楊灝

電子政務外網(wǎng)承載著政府部門的多種業(yè)務，IPv4地址資源極大地限制了電子政務的發(fā)展。下一代互聯(lián)網(wǎng)是以IPv6作為核心技術，從根本上解決了IPv4的發(fā)展瓶頸問題。因此本文主要通過研究IPv6過渡技術和升級改造關鍵點，為電子政務外網(wǎng)實現(xiàn)IPv6網(wǎng)絡演進提供思路。

一、引言

隨著歐洲網(wǎng)絡協(xié)調(diào)中心（RIPE NCC）宣布IPv4地址用完，理論上新增設備無法獲得合法的IPv4地址。IPv6的出現(xiàn)讓IP地址短缺不再成為問題，而且發(fā)展至今技術已經(jīng)成熟，海量的地址資源可以有效的支撐新的信息化應用。中共中央辦公廳、國務院辦公廳發(fā)布的《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，提出了IPv6的發(fā)展目標和總體要求，IPv6已經(jīng)成為向下一代互聯(lián)網(wǎng)演進的必由之路。

目前電子政務外網(wǎng)承載著政府部門的多種業(yè)務，大多是采用私網(wǎng)地址和地址轉(zhuǎn)換技術，隨著業(yè)務范圍的逐漸擴大，為保障新業(yè)務的開展不受IPv4地址制約，需要逐步從IPv4網(wǎng)絡向IPv6網(wǎng)絡平滑過渡，同時不影響業(yè)務質(zhì)量。本文旨在通過對IPv6過渡技術進行研究，分析電子政務外網(wǎng)實現(xiàn)IPv6升級改造的方法。

二、IPv6過渡技術現(xiàn)狀

IPv6發(fā)展至今已經(jīng)逐漸成熟，并且衍生出廣泛的應用。但是IPv6協(xié)議替代IPv4協(xié)議不可能一蹴而就，因此在未來一段時間內(nèi)IPv4協(xié)議和IPv6協(xié)議會共存在一個環(huán)境中。在從IPv4平穩(wěn)演進到IPv6的過程中，需要根據(jù)電子政務外網(wǎng)的特點尋找到合適的過渡機制。目前常用的IPv6過渡技術有雙棧技術、隧道技術和翻譯技術。

（一）雙棧技術

雙棧技術是目前最直接、也是最徹底的部署IPv6網(wǎng)絡的一種方法，適合長期演進和大規(guī)模部署。該技術需要網(wǎng)絡、設備及業(yè)務系統(tǒng)同時支持IPv4和IPv6，這樣用戶可以通過IPv4和IPv6通道分別訪問IPv4網(wǎng)絡和IPv6網(wǎng)絡。實現(xiàn)雙棧需要在過渡期間同時維持IPv4和IPv6環(huán)境，而且網(wǎng)絡中每個節(jié)點都要升級，同時當前全球IPv6網(wǎng)絡環(huán)境還未形成，許多網(wǎng)絡安全問題尚不明確，缺乏相應的安全防護措施，給同時運行IPv4和IPv6兩套協(xié)議棧帶來了網(wǎng)絡安全風險。

（二）隧道技術

隧道技術在IPv4向IPv6過渡過程中也非常重要。隧道技術不改變網(wǎng)絡中大部分IPv4設備，只需要在用戶和業(yè)務系統(tǒng)的接入設備、網(wǎng)絡出口路由設備上同時運行IPv4和IPv6協(xié)議，并在接入設備和出口路由設備之間建立 IPv4 隧道，基于IPv4隧道來傳送IPv6數(shù)據(jù)報文。通過隧道技術，網(wǎng)絡只需要出口路由設備和接入設備雙?；?，其他設備不受影響。該技術增加了網(wǎng)絡維護和故障定位的難度，而且還增加了報文長度，對于用戶和業(yè)務系統(tǒng)都需要安裝相應的IPv6隧道軟件，需要配合雙棧技術來完成IPv6改造。

（三）翻譯技術

翻譯技術可以分為傳統(tǒng)的有狀態(tài)翻譯技術、有狀態(tài)應用層翻譯技術和無狀態(tài)翻譯技術。翻譯技術的原理同樣是實現(xiàn)出口路由設備和接入設備雙?；谟脩艉蜆I(yè)務系統(tǒng)之間部署翻譯設備，建立IPv6/IPv4之間地址和端口的映射關系，用戶和業(yè)務系統(tǒng)的IPv6報文翻譯成IPv4報文才進入網(wǎng)絡，在IPv6出口處再次翻譯成IPv6報文，用戶和業(yè)務系統(tǒng)的IPv4報文則直接進入IPv4網(wǎng)絡，不進行翻譯。

有狀態(tài)的翻譯技術主要有NAT64、NAT46，主要是基于動態(tài)映射將源站的IPv4地址和IPv6地址對應起來。該技術對網(wǎng)絡和現(xiàn)有系統(tǒng)改動較小，但會存在IPv6訪問無法溯源的問題，難以對訪問的用戶進行管理。有狀態(tài)應用層翻譯技術是采用了代理機制，外部用戶先訪問到代理服務器，然后通過代理服務器訪問網(wǎng)站。這種技術因為增加了代理，導致用戶訪問時延增大。無狀態(tài)翻譯技術是基于網(wǎng)絡層算法將IPv4地址和IPv6地址進行映射，實現(xiàn)IPv6/ IPv4地址無狀態(tài)轉(zhuǎn)換。該技術依賴于翻譯設備，支持同一網(wǎng)絡出口的所有網(wǎng)站及業(yè)務系統(tǒng)，能夠解決應用支持和安全溯源的問題。

三、電子政務外網(wǎng)的IPv6升級改造

目前電子政務外網(wǎng)運行的業(yè)務都是基于IPv4的，從電子政務外網(wǎng)的長遠發(fā)展來考慮，如何讓電子政務外網(wǎng)接受IPv6用戶的訪問變得至關重要。

（一）IPv6升級改造主要內(nèi)容

電子政務外網(wǎng)的IPv6升級改造涉及的環(huán)節(jié)眾多，主要包括三部分內(nèi)容：終端、業(yè)務系統(tǒng)和網(wǎng)絡。終端操作系統(tǒng)通過升級后支持雙棧，即可以同時訪問IPv4資源和IPv6資源；業(yè)務系統(tǒng)包括操作系統(tǒng)升級、軟件升級和硬件升級，對于無法支持升級IPv6協(xié)議的可以考慮臨時過渡技術或者替換來解決；網(wǎng)絡改造需要考慮IPv6過渡技術的選擇、網(wǎng)絡地址的申請和規(guī)劃、網(wǎng)絡設備和安全設備的升級等內(nèi)容。

（二）IPv6升級改造關鍵點

電子政務外網(wǎng)IPv6改造主要從網(wǎng)絡調(diào)研、地址申請和規(guī)劃、過渡技術選擇和安全策略這四個關鍵點進行說明。

網(wǎng)絡調(diào)研：通過調(diào)研網(wǎng)絡架構(gòu)、網(wǎng)絡業(yè)務情況、網(wǎng)絡設備信息以及IPv4相關情況，對網(wǎng)絡設備、架構(gòu)以及業(yè)務系統(tǒng)的IPv6支持度和性能進行評估，做出適合網(wǎng)絡演進的最優(yōu)決策。

地址申請和規(guī)劃：業(yè)務系統(tǒng)升級首先要獲得IPv6線路和地址，IPv6地址分配后，地址規(guī)劃可以從安全性、擴展性和路由聚合三個方面進行考慮。其中安全性是控制敏感路由發(fā)布，做到網(wǎng)絡隔離；擴展性是考慮業(yè)務類型增加和用戶數(shù)增長，合理預留地址空間，提高擴展性；路由聚合是指采用層次化設計，提高聚合性。

圖1 基于業(yè)務系統(tǒng)的ipv6改造架構(gòu)

過渡技術選擇：電子政務外網(wǎng)由于其業(yè)務特殊性，會從少量的IPv6流量訪問，到中間經(jīng)歷很長一段IPv4和IPv6兩種流量共存的時間，再到少量的IPv4流量訪問，最后演進為純IPv6網(wǎng)絡。所以在過渡期間網(wǎng)絡升級主要以雙棧技術為主，還需要翻譯和隧道技術作為輔助，實現(xiàn)網(wǎng)絡的平滑升級。

安全策略：IPv6協(xié)議相對于IPv4協(xié)議在網(wǎng)絡拓撲結(jié)構(gòu)設計上沒有什么變化，且在IPv4網(wǎng)絡中相關安全威脅在IPv6中同樣存在，因此，要建設基于IPv6的網(wǎng)絡安全體系，可以基于原有的IPv4防護經(jīng)驗從技術和管理兩個層面進行安全防范。但是面對當前復雜嚴峻的網(wǎng)絡安全形勢，尤其是全新的IPv6協(xié)議網(wǎng)絡環(huán)境，應該制定全新的安全防護策略，通過針對IPv6的安全技術和管理手段來實現(xiàn)防護能力，比如針對IPv6的攻擊分析預測、威脅預警、流量監(jiān)控、用戶行為分析等。

四、結(jié)語

電子政務外網(wǎng)的IPv6升級改造是一個長期而又復雜的過程，完成改造對于進一步推動下一代互聯(lián)網(wǎng)的平滑演進升級具有重要的意義。因此需要結(jié)合實際情況，尋找到適合電子政務外網(wǎng)的IPv6升級改造方法，針對部署過程中的技術細節(jié)還有待進一步深入探討。

作者單位：國資委信息中心