网站支持IPv6升级改造

政府网站支持IPv6升级改造技术方案2018年4月网站支持IPv6升级改造技术方案1政府网站支持IPv6升级改造技术方案一、国家推进IPv6规模部署的时代背景从2012年开始，APNIC的IPv4地址池基本枯竭，亚太地区的电信运营商无法再获得批量IPv4地址。由于移动互联网、云计算、大数据、物联网、人工智能等新兴信息技术持续高速发展，对IP地址资源的需求异常旺盛，电信运营商持有的IPv4地址快速消耗，被迫大量采取NAT转换技术来应对IPv4地址缺乏的困境。IPv4地址资源匮乏已经成为数字经济发展的制约因素。面对IPv4地址短缺的现状，大规模部署IPv6推进互联网向IPv6升级演进是解决IP地址问题的唯一根本性解决方案。IP地址短缺造成NAT方案在电信网络中广泛部署，导致网络安全问题层出不穷。由于NAT之后IPv4地址无法溯源，大量电脑被注入病毒和木马后成为网络攻击工具。IPv6可以解决用户使用真实IP地址的问题，实现真实源地址认证和IP地址实名制，可以大大提高网络安全管控。2017年9月份党的19大报告中指出，中国特色社会主义进入了新时代；新时代中国共产党的历史使命是实现中华民族伟大复兴；建设科技强国、质量强国、航天强国、网络强国、交通强国、数字中国、智慧社会；把我国建成富强民主文明和谐美丽的社会主义现代化强国。2017年11月26日中办和国办共同发文，为贯彻落实建设网络强国的战略部署，特制定《推进互联网协议第六版（IPv6）规模部署行动计划》。文件指出：IPv6是互联网演进升级的必然趋势；以协同推进IPv6规模部署为主线，以典型应用改造和特色应用创新为主攻方向，实现互联网向IPv6演进升级，构建高速、移动、安全、泛在的新一代信息基础设施，为网络强国建设奠定坚实基础。两办《推进IPv6规模部署行动计划》明确了两点，第一是要进行大规模部署，推进中国信息基础设施向IPv6整体演进升级。第二是要政府带头，应用牵引，协同推进。各级政府机构、运营商、广电、ICP、IDC、ISP等都要行动起来，真抓实干，推进IPv6规模部署和演进升级。《推进IPv6规模部署行动计划》提出五项重点任务，其中第一项重点任务就是：加快互联网应用服务升级，不断丰富网络信源。具体包括：网站支持IPv6升级改造技术方案2重点任务具体内容1）．升级典型应用推动用户量大、服务面广的门户、社交、视频、电商、搜索、游戏、应用商店及上线应用等网络服务和应用全面支持IPv6。2）升级政府网站升级政府、中央媒体、中央企业网站。强化政府网站、新闻及广播电视媒体网站和应用的示范带动作用，在相关政府采购活动中明确提出支持IPv6的具体需求，积极开展各级政府网站、新闻及广播电视媒体网站、中央企业外网网站IPv6升级改造。3）．创新特色应用支持地址需求量大的特色IPv6应用创新与示范，在宽带中国、“互联网+”、新型智慧城市、工业互联网、云计算、物联网、智能制造、人工智能等重大战略行动中加大IPv6推广应用力度。《推进IPv6规模部署行动计划》的实施步骤（一）：“2017年－2018年重点工作”要求：2018重点工作具体内容政府网站升级改造省部级以上政府网站IPv6改造。初步完成国家电子政务外网改造，完成中央部委、省级政府门户网站改造。新建电子政务系统、信息化系统及服务平台全面支持IPv6。新闻广播电视媒体网站升级改造省级以上新闻及广播电视媒体网站IPv6改造。完成中央及省级新闻宣传媒体门户网站改造，新建新闻及广播电视媒体网络信息系统全面支持IPv6。央企网站升级改造完成中央企业门户网站和面向公众的在线服务窗口改造，加快企业生产管理信息系统等内部网络和应用的IPv6改造。两办《推进IPv6规模部署行动计划》文件明确了“应用拉动、政府先行”的原则，政府网站、央企网站、国家新闻媒体网站要率先支持IPv6访问。2018年3月，国资委下发《关于做好IPv6部署应用有关工作的通知》，安排央企网站升级IPv6工作，要求中央企业集团及下属企业门户网站和面向公众的在线服务窗口网站支持IPv6，确保于2018年内完成相关改造工作。2018年4月24日，国务院办公厅印发《2018年政务公开工作要点（国办发〔2018〕23号）》文件，明确指示：“推进政府网站部署互联网协议第六版（IPv6），省级政府、国务院部门要在年内完成门户网站相关改造工作，新建的政府网站要全面支持互联网协议第六版。完善政府网站安全保障机制，做好防攻击、防篡改、防病毒等工作。”网站支持IPv6升级改造技术方案3二、IPv4/IPv6过渡技术两办《推进IPv6规模部署》文件发布，吹响了中国互联网从从IPv4向IPv6升级演进的启航号角，按照《推进IPv6规模部署》文件制定的路线图和时间表，从2018年到2025年，中国将全面完成向IPv6的演进升级，并建成世界最大的IPv6商业网络，成为全球下一代互联网的领导者。在这8年时间里，IPv4和IPv6网络在中国将长期共存，此消彼长，逐步实现升级换代。在IPv4和IPv6共存的情况下，实现IPv4和IPv6互联互通的组网技术有：1、双栈技术双栈策略是指在网元中同时运行IPv4和IPv6两个协议栈，它既可以接收、处理、收发IPv4的分组，也可以接收、处理、收发IPv6的分组。网站运行IPv4/IPv6双栈，是真正实现IPv6升级。2、网络地址转换/协议转换技术IPv4向IPv6演进，存在一个较为长期的过渡期，也存在着各种各样的实际情况。在某些特定的环境条件下，可以采用“地址转换/协议转换”过渡技术，实现网站对IPv6用户访问的支持。网络地址转换/协议转换技术可以实现只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信。三、网站支持IPv6升级的技术策略分析根据两办文件部署，2018年要实现中央部委网站、各省级政府网站、中央企业网站、中央新闻广播电视媒体网站、面向公众的在线服务窗口升级改造支持IPv6。1、终极方案：IPv4/IPv6双栈技术方案网站支持IPv6升级改造技术方案4网站升级IPv4/IPv6双栈方案，是网站IPv6升级改造的最终目标，真正实现了两办《推进IPv6规模部署行动计划》文件要求的IPv6升级改造，是最终目标。双栈策略的特点是：对网站全系统进行整体升级改造,全部软、硬件设备同时运行IPv4和IPv6两个协议栈，能够同时处理IPv4和IPv6数据包，实现同时支持IPv6和IPv4访问。网站升级IPv4/IPv6双栈包括以下方面：第一、网络层改造：制定IPv6网络升级规划，接入IPv6带宽，获得IPv6地址，制订内部IPv6地址DHCP策略。第二、设备层改造：所有硬件设备均需支持IPv6，全部开启IPv6协议栈。第三、业务系统改造：所有前后台业务管理系统、数据库系统、网络安全系统、应用系统，全部启用IPv6协议，支持同时运行IPv4/IPv6双协议栈。第四、网站代码改造：对网站代码不能运行IPv6协议栈的部分进行修改。（此项工作比较复杂易出错，需要特别慎重）IPv4/IPv6双栈方案的优缺点优点问题1、IPv4/IPv6双栈是最为彻底的一种网站支持IPv6升级改造技术，概念清晰，易于理解，升级工作一步到位，永久解决问题。是互联网向IPv6演进升级的最终目标。2、同时运行IPv4和IPv6两个协议栈，可实现IPv4对IPv4、IPv6对IPv6的单协议栈通信，访问效果较好。3、国家要求从2018年起，新建政府网站和应用系统必须支持IPv6，因此新建网站和应用系统的架构应直接采用双栈。4、网站改造，新建不久的网站、结构不太复杂的网站，适用于从IPv4改造为双栈。1、全系统升级，涉及到软件、硬件、网络、业务管理平台、业务系统、网络安全系统等多系统的协同，需要整体规划、多部门协同。2、系统整体升级，可能需要更新软硬件设备，投资较高。3、网管人员可能不熟悉IPv6，需要培训。4、网站部分代码需要修改，工作量不好准确估计，可能耗时较长。5、防火墙等设备同时启用IPv4和IPv6两套策略；技术人员的维护工作量增加1倍。6、不适合对老旧网站、结构复杂的IPv4网站做代码层改造，风险较大。网站支持IPv6升级改造技术方案52、过渡方案：网络地址转换、IPv4/IPv6协议转换IPv4向IPv6演进将存在一个较长的过渡期，在某些特定环境下，直接升级双栈可能存在条件不成熟、系统复杂、耗时较久、网络风险较大等情况。这时可以采用“地址转换/协议转换”过渡技术，实现网站对IPv6用户访问的支持。协议转换技术的特点是：在IPv4网站外部，挂接一台v4/v6翻译转换设备，原有IPv4源站不需修改，DNS把IPv6用户访问网站请求解析到转换设备IPv6地址，转换设备从IPv4源站读取数据，经过协议转换后发送数据给IPv6用户。DNS解析AAAA记录到转换设备采用网络地址转换/协议转换技术进行IPv6升级，IPv4源站现有的业务系统、网站代码均不需要改造，仅需做好以下三项工作：第一、网络层改造：接入IPv6带宽和获得地址，原有IPv4网络架构不改变。第二、设备层改造：IPv4源站不变，在网络出口部署IPv6转换设备（双机热备）。第三、DNS启用4A记录：DNS系统启用AAAA记录支持IPv6地址解析。网站支持IPv6升级改造技术方案6协议转换技术方案的优缺点优点缺点1.方案简单，快速实施。只需配置2台转换设备，双机热备。IPv4源站不需修改，不需要对网站整个系统进行全面改造。大约3-5个工作日即可实现支持IPv6访问。2.如遭遇来自IPv6网络的攻击，只能攻击到转换设备，不能直接攻击到IPv4源站。3.目前信息系统安全等级保护制度暂未更新如何支持IPv6的新版本，使用转换设备不影响政府网站已有的安全等保三级认证。4.技术人员的维护工作量基本不增加。5.可以解决老网站、架构复杂的网站实现支持IPv6访问的难题。1、转换技术适用于v4v6演进过渡期，仅实现web网站支持IPv6访问，不能代替真正的v4/v6双栈网站。2、如果网站和应用涉及到物联网应用部署，工业互联网应用部署，不能使用转换方案，必须采用v4/v6双栈技术方案。3、不适用于新建网站。按照两办文件要求，新建网站直接采用v4/v6双栈方案，一步到位。不必使用协议转换技术方案。3、过渡期的升级技术路线分析IPv6是互联网演进升级的必然趋势，在从IPv4向IPv6演进的过程中，web网站支持IPv6的升级路线，将经历以下三个阶段：第一阶段：纯IPv4阶段，网站只运行IPv4协议，不支持IPv6用户访问。第二阶段：IPv4/IPv6双栈阶段，由于IPv4和IPv6在未来十年还将长期共存，所以在过渡阶段，网站需要同时支持IPv4和IPv6访问。网站支持IPv6升级改造技术方案72018年是中国互联网向IPv6大规模演进升级的元年，政府、央企、新闻、媒体网站实现支持IPv6，最终建成IPv4/IPv6双栈网站。在具体实施过程中，根据实际情况，可以一步到位升级双栈的技术策略，也可以分两步走，采用过渡技术策略，第一步IPv4源站外挂转换设备支持IPv6访问，第二步整体升级IPv4/IPv6双栈。第三阶段：纯IPv6阶段，这个阶段的特点是：99%以上的用户都已经使用IPv6地址和网络，残余的纯IPv4用户很少，为了降低运维成本，网站仅配置IPv6-only协议，不再运行IPv4协议栈。对于少量残留纯IPv4用户，IPv6网站可以外挂一台“v6转v4”转换设备，使IPv6网站支持IPv4用户访问。4、网站IPv6升级的技术路线选择在IPv4/IPv6过渡阶段，不同类型的网站，应根据自身特点和优势，采取不同的IPv6升级策略。网站类型大型网站中小型网站网络流量每天浏览量超过10亿次日均浏览量≤100万次量级。技术能力技术开发、运维，网络安全技术能力很强，抗风险能力强，能够应对网络攻击，快速处理故障。缺乏技术力量，特别是缺乏网络安全方面的技术力量。技术人员对IPv6不熟悉。技术策略选择建议一步到位直接升级v4/v6双栈资源和资金充足的单位，可以一步到位升级IP