姚 娟，聞琛陽

（湖北郵電規(guī)劃設(shè)計(jì)有限公司，湖北 武漢 430070）

0 引 言

2017年11月，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》（以下簡稱“行動(dòng)計(jì)劃”），行動(dòng)計(jì)劃制定了總體目標(biāo)、路線圖、時(shí)間表和重點(diǎn)任務(wù)，大力推進(jìn)IPv6部署。2018年3月12日國資委下發(fā)《關(guān)于做好互聯(lián)網(wǎng)第六版（IPv6）部署應(yīng)用有關(guān)工作的通知》，明確要求“請于2018年4月16日前將門戶網(wǎng)站和面向公眾的在線服務(wù)窗口IPv6改造工作計(jì)劃報(bào)送國資委綜合局”。時(shí)隔一個(gè)月，網(wǎng)信辦、國辦相繼討論推進(jìn)落實(shí)TOP商業(yè)ICP網(wǎng)站、中央級TOP新聞媒體網(wǎng)站、各部委官網(wǎng)支持IPv6訪問的升級工作。

1 門戶網(wǎng)站IPv6改造的解決方案

門戶網(wǎng)站IPv6改造簡單來說是指終端用戶通過IPv6協(xié)議能夠訪問網(wǎng)站并實(shí)現(xiàn)業(yè)務(wù)辦理。IPv6演進(jìn)是一個(gè)漫長的過程，IPv4和IPv6網(wǎng)絡(luò)在中國有5～8年的共存期，實(shí)現(xiàn)IPv4和IPv6有效互聯(lián)互通，門戶網(wǎng)站IPv6改造主要有兩種技術(shù)方案。第一種是將涉及到網(wǎng)站業(yè)務(wù)交互的所有應(yīng)用系統(tǒng)和設(shè)備全面支持IPv4和IPv6雙協(xié)議棧，能夠同時(shí)處理IPv4和IPv6數(shù)據(jù)包；第二種是增加協(xié)議轉(zhuǎn)換設(shè)備或者在防火墻、負(fù)載均衡設(shè)備上配置協(xié)議轉(zhuǎn)換，在IPv6協(xié)議和IPv4協(xié)議之間建立映射關(guān)系，以實(shí)現(xiàn)透明的IPv6和IPv4互訪問[1]。

上述兩種方案中，雙棧才能真正實(shí)現(xiàn)兩辦《行動(dòng)計(jì)劃》文件要求的IPv6升級改造，是網(wǎng)站IPv6改造的終極目標(biāo)。但是，在過渡期間，協(xié)議轉(zhuǎn)換技術(shù)也會(huì)長期存在和使用，兩種技術(shù)方案各有利弊。

2 技術(shù)路線的選擇

2.1 雙棧技術(shù)

雙棧技術(shù)是在網(wǎng)元中同時(shí)運(yùn)行IPv4和IPv6兩個(gè)協(xié)議棧，既可以接收、處理、收發(fā)IPv4的分組，也可以接收、處理、收發(fā)IPv6的分組[2]。網(wǎng)站運(yùn)行IPv4/IPv6雙棧，真正實(shí)現(xiàn)了IPv6升級。雙協(xié)議棧技術(shù)如圖1所示。

圖1 IPv4/IPv6雙協(xié)議棧技術(shù)

雙棧方案是全系統(tǒng)的升級改造方案，包含網(wǎng)絡(luò)、設(shè)備、軟件等多系統(tǒng)的協(xié)同，需要統(tǒng)籌規(guī)劃，協(xié)同考慮。其改造主要有下述三個(gè)方面。第一，設(shè)備改造。網(wǎng)絡(luò)設(shè)備支持IPv6，全部開啟IPv6協(xié)議棧，安全設(shè)備、服務(wù)器等硬件支持IPv4IPv6雙路由。第二，業(yè)務(wù)系統(tǒng)改造。所有前后臺業(yè)務(wù)管理系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)安全系統(tǒng)以及應(yīng)用系統(tǒng)全部啟用IPv6協(xié)議，支持同時(shí)運(yùn)行IPv4/IPv6雙協(xié)議棧。第三，源代碼改造。將使用IP地址的配置和代碼修改為使用域名地址。

雙棧方案雖然改造徹底，便于理解，互通效果較好。但是，因涉及到硬件的升級改造，投資較大，對于結(jié)構(gòu)復(fù)雜的IPv4網(wǎng)站需要進(jìn)行源代碼的改造，也存在一定的風(fēng)險(xiǎn)。

2.2 協(xié)議轉(zhuǎn)換

協(xié)議轉(zhuǎn)換技術(shù)是在IPv4網(wǎng)站的入口處增加IPv4/IPv6協(xié)議轉(zhuǎn)換設(shè)備，原有IPv4源站不需修改，DNS服務(wù)器把IPv6用戶的訪問請求，解析到轉(zhuǎn)換設(shè)備的IPv6地址，轉(zhuǎn)換設(shè)備從IPv4源站讀取數(shù)據(jù)，經(jīng)過協(xié)議轉(zhuǎn)換后發(fā)送給IPv6用戶。協(xié)議轉(zhuǎn)換技術(shù)如圖2所示。

圖2 協(xié)議轉(zhuǎn)換技術(shù)

采用協(xié)議轉(zhuǎn)換技術(shù)進(jìn)行IPv6升級，IPv4源站現(xiàn)有的業(yè)務(wù)系統(tǒng)、網(wǎng)站代碼可以不用修改，其改造僅通過兩步實(shí)現(xiàn)。第一，部署協(xié)議轉(zhuǎn)換設(shè)備：IPv4源站不變，在網(wǎng)站入口部署1～2臺IPv6轉(zhuǎn)換設(shè)備或者在防火墻、負(fù)載均衡設(shè)備上配置協(xié)議轉(zhuǎn)換，給域名配置IPv6地址。第二，DNS服務(wù)器能夠接受IPv6 DNS請求，需要配置IPv6地址，啟用AAAA解析記錄，完成域名和IPv6地址的映射。當(dāng)DNS請求的AAAA資源記錄時(shí)，DNS服務(wù)器將網(wǎng)址解析為IPv6地址，當(dāng)DNS請求的A資源記錄時(shí)，DNS服務(wù)器將網(wǎng)址解析為IPv4地址。

協(xié)議轉(zhuǎn)換方案簡單，能夠快速實(shí)施，不用改造源代碼，特別適合解決老舊網(wǎng)站、架構(gòu)復(fù)雜的網(wǎng)站。但是，該方案僅能實(shí)現(xiàn)Web網(wǎng)站支持IPv6訪問，適用于V4V6過渡期。如果網(wǎng)站涉及到物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)的應(yīng)用部署，則不能使用轉(zhuǎn)換方案。

2.3 技術(shù)路線的選擇

從實(shí)現(xiàn)原理上分析，在TCP/IP協(xié)議標(biāo)準(zhǔn)上，協(xié)議轉(zhuǎn)換是一種網(wǎng)絡(luò)層+傳輸層的解決方案，僅停留在解決網(wǎng)絡(luò)互通；而雙棧方案是一種應(yīng)用層解決方案，是一種應(yīng)用互通方案，相比網(wǎng)絡(luò)互通，應(yīng)用互通的效果更好，升級更徹底，也是應(yīng)用升級的真正目標(biāo)。兩種技術(shù)方案的對比如表1所示。

按照網(wǎng)站的規(guī)模劃分，對于日訪問流量超過10億次的大型網(wǎng)站，因?yàn)槠溥\(yùn)維的技術(shù)力量優(yōu)勢明顯，能夠應(yīng)對網(wǎng)絡(luò)攻擊快速處理故障，所以建議一步到位，升級為雙棧。對于中小型網(wǎng)站，技術(shù)支撐力量相對薄弱，如果資金充足，可以選擇總體規(guī)劃，直接升級到雙棧；技術(shù)存儲(chǔ)不足、準(zhǔn)備不充分、資金沒有保障的單位，建議先選擇協(xié)議轉(zhuǎn)換的方案過渡。

按照網(wǎng)站的新舊程度劃分，新建網(wǎng)站和應(yīng)用系統(tǒng)建議直接按雙棧方案部署；已建系統(tǒng)，如果網(wǎng)站結(jié)構(gòu)簡單，源代碼修改簡單，資金充足，建議首選一步到位，升級雙棧；如果網(wǎng)站結(jié)構(gòu)復(fù)雜，年代久遠(yuǎn)，沒有辦法找到廠家修改源代碼，年度預(yù)算緊張，則建議使用協(xié)議轉(zhuǎn)換方案過渡。

3 演進(jìn)路線的選擇

在IPv4向IPv6演進(jìn)的過程中，門戶網(wǎng)站應(yīng)根據(jù)自網(wǎng)站現(xiàn)狀、掌握的資源、技術(shù)支撐能力等，選擇不同的支持IPv6升級策略。

選擇一步到位的門戶網(wǎng)站，建議充分利用近年來國內(nèi)外IPv6的技術(shù)積累，基于IPv6的技術(shù)要求和標(biāo)準(zhǔn)規(guī)范進(jìn)行部署規(guī)劃，構(gòu)建統(tǒng)一標(biāo)準(zhǔn)的終端、網(wǎng)絡(luò)、平臺體系，整體升級IPv4/IPv6雙棧的策略，完成向IPv6的升級改造。一步到位，端到端的改造包含如下內(nèi)容。

第一，獲得IPv6地址接入服務(wù)：聯(lián)系運(yùn)營商，獲得IPv6地址，接入IPv6網(wǎng)絡(luò)。

第二，網(wǎng)絡(luò)設(shè)備支持IPv6：大部分以太網(wǎng)交換機(jī)不涉及IPv6協(xié)議處理，無需升級，對于部分執(zhí)行Snooping、協(xié)議VLAN等功能的二層交換機(jī)，應(yīng)納入升級的范圍；需要基于IPv6地址進(jìn)行轉(zhuǎn)發(fā)處理的三層設(shè)備，如路由器、三層交換機(jī)等，應(yīng)進(jìn)行升級；防火墻、入侵檢測、負(fù)載均衡等應(yīng)用層設(shè)備，凡涉及IPv6報(bào)文流量處理的，應(yīng)進(jìn)行升級[3]。

第三，服務(wù)器操作系統(tǒng)支持IPv6協(xié)議：對于不支持IPv6的操作系統(tǒng)要進(jìn)行版本升級。第四，DNS服務(wù)器升級：域名解析支持AAAA。第五，應(yīng)用系統(tǒng)軟件代碼改造：更新網(wǎng)頁代碼，滿足IPv6訪問的需求。

表1 IPv6改造技術(shù)路線比較

選擇過渡方案的門戶網(wǎng)站，過渡期網(wǎng)站通過協(xié)議轉(zhuǎn)換設(shè)備實(shí)現(xiàn)IPv6訪問，減少對網(wǎng)絡(luò)架構(gòu)和系統(tǒng)架構(gòu)的影響，確保過渡期的平穩(wěn)性和逐步可推進(jìn)性。待條件具備后，合規(guī)穩(wěn)妥升級為IPv4/IPv6雙棧。

4 結(jié) 論

根據(jù)IPv6規(guī)模部署的行動(dòng)方案，在未來三年全國政府、央企、新聞媒體網(wǎng)站以及TOP商業(yè)ICP網(wǎng)站都必須支持IPv6訪問，這也是互聯(lián)網(wǎng)發(fā)展的必然趨勢。建議在IPv4向IPv6演進(jìn)期間充分考慮現(xiàn)網(wǎng)實(shí)際情況，遵循“統(tǒng)一規(guī)劃、按需實(shí)施”的總體原則，實(shí)現(xiàn)門戶網(wǎng)站向IPv6平滑、安全過渡。