上官斌

摘要：128位冗長(zhǎng)的IPv6地址難以記憶和管理，如何將內(nèi)網(wǎng)服務(wù)器IPv6地址采用DNS域名解析服務(wù)設(shè)計(jì)，轉(zhuǎn)換成方便記憶的域名進(jìn)行管理?？梢允沟醚邪l(fā)人員不必記憶IPv6，而實(shí)現(xiàn)業(yè)務(wù)程序開(kāi)發(fā)的快速迭代，也可以使得運(yùn)維人員在發(fā)生業(yè)務(wù)及設(shè)備故障時(shí)，快速知曉某一IPv6地址準(zhǔn)確對(duì)應(yīng)的物理設(shè)備，快速定位故障點(diǎn)及識(shí)別受影響的業(yè)務(wù)范圍。筆者在實(shí)際生產(chǎn)中通過(guò)主持物聯(lián)網(wǎng)IPv6網(wǎng)絡(luò)改造及智能DNS項(xiàng)目建設(shè)實(shí)踐，實(shí)現(xiàn)了IPv6的單棧運(yùn)行，有效提升IPv6地址支撐研發(fā)及運(yùn)維管理效率。文章總結(jié)了其中一些實(shí)踐性經(jīng)驗(yàn)，供從業(yè)者參考。

關(guān)鍵詞：DNS;IPv6;安全管理

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）12-0033-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1 運(yùn)營(yíng)商IPv6建設(shè)背景

為貫徹落實(shí)中辦、國(guó)辦《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》及中央網(wǎng)信辦、工信部、國(guó)資委等國(guó)家部委相關(guān)要求，結(jié)合中國(guó)移動(dòng)自身發(fā)展需要，2020年5月26日，總部下發(fā)《關(guān)于開(kāi)展2020年IPv6規(guī)模部署工作的通知》，統(tǒng)籌IPv6規(guī)模部署，并對(duì)各省公司、各專(zhuān)業(yè)公司的具體相關(guān)工作提出新的高要求，具體要求包括：

1）加強(qiáng)對(duì)包括中小型數(shù)據(jù)中心和機(jī)房的IPv6改造，全部IDC均應(yīng)支持IPv6。

2）至2020年底，完成全部自營(yíng)網(wǎng)站、應(yīng)用的IPv6改造，其各級(jí)內(nèi)部鏈接及內(nèi)部資源均應(yīng)100%支持IPv6并優(yōu)先通過(guò)IPv6訪問(wèn)，應(yīng)支持IPv6單棧獨(dú)立運(yùn)行。

相關(guān)部門(mén)繼續(xù)推進(jìn)IPv6規(guī)模部署納入各單位年度經(jīng)營(yíng)業(yè)績(jī)考核管理控制事項(xiàng)，中央網(wǎng)信辦、工信部、國(guó)資委等相關(guān)部委專(zhuān)項(xiàng)督察、通報(bào)，將給各相關(guān)單位造成較大負(fù)面影響的情況?；诖耍琁Pv6基礎(chǔ)設(shè)施建設(shè)、應(yīng)用改造等，已經(jīng)成為一項(xiàng)突破技術(shù)瓶頸，拓展業(yè)務(wù)需要，以及國(guó)家管理要求三方結(jié)合的當(dāng)務(wù)之急。

2 IPv6管理痛點(diǎn)

[IPv6優(yōu)勢(shì) IPv4 IPv6 更大的地址空間 地址長(zhǎng)度：32 位;地址數(shù)量：2^32;地址編碼：十進(jìn)制 地址長(zhǎng)度：128 位;地址數(shù)量：2^128;地址編碼：十六進(jìn)制 地址格式：

192.168.1.1 地址格式：2001：0db8：3c4d：0015：0000：0000：1a2f：1a2b 更小的路由表 / 聚類(lèi)原則，路由表1條記錄表示1片子網(wǎng) 增強(qiáng)的組播支持 單播，多播，廣播 單播，多播，任意播 其他 / 更高的安全性，更高的QoS，對(duì)自動(dòng)配置的支持，對(duì)流的支持，…… ]

IPv6對(duì)應(yīng)IPv4而言，有許多優(yōu)勢(shì)，包括幾乎“可以為地球上每一顆沙子”配置專(zhuān)用地址這樣近乎無(wú)限大的地址容量空間，帶來(lái)更高的安全性、Qos以及更靈活的增強(qiáng)組播方式。

但同時(shí)，由于IPv6超長(zhǎng)的地址位，在運(yùn)維管理上會(huì)帶來(lái)更多的挑戰(zhàn)：

1）難以人腦記憶： 對(duì)于IPv4，32位點(diǎn)分10進(jìn)制來(lái)講，例如常用的：192.168.1.1，僅4組阿拉伯?dāng)?shù)字，運(yùn)維人員可以熟記關(guān)鍵服務(wù)器、網(wǎng)關(guān)、出口網(wǎng)段地址，甚至在腦中記憶著基本網(wǎng)絡(luò)拓?fù)鋱D及關(guān)鍵IP地址。但128位的長(zhǎng)度16進(jìn)制，比如：2001：0db8：3c4d：0015：0000：0000：1a2f：1a2b，看得人頭暈眼花，基本上人腦記不住。大量的終端設(shè)備、主機(jī)服務(wù)器如何進(jìn)行分配IP地址，手工進(jìn)行還是自動(dòng)配置？

2）如何進(jìn)行內(nèi)網(wǎng)保護(hù)：有的人認(rèn)為在內(nèi)網(wǎng)中采用IPv6公網(wǎng)地址，會(huì)導(dǎo)致整個(gè)內(nèi)網(wǎng)將近乎“全裸”地直接暴露在整個(gè)互聯(lián)網(wǎng)環(huán)境下，黑客可以毫不費(fèi)力地拉取出內(nèi)網(wǎng)環(huán)境拓?fù)洳?duì)任一設(shè)備進(jìn)行攻擊。實(shí)際上通過(guò)出口防火墻進(jìn)行外部訪問(wèn)源控制，拒絕所有不對(duì)外提供服務(wù)網(wǎng)元的訪問(wèn)請(qǐng)求，對(duì)外提供服務(wù)的網(wǎng)元只按“最小化需求”提供IPv6+端口開(kāi)放許可，即可有效保護(hù)內(nèi)網(wǎng)隱私。

3）終端設(shè)備IP地址分配：難以記憶，當(dāng)有大量終端需要接入時(shí)，導(dǎo)致IPv6分配難以通過(guò)運(yùn)維人員手工方式進(jìn)行，更加依賴(lài)DHCPv6機(jī)制來(lái)自動(dòng)分配生成各終端的IPv6地址。

4）服務(wù)器IPv6地址管理：將服務(wù)器IPv6采用DNS域名解析服務(wù)，把冗長(zhǎng)的IPv6地址，轉(zhuǎn)換成方便記憶的域名進(jìn)行管理。可以使得研發(fā)人員不必記憶IPv6，在實(shí)現(xiàn)代碼中不用綁定IPv6，便于業(yè)務(wù)程序開(kāi)發(fā)及實(shí)現(xiàn)功能的快速迭代。也可以使得運(yùn)維人員快速知曉某一IPv6地址準(zhǔn)確對(duì)應(yīng)的物理設(shè)備，接口，對(duì)應(yīng)的承載。在發(fā)生業(yè)務(wù)及設(shè)備故障時(shí)快速定位故障點(diǎn)及識(shí)別受影響的業(yè)務(wù)范圍。

3 智能DNS建設(shè)方案

3.1物聯(lián)網(wǎng)DNS主要業(yè)務(wù)場(chǎng)景

物聯(lián)網(wǎng)現(xiàn)有IDC1、2兩個(gè)異址機(jī)房，承載了幾十套業(yè)務(wù)系統(tǒng)，各系統(tǒng)之間每天十幾萬(wàn)次的互訪通過(guò)靜態(tài)IP地址進(jìn)行互訪，以及對(duì)外提供訪問(wèn)服務(wù)。IP地址調(diào)整或者演進(jìn)至IPv6網(wǎng)絡(luò)時(shí)代，都無(wú)法滿足現(xiàn)有的業(yè)務(wù)需要。需要DNS系統(tǒng)能夠處理來(lái)自物聯(lián)網(wǎng)各業(yè)務(wù)平臺(tái)的域名查詢請(qǐng)求，能夠向權(quán)威域名服務(wù)器發(fā)送查詢并接收結(jié)果，通過(guò)DNS服務(wù)靈活實(shí)現(xiàn)各業(yè)務(wù)平臺(tái)的業(yè)務(wù)地址解析，物聯(lián)網(wǎng)各業(yè)務(wù)平臺(tái)不再配置固定IP地址實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)。

3.2智能DNS要實(shí)現(xiàn)的主要目標(biāo)

在IDC1、2兩個(gè)物聯(lián)網(wǎng)數(shù)據(jù)機(jī)房各建設(shè)一套統(tǒng)一的DNS域名解析系統(tǒng)，負(fù)責(zé)各自區(qū)域物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)的權(quán)威及域名解析業(yè)務(wù)，同時(shí)實(shí)現(xiàn)兩套DNS域名解析系統(tǒng)的業(yè)務(wù)負(fù)載及容災(zāi)備份，當(dāng)任何一個(gè)節(jié)點(diǎn)的DNS域名解析系統(tǒng)出現(xiàn)問(wèn)題，另一個(gè)節(jié)點(diǎn)能夠立刻承載業(yè)務(wù)。系統(tǒng)防護(hù)要求支持DNS安全加固、支持解析限速技術(shù)，預(yù)防DNS DDOS攻擊。

3.3 DNS部署遵循以下原則

1）DNS高安全性

DNS系統(tǒng)是物聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施，應(yīng)充分保障DNS系統(tǒng)的安全性，系統(tǒng)應(yīng)采用安全、可信加固操作系統(tǒng)，規(guī)避各種已知安全漏洞及風(fēng)險(xiǎn)，避免采用開(kāi)源軟件。系統(tǒng)還應(yīng)具備DPI深度包檢測(cè)能力，對(duì)DNS異常流量進(jìn)行實(shí)時(shí)識(shí)別，并采取有效手段進(jìn)行阻斷。

2）DNS高可靠性

DNS系統(tǒng)應(yīng)該達(dá)到運(yùn)營(yíng)商級(jí)高可靠性99.999%，同時(shí)系統(tǒng)應(yīng)充分考慮全冗余性，同機(jī)房應(yīng)實(shí)現(xiàn)雙機(jī)熱備，支持HA及雙Active模式。

3）可擴(kuò)展性原則

系統(tǒng)具備平滑升級(jí)、擴(kuò)展的能力，易于實(shí)現(xiàn)容量及功能的擴(kuò)展，增加設(shè)備不應(yīng)增加管理的復(fù)雜度。另外系統(tǒng)還應(yīng)提供第三方接口API能力，能夠?qū)⑾到y(tǒng)主要指標(biāo)通過(guò)接口方式開(kāi)放給第三方系統(tǒng)。

4）易管理性原則

系統(tǒng)應(yīng)采用中文圖形化管理界面，日常的監(jiān)控、配置、審計(jì)等管理都能夠方便便捷進(jìn)行管理，提升維護(hù)人員使用效率。

3.4 組網(wǎng)原則

1）采用主備或者負(fù)載均衡的組網(wǎng)方式，最大限度提升系統(tǒng)的安全性;

2）系統(tǒng)的2臺(tái)DNS解析設(shè)備同時(shí)對(duì)loopback地址進(jìn)行監(jiān)聽(tīng)，使用OSPF進(jìn)行路由廣播，對(duì)外發(fā)布Loopback地址為對(duì)外服務(wù)地址;

3）DNS解析設(shè)備網(wǎng)卡采用主備模式，雙上聯(lián)到接入路由器;

4）2臺(tái)DNS解析設(shè)備實(shí)現(xiàn)節(jié)點(diǎn)內(nèi)冗余備份，兩個(gè)業(yè)務(wù)節(jié)點(diǎn)之間實(shí)現(xiàn)節(jié)點(diǎn)業(yè)務(wù)備份。

硬件設(shè)備根據(jù)要求采用DNS專(zhuān)用服務(wù)器，上圖網(wǎng)絡(luò)拓?fù)涫疽鈭D。在IDC1、2分別設(shè)置節(jié)點(diǎn)，各新增2臺(tái)服務(wù)器作為物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)DNS設(shè)備，雙上聯(lián)接入網(wǎng)絡(luò)交換機(jī)，組建主備的網(wǎng)絡(luò)設(shè)備方案，IDC1、2發(fā)布同樣的DNS業(yè)務(wù)地址，若是網(wǎng)絡(luò)通過(guò)VPN隔離，則IDC1、2節(jié)點(diǎn)接入同樣的VPN中，實(shí)現(xiàn)雙中心業(yè)務(wù)切換。正常業(yè)務(wù)在IDC1節(jié)點(diǎn)提供，當(dāng)IDC1節(jié)點(diǎn)出現(xiàn)異常，則網(wǎng)絡(luò)切換至IDC2節(jié)點(diǎn)。提供DNS授權(quán)、遞歸、緩存等功能，同時(shí)集成日志和網(wǎng)管功能，實(shí)現(xiàn)物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)DNS的智能解析和系統(tǒng)管理。可以較好地通過(guò)DNS實(shí)現(xiàn)兩地多中心的備份機(jī)制。

4 管理實(shí)踐

定義物聯(lián)網(wǎng)專(zhuān)網(wǎng)域內(nèi)根DNS服務(wù)地址為2409：XXXX：0：XXXX：0001。需要DNS服務(wù)的，可以直接在主機(jī)上配置該DNS服務(wù)地址，并向管理部門(mén)申請(qǐng)配置域名及地址信息;后續(xù)拓展IDC機(jī)房，可自建域名服務(wù)系統(tǒng)的，向管理部門(mén)申請(qǐng)符合命名規(guī)范的二級(jí)域名，并設(shè)置遞歸至物聯(lián)網(wǎng)專(zhuān)網(wǎng)根DNS。

域名規(guī)則：為和公網(wǎng)域名規(guī)范區(qū)分，物聯(lián)網(wǎng)專(zhuān)網(wǎng)VPN內(nèi)的域名規(guī)定“.m2m”為一級(jí)域名，定義為該VPN統(tǒng)一使用，各網(wǎng)元根據(jù)網(wǎng)元名稱(chēng)向管理部門(mén)申請(qǐng)使用二級(jí)域名或具體域名，如下。

5 成效評(píng)估

利用DNS實(shí)施IPv6管理獲得了三個(gè)方面的好處：

1）提升用戶服務(wù)感知：內(nèi)網(wǎng)服務(wù)器各網(wǎng)元對(duì)外不直接暴露IP地址，均通過(guò)使用符合規(guī)范的域名對(duì)外提供服務(wù)，方便用戶不再記憶IP地址，只需要記憶域名;

2）提升網(wǎng)絡(luò)安全性：網(wǎng)絡(luò)安全性得到進(jìn)一步提高，外網(wǎng)攻擊明顯減少;

3）提升管理便捷性：開(kāi)發(fā)人員、運(yùn)維人員通過(guò)域名開(kāi)發(fā)及維護(hù)管理便捷性明顯提高，代碼通用性大大提高，不再因IP地址割接導(dǎo)致代碼重寫(xiě)及割接升級(jí)，只需要進(jìn)行DNS域名動(dòng)態(tài)更新即可0業(yè)務(wù)中斷實(shí)現(xiàn)IP地址變更及擴(kuò)容。

6 結(jié)束語(yǔ)

實(shí)踐中，通過(guò)智能DNS建設(shè)及域名規(guī)劃，研發(fā)人員不必再記憶IPv6，在實(shí)現(xiàn)代碼中不用綁定IPv6，而采用對(duì)應(yīng)域名（如：XXX.onelink.m2m）替代，便于業(yè)務(wù)程序開(kāi)發(fā)及實(shí)現(xiàn)功能的快速迭代。也可以使得運(yùn)維人員在發(fā)生業(yè)務(wù)及設(shè)備故障時(shí)，快速匹配出某一IPv6地址準(zhǔn)確對(duì)應(yīng)的物理設(shè)備，接口，對(duì)應(yīng)的業(yè)務(wù)承載（如：OneLink或IT），便于快速定位故障點(diǎn)及識(shí)別受影響的業(yè)務(wù)范圍，極大提高了研發(fā)，運(yùn)維人員工作效率及管理的便捷性。以上是筆者在實(shí)踐基礎(chǔ)上的一些總結(jié)，對(duì)IPv6網(wǎng)絡(luò)及業(yè)務(wù)服務(wù)改造后如何實(shí)現(xiàn)IPv6地址科學(xué)管理，具有積極的借鑒意義。

參考文獻(xiàn)：

[1] 中國(guó)移動(dòng)蜂窩物聯(lián)網(wǎng)技術(shù)體制[S]（QB-A-048-2019）

[2] 中華人民共和國(guó)工業(yè)和信息化部.域名系統(tǒng)遞歸服務(wù)器運(yùn)行技術(shù)要求， YD/T 2137-2010

[3] 趙翠湯，新坤，歐陽(yáng)峰. IPv6地址管理系統(tǒng)方案研究與設(shè)計(jì)[J].廣播電視信息，2021，28（5）： 85-87.

[4] 紀(jì)德偉，柏成勇.IPv6地址規(guī)劃及管理實(shí)踐[J].信息通信技術(shù)與政策，2020（6）：91-96.

[5] 賴(lài)敬坤，梅洪.電子政務(wù)外網(wǎng)IPv6網(wǎng)絡(luò)部署安全風(fēng)險(xiǎn)及對(duì)策探究[J]. 江西通信科技，2019（4）：32-35.

【通聯(lián)編輯：王力】