IPv6升级改造技术路线建议书Word格式文档下载.docx
《IPv6升级改造技术路线建议书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IPv6升级改造技术路线建议书Word格式文档下载.docx(16页珍藏版)》请在冰点文库上搜索。
播电视媒体网站和应用的示范带动作用,在相关政府采购活动
中明确提出支持IPv6的具体需求,积极开展各级政府网站、新
闻及广播电视媒体网站、中央企业外网网站IPv6升级改造。
3).创新特色应用
支持地址需求量大的特色IPv6应用创新与示范,在宽带中国、
“互联网+”、新型智慧城市、工业互联网、云计算、物联网、
智能制造、人工智能等重大战略行动中加大IPv6推广应用力度。
《推进IPv6规模部署行动计划》第四部分:
实施步骤
(一):
“2017年-2018年重点工作”要求:
2018重点工作
典型互联网应用升级
鼓励和支持国内龙头互联网企业制定并发布主流互联网应用
IPv6升级计划,明确“十三五”期间年度工作时间表。
政府网站升级改造
省部级以上政府网站IPv6改造。
初步完成国家电子政务外网改
造,完成中央部委、省级政府门户网站改造。
新建电子政务系
统、信息化系统及服务平台全面支持IPv6。
新闻广播电视媒体网站升
省级以上新闻及广播电视媒体网站IPv6改造。
完成中央及省级
新闻宣传媒体门户网站改造,新建新闻及广播电视媒体网络信
级改造
息系统全面支持IPv6。
央企网站升级改造
完成中央企业门户网站和面向公众的在线服务窗口改造,加快
企业生产管理信息系统等内部网络和应用的IPv6改造。
两办《推进IPv6规模部署行动计划》文件明确了“应用拉动、政府先行”的原则,
政府网站要率先支持IPv6访问,带动商业网站支持IPv6访问,带动IPv6演进升级。
三、网站支持IPv6升级的技术策略分析
根据两办文件部署,2018年要实现中央部委网站、各省级政府网站、中央企业网站、中央新闻广播电视媒体网站、面向公众的在线服务窗口升级改造支持IPv6。
1、过渡方案:
网络地址转换、IPv4/IPv6协议转换
网络地址转换、IPv4/IPv6协议转换技术,是互联网从IPv4向IPv6演进过程中使用比较广泛的一种过渡技术。
客观来看,由于v4向v6演进过渡期至少5年时间,所以地址转换/协议转换过渡技术也将在过渡期内长期存在和使用。
协议转换技术的特点是:
在IPv4网站外部,挂接一台v4/v6翻译转换设备,原有IPv4源站不需修改,把DNS域名解析AAAA记录指向转换设备配置的IPv6地址;
IPv6用户访问目标网站,经DNS解析调度后转向访问转换设备的IPv6地址,转换设备从IPv4源站读取数据,经过协议转换后发送数据给IPv6用户。
采用网络地址转换/协议转换技术进行IPv6升级,IPv4源站现有的业务系统、网站代码均不需要改造,仅需做好以下三项工作:
第一、网络层改造:
接入IPv6带宽和获得地址,原有IPv4网络架构不改变。
第二、设备层改造:
IPv4源站不变,在网络出口部署IPv6转换设备(双机热备)。
第三、DNS启用4A记录:
DNS系统启用AAAA记录支持IPv6地址解析。
协议转换技术方案的主要工作内容
序号
改造内容
软硬件设备升级
时间及成本
1
网络层改造
1.
接入IPv6带宽
IPv6带宽:
5万元/G/月
2.
获得IPv6地址
IPv6地址费0元。
2
设备层改造
1.路由器可能需要启用IPv6
1.如果转换设备的接入端口在
协议栈
防火墙内侧,老旧路由器设备
2.增加两台转换设备,采用
可能需要升级,或购买IPv6
双机热备,提高可靠性。
授权。
如果通过交换机直接上
联运营商互联网专线,则不需
升级路由器。
2.配置转换设备,约需要3个工
作日。
3
业务系统
基本上无需改造
成本基本为0
4
网站代码
基本上无需修改
协议转换技术方案的优缺点
优点
缺点
1.方案简单,快速实施。
只需配置2台转换
1、转换技术适用于v4v6演进过渡期,仅实现
设备,双机热备。
IPv4源站不需修改,不
web网站支持IPv6访问,不能代替真正的
需要对网站整个系统进行全面改造。
大约
v4/v6双栈网站。
3-5个工作日即可实现支持IPv6访问。
2、如果网站和应用涉及到物联网应用部署,
2.如遭遇来自IPv6网络的攻击,只能攻击到
工业互联网应用部署,不能使用转换方案,
转换设备,不能直接攻击到IPv4源站。
必须采用v4/v6双栈技术方案。
3.目前信息系统安全等级保护制度暂未更新
3、不适用于新建网站。
按照两办文件要求,新
如何支持IPv6的新版本,使用转换设备不
建网站直接采用v4/v6双栈方案,一步到
影响政府网站已有的安全等保三级认证。
位。
不必使用协议转换技术方案。
4.技术人员的维护工作量基本不增加。
5.可以解决老网站、架构复杂的网站实现支
持IPv6访问的难题。
2、终极方案:
IPv4/IPv6双栈技术方案
网站升级IPv4/IPv6双栈方案,是网站IPv6升级改造的最终目标,是真正实现了两办《推进IPv6规模部署行动计划》文件要求的IPv6升级改造目标。
也是我们推崇的最主要的技术方案。
网站升级IPv4/IPv6双栈,是系统性的整体升级改造。
双栈策略的特点是:
全部软硬件设备同时运行IPv4和IPv6两个协议栈,能够同时处理IPv4和IPv6数据包,实现同时支持IPv6和IPv4访问。
双栈升级包括以下方面:
制定IPv6网络升级规划,接入电信运营商、教育网的IPv6带宽,获得IPv6地址,制订内部IPv6地址DHCP策略。
所有硬件设备均需支持IPv6,全部开启IPv6协议栈。
第三、业务系统改造:
所有前后台业务管理系统、数据库系统、网络安全系统、应用系统,全部启用IPv6协议,支持同时运行IPv4/IPv6双协议栈。
第四、网站代码改造:
对网站代码不能运行IPv6协议栈的部分进行修改。
(此项工作比较复杂易出错,需要特别慎重)
升级IPv4/IPv6双栈的主要工作内容
工作内容
1.接入IPv6带宽
2.获得IPv6地址
1.接入IPv6静态/BGP带宽
2.IPv6地址免费。
1.路由器启用IPv6协议栈
2.防火墙配置IPv6策略
3.负载均衡设备启用IPv6
4.交换机配置IPv6策略
5.操作系统启用IPv6协议
1.老旧路由器设备可能需升级,或购买IPv6授权。
2.老防火墙可能需升级或淘汰
3.负载均衡设备无需升级
4.老旧交换机需要淘汰更新。
5.操作系统无需更换。
业务系统改造
1.数据库系统支持IPv6
2.Web中间件系统启用IPv6
3.CMS系统支持IPv6
4.DNS启用AAAA记录
5.Web防护系统启用IPv6
6.日志统计系统启用IPv6
1.很老的数据库可能需要升级
2.老Web中间件可能需要升级
3.老CMS系统可能需要升级,WordPressCMS系统需更换。
4.DNS域名解析支持AAAA记录;
如使用ZDNS需启用高级功能。
5.Web防护系统可能需要升级。
6.日志统计系统升级。
网络代码改造
1、网页/APP中以IPv4地址直
程序员修改全站代码。
接写入的文件URL或链接
URL更换成域名。
2、网页代码中存在无法处理
IPv6地址的函数更换成同时
所需时间由网站的规模、复杂程
支持IPv4和IPv6的函数和
度,程序员团队开发水平,决定
程序。
工作量和升级时间。
3、程序中存储IP地址的数据
具体花费时间很难预测。
空间(IPv4为32位)修改
为同时支持IPv4(32位)和
IPv6(128位)的变量结构、
数据库结构或API。
IPv4/IPv6双栈方案的优缺点
问题
1、IPv4/IPv6双栈是最为彻底的一种网站支
1、全系统升级,涉及到软件、硬件、网络、业
持IPv6升级改造技术,概念清晰,易于理
务管理平台、业务系统、网络安全系统等多
解,升级工作一步到位,永久解决问题。
是
系统的协同,必须要做好升级工作的整体
互联网向IPv6演进升级的最终目标。
统筹规划、多部门有效协同。
2、同时运行IPv4和IPv6两个协议栈,可实
2、系统整体升级,可能需要更新软硬件设备,
现IPv4对IPv4、IPv6对IPv6的单协议栈
投资较高。
通信,访问效果较好。
3、网管人员可能不熟悉IPv6,需要培训。
3、国家要求从2018年起,新建政府网站和应
4、网站部分代码需要修改,工作量不好准确
用系统必须支持IPv6,因此新建网站和应
估计,可能耗时较长。
用系统的架构应直接采用双栈。
5、防火墙等设备同时启用IPv4和IPv6两套
4、网站改造,新建不久的网站、结构不太复杂
策略;
技术人员的维护工作量增加1倍。
的网站,适用于从IPv4改造为双栈。
6、不适合对老旧网站、结构复杂的IPv4网站
做代码层改造,风险较大。
3、过渡期的升级技术路线分析
IPv6是互联网演进升级的必然趋势,在从IPv4向IPv6演进的过程中,web网站支持IPv6的升级路线,将经历以下三个阶段:
第一阶段:
纯IPv4阶段,网站只运行IPv4协议,不支持IPv6用户访问。
第二阶段:
IPv4/IPv6双栈阶段,由于IPv4和IPv6在未来十年还将长期共存,所以在过渡阶段,网站需要同时支持IPv4和IPv6访问。
2018年是中国互联网向IPv6大规模演进升级的元年,两办文件要求推进TOPICP网站、政府、央企、新闻、媒体网站实现支持IPv6,最终建成IPv4/IPv6双栈网站。
在具体实施过程中,根据实际情况,可以采取一步到位直接升级双栈的技术策略,也可以分两步走,采用过渡技术策略,第一步在IPv4网站加挂“v4转v6”转换设备支持IPv6访问,第二步再升级IPv4/IPv6双栈。
第三阶段:
纯IPv6阶段,这个阶段的特点是:
99%以上的用户都已经使用IPv6地址和网络,残余的纯IPv4用户很少,因此从维护网络安全、降低运维成本角度,网站仅配置IPv6-only协议,不再运行IPv4协议栈。
对于残留的少量IPv4用户,IPv6网站可以外挂一台“v6转v4”转换设备,使IPv6网站支持IPv4用户访问。
4、网站IPv6升级的技术路线选择
在IPv4/IPv6过渡阶段,不同类型的网站,应根据自身特点和优势,采取不同的
IPv6升级策略。
网站类型
TOP级ICP网站
政府、央企、新闻媒体网站
网络流量
海量用户带来海量互联网流量,每天浏览量超过10亿次,TOP级
ICP的日均浏览量超过百亿次。
网络流量不高,日均浏览量在万
次到10万次量级。
TOP新闻媒体网站的浏览量可达千万次。
技术现状
自建技术实力强大的开发、运
信息安全需要符合国家等级保
维团队,网络安全技术能力很
护管理制度。
政府网站受人员编
强,反应灵活,有能力及时应对
制影响,缺乏足够的技术力量,
网络攻击,快速处理各种故障;
特别是缺乏网络安全方面的高端
出现问题后能够快速恢复网站的
技术力量。
正常运行。
TOPICP与教育网在
目前技术人员对IPv6网络不
IPv6方面有长期合作与广泛技术
熟悉。
交流,熟悉IPv6网络。
技术策略
一步到位直接升级v4/v6双栈
对于具备条件的单位,可以采
用一步到位直接升级IPv4/IPv6
双栈的技术策略。
建议
对于技术储备不足,准备工作
不足、调整预算有难度的单位,
可以考虑采取“两步走”策略。
四、实施方案建议
根据两办文件要求:
2018年初步完成国家电子政务外网改造,包括完成中央部委、省级政府门户网站改造;
完成中央及省级新闻宣传媒体门户网站改造,新建新闻及广播电视媒体网络信息系统全面支持IPv6;
完成中央企业门户网站和面向公众的在线服务窗口改造。
综合各方面的实际情况,秉持实事求是、注重安全、整体规划、分步实施,既要走得快,也要走得稳的工作原则,对政府、央企、新闻媒体网站支持IPv6升级改造的技术方案,提出如下建议。
第一步,政府、新闻媒体网站采用“IPv4源站+转换设备”支持IPv6访问。
由于IPv4网站防护系统已经非常完善,如果发生来自IPv6的网络攻击,只能攻击到转换设备,IPv4源站不会遭受IPv6网络攻击。
第二步,预计2018年底或2019年初,国家新的信息系统安全等级保护制度
(IPv6版)将会出台,可以遵循新版信息系统安全等级保护制度的相关规定,各方面准备工作完善之后,网站合规稳妥升级为IPv4/IPv6双栈。
两步走,先上一个台阶,取得阶段性成果,再上一个台阶,实现最终目标。
使用转换设备实现网站支持IPv6访问
网站采购两台转换设备(双机热备),进行部署。
IPv6网络用户通过转换设备,实现对目标网站的正常访问。
对于考虑采取“两步走”策略的网站,建议制订一个为期两年或三年的《网站
IPv6升级行动计划》,分阶段实施。
“两步走”时间表与路线图
阶段
技术策略建议
2018-2019年
网站采取“IPv4网站加挂转换设备”的技术策略,可以快速实现网站支持IPv6,按时完成两办文件的要求。
在此期间,一方面等待国内的IPv6网络安全相关技术和产品经过实战检验,软件升级版本走向稳定成熟;
另一方面获得充裕的时间,进行整体统筹规划,申请较为充足的预算,妥善
制定网站升级IPv4/IPv6双栈的技术方案。
国家信息系统安全等级保护制度(IPv6版)已经发布,各
类网络安全系统和设备经过1年多的实战验证和改进已经比较
完善。
2019-2020年
网站采取“系统整体升级IPv4/IPv6双栈”的技术策略,
对整个网站的系统、软硬件设备、网络安全策略进行整体全面
升级,并淘汰各种老旧软硬件设备。
采取“两步走”的策略,2018年采用“IPv4源站+转换设备”技术方案,可以迅速实现网站支持IPv6访问,快速取得阶段性成果,提前完成两办文件的工作要求。
同时可以在2018年为2019年和2020年安排充足的预算和时间,从容推进网站升级为IPv4/IPv6双栈。
升级会员 