殷曉杭，楊守滂

(中國(guó)電信股份有限公司溫州分公司，浙江 溫州 325000)

0 引言

市電子政務(wù)外網(wǎng)是市電子政務(wù)的重要網(wǎng)絡(luò)基礎(chǔ)工程，是國(guó)家及省政務(wù)外網(wǎng)的延伸和拓展。市電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要用于運(yùn)行政府部門不需要在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)和政府部門面向社會(huì)的服務(wù)業(yè)務(wù)，為政府部門的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務(wù)，為社會(huì)公眾提供政務(wù)信息支撐服務(wù)?，F(xiàn)有的電子政務(wù)網(wǎng)建于2000年初，包括市行政中心核心節(jié)點(diǎn)（骨干網(wǎng)）和市行政中心區(qū)域網(wǎng)絡(luò)，并實(shí)現(xiàn)幾百家市級(jí)單位的橫向接入，以及省電子政務(wù)外網(wǎng)和各個(gè)縣（市、區(qū)）電子政務(wù)外網(wǎng)的縱向接入，市本級(jí)接入用戶在萬人左右，雖經(jīng)過設(shè)備及鏈路的升級(jí)改造，網(wǎng)絡(luò)結(jié)構(gòu)變的復(fù)雜，而功能區(qū)域邊界仍模糊，對(duì)于網(wǎng)絡(luò)維護(hù)及故障判斷造成極大不便。

1 市電子政務(wù)網(wǎng)現(xiàn)狀分析

市電子政務(wù)外網(wǎng)是一個(gè)集資源共享、日常辦公自動(dòng)化及信息公開為一體的MPLS-VPN 網(wǎng)絡(luò)，是市各級(jí)行政機(jī)構(gòu)信息服務(wù)的綜合平臺(tái)，整個(gè)網(wǎng)絡(luò)自建設(shè)以來，運(yùn)行情況基本良好，但伴隨著接入規(guī)模的擴(kuò)大，整個(gè)電子政務(wù)外網(wǎng)的帶寬需求劇增，部分設(shè)備的處理能力出現(xiàn)了較明顯的瓶頸，部分設(shè)備運(yùn)行年限也超過服役時(shí)間，性能跟不上現(xiàn)在信息化的支撐,降低了整個(gè)電子政務(wù)外網(wǎng)的安全性、穩(wěn)定性；同時(shí)隨著各類服務(wù)的上線，原有部分業(yè)務(wù)劃分不夠清晰，安全防護(hù)部分也面臨這新的挑戰(zhàn)。現(xiàn)有PE 主要運(yùn)行VPN2、VPN3 主要業(yè)務(wù)，其中VPN2Resource、Public 各存在4W+路由并存在三個(gè)實(shí)例均為重復(fù)表現(xiàn)VPN3專網(wǎng)路由表存在1W+左右路由；以及OSPF本地路由在3000左右，未做路由過濾和優(yōu)化共存在160K 路由表。安全方面由于缺少針對(duì)系統(tǒng)層面的整體安全防護(hù)與邊界防護(hù)，出口安全設(shè)備陳舊，無法應(yīng)對(duì)應(yīng)用層的攻擊，還不能滿足《網(wǎng)絡(luò)安全法》和等級(jí)保護(hù)相關(guān)要求。

2 IPV6電子政務(wù)網(wǎng)的構(gòu)建

因此構(gòu)成市電子政務(wù)外網(wǎng)的核心網(wǎng)絡(luò)設(shè)備將全部更新?lián)Q代并支持Ipv6 及MPLSVPN 功能：由政務(wù)外網(wǎng)的各個(gè)節(jié)點(diǎn)構(gòu)成的骨干環(huán)網(wǎng)部署IPv4/IPv6雙棧；

核心將采用高性能設(shè)備支持SDN 平滑升級(jí)，具備較大的IPv4和IPv6路由表以及轉(zhuǎn)發(fā)表項(xiàng)，供互聯(lián)互通和業(yè)務(wù)隔離。接入層交換機(jī)支持IPV6，滿足IPV6用戶的接入。

2.1 基礎(chǔ)網(wǎng)絡(luò)層面

整網(wǎng)采用星型架構(gòu)，根據(jù)網(wǎng)絡(luò)扁平化設(shè)計(jì)思路，整個(gè)網(wǎng)絡(luò)包括核心路由區(qū)、用戶接入?yún)^(qū)、行政中心外單位網(wǎng)絡(luò)區(qū)、各云區(qū)、數(shù)據(jù)中心接入?yún)^(qū)、互聯(lián)網(wǎng)出口接入?yún)^(qū)、安全管理區(qū)。主要節(jié)點(diǎn)采用兩臺(tái)高性能設(shè)備虛擬化成一臺(tái)邏輯設(shè)備與電子政務(wù)外網(wǎng)互聯(lián)。

2.2 出口安全層面

我國(guó)非常重視互聯(lián)網(wǎng)安全，尤其是針對(duì)IP 地址的安全體系和措施，光是IPv4 的備案系統(tǒng)就有三套。一旦從IPv4 更換為IPv6，那么整體的架構(gòu)和產(chǎn)品都要重新設(shè)計(jì)。[1]互聯(lián)網(wǎng)出口采用兩臺(tái)高性能負(fù)載均衡防火墻路由部署實(shí)現(xiàn)整體安全防護(hù)和高可靠性。下一代防火墻核心產(chǎn)品兼具入侵防御，APT 檢測(cè)，網(wǎng)站防篡改等應(yīng)用層功能，實(shí)現(xiàn)對(duì)電子政務(wù)外網(wǎng)的整體防護(hù)?；ヂ?lián)網(wǎng)出口網(wǎng)橋部署上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)對(duì)政務(wù)外網(wǎng)用戶的上網(wǎng)管理與審計(jì)，以滿足《網(wǎng)絡(luò)安全法》日志審計(jì)保留6個(gè)月的要求。邊界區(qū)域配置下一代防火墻，實(shí)現(xiàn)區(qū)域邊界隔離與防護(hù)。

2.3 IP分布情況

目前，政務(wù)外網(wǎng)內(nèi)存在三類地址，第一類是公網(wǎng)地址，其作為資源共享區(qū)和互聯(lián)網(wǎng)區(qū)的服務(wù)器地址；第二類是10網(wǎng)段地址，其作為電子政務(wù)外網(wǎng)的私網(wǎng)地址使用，在電子政務(wù)外網(wǎng)內(nèi)統(tǒng)一規(guī)劃；第三類是各接入部門內(nèi)部的局域網(wǎng)地址，一般由各部門自行規(guī)劃，或根據(jù)縱向業(yè)務(wù)接入要求進(jìn)行規(guī)劃。

2.4 IPV6過渡規(guī)劃

解決IPv6 終端用戶能使用IPv4 業(yè)務(wù)應(yīng)用的問題是推動(dòng)IPv6用戶發(fā)展、激活I(lǐng)Pv6產(chǎn)業(yè)鏈的關(guān)鍵。因?yàn)镮Pv4 網(wǎng)絡(luò)及應(yīng)用在相當(dāng)長(zhǎng)的時(shí)間內(nèi)仍是主流，盡管用戶對(duì)采用IPv4還是IPv6接入網(wǎng)絡(luò)并不關(guān)心，但在IPv6發(fā)展的初期，必須確保用戶能夠訪問目前主流的IPv4互聯(lián)網(wǎng)應(yīng)用，進(jìn)而保證IPv6 寬帶接入網(wǎng)絡(luò)得以健康發(fā)展。

為解決IPv6 的平穩(wěn)和平滑過渡，業(yè)界當(dāng)前有三種主流的關(guān)鍵過渡技術(shù)：雙棧、隧道和轉(zhuǎn)換技術(shù)。實(shí)際組網(wǎng)中，往往是多種技術(shù)方案組合部署，應(yīng)對(duì)多種應(yīng)用場(chǎng)景。請(qǐng)根據(jù)具體的應(yīng)用場(chǎng)景靈活選擇相應(yīng)的技術(shù)。

3 IPv4/IPv電子政務(wù)網(wǎng)的實(shí)現(xiàn)

現(xiàn)有網(wǎng)絡(luò)大致可分為骨干網(wǎng)絡(luò)區(qū)和行政中心網(wǎng)絡(luò)區(qū)，兩個(gè)區(qū)域功能交叉重疊，用戶和數(shù)據(jù)中心無法有效隔離，不利于精細(xì)化管理和控制。希望能夠?qū)⒑诵膮^(qū)、數(shù)據(jù)中心區(qū)（含電子政務(wù)云）、用戶接入?yún)^(qū)等進(jìn)行清晰劃分，區(qū)域之間實(shí)現(xiàn)安全隔離，整網(wǎng)根據(jù)電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范進(jìn)行設(shè)計(jì)，由于用戶數(shù)量難以精確統(tǒng)計(jì)，故經(jīng)過橫向比較，參考經(jīng)驗(yàn)數(shù)據(jù)，預(yù)測(cè)未來幾年接入市政務(wù)外網(wǎng)的總用戶數(shù)大致會(huì)達(dá)到10000。同時(shí)由于部門業(yè)務(wù)專網(wǎng)的整合和業(yè)務(wù)系統(tǒng)的上云用戶的業(yè)務(wù)流量也會(huì)逐步從原有的部門專網(wǎng)和局域網(wǎng)上移至市電子政務(wù)外網(wǎng)，網(wǎng)絡(luò)業(yè)務(wù)的類型也會(huì)更為豐富。因此，必須要有高效穩(wěn)定的網(wǎng)絡(luò)平臺(tái)作為基礎(chǔ)保障。核心骨干網(wǎng)絡(luò)應(yīng)當(dāng)支持萬兆以上帶寬，政務(wù)云等數(shù)據(jù)中心支持萬兆以上接入，并且可以根據(jù)業(yè)務(wù)需要進(jìn)行適當(dāng)擴(kuò)展，整網(wǎng)要具備流控功能，確保關(guān)鍵業(yè)務(wù)的優(yōu)先帶寬保障等等,同時(shí)網(wǎng)絡(luò)的可靠性、自愈能力也需要進(jìn)一步增強(qiáng)。

3.1 雙棧技術(shù)的應(yīng)用

由于現(xiàn)有的網(wǎng)絡(luò)有大量的IPv4 設(shè)備，在升級(jí)的過程中，很容易出現(xiàn)業(yè)務(wù)中斷。而雙棧技術(shù)可以低成本的解決中斷的問題。“合理的網(wǎng)絡(luò)規(guī)劃，比如采用雙棧同時(shí)支持IPv4 和IPv6 訪問，或者使用NAT64 臨時(shí)轉(zhuǎn)換等，這樣業(yè)務(wù)中斷的時(shí)間完全可控?！盵2]雙棧定義在RFC4213 中，是指允許在終端設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)安裝IPv4和IPv6協(xié)議棧，實(shí)現(xiàn)與不同協(xié)議節(jié)點(diǎn)間的信息交流。這是一種有效的IPv4向IPv6過渡技術(shù)，為其他過渡技術(shù)提供基礎(chǔ)。網(wǎng)絡(luò)節(jié)點(diǎn)支持IPv4 和IPv6 協(xié)議棧，根據(jù)需要選擇不同協(xié)議棧進(jìn)行通信，設(shè)備根據(jù)報(bào)文協(xié)議類型進(jìn)行處理和轉(zhuǎn)發(fā)。

3.2 隧道技術(shù)的應(yīng)用

隧道技術(shù)將一種協(xié)議封裝到另一種協(xié)議中，用于連接孤立的IPv6 網(wǎng)絡(luò)或IPv4 島嶼。邊界節(jié)點(diǎn)實(shí)現(xiàn)雙棧，通過隧道在不同地址族之間傳輸數(shù)據(jù)。IPv6 報(bào)文封裝在IPv4 報(bào)文中，通過現(xiàn)有IPv4 網(wǎng)絡(luò)連接到目標(biāo)IPv6網(wǎng)絡(luò)，然后解封裝，恢復(fù)原始IPv6報(bào)文進(jìn)行轉(zhuǎn)發(fā)。

3.3 MPLS6PE/6vPE技術(shù)的應(yīng)用

現(xiàn)有骨干IPv4MPLS網(wǎng)絡(luò)改造升級(jí)支持IPv6的接入和承載，同時(shí)可以提供IPv6VPN 業(yè)務(wù)。骨干網(wǎng)PE設(shè)備開啟雙棧，支持IPv6 靜態(tài)、動(dòng)態(tài)路由，運(yùn)行MPBGP，LDP，6PE 或6vPE。新增IPv6RR，或升級(jí)原IPv4RR，以避免MP-BGP鄰居間的全連接。原有骨干IPv4MPLS 網(wǎng)絡(luò)不需進(jìn)行大規(guī)模的網(wǎng)絡(luò)改造升級(jí)即可支持IPv6的接入和承載，同時(shí)可以提供IPv6VPN 業(yè)務(wù)且不影響原有IPv4VPN業(yè)務(wù)。

3.4 互聯(lián)網(wǎng)出口IPV6升級(jí)

關(guān)于互聯(lián)網(wǎng)接入?yún)^(qū)改造，面向公眾服務(wù)應(yīng)用提供IPv6 訪問，目前已有技術(shù)路線主要有如下三種：一是互聯(lián)網(wǎng)接入?yún)^(qū)新建IPv6 單棧，二是IVI 技術(shù)實(shí)現(xiàn)Ipv6和Ipv4互訪，三是NAT64方案。

由于IPv4和IPv6協(xié)議互不兼容，導(dǎo)致向IPv6演進(jìn)的過程中，產(chǎn)生了很多網(wǎng)絡(luò)和應(yīng)用的遷移過渡技術(shù)，需要確保IPv4 協(xié)議用戶和IPv6 協(xié)議用戶均能夠訪問并獲取服務(wù)。應(yīng)對(duì)當(dāng)前市電子政務(wù)網(wǎng)IPv6 升級(jí)改的實(shí)際情況，確定采納應(yīng)用以下三種技術(shù)。

⑴互聯(lián)網(wǎng)出口新建IPv6單棧應(yīng)用

新建單棧IPv6 互聯(lián)網(wǎng)接入?yún)^(qū)，DMZ 區(qū)部署雙棧，IPv4 和IPv6 用戶分別使用不同的區(qū)域接入。新建IPv6 互聯(lián)網(wǎng)接入?yún)^(qū)和DMZ 區(qū)，新建包括AntiDDos、出口路由器、LB、FW、IPS/IDS、WAF，日志系統(tǒng)等，并進(jìn)行IPv6 相關(guān)配置，部署ipv6 業(yè)務(wù)系統(tǒng)（IPv6 門戶網(wǎng)站、DNSv6、WEB、APP等）。新增IPv6接入線路，對(duì)接ISP的IPv6 互聯(lián)網(wǎng)，支持IPv6 接入；在DNS 服務(wù)器上添加AAAA 記錄，并對(duì)外發(fā)布。IPv4 終端通過原有IPv4 互聯(lián)網(wǎng)接入?yún)^(qū)訪問IPv4 業(yè)務(wù)系統(tǒng)，訪問流程不變；IPv6終端通過新建IPv6互聯(lián)網(wǎng)接入?yún)^(qū)訪問IPv6業(yè)務(wù)系統(tǒng)。

⑵IVI技術(shù)實(shí)現(xiàn)Ipv6和Ipv4互訪應(yīng)用

“IVI 是將IPv4 地址嵌入到IPv6 地址形成一個(gè)具有specfic-prefix 的IPv6 地址，這個(gè)地址配置在IPv6 網(wǎng)絡(luò)的用戶或者服務(wù)器上，此IPv6 用戶或者服務(wù)器可以直接訪問IPv6 域用戶和業(yè)務(wù)，也可以通過XLAT 設(shè)備訪問IPv4 域的用戶和業(yè)務(wù)?！盵3]同時(shí)，IPv4 網(wǎng)絡(luò)的用戶和業(yè)務(wù)可以直接訪問這個(gè)內(nèi)嵌的IPv4 地址，通過XLAT 設(shè)備后轉(zhuǎn)換為IPv6 報(bào)文訪問到實(shí)際的用戶和服務(wù)器。

⑶NAT64應(yīng)用方案

在IPv6 網(wǎng)絡(luò)的發(fā)展過程中，面臨最大的問題應(yīng)該是IPv6與IPv4的不兼容性，因此無法實(shí)現(xiàn)二種不兼容網(wǎng)絡(luò)之間的互訪。為了實(shí)現(xiàn)IPv6與IPv4的互訪，IETF（互聯(lián)網(wǎng)工程任務(wù)組）在早期設(shè)計(jì)了NAT-PT 的解決方案：RFC2766，NAT-PT 通過IPv6 與IPv4 的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪。但NAT-PT 在實(shí)際網(wǎng)絡(luò)應(yīng)用中面臨各種缺陷，IETF推薦不再使用，因此已被RFC4966所廢除。為了解決NAT-PT 中的各種缺陷，同時(shí)實(shí)現(xiàn)IPv6與IPv4之間的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，IETF（互聯(lián)網(wǎng)工程任務(wù)組）重新設(shè)計(jì)一項(xiàng)新的解決方案：NAT64 與DNS64技術(shù)。

由于當(dāng)前主流在線業(yè)務(wù)基本上為IPV4業(yè)務(wù)，為應(yīng)對(duì)新技術(shù)發(fā)展需求，需要部分升級(jí)到IPV6，為互聯(lián)網(wǎng)或者廣域網(wǎng)上的部分ipv6 用戶提供服務(wù)；在保護(hù)用戶投資的同時(shí)，以最小代價(jià)完成IPV4 業(yè)務(wù)升級(jí)到IPV6。將原有的IPV4 業(yè)務(wù)和新建IPV6 業(yè)務(wù)組合在一起統(tǒng)一對(duì)外提供IPV6業(yè)務(wù)對(duì)于這種情況當(dāng)外網(wǎng)訪問時(shí)，要能對(duì)用戶靈活提供IPV4或者ipv6服務(wù)；因此在網(wǎng)絡(luò)出口部署ipv4/ipv6 雙棧、翻譯、代理技術(shù)的技術(shù)，實(shí)現(xiàn)Ipv6與Ipv4的用戶對(duì)網(wǎng)站的無縫升級(jí)訪問。

4 結(jié)束語(yǔ)

總之，在總體構(gòu)建和關(guān)鍵設(shè)備上考慮對(duì)IPv6 和IPv4 兩種協(xié)議的兼容，支持雙棧，保證整個(gè)網(wǎng)絡(luò)今后能夠順利平滑升級(jí)至IPv6 階段。做到已有投資設(shè)備可使用的同時(shí)，不需要大規(guī)模的網(wǎng)絡(luò)改造升級(jí)。核心設(shè)備支持雙棧，邊緣采用6PE/6VPE 的方式，可支持IPv6 的接入和承載，同時(shí)提供IPv6VPN 業(yè)務(wù)。在經(jīng)濟(jì)上和工程實(shí)施上，較為節(jié)省和敏捷，無須大規(guī)模的網(wǎng)絡(luò)改造升級(jí)，適用于大多數(shù)電子政務(wù)網(wǎng)分步式改造。