企业IPv6升级解决方案

中国联通研究院

网络改造技术篇/前沿技术/其他

1 概述

2018年3月12日，国资委印发了《关于做好互联网协议第六版（IPv6）部署应用有关工作的通知》，要求央企在18年完成门户网站和面向用户的在线服务窗口的IPv6改造。2018年5月3日，工信部发布《推进互联网协议第六版(IPv6)规模部署行动计划》通知，鼓励典型行业、重点工业企业开展工业互联网IPv6网络化改造，创新工业互联网应用实践，构建工业互联网IPv6标准体系。为响应国家IPv6发展，企业开展基于IPv6的创新业务，对网络接入、内部网络及系统提出新的需求。企业IPv6升级解决方案根据企业内部现有网络及系统情况，提供从内部网络IPv6升级改造技术路线到企业系统的IPv6规划、升级和部署相关解决方案，以满足企业开展IPv6业务，适用于工业互联网网络体系中工厂控制系统和工业云平台部分。

1.1 背景

2017年11月26日中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，明确了推进IPv6部署的重要意义，提出了部署的总体要求和主要目标，要用5到10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络，实现下一代互联在经济社会各领域深度融合应用。为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版（IPv6）规模部署行动计划》，加快网络基础设施和应用基础设施升级步伐，促进下一代互联网与经济社会各领域的融合创新，工信部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》通知，积极推进内部网络和应用IPv6改造，加快推进企业生产管理信息系统等内部网络和应用的IPv6改造，加强IPv6环境下移动互联网、物联网、工业互联网、云计算、大数据、人工智能等研究与应用，强化IPv6环境下网络安全保障等。物联网、移动互联网、云计算等新兴产业的发展都需要海量的IP地址作为支撑，IP地址不足已经严重制约着这些处于全球竞争前沿、具有最广阔前景的新兴产业发展。随着物联网、移动互联网、云计算等业务不断发展壮大，运营商不停地扩大网络规模，这也使IPv4地址枯竭的速度更快了，分配殆尽的IPv4地址已经成为制约我国物联网、移动互联网、云计算发展的瓶颈。

1.2 实施目标

基于互联网协议第四版（IPv4）的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题，IPv6能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用解决方案。大力发展基于IPv6的下一代互联网，有助于显著提升我国互联网的承载能力和服务水平，更好融入国际互联网，共享全球发展成果，有力支撑经济社会发展，赢得未来发展主动。

推进IPv6规模部署是互联网技术产业生态的一次全面升级，深刻影响着网络信息技术、产业、应用的创新和变革。大力发展基于IPv6的下一代互联网，有助于提升我国网络信息技术自主创新能力和产业高端发展水平，高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴领域快速发展，不断催生新技术新业态，促进网络应用进一步繁荣，打造先进开放的下一代互联网技术产业生态。

1.3 适用范围

企业IPv6升级解决方案针对企业内部现有网络及系统情况，提供从内部网络IPv6升级改造技术路线到企业系统的IPv6规划、升级和部署相关解决方案，以满足企业开展IPv6业务，适用于工业互联网网络体系中工厂控制系统和工业云平台IPv6升级演进，可应用到企业智能网络IPv6组网、智能机器升级、工厂云平台IPv6改造升级以及工业互联网应用IPv6业务等。

1.4 在工业互联网网络体系架构中的位置

企业IPv6升级解决方案针对工厂控制系统，工业云平台IPv6的升级，提供相应的改造方案。在智能机器中，物品应具有4个特性：可识别性、可感知性、可定位性以及可控制性。这四个特性使得物联网对地址资源具有以下的特殊需求：工业互联网需要地址资源支持海量性，因为工业互联网中存在着海量的物品，这些物品的数量将以万亿计，而任意的物品之间均可能需要互联，互联时需要网络地址用于定位，这些地址也将可能以万亿计；联网需要地址资源支持安全性，物联网将比互联网具有更高的安全需求。 在工业云体系架构中，随着虚拟化技术的发展，一台物理主机上能够运行多个虚拟主机，导致云计算所需的IP地址数量成比例增长，亟需海量的IPv6地址资源。利用主机虚拟化技术，能够在一台物理主机上运行多个虚拟主机，并且各个虚拟主机之间相互独立、互不影响，用户可以在虚拟主机上灵活的安装任何软件。通过在流量进出口的汇聚节点上部署IPv6/IPv4转换网关，可以面向IPv6用户，实现IPv6与IPv4协议转换。但在云化数据中心中，网络结构从汇聚变为扁平，流量的进出口数量不再唯一，需要在数据中心所有的流量进出口上都配备IPv6/IPv4转换网关，这样使得网络改造起来较为复杂。另外，转换网关需要维护处理数据中心内外所有业务的IPv6与IPv4协议转换，对其处理性能也提出了更高的要求。

图1 工业互联网互联示意图

2 需求分析

根据工信部关于落实贯彻《推进互联网协议第六版（IPv6）规模部署行动计划》通知，要求发展工业互联网IPv6应用，选择典型行业、重点企业开展工厂企业网络改造，创新工业互联网应用，构建工业互联网IPv6标准体系。在智能机器中，工业互联网需要地址资源支持海量性；在工业云体系架构中，随着虚拟化技术的发展，一台物理主机上能够运行多个虚拟主机，导致云计算所需的IP地址数量成比例增长，亟需海量的IPv6地址资源。2018年3月12日，国资委印发《关于做好互联网协议第六版（IPv6）部署应用有关工作的通知》，要求央企在18年完成门户网站和面向用户的在线服务窗口的IPv6改造。

IPv6在设计的过程中就已经考虑到了IPv4到IPv6的过渡问题，并提供了一些特性使过渡过程简化。针对IPv4到IPv6过渡问题已经提出了许多机制，它们的实现原理和应用环境各有侧重。目前，应用比较广泛的过渡策略主要包括双栈策略、隧道策略以及翻译策略。

3 解决方案

互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安全格局。我国是世界上较早开展IPv6试验和应用的国家，在技术研发、网络建设、应用创新方面取得了重要阶段性成果，已具备大规模部署的基础和条件。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，加强统筹谋划，加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网，是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。工业互联网作为新一代信息技术与实体经济深度融合的制高点，以及制造业转型升级的主攻方向，成为IPv6网络化改造的重点应用场景。

3.1 方案介绍

近年来，全球IPv6产业链条发展稳步推进。在网络上设备方面，已经覆盖了IPv4产品的所有类型，包括数据网、固网、移动交换网、移动核心网及安全等，能够满足网络端到端的部署需求；在应用软件方面，包括操作系统、Web引擎、数据库、浏览器等通用软件均支持IPv6。根据工业互联网智能工程系统架构情况，设计相应的IPv6升级方案，可根据实际情况通过全面技术升级，将涉及到的业务各类应用系统和设备升级成支持IPv4和IPv6双协议栈，完成基于IPv4和IPv6协议的业务互通；或通过技术改造，在IPv6协议和IPv4协议间建立映射联系，满足IPv6用户能够正确的获取IPv4资源。

3.2 IPv6升级技术

IPv6在设计的过程中就已经考虑到了IPv4到IPv6的过渡问题，并提供了一些特性使过渡过程简化。针对IPv4到IPv6过渡问题已经提出了许多机制，它们的实现原理和应用环境各有侧重。目前，应用比较广泛的过渡策略主要包括双栈策略、隧道策略以及翻译策略。

双栈策略是指在网络节点中同时具有IPv4和IPv6两个协议栈，这样，它既可以接收、处理、收发IPv4的分组，也可以接收、处理、收发IPv6的分组。双栈策略的优点是概念清晰，易于理解，网络规划相对简单，同时在IPv6逻辑网络中可以充分发挥IPv6协议的所有优点（如安全性、路由约束、流的支持等方面）。

隧道策略是IPv6升级中经常使用到的一种过渡机制。所谓“隧道”简单地讲就是利用一种协议来传输另一种协议的数据的技术。隧道技术主要实现了在IPv4数据包中封装IPv6数据包，随着IPv6技术的发展和广泛应用，未来也将会出现在IPv4数据包中封装IPv6数据包的隧道技术。隧道技术能够充分利用现有的网络投资，因此在过渡初期是一种方便的选择。但是，在隧道的入口处会出现负载协议数据包的拆分，在隧道出口处会出现负载协议数据包的重组。这就增加了隧道出入口的实现复杂度，不利于大规模的应用。

翻译策略可以分为两个层面来进行，一方面是IPv4与IPv6协议层的翻译，另一方面是IPv4应用与IPv6应用之间的翻译。前者主要是通过NAT－PT技术实现的，后者则主要通过应用代理网关ALG来实现。NAT－PT实现了网络层的协议翻译；应用代理网关则实现应用层的协议翻译，对于不同的应用，需要配置不同的应用代理网关。翻译技术的优点是不需要进行IPv4、IPv6节点的升级改造，缺点是IPv4节点访问IPv6节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较大。因此，该策略一般是在其他互通方式无法使用的情况下使用。

3.3 企业IPv6演进

在IPv4向IPv6的演进过程中，为保证业务平台的平滑、稳定演进，可以采用三种方案：第一种是互通网关方案，保持业务平台现有结构不变，通过分别在IPv4和IPv6的网络边界部署网关设备，利用IPv4/IPv6翻译技术接入IPv6用户；第二种是IPv4和IPv6应用并存方案，业务平台中IPv4和IPv6应用并存，使得平台具备同时支持IPv4和IPv6的功能；第三种是全面升级方案，完成全业务平台以及周边系统IPv6升级，同时要求在IPv4网络停止运营前,基于IPv4的业务平台需要继续支持IPv4用户。

3.3.1 互通网关方案

保持平台现有结构不变，通过协议转换机制（NAT-PT/ALGA）支持IPv6用户的接入。如下图所示，通过在IPv4/IPv6网络边界部署网关设备，当IPv6终端用户从IPv6网络接入，与互通网关建立隧道后，可以使用IPv4网络中的应用，类似的，当IPv4终端用户从IPv4网络接入，与互通网关建立隧道后，可以使用IPv6网络中的应用。

图2 基于翻译技术的IPv6过渡方案

3.3.2 IPv4和IPv6应用并存方案

将业务平台升级到IPv6后，IPv4和IPv6应用将并存。如下图所示，将IPv4业务平台的部分应用升级到IPv6，包括对外门户和接口、核心业务逻辑，同时为了兼容IPv4用户以及其它相关系统，保留原有IPv4业务平台的对外门户和接口暂时不变，核心业务交由IPv6核心业务逻辑处理。升级完成后，IPv4对外门户和接口为IPv4用户提供服务，IPv6对外门户和接口为IPv6用户提供服务，核心业务逻辑升级成IPv6实现共用。

图3 IPv4和IPv6应用并存的IPv6过渡方案

业务平台中IPv4和IPv6应用并存，同时支持IPv4和IPv6用户的接入。

3.3.3 全面升级方案

一些企业需要满足国家政策性要求或者自身发展需求，需要大量IP地址，对IPv6网络改造有迫切需求，需要全面升级到IPv6网络和服务，完成所有业务平台和SP应用平台的IPv6升级改造建设，包括数据中心的所有设备、网络设备、终端系统和应用系统等全面支持IPv6，同时要求在IPv4网络停止运营前, 基于IPv4的业务平台需要继续支持IPv4用户。

3.3.4 方案对比

图4 方案优劣对比

互通网关方案业务平台工作量小，无风险，投入小，能快速实施，比较适合IPv6试商用阶段；IPv4和IPv6应用并存方案改造部分业务平台，为全面实现IPv6打下基础，工作量中等，风险小，投入中等，比较适合IPv6规模商用阶段；全面升级方案工作量大，风险大，投入大，只有在IPv6全面商用阶段才会出现。

4 成功案例

4.1 案例一 国家电网IPv6升级方案

根据国家电网309家国电系统单位分区域整合互联网出口，增强互联网访问的安全性，消除各分公司、子公司互联网出口带来的安全薄弱点；通过对互联网出口整合，实现用户上网流量统一管理、统一控制，合理、有效、按需分配带宽，避免带宽滥用、资源浪费，提升网络质量；通过对互联网出口整合，实现安全事件统一管理，做到事前预防、事中控制、事后追查，避免安全事件重复发生；并对国家电网100多个系统进行调研，根据系统架构及中间件情况，根据国家电网内部系统的架构有针对性的进行IPv6升级方案，考虑到国家电网系统比较复杂，为保证国家电网能完成平滑演进，采取了分步融合方案。具备改造条件的系统采用IPv4和IPv6应用方案，采用边界升级方案，通过企业边界的防火墙等设备实现NAT64等地址转换，以最低成本实现IPv6的服务诉求。仅需要改造企业边界的防火墙、路由器/交换机、日志审计等必要设备即可，通过边界防火墙实现IPv6到IPv4的NAT64报文转换，使得进入企业内部的流量全部转换成IPv4流量，企业内部的入侵检测、WAF、网络设备、服务器和终端等设备都不需要改造。对于个别双栈终端需要访问外部的IPv6资源时，可以通过ISATAP隧道技术实现双栈终端穿越IPv4网络，实现IPv6资源的访问需求。

图5 国家电网IPv6改造方案

4.2 案例二 中国联通企业官网IPv6升级方案

为了满足工信部对央企网站IPv6改造的需求，为用户提供IPv6业务，对该企业内部系统进行调研，根据系统情况，针对不同系统设计相应的IPv6升级方案，并对自己的官网提出了相应的IPV6升级改造要求，并采用互通网关方案。改造的重点在路由、网络结构和协议转换等方面。

图6 联通企业官网改造方案

路由需要的路径改造：流量从公网进入资源池核心交换机之后通过静态路由到安全等保设备，由于安全等保设备不支持IPv6，于是需要通过添加静态路由的方式，把流量引导到直接进入负载均衡上去。在路径改造之后，为了保证网络安全，在现有网络结构上，添加一对防火墙来实现IPv4与IPv6的转换，位置旁挂于资源池核心交换机或集团门户汇聚交换机，此方案路由走向需要重新指定，并于防火墙上完成配置。

客户端以IPv6地址访问负载均衡（或防火墙）设备的虚地址（IPv6类型）,在负载均衡（或防火墙）设备上做源地址转换，源地址转换为SNAT地址池中的IPv4地址后再访问后端应用服务器。