策略建议第一阶段： 2018 年网站采取“ IPv4 网站加挂转换设备 ”的技术策略，可以快速实现网站支持 IPv6 访问，同时成本较低。在此期间，一方面等待国内的 IPv6 网络安全相关技术和产品经过实战检验，软件升级版本走向稳定成熟；另一方面获得充裕的时间，进行整体统筹规划，申请较为充足的预算，妥善

29、制定网站升级 IPv4/IPv6 双栈的技术方案。第二阶段： 2019 2020 年国家信息系统安全等级保护制度（ IPv6 版）已经发布，各类网络安全系统和设备经过 1 年多的实战验证和改进已经比较完善。网站采取“ 系统整体升级 IPv4/ IPv6 双栈 ”的技术策略，对整个网站的系统、软硬件设备、网络安全策略进行整体全面升级，并淘汰各种老旧软硬件设备。采取“ 两步走 ”的策略， 2018 年采用 “ IPv4 源站 +转换设备 ”技术方案，可以迅速实现网站支持 IPv6 访问，快速取得阶段性成果。并为 2019 年 2020 年安排充足的预算和时间，从容推进网站整

30、体升级为 IPv4/IPv6 双栈。网站支持 IPv6 升级改造技术方案 11 附录：如何恰当地选择网站支持 IPv6 升级的技术策略，以下因素需要考虑：第一、政府网站、央企网站、媒体网站有巨大的浏览量和广泛的影响力，同时也是网络攻击窥伺的重点目标。一旦发生网络安全事故，可能产生严重后果。因此国家强制推行信息系统安全等级保护制度加强信息系统网络安全防御。国务院 2018 年政务公开工作要点文件里也明确提出：完善政府网站安全保障机制，做好防攻击、防篡改、防病毒等工作。当政府、央企、媒体网站支持 IPv6 访问之后，很快会遇到来自 IP

31、v4 和IPv6 网络的双重嗅探和攻击，既可能有网络层、应用层的攻击，也可能出现其它不可预期的攻击形式。因此政府、央企、新闻媒体网站的IPv6 升级工作必须预先考虑安全防护问题。第二、 IPv4/IPv6 双栈网站运行之后，将同时面对 IPv4 和 IPv6 的网络攻击。有一个问题不能忽视，目前绝大部分网络安全设备和系统都号称已支持IPv6 协议，并且通过 IPv6 相关认证，但由于运营商网络一直没有启用IPv6，所以这些设备基本没有在运营商 IPv6 生产网上经过实战检验。运营商开通 IPv6 之后，第一批网络安全设备用户相当于实验小

32、白鼠，与厂商共同验证设备的完善性和可靠性，发现 bug 和修补 bug，在试错中不断改进。由于政府、央企、新闻媒体网站的信息部门大多数都没有专业的网络安全团队，网管人员对设备如何配置 IPv6 策略也缺乏经验，因此一步到位升级 IPv4/ IPv6 双栈的技术路线，对于技术实力较弱的网站，可能风险有点大。政府、央企、新闻媒体网站应该尽量采购已在大规模 IPv6 网络上运行满一年、软件经过一次大版本迭代，解决很多问题，功能完善、性能可靠的网络安全设备。虽然 IPv6 升级工作会慢一步，但是更为稳妥和安全。第三、政府、央企、新闻媒体

33、网站，必须通过信息系统安全等级保护认证。推进 IPv6 规模部署文件提出：加强安全防护，开展针对 IPv6 的网络安全等级保护工作。但是目前新的国家信息系统安全等级保护制度（ IPv6 版）还未推出，因此不能对网站 IPv6 升级工作提供实施指导。网站支持 IPv6 升级改造技术方案 12 第四、两办发布推进 IPv6 规模部署行动计划时间是 2017 年 11 月 26 日，已经接近年底。此刻各部委、央企、新闻媒体单位的 2018 年重点工作计划和 2018 年预算工作已经基本完成。按照推进 IPv6 规模部署文件要求 “ 2018 年完成网站和面向

34、公众的在线服务窗口 IPv6 改造 ” 。如果在 2018 年采取 “ 一步到位升级 IPv4/IPv6 双栈 ” 策略，对网站整体系统、软硬件、代码等进行全面升级，设备投资高，规划复杂性高，整体规划方案的时间较紧、申请增加或预算调整的难度较大、各项准备工作也比较仓促，所以采用整体升级 v4/v6 双栈的技术方案，工作难度和压力会比较大。五、结束语根据中国网络空间研究院发布的中国互联网发展报告， 2016 年中国数字经济规模总量达 22.58 万亿元，位居全球第二，占 GDP 比重达 30.3。中国数字经济 20多年取得了巨大的发展成就，是基于 IPv4 的信息化基础架构。由于

35、全球互联网已经进入 “IPv4 地址短缺时代 ” ， IP地址匮乏对中国数字经济发展产生明显的不利影响。如果继续基于 IPv4互联网和电信运营商剩余的少量 IPv4地址支撑中国数字经济未来10 年、 20 年、 50 年的整体发展，肯定支撑不起来。目前全球发达国家的网络都在向IPv6 演进升级， IPv4 已开始走向衰落，已经可以清清楚楚看到终点。未来中国必须要有一个坚实可靠、超大规模的、能使用 100 年的互联网底层基础平台，才能支撑数字经济保持长期持续健康高速发展。这个超大规模的底层基础平台就是基于 IPv6 构建的新一代网络信息基础设施。中国数字经济必须迁移到基于 IPv6协议构建的互联网信息基础设施上来，才能破除 IPv4 地址紧箍咒，走上阳光大道。规模部署 IPv6，应用拉动，政府先行，协同推进。这是国家任务，也是未来发展的必然趋势。扎扎实实落实各项工作，推进 IPv6 规模部署，中国必将建成世界最大的 IPv6 商业互联网，成为全球下一代互联网发展的主导力量。 2018 年 3 月 15 日网站支持 IPv6 升级改造技术方案 13 欢迎关注微信公众号： IPv6 头跳政府网站支持 IPv6 技术方案下载

展开阅读全文