企業(yè)IPv6升級解決方案

中國聯(lián)通研究院

網(wǎng)絡(luò)改造技術(shù)篇/前沿技術(shù)/其他

1 概述

2018年3月12日，國資委印發(fā)了《關(guān)于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應(yīng)用有關(guān)工作的通知》，要求央企在18年完成門戶網(wǎng)站和面向用戶的在線服務(wù)窗口的IPv6改造。2018年5月3日，工信部發(fā)布《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》通知，鼓勵典型行業(yè)、重點(diǎn)工業(yè)企業(yè)開展工業(yè)互聯(lián)網(wǎng)IPv6網(wǎng)絡(luò)化改造，創(chuàng)新工業(yè)互聯(lián)網(wǎng)應(yīng)用實(shí)踐，構(gòu)建工業(yè)互聯(lián)網(wǎng)IPv6標(biāo)準(zhǔn)體系。為響應(yīng)國家IPv6發(fā)展，企業(yè)開展基于IPv6的創(chuàng)新業(yè)務(wù)，對網(wǎng)絡(luò)接入、內(nèi)部網(wǎng)絡(luò)及系統(tǒng)提出新的需求。企業(yè)IPv6升級解決方案根據(jù)企業(yè)內(nèi)部現(xiàn)有網(wǎng)絡(luò)及系統(tǒng)情況，提供從內(nèi)部網(wǎng)絡(luò)IPv6升級改造技術(shù)路線到企業(yè)系統(tǒng)的IPv6規(guī)劃、升級和部署相關(guān)解決方案，以滿足企業(yè)開展IPv6業(yè)務(wù)，適用于工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系中工廠控制系統(tǒng)和工業(yè)云平臺部分。

1.1 背景

2017年11月26日中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，明確了推進(jìn)IPv6部署的重要意義，提出了部署的總體要求和主要目標(biāo)，要用5到10年時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實(shí)現(xiàn)下一代互聯(lián)在經(jīng)濟(jì)社會各領(lǐng)域深度融合應(yīng)用。為貫徹落實(shí)中共中央辦公廳、國務(wù)院辦公廳印發(fā)的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用基礎(chǔ)設(shè)施升級步伐，促進(jìn)下一代互聯(lián)網(wǎng)與經(jīng)濟(jì)社會各領(lǐng)域的融合創(chuàng)新，工信部發(fā)布關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》通知，積極推進(jìn)內(nèi)部網(wǎng)絡(luò)和應(yīng)用IPv6改造，加快推進(jìn)企業(yè)生產(chǎn)管理信息系統(tǒng)等內(nèi)部網(wǎng)絡(luò)和應(yīng)用的IPv6改造，加強(qiáng)IPv6環(huán)境下移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等研究與應(yīng)用，強(qiáng)化IPv6環(huán)境下網(wǎng)絡(luò)安全保障等。物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算等新興產(chǎn)業(yè)的發(fā)展都需要海量的IP地址作為支撐，IP地址不足已經(jīng)嚴(yán)重制約著這些處于全球競爭前沿、具有最廣闊前景的新興產(chǎn)業(yè)發(fā)展。隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算等業(yè)務(wù)不斷發(fā)展壯大，運(yùn)營商不停地擴(kuò)大網(wǎng)絡(luò)規(guī)模，這也使IPv4地址枯竭的速度更快了，分配殆盡的IPv4地址已經(jīng)成為制約我國物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算發(fā)展的瓶頸。

1.2 實(shí)施目標(biāo)

基于互聯(lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)面臨網(wǎng)絡(luò)地址消耗殆盡、服務(wù)質(zhì)量難以保證等制約性問題，IPv6能夠提供充足的網(wǎng)絡(luò)地址和廣闊的創(chuàng)新空間，是全球公認(rèn)的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于顯著提升我國互聯(lián)網(wǎng)的承載能力和服務(wù)水平，更好融入國際互聯(lián)網(wǎng)，共享全球發(fā)展成果，有力支撐經(jīng)濟(jì)社會發(fā)展，贏得未來發(fā)展主動。

推進(jìn)IPv6規(guī)模部署是互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)生態(tài)的一次全面升級，深刻影響著網(wǎng)絡(luò)信息技術(shù)、產(chǎn)業(yè)、應(yīng)用的創(chuàng)新和變革。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于提升我國網(wǎng)絡(luò)信息技術(shù)自主創(chuàng)新能力和產(chǎn)業(yè)高端發(fā)展水平，高效支撐移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新興領(lǐng)域快速發(fā)展，不斷催生新技術(shù)新業(yè)態(tài)，促進(jìn)網(wǎng)絡(luò)應(yīng)用進(jìn)一步繁榮，打造先進(jìn)開放的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)生態(tài)。

1.3 適用范圍

企業(yè)IPv6升級解決方案針對企業(yè)內(nèi)部現(xiàn)有網(wǎng)絡(luò)及系統(tǒng)情況，提供從內(nèi)部網(wǎng)絡(luò)IPv6升級改造技術(shù)路線到企業(yè)系統(tǒng)的IPv6規(guī)劃、升級和部署相關(guān)解決方案，以滿足企業(yè)開展IPv6業(yè)務(wù)，適用于工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系中工廠控制系統(tǒng)和工業(yè)云平臺IPv6升級演進(jìn)，可應(yīng)用到企業(yè)智能網(wǎng)絡(luò)IPv6組網(wǎng)、智能機(jī)器升級、工廠云平臺IPv6改造升級以及工業(yè)互聯(lián)網(wǎng)應(yīng)用IPv6業(yè)務(wù)等。

1.4 在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)中的位置

企業(yè)IPv6升級解決方案針對工廠控制系統(tǒng)，工業(yè)云平臺IPv6的升級，提供相應(yīng)的改造方案。在智能機(jī)器中，物品應(yīng)具有4個特性：可識別性、可感知性、可定位性以及可控制性。這四個特性使得物聯(lián)網(wǎng)對地址資源具有以下的特殊需求：工業(yè)互聯(lián)網(wǎng)需要地址資源支持海量性，因?yàn)楣I(yè)互聯(lián)網(wǎng)中存在著海量的物品，這些物品的數(shù)量將以萬億計，而任意的物品之間均可能需要互聯(lián)，互聯(lián)時需要網(wǎng)絡(luò)地址用于定位，這些地址也將可能以萬億計；聯(lián)網(wǎng)需要地址資源支持安全性，物聯(lián)網(wǎng)將比互聯(lián)網(wǎng)具有更高的安全需求。 在工業(yè)云體系架構(gòu)中，隨著虛擬化技術(shù)的發(fā)展，一臺物理主機(jī)上能夠運(yùn)行多個虛擬主機(jī)，導(dǎo)致云計算所需的IP地址數(shù)量成比例增長，亟需海量的IPv6地址資源。利用主機(jī)虛擬化技術(shù)，能夠在一臺物理主機(jī)上運(yùn)行多個虛擬主機(jī)，并且各個虛擬主機(jī)之間相互獨(dú)立、互不影響，用戶可以在虛擬主機(jī)上靈活的安裝任何軟件。通過在流量進(jìn)出口的匯聚節(jié)點(diǎn)上部署IPv6/IPv4轉(zhuǎn)換網(wǎng)關(guān)，可以面向IPv6用戶，實(shí)現(xiàn)IPv6與IPv4協(xié)議轉(zhuǎn)換。但在云化數(shù)據(jù)中心中，網(wǎng)絡(luò)結(jié)構(gòu)從匯聚變?yōu)楸馄?，流量的進(jìn)出口數(shù)量不再唯一，需要在數(shù)據(jù)中心所有的流量進(jìn)出口上都配備IPv6/IPv4轉(zhuǎn)換網(wǎng)關(guān)，這樣使得網(wǎng)絡(luò)改造起來較為復(fù)雜。另外，轉(zhuǎn)換網(wǎng)關(guān)需要維護(hù)處理數(shù)據(jù)中心內(nèi)外所有業(yè)務(wù)的IPv6與IPv4協(xié)議轉(zhuǎn)換，對其處理性能也提出了更高的要求。

圖1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖

2 需求分析

根據(jù)工信部關(guān)于落實(shí)貫徹《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》通知，要求發(fā)展工業(yè)互聯(lián)網(wǎng)IPv6應(yīng)用，選擇典型行業(yè)、重點(diǎn)企業(yè)開展工廠企業(yè)網(wǎng)絡(luò)改造，創(chuàng)新工業(yè)互聯(lián)網(wǎng)應(yīng)用，構(gòu)建工業(yè)互聯(lián)網(wǎng)IPv6標(biāo)準(zhǔn)體系。在智能機(jī)器中，工業(yè)互聯(lián)網(wǎng)需要地址資源支持海量性；在工業(yè)云體系架構(gòu)中，隨著虛擬化技術(shù)的發(fā)展，一臺物理主機(jī)上能夠運(yùn)行多個虛擬主機(jī)，導(dǎo)致云計算所需的IP地址數(shù)量成比例增長，亟需海量的IPv6地址資源。2018年3月12日，國資委印發(fā)《關(guān)于做好互聯(lián)網(wǎng)協(xié)議第六版（IPv6）部署應(yīng)用有關(guān)工作的通知》，要求央企在18年完成門戶網(wǎng)站和面向用戶的在線服務(wù)窗口的IPv6改造。

IPv6在設(shè)計的過程中就已經(jīng)考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經(jīng)提出了許多機(jī)制，它們的實(shí)現(xiàn)原理和應(yīng)用環(huán)境各有側(cè)重。目前，應(yīng)用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。

3 解決方案

互聯(lián)網(wǎng)是關(guān)系國民經(jīng)濟(jì)和社會發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟(jì)格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗(yàn)和應(yīng)用的國家，在技術(shù)研發(fā)、網(wǎng)絡(luò)建設(shè)、應(yīng)用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎(chǔ)和條件。抓住全球網(wǎng)絡(luò)信息技術(shù)加速創(chuàng)新變革、信息基礎(chǔ)設(shè)施快速演進(jìn)升級的歷史機(jī)遇，加強(qiáng)統(tǒng)籌謀劃，加快推進(jìn)IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡(luò)強(qiáng)國建設(shè)、加速國家信息化進(jìn)程、助力經(jīng)濟(jì)社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與實(shí)體經(jīng)濟(jì)深度融合的制高點(diǎn)，以及制造業(yè)轉(zhuǎn)型升級的主攻方向，成為IPv6網(wǎng)絡(luò)化改造的重點(diǎn)應(yīng)用場景。

3.1 方案介紹

近年來，全球IPv6產(chǎn)業(yè)鏈條發(fā)展穩(wěn)步推進(jìn)。在網(wǎng)絡(luò)上設(shè)備方面，已經(jīng)覆蓋了IPv4產(chǎn)品的所有類型，包括數(shù)據(jù)網(wǎng)、固網(wǎng)、移動交換網(wǎng)、移動核心網(wǎng)及安全等，能夠滿足網(wǎng)絡(luò)端到端的部署需求；在應(yīng)用軟件方面，包括操作系統(tǒng)、Web引擎、數(shù)據(jù)庫、瀏覽器等通用軟件均支持IPv6。根據(jù)工業(yè)互聯(lián)網(wǎng)智能工程系統(tǒng)架構(gòu)情況，設(shè)計相應(yīng)的IPv6升級方案，可根據(jù)實(shí)際情況通過全面技術(shù)升級，將涉及到的業(yè)務(wù)各類應(yīng)用系統(tǒng)和設(shè)備升級成支持IPv4和IPv6雙協(xié)議棧，完成基于IPv4和IPv6協(xié)議的業(yè)務(wù)互通；或通過技術(shù)改造，在IPv6協(xié)議和IPv4協(xié)議間建立映射聯(lián)系，滿足IPv6用戶能夠正確的獲取IPv4資源。

3.2 IPv6升級技術(shù)

IPv6在設(shè)計的過程中就已經(jīng)考慮到了IPv4到IPv6的過渡問題，并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經(jīng)提出了許多機(jī)制，它們的實(shí)現(xiàn)原理和應(yīng)用環(huán)境各有側(cè)重。目前，應(yīng)用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。

雙棧策略是指在網(wǎng)絡(luò)節(jié)點(diǎn)中同時具有IPv4和IPv6兩個協(xié)議棧，這樣，它既可以接收、處理、收發(fā)IPv4的分組，也可以接收、處理、收發(fā)IPv6的分組。雙棧策略的優(yōu)點(diǎn)是概念清晰，易于理解，網(wǎng)絡(luò)規(guī)劃相對簡單，同時在IPv6邏輯網(wǎng)絡(luò)中可以充分發(fā)揮IPv6協(xié)議的所有優(yōu)點(diǎn)（如安全性、路由約束、流的支持等方面）。

隧道策略是IPv6升級中經(jīng)常使用到的一種過渡機(jī)制。所謂“隧道”簡單地講就是利用一種協(xié)議來傳輸另一種協(xié)議的數(shù)據(jù)的技術(shù)。隧道技術(shù)主要實(shí)現(xiàn)了在IPv4數(shù)據(jù)包中封裝IPv6數(shù)據(jù)包，隨著IPv6技術(shù)的發(fā)展和廣泛應(yīng)用，未來也將會出現(xiàn)在IPv4數(shù)據(jù)包中封裝IPv6數(shù)據(jù)包的隧道技術(shù)。隧道技術(shù)能夠充分利用現(xiàn)有的網(wǎng)絡(luò)投資，因此在過渡初期是一種方便的選擇。但是，在隧道的入口處會出現(xiàn)負(fù)載協(xié)議數(shù)據(jù)包的拆分，在隧道出口處會出現(xiàn)負(fù)載協(xié)議數(shù)據(jù)包的重組。這就增加了隧道出入口的實(shí)現(xiàn)復(fù)雜度，不利于大規(guī)模的應(yīng)用。

翻譯策略可以分為兩個層面來進(jìn)行，一方面是IPv4與IPv6協(xié)議層的翻譯，另一方面是IPv4應(yīng)用與IPv6應(yīng)用之間的翻譯。前者主要是通過NAT－PT技術(shù)實(shí)現(xiàn)的，后者則主要通過應(yīng)用代理網(wǎng)關(guān)ALG來實(shí)現(xiàn)。NAT－PT實(shí)現(xiàn)了網(wǎng)絡(luò)層的協(xié)議翻譯；應(yīng)用代理網(wǎng)關(guān)則實(shí)現(xiàn)應(yīng)用層的協(xié)議翻譯，對于不同的應(yīng)用，需要配置不同的應(yīng)用代理網(wǎng)關(guān)。翻譯技術(shù)的優(yōu)點(diǎn)是不需要進(jìn)行IPv4、IPv6節(jié)點(diǎn)的升級改造，缺點(diǎn)是IPv4節(jié)點(diǎn)訪問IPv6節(jié)點(diǎn)的實(shí)現(xiàn)方法比較復(fù)雜，網(wǎng)絡(luò)設(shè)備進(jìn)行協(xié)議轉(zhuǎn)換、地址轉(zhuǎn)換的處理開銷較大。因此，該策略一般是在其他互通方式無法使用的情況下使用。

3.3 企業(yè)IPv6演進(jìn)

在IPv4向IPv6的演進(jìn)過程中，為保證業(yè)務(wù)平臺的平滑、穩(wěn)定演進(jìn)，可以采用三種方案：第一種是互通網(wǎng)關(guān)方案，保持業(yè)務(wù)平臺現(xiàn)有結(jié)構(gòu)不變，通過分別在IPv4和IPv6的網(wǎng)絡(luò)邊界部署網(wǎng)關(guān)設(shè)備，利用IPv4/IPv6翻譯技術(shù)接入IPv6用戶；第二種是IPv4和IPv6應(yīng)用并存方案，業(yè)務(wù)平臺中IPv4和IPv6應(yīng)用并存，使得平臺具備同時支持IPv4和IPv6的功能；第三種是全面升級方案，完成全業(yè)務(wù)平臺以及周邊系統(tǒng)IPv6升級，同時要求在IPv4網(wǎng)絡(luò)停止運(yùn)營前,基于IPv4的業(yè)務(wù)平臺需要繼續(xù)支持IPv4用戶。

3.3.1 互通網(wǎng)關(guān)方案

保持平臺現(xiàn)有結(jié)構(gòu)不變，通過協(xié)議轉(zhuǎn)換機(jī)制（NAT-PT/ALGA）支持IPv6用戶的接入。如下圖所示，通過在IPv4/IPv6網(wǎng)絡(luò)邊界部署網(wǎng)關(guān)設(shè)備，當(dāng)IPv6終端用戶從IPv6網(wǎng)絡(luò)接入，與互通網(wǎng)關(guān)建立隧道后，可以使用IPv4網(wǎng)絡(luò)中的應(yīng)用，類似的，當(dāng)IPv4終端用戶從IPv4網(wǎng)絡(luò)接入，與互通網(wǎng)關(guān)建立隧道后，可以使用IPv6網(wǎng)絡(luò)中的應(yīng)用。

圖2 基于翻譯技術(shù)的IPv6過渡方案

3.3.2 IPv4和IPv6應(yīng)用并存方案

將業(yè)務(wù)平臺升級到IPv6后，IPv4和IPv6應(yīng)用將并存。如下圖所示，將IPv4業(yè)務(wù)平臺的部分應(yīng)用升級到IPv6，包括對外門戶和接口、核心業(yè)務(wù)邏輯，同時為了兼容IPv4用戶以及其它相關(guān)系統(tǒng)，保留原有IPv4業(yè)務(wù)平臺的對外門戶和接口暫時不變，核心業(yè)務(wù)交由IPv6核心業(yè)務(wù)邏輯處理。升級完成后，IPv4對外門戶和接口為IPv4用戶提供服務(wù)，IPv6對外門戶和接口為IPv6用戶提供服務(wù)，核心業(yè)務(wù)邏輯升級成IPv6實(shí)現(xiàn)共用。

圖3 IPv4和IPv6應(yīng)用并存的IPv6過渡方案

業(yè)務(wù)平臺中IPv4和IPv6應(yīng)用并存，同時支持IPv4和IPv6用戶的接入。

3.3.3 全面升級方案

一些企業(yè)需要滿足國家政策性要求或者自身發(fā)展需求，需要大量IP地址，對IPv6網(wǎng)絡(luò)改造有迫切需求，需要全面升級到IPv6網(wǎng)絡(luò)和服務(wù)，完成所有業(yè)務(wù)平臺和SP應(yīng)用平臺的IPv6升級改造建設(shè)，包括數(shù)據(jù)中心的所有設(shè)備、網(wǎng)絡(luò)設(shè)備、終端系統(tǒng)和應(yīng)用系統(tǒng)等全面支持IPv6，同時要求在IPv4網(wǎng)絡(luò)停止運(yùn)營前, 基于IPv4的業(yè)務(wù)平臺需要繼續(xù)支持IPv4用戶。

3.3.4 方案對比

圖4 方案優(yōu)劣對比

互通網(wǎng)關(guān)方案業(yè)務(wù)平臺工作量小，無風(fēng)險，投入小，能快速實(shí)施，比較適合IPv6試商用階段；IPv4和IPv6應(yīng)用并存方案改造部分業(yè)務(wù)平臺，為全面實(shí)現(xiàn)IPv6打下基礎(chǔ)，工作量中等，風(fēng)險小，投入中等，比較適合IPv6規(guī)模商用階段；全面升級方案工作量大，風(fēng)險大，投入大，只有在IPv6全面商用階段才會出現(xiàn)。

4 成功案例

4.1 案例一 國家電網(wǎng)IPv6升級方案

根據(jù)國家電網(wǎng)309家國電系統(tǒng)單位分區(qū)域整合互聯(lián)網(wǎng)出口，增強(qiáng)互聯(lián)網(wǎng)訪問的安全性，消除各分公司、子公司互聯(lián)網(wǎng)出口帶來的安全薄弱點(diǎn)；通過對互聯(lián)網(wǎng)出口整合，實(shí)現(xiàn)用戶上網(wǎng)流量統(tǒng)一管理、統(tǒng)一控制，合理、有效、按需分配帶寬，避免帶寬濫用、資源浪費(fèi)，提升網(wǎng)絡(luò)質(zhì)量；通過對互聯(lián)網(wǎng)出口整合，實(shí)現(xiàn)安全事件統(tǒng)一管理，做到事前預(yù)防、事中控制、事后追查，避免安全事件重復(fù)發(fā)生；并對國家電網(wǎng)100多個系統(tǒng)進(jìn)行調(diào)研，根據(jù)系統(tǒng)架構(gòu)及中間件情況，根據(jù)國家電網(wǎng)內(nèi)部系統(tǒng)的架構(gòu)有針對性的進(jìn)行IPv6升級方案，考慮到國家電網(wǎng)系統(tǒng)比較復(fù)雜，為保證國家電網(wǎng)能完成平滑演進(jìn)，采取了分步融合方案。具備改造條件的系統(tǒng)采用IPv4和IPv6應(yīng)用方案，采用邊界升級方案，通過企業(yè)邊界的防火墻等設(shè)備實(shí)現(xiàn)NAT64等地址轉(zhuǎn)換，以最低成本實(shí)現(xiàn)IPv6的服務(wù)訴求。僅需要改造企業(yè)邊界的防火墻、路由器/交換機(jī)、日志審計等必要設(shè)備即可，通過邊界防火墻實(shí)現(xiàn)IPv6到IPv4的NAT64報文轉(zhuǎn)換，使得進(jìn)入企業(yè)內(nèi)部的流量全部轉(zhuǎn)換成IPv4流量，企業(yè)內(nèi)部的入侵檢測、WAF、網(wǎng)絡(luò)設(shè)備、服務(wù)器和終端等設(shè)備都不需要改造。對于個別雙棧終端需要訪問外部的IPv6資源時，可以通過ISATAP隧道技術(shù)實(shí)現(xiàn)雙棧終端穿越IPv4網(wǎng)絡(luò)，實(shí)現(xiàn)IPv6資源的訪問需求。

圖5 國家電網(wǎng)IPv6改造方案

4.2 案例二 中國聯(lián)通企業(yè)官網(wǎng)IPv6升級方案

為了滿足工信部對央企網(wǎng)站IPv6改造的需求，為用戶提供IPv6業(yè)務(wù)，對該企業(yè)內(nèi)部系統(tǒng)進(jìn)行調(diào)研，根據(jù)系統(tǒng)情況，針對不同系統(tǒng)設(shè)計相應(yīng)的IPv6升級方案，并對自己的官網(wǎng)提出了相應(yīng)的IPV6升級改造要求，并采用互通網(wǎng)關(guān)方案。改造的重點(diǎn)在路由、網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議轉(zhuǎn)換等方面。

圖6 聯(lián)通企業(yè)官網(wǎng)改造方案

路由需要的路徑改造：流量從公網(wǎng)進(jìn)入資源池核心交換機(jī)之后通過靜態(tài)路由到安全等保設(shè)備，由于安全等保設(shè)備不支持IPv6，于是需要通過添加靜態(tài)路由的方式，把流量引導(dǎo)到直接進(jìn)入負(fù)載均衡上去。在路徑改造之后，為了保證網(wǎng)絡(luò)安全，在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)上，添加一對防火墻來實(shí)現(xiàn)IPv4與IPv6的轉(zhuǎn)換，位置旁掛于資源池核心交換機(jī)或集團(tuán)門戶匯聚交換機(jī)，此方案路由走向需要重新指定，并于防火墻上完成配置。

客戶端以IPv6地址訪問負(fù)載均衡（或防火墻）設(shè)備的虛地址（IPv6類型）,在負(fù)載均衡（或防火墻）設(shè)備上做源地址轉(zhuǎn)換，源地址轉(zhuǎn)換為SNAT地址池中的IPv4地址后再訪問后端應(yīng)用服務(wù)器。