李 琪，劉相坤，徐東平，劉彥麟，韓夢源

（中國鐵道科學(xué)研究院集團(tuán)有限公司 電子計算技術(shù)研究所，北京 100081）

互聯(lián)網(wǎng)服務(wù)的發(fā)展趨勢是讓服務(wù)更加智能化，這就需要為互聯(lián)網(wǎng)上的每臺設(shè)備都分配IP地址，實現(xiàn)基于個性化特征的定位、推送及交互等服務(wù)。隨著物聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，需要連接網(wǎng)絡(luò)的物體越來越多，而全球IPv4 地址資源已在2011 年2 月3日向五個區(qū)域因特網(wǎng)注冊機(jī)構(gòu)分配完畢[1]，現(xiàn)有的IPv4地址池已接近枯竭?；ヂ?lián)網(wǎng)的下一代協(xié)議IPv6提供了理論上雖然有限但實際使用中幾乎無窮的IP地址。豐富的IP地址可以把網(wǎng)絡(luò)智能解析的威力發(fā)揮到極致。地址越大帶來的可能性就越多，與IPv4的32 bit二進(jìn)制報頭相比，IPv6的報頭增加至128 bit位二進(jìn)制數(shù)，使得我們可以把信息放在IPv6數(shù)據(jù)包中，IPv6地址可以變得更智能，在確定其通過網(wǎng)絡(luò)的路徑方面發(fā)揮更積極的作用。IPv6在構(gòu)建智能網(wǎng)絡(luò)中的關(guān)鍵地位，使得由IPv4過渡到IPv6已勢在必行。

目前網(wǎng)絡(luò)設(shè)備廠商的主流產(chǎn)品均已支持IPv6協(xié)議。3大電信運營商的骨干網(wǎng)絡(luò)也已具備支持IPv6的能力。國內(nèi)主要的商業(yè)網(wǎng)站均制定了分階段的演進(jìn)計劃。2017年國務(wù)院印發(fā)通知，提出用5～10年時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)。鐵路12306互聯(lián)網(wǎng)售票系統(tǒng)（簡稱：12306系統(tǒng)）當(dāng)前網(wǎng)絡(luò)為IPv4架構(gòu)。為了給旅客提供更豐富、更智能化的服務(wù)，需要選擇適合的過渡技術(shù)分階段穩(wěn)定演進(jìn)到IPv6。

1 IPv6演進(jìn)標(biāo)準(zhǔn)和進(jìn)度計劃

1.1 演進(jìn)標(biāo)準(zhǔn)

根據(jù)中國通信標(biāo)準(zhǔn)化協(xié)會的工作計劃與安排，IP與多媒體工作委員會目前已經(jīng)完成對IPv6系列標(biāo)準(zhǔn)的規(guī)劃設(shè)計工作。在新的規(guī)劃設(shè)計書中，將我國的IPv6標(biāo)準(zhǔn)劃分為以下幾個大類：基本協(xié)議類，網(wǎng)絡(luò)體系結(jié)構(gòu)與性能指標(biāo)分配，網(wǎng)絡(luò)的評估標(biāo)準(zhǔn)和測試方法，網(wǎng)絡(luò)設(shè)備規(guī)范和網(wǎng)絡(luò)設(shè)備的測試規(guī)范，支持移動通信類，業(yè)務(wù)與應(yīng)用類型[2]。在IPv6演進(jìn)過程中應(yīng)按照標(biāo)準(zhǔn)推進(jìn)。

1.2 演進(jìn)計劃

《IPv6規(guī)模部署行動計劃》中指出，到2018年末，市場驅(qū)動的良性發(fā)展環(huán)境基本形成，IPv6活躍用戶數(shù)達(dá)到2億，在互聯(lián)網(wǎng)用戶中的占比不低于20%；到2020年末，市場驅(qū)動的良性發(fā)展環(huán)境日臻完善，IPv6活躍用戶數(shù)將超過5億，在互聯(lián)網(wǎng)用戶中的占比超過50%；到2025年末，我國IPv6網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模將位居世界第一，形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。12306系統(tǒng)的IPv6演化進(jìn)度也應(yīng)按照20%、50%、100%的比例漸進(jìn)演化為IPv4/IPv6雙棧環(huán)境，直到IPv4完全退出后變?yōu)镮Pv6環(huán)境。

2 IPv4到IPv6過渡技術(shù)

IPv4 到IPv6 的過渡技術(shù)主要包括雙棧技術(shù)、隧道技術(shù)，以及地址轉(zhuǎn)換（NAT，Network Address Translation）技術(shù)[3]。

2.1 雙棧技術(shù)

雙棧技術(shù)是指網(wǎng)絡(luò)以及網(wǎng)絡(luò)中所有節(jié)點同時支持IPv 4和IPv 6協(xié)議棧，使得網(wǎng)絡(luò)或者節(jié)點能處理兩種類型的協(xié)議，同時，包括service（業(yè)務(wù)、應(yīng)用等）具備支持雙協(xié)議棧的能力[4]，從而實現(xiàn)分別與IPv4或IPv6節(jié)點間的信息互通。通信源節(jié)點可根據(jù)目的節(jié)點的協(xié)議類型選擇運行的協(xié)議棧，而網(wǎng)絡(luò)設(shè)備則根據(jù)報文的協(xié)議類型選擇不同的協(xié)議棧進(jìn)行處理和轉(zhuǎn)發(fā)[5]。

雙棧機(jī)制的優(yōu)點是，它是IPv6節(jié)點與IPv4節(jié)點兼容的最直接的方式，不必為不同類型的用戶單獨部署網(wǎng)絡(luò)配置，互通性好、開銷小、管理簡單、邏輯清晰。缺點是，不支持雙棧的設(shè)備需要更換，必要時需要補充使用NAT技術(shù)，應(yīng)用軟件也需做適應(yīng)性改造。

2.2 隧道技術(shù)

隧道技術(shù)是通過將一種IP 協(xié)議嵌套在另一種IP協(xié)議中，跨過網(wǎng)絡(luò)傳遞到另一個路由器的技術(shù)。隧道技術(shù)是基于現(xiàn)有的IPv4 路由體系來傳送IPv6 數(shù)據(jù)包的。它將IPv6數(shù)據(jù)報文作為載荷封裝到IPv4 數(shù)據(jù)包內(nèi)，并沿著隧道所標(biāo)識的虛擬鏈路進(jìn)行發(fā)送，最后到達(dá)隧道的終點[6]。隧道技術(shù)只要求在隧道的入口和出口處進(jìn)行雙棧升級改造，對網(wǎng)絡(luò)的其他部分沒有要求，因此較容易實現(xiàn)。雙棧技術(shù)并不要求建立隧道，只有當(dāng)IPv6節(jié)點需利用IPv4的路由機(jī)制傳遞信息包時隧道才是必需的，但隧道的建立卻需要雙協(xié)議棧的支持[7]。

隧道技術(shù)的優(yōu)點是，不用把所有的設(shè)備都升級為雙棧，只要求網(wǎng)絡(luò)的邊緣設(shè)備實現(xiàn)雙棧和隧道功能。除邊緣節(jié)點外，其它節(jié)點不需要支持雙協(xié)議棧；缺點是，隧道技術(shù)不能實現(xiàn)IPv4主機(jī)和IPv6主機(jī)的直接通信，只是過渡技術(shù)，不是最終的解決方案。

2.3 NAT技術(shù)

NAT技術(shù)通過對數(shù)據(jù)包的轉(zhuǎn)換實現(xiàn)IPv4和IPv6的互相訪問，提供了IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的互通方案。

NAT技術(shù)的優(yōu)點是實現(xiàn)純IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)之間的互通，提供IPv6與IPv4之間的互相訪問且無需改動現(xiàn)有網(wǎng)絡(luò)；缺點是，存在業(yè)務(wù)質(zhì)量降低、加密報文無法翻譯的風(fēng)險。

3 12306系統(tǒng)的IPv6演進(jìn)方案

3.1 系統(tǒng)演進(jìn)過渡方案

目前12306系統(tǒng)使用IPv4協(xié)議運行，該協(xié)議運行基本穩(wěn)定。局域網(wǎng)絡(luò)具備相當(dāng)?shù)挠脩粢?guī)模，如果重建局域網(wǎng)將面臨投資較大、網(wǎng)絡(luò)重新規(guī)劃、業(yè)務(wù)整合等一系列問題，可以考慮采用過渡技術(shù)解決方案。遵循穩(wěn)定、安全、可靠的基本原則，通過對比分析雙棧技術(shù)、隧道技術(shù)和NAT技術(shù)3種方式的優(yōu)缺點，確定12306系統(tǒng)IPv6演進(jìn)應(yīng)采用主體部署雙棧和NAT技術(shù)補充的方案，當(dāng)12306系統(tǒng)和辦公區(qū)域都支持IPv6后，可考慮逐步關(guān)閉IPv4網(wǎng)絡(luò)協(xié)議棧，并通過NAT技術(shù)來解決少量的IPv4內(nèi)容訪問需求。

3.2 系統(tǒng)演進(jìn)改造內(nèi)容

（1）內(nèi)容分發(fā)網(wǎng)絡(luò)改造

12306系統(tǒng)通過內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN，Content Delivery Network）為互聯(lián)網(wǎng)用戶提供售票服務(wù)，CDN需進(jìn)行改造以提供IPv4/IPv6雙棧服務(wù)。

（2）主體網(wǎng)絡(luò)及安全設(shè)備改造

在第1和第2數(shù)據(jù)中心需進(jìn)行IPv4/IPv6雙棧改造調(diào)試的網(wǎng)絡(luò)及安全設(shè)備包括：互聯(lián)網(wǎng)接入設(shè)備（例如安全設(shè)備、鏈路負(fù)載均衡設(shè)備等）、客服外網(wǎng)核心交換機(jī)、客服外網(wǎng)安全及加密設(shè)備、客服外網(wǎng)雙中心互連設(shè)備（例如防火墻、路由器等）、客服內(nèi)外網(wǎng)安全平臺、客服內(nèi)網(wǎng)核心交換機(jī)、客服內(nèi)網(wǎng)安全設(shè)備、客服內(nèi)網(wǎng)雙中心互連設(shè)備（例如防火墻、路由器等）、客票網(wǎng)安全平臺、客票網(wǎng)核心交換機(jī)、客票網(wǎng)二層互聯(lián)設(shè)備和客票網(wǎng)核心路由器。

（3）服務(wù)器及存儲設(shè)備改造

將第1和第2數(shù)據(jù)中心的服務(wù)器及存儲設(shè)備，按照CDN接入用戶的IPv6流量所占比例以及整體進(jìn)度要求進(jìn)行IPv4至IPv4/IPv6雙棧遷移改造。同時對其上的基礎(chǔ)及系統(tǒng)軟件進(jìn)行調(diào)試并試運行。

（4）應(yīng)用系統(tǒng)改造

IPv6整體演進(jìn)改造過程中，除了關(guān)于網(wǎng)絡(luò)層的改造，對應(yīng)用系統(tǒng)的改造也是關(guān)鍵所在。目前大部分應(yīng)用軟件不支持IPv6，如果需要使用IPv6，需要對其進(jìn)行升級開發(fā)，做必要的適應(yīng)性改造，并在試驗環(huán)境中進(jìn)行測試驗證。應(yīng)用系統(tǒng)改造工作主要包括運行環(huán)境配置和相關(guān)網(wǎng)絡(luò)協(xié)議的代碼行改造兩部分。運行環(huán)境配置主要是對操作系統(tǒng)、中間件、數(shù)據(jù)庫等基礎(chǔ)平臺運行環(huán)境進(jìn)行相關(guān)配置改造。相關(guān)網(wǎng)絡(luò)協(xié)議的代碼行改造主要是指IPv4 過渡到IPv6 需要修改的網(wǎng)絡(luò)協(xié)議[8]。

12306系統(tǒng)IPv6演進(jìn)改造方案的總體架構(gòu)圖如圖1所示。

圖1 12306系統(tǒng)IPv6演進(jìn)架構(gòu)圖

3.3 系統(tǒng)演進(jìn)實施步驟

12306系統(tǒng)進(jìn)行IPv6改造涉及互聯(lián)網(wǎng)接入?yún)^(qū)、客服外網(wǎng)區(qū)、客服內(nèi)網(wǎng)區(qū)、客票網(wǎng)區(qū)4個網(wǎng)絡(luò)分區(qū)；涉及的設(shè)備為網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器及存儲設(shè)備兩大類；涉及的軟件為基礎(chǔ)及系統(tǒng)軟件、應(yīng)用軟件兩大類。

系統(tǒng)的演進(jìn)分步實施主要按照以下步驟。

（1）在實驗室搭建一套虛擬試驗環(huán)境，模擬12306互聯(lián)網(wǎng)售票，對環(huán)境和應(yīng)用軟件進(jìn)行適應(yīng)性測試驗證，對于雙棧設(shè)備進(jìn)行性能評估。

（2）對于4個區(qū)域的網(wǎng)絡(luò)及安全設(shè)備進(jìn)行支持IPv4/IPv6雙棧改造調(diào)試。12306系統(tǒng)中的設(shè)備是在不同時期、不同工程中采購的，所以在IPv6演進(jìn)改造遷移過程中需充分考慮設(shè)備到期更新的需求，將即將到期的設(shè)備優(yōu)先用在IPv4/IPv6雙棧中。在此后的新增設(shè)備和新開發(fā)軟件都應(yīng)將支持IPv4/IPv6雙棧作為一項基本標(biāo)準(zhǔn)和要求。通過將既有設(shè)備進(jìn)行改造遷移或者在設(shè)備到期更新時完成改造，可以節(jié)省投資，但需在測試驗證和遷移改造過程的維護(hù)方面做充分的工作。

（3）對4個區(qū)域的服務(wù)器及存儲設(shè)備按照20%的流量比例進(jìn)行IPv4至IPv4/IPv6雙棧遷移改造，同時對其上的基礎(chǔ)及系統(tǒng)軟件、應(yīng)用軟件進(jìn)行調(diào)試并試用行。

（4）根據(jù)IPv6流量比例的需要以及整體進(jìn)度要求進(jìn)行改造遷移。

3.4 系統(tǒng)IPv6演進(jìn)的關(guān)鍵問題

3.4.1 演進(jìn)中的域名問題

由于系統(tǒng)采用統(tǒng)一資源標(biāo)識符（URI，Uniform Resource Identfier）對外提供服務(wù)，而用戶通過域名服務(wù)器（DNS，Domain Name Server）來解析應(yīng)用的服務(wù)器地址，因此在演進(jìn)過程中會遇到DNS的解析問題。為解決該問題運營商針對同一URI可以支持向用戶同時返回IPv4地址和IPv6地址，由用戶終端決定采用哪個地址進(jìn)行通信。在實際實施時，應(yīng)用系統(tǒng)可以按照現(xiàn)有域名同時設(shè)置IPv4地址和IPv6地址。當(dāng)然也可以考慮為IPv4和IPv6分別獨立設(shè)置一個域名[9]。綜合分析兩種方法，前者更為便捷。

3.4.2 演進(jìn)中的安全問題

相對于IPv4而言，IPv6協(xié)議由于內(nèi)嵌Internet安全性協(xié)議及海量的地址對應(yīng)用平臺，安全性有了一定程度的提高。但在大規(guī)模推廣時也可能出現(xiàn)新的安全問題。部署IPv6后，原有的安全設(shè)備需要同步升級，實現(xiàn)對分布式拒絕服務(wù)攻擊、入侵檢測等多層面防護(hù)。如原有安全設(shè)備可以升級，盡量采用升級的方式，如不支持，可將原有安全設(shè)備仍然作為IPv4的防護(hù)，新增安全設(shè)備作為IPv6的防護(hù)[9]。

3.4.3 用戶接入流量統(tǒng)一調(diào)度

在12306系統(tǒng)的兩個數(shù)據(jù)中心分別新增運營商IPv4/IPv6雙棧通道，新增CDN到一中心和二中心的IPv4/IPv6訪問，實現(xiàn)CDN到兩個數(shù)據(jù)中心IPv4和IPv6不同通道的同時訪問。同時要求 CDN具備根據(jù)實際需要實時調(diào)整IPv4和IPv6訪問流量比例的功能。也可以考慮在互聯(lián)網(wǎng)接入?yún)^(qū)增配流量控制設(shè)備，對IPv4和IPv6流量統(tǒng)一調(diào)度，設(shè)置優(yōu)先級。但考慮到新增通道成本問題，應(yīng)采用第1個方案。

3.4.4 演進(jìn)中的應(yīng)急措施

在12306系統(tǒng)進(jìn)行IPv6演進(jìn)改造的過程中，為了保證系統(tǒng)運行的穩(wěn)定性，主要能采取以下幾項應(yīng)急措施。

（1）在演進(jìn)實施之初不應(yīng)立即接入IPv6的流量，應(yīng)先對設(shè)備和軟件進(jìn)行驗證。在應(yīng)用系統(tǒng)功能驗證和雙棧設(shè)備性能評估均達(dá)標(biāo)后再接入IPv6的流量。

（2）改造設(shè)備時先改造一個數(shù)據(jù)中心的設(shè)備，做好必要的應(yīng)急準(zhǔn)備，一旦出現(xiàn)問題，可用另一個數(shù)據(jù)中心承擔(dān)生產(chǎn)業(yè)務(wù)。改造經(jīng)確認(rèn)沒有問題后再改造另一個數(shù)據(jù)中心的設(shè)備。

（3）服務(wù)器集群一般情況下由多個設(shè)備承擔(dān)同一功能任務(wù)，應(yīng)按照IPv6流量的占比，以及1.2節(jié)提到規(guī)劃中的比例（20%、50%、100%）進(jìn)行服務(wù)器集群分批改造。改造后的集群是雙棧的，可以同時處理IPv4和IPv6的業(yè)務(wù)，因此改造比例應(yīng)為IPv6的上限值。

（4）有個別設(shè)備在單一數(shù)據(jù)中心里單獨承擔(dān)任務(wù)，應(yīng)逐一分時改造兩個數(shù)據(jù)中心的設(shè)備為雙棧模式，以免同時出現(xiàn)問題。

（5）應(yīng)在客服外網(wǎng)、客服內(nèi)網(wǎng)、客票網(wǎng)各區(qū)域的核心交換機(jī)處設(shè)置NAT網(wǎng)關(guān)，補充實際流量與處理能力不匹配的部分。保留一定規(guī)模量的NAT能力，既可為業(yè)務(wù)預(yù)留升級的時間窗口，也可彌補升級后不匹配的問題。在IPv4至IPv4/IPv6雙棧服務(wù)器的遷移中，如果流量不符合實際，可以通過NAT技術(shù)達(dá)到總體平穩(wěn)可用。客服外網(wǎng)到客服內(nèi)網(wǎng)以及客服內(nèi)網(wǎng)到客票網(wǎng)，及時調(diào)節(jié)IPv4和IPv4/IPv6流量的處理能力。但是為了不使NAT網(wǎng)關(guān)成為瓶頸，需要控制NAT的總量，盡量科學(xué)計算流量比例，分階段分批對服務(wù)器設(shè)備進(jìn)行遷移和調(diào)整。

4 結(jié)束語

IPv6的推廣是一次全球網(wǎng)絡(luò)信息技術(shù)的創(chuàng)新與變革，是時代挑戰(zhàn)也是機(jī)遇。加快推進(jìn)IPv6規(guī)模部署有利于構(gòu)建智能化的下一代鐵路信息網(wǎng)，提高承載能力和服務(wù)水平，也是鐵路信息網(wǎng)融入國際互聯(lián)網(wǎng)環(huán)境的迫切需求。未來應(yīng)積極將IPv6技術(shù)投入到12306售票系統(tǒng)及其他鐵路系統(tǒng)中，為旅客提供更加豐富、智能化的服務(wù)。IPv6演進(jìn)過程中的安全問題、性能問題、可管理性等都是需要進(jìn)一步研究的方向。