宮帥 李彬 柴吳軍

摘 ? 要：為貫徹落實(shí)中共中央辦公廳、國(guó)務(wù)院辦公廳《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》有關(guān)部署，切實(shí)做好中央企業(yè)部署應(yīng)用IPv6有關(guān)工作，國(guó)家電網(wǎng)有限公司（以下簡(jiǎn)稱“國(guó)網(wǎng)公司”）根據(jù)國(guó)資委文件要求，積極開展門戶網(wǎng)站和面向公眾的在線服務(wù)窗口IPv6改造工作。文章以國(guó)網(wǎng)公司下屬某省級(jí)公司信息網(wǎng)絡(luò)為例，探討在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，以應(yīng)用負(fù)載均衡設(shè)備實(shí)現(xiàn)門戶網(wǎng)站IPv6/IPv4協(xié)議的雙棧訪問。

關(guān)鍵詞：互聯(lián)網(wǎng)協(xié)議第6版;雙棧;門戶網(wǎng)站;應(yīng)用負(fù)載均衡

國(guó)網(wǎng)公司數(shù)據(jù)通信網(wǎng)基于互聯(lián)網(wǎng)協(xié)議第4版（Internet Protocol Version 4，IPv4）技術(shù)，互聯(lián)網(wǎng)協(xié)議（Internet Protocol，IP）地址不足問題已經(jīng)顯現(xiàn)，部分發(fā)達(dá)下屬省公司中IPv4地址已經(jīng)枯竭，新增系統(tǒng)和新建節(jié)點(diǎn)多采用地址轉(zhuǎn)換方式，應(yīng)用私網(wǎng)地址緩解地址資源不足問題。這種解決方式將增加網(wǎng)絡(luò)管理復(fù)雜性、降低網(wǎng)絡(luò)綜合性能，小規(guī)模部分補(bǔ)充使用時(shí)這些問題尚能接受，一旦大規(guī)模應(yīng)用，將嚴(yán)重影響網(wǎng)絡(luò)管理的效率和性能，危害通信安全，因此，不具有規(guī)模應(yīng)用可能。國(guó)網(wǎng)公司開展門戶網(wǎng)站和面向公眾的在線服務(wù)窗口互聯(lián)網(wǎng)協(xié)議第6版（Internet Protocol Version 6，IPv6）改造工作，符合國(guó)家主管部門要求，符合國(guó)網(wǎng)公司網(wǎng)絡(luò)發(fā)展實(shí)際需要，符合國(guó)內(nèi)外網(wǎng)絡(luò)技術(shù)發(fā)展趨勢(shì)，對(duì)國(guó)網(wǎng)公司未來(lái)信息化發(fā)展具有重要意義[1]。

1 ? ?網(wǎng)絡(luò)現(xiàn)狀

1.1 ?網(wǎng)絡(luò)拓?fù)?/p>

某省電力公司信息外網(wǎng)出口網(wǎng)絡(luò)拓?fù)淙鐖D1所示，某省公司（以下簡(jiǎn)稱公司）信息外網(wǎng)按其功能劃分為網(wǎng)絡(luò)出口區(qū)、用戶終端區(qū)、服務(wù)器區(qū)等3大區(qū)域。網(wǎng)絡(luò)出口區(qū)是作為整個(gè)網(wǎng)絡(luò)出口區(qū)域，通過在出口部署兩臺(tái)Radware負(fù)載均衡設(shè)備實(shí)現(xiàn)多運(yùn)營(yíng)商、多鏈路的流量負(fù)載與冗余。出口防火墻及UTM設(shè)備承擔(dān)整體網(wǎng)絡(luò)的安全防護(hù)作用，通過配置安全策略實(shí)現(xiàn)互聯(lián)網(wǎng)對(duì)公司內(nèi)網(wǎng)網(wǎng)絡(luò)的安全訪問。用戶終端區(qū)網(wǎng)絡(luò)作為公司辦公終端的接入網(wǎng)絡(luò)，通過部署行為管理和郵件阻斷設(shè)備，實(shí)現(xiàn)對(duì)用戶終端的訪問行為和業(yè)務(wù)帶寬進(jìn)行安全控制。服務(wù)器區(qū)網(wǎng)絡(luò)主要承載公司外網(wǎng)所有業(yè)務(wù)系統(tǒng)，通過在出口處部署Web應(yīng)用防護(hù)系統(tǒng)（Web Application Firewall，WAF）設(shè)備，實(shí)現(xiàn)對(duì)Web應(yīng)用的安全防護(hù)。

整體網(wǎng)絡(luò)以兩臺(tái)華為S7706交換機(jī)作為匯聚點(diǎn)，各網(wǎng)絡(luò)區(qū)域分別與匯聚點(diǎn)互聯(lián)，實(shí)現(xiàn)區(qū)域之間的業(yè)務(wù)互訪。兩臺(tái)匯聚點(diǎn)交換機(jī)與兩臺(tái)出口匯聚交換機(jī)、兩臺(tái)用戶區(qū)核心交換機(jī)、兩臺(tái)服務(wù)器核心交換機(jī)之間運(yùn)行OSPF V2，通過修改各鏈路COST值，實(shí)現(xiàn)主備路徑選擇。

1.2 ?系統(tǒng)拓?fù)?/p>

外網(wǎng)網(wǎng)站應(yīng)用服務(wù)器采用多節(jié)點(diǎn)部署，通過業(yè)務(wù)負(fù)載均衡對(duì)外提供服務(wù)。兩臺(tái)負(fù)載均衡設(shè)備主備部署分別旁掛在服務(wù)器區(qū)接入交換機(jī)上。應(yīng)用服務(wù)器同時(shí)接入服務(wù)器區(qū)接入交換機(jī)上。用戶訪問通過主機(jī)名訪問外網(wǎng)網(wǎng)站系統(tǒng)，直接訪問負(fù)載均衡地址，負(fù)載均衡地址收到請(qǐng)求后，根據(jù)負(fù)載均衡算法選擇應(yīng)用服務(wù)器。將數(shù)據(jù)請(qǐng)求進(jìn)行源地址轉(zhuǎn)換后，發(fā)送至應(yīng)用服務(wù)器。應(yīng)用服務(wù)器響應(yīng)請(qǐng)求，并返回?cái)?shù)據(jù)至負(fù)載均衡。負(fù)載均衡返回?cái)?shù)據(jù)給用戶[2]。

1.3 ?DNS解析

互聯(lián)網(wǎng)IPv4用戶向本地域名系統(tǒng)（Domain Name System，DNS）域名服務(wù)器發(fā)起針對(duì)公司外網(wǎng)網(wǎng)站的域名解析請(qǐng)求，本地域名服務(wù)器無(wú)相關(guān)記錄，向國(guó)網(wǎng)公司根域名服務(wù)器發(fā)起請(qǐng)求;根域名服務(wù)器根據(jù)本地NS記錄，向授權(quán)的公司二級(jí)域名服務(wù)器發(fā)起請(qǐng)求;公司域名服務(wù)器根據(jù)本地A記錄，返回域名對(duì)應(yīng)IPv4地址[3]。

2 ? ?改造思路

根據(jù)現(xiàn)有技術(shù)特點(diǎn)分析，共有4種方式可以實(shí)現(xiàn)門戶網(wǎng)站的雙棧訪問，具體如下：

（1）外網(wǎng)出口設(shè)備地址轉(zhuǎn)換。在外網(wǎng)出口網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）設(shè)備上啟用IPv4與IPv6地址轉(zhuǎn)換技術(shù)，在NAT設(shè)備配置內(nèi)部IPv4地址與公網(wǎng)IPv6地址的映射關(guān)系，網(wǎng)絡(luò)內(nèi)部仍然采用IPv4部署模式。外部用戶可通過公網(wǎng)IPv6地址訪問公司業(yè)務(wù)，在NAT設(shè)備將訪問業(yè)務(wù)系統(tǒng)的IPv6報(bào)文轉(zhuǎn)換為IPv4報(bào)文。網(wǎng)絡(luò)中只需在出口NAT設(shè)備支持雙棧協(xié)議即可，其他網(wǎng)絡(luò)設(shè)備、安全設(shè)備及業(yè)務(wù)系統(tǒng)無(wú)需調(diào)整。

（2）應(yīng)用負(fù)載均衡設(shè)備地址轉(zhuǎn)換。網(wǎng)絡(luò)出口、核心、匯聚等網(wǎng)絡(luò)及安全設(shè)備均運(yùn)行雙棧協(xié)議，在應(yīng)用負(fù)載均衡上為需要實(shí)現(xiàn)IPv6部署的業(yè)務(wù)系統(tǒng)新增IPv6地址。用戶IPv4和IPv6訪問請(qǐng)求均先訪問負(fù)載均衡設(shè)備，由負(fù)載均衡設(shè)備將訪問請(qǐng)求轉(zhuǎn)換為內(nèi)部IPv4訪問請(qǐng)求。負(fù)載均衡以下均運(yùn)行IPv4，無(wú)需對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)整，負(fù)載均衡以上運(yùn)行雙棧協(xié)議。該方案需對(duì)外網(wǎng)DNS進(jìn)行調(diào)整，保證公網(wǎng)用戶請(qǐng)求DNS服務(wù)器時(shí)可返回解析后的IPv6地址。

（3）新建IPv6網(wǎng)絡(luò)專區(qū)。原IPv4網(wǎng)絡(luò)架構(gòu)不變，在出口防火墻下新建IPv6區(qū)域，新增獨(dú)立的核心、匯聚、接入、負(fù)載均衡等支持雙棧協(xié)議設(shè)備，將需要改造的業(yè)務(wù)系統(tǒng)遷移至該區(qū)域。

（4）全外網(wǎng)區(qū)域改造。網(wǎng)絡(luò)出口、核心、匯聚等網(wǎng)絡(luò)設(shè)備及安全設(shè)備均運(yùn)行IPv6/IPv4雙棧協(xié)議，負(fù)載均衡進(jìn)行IPv6地址的虛地址和實(shí)地址映射，業(yè)務(wù)及DNS系統(tǒng)兩套部署，支持IPv6和IPv4協(xié)議各一套[4]。

根據(jù)網(wǎng)絡(luò)現(xiàn)狀，結(jié)合現(xiàn)有資源情況，某省公司計(jì)劃采用方式二進(jìn)行外網(wǎng)門戶網(wǎng)絡(luò)的IPv6改造。改造后的某省電力公司信息外網(wǎng)出口網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

3 ? ?設(shè)計(jì)方案

3.1 ?總體架構(gòu)

從運(yùn)營(yíng)商引入IPv6出口，增加網(wǎng)站域名對(duì)應(yīng)IPv6地址的域名解析。IPv6改造深入至業(yè)務(wù)邊界，在業(yè)務(wù)負(fù)載均衡上配置IPv6虛地址（站點(diǎn)本地地址），在NAT設(shè)備上進(jìn)行IPv6虛地址與IPv6實(shí)地址（全局單播地址）的一對(duì)一映射，在業(yè)務(wù)負(fù)載均衡上同時(shí)監(jiān)聽I(yíng)Pv4和IPv6的端口訪問請(qǐng)求，通過業(yè)務(wù)負(fù)載均衡將IPv6訪問請(qǐng)求轉(zhuǎn)換為IPv4訪問請(qǐng)求，發(fā)送給對(duì)應(yīng)的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)負(fù)載均衡設(shè)備及以上的網(wǎng)絡(luò)運(yùn)行IPv6和IPv4雙棧，業(yè)務(wù)負(fù)載均衡設(shè)備及以下運(yùn)行僅IPv4地址。

3.2 ?拓?fù)湓O(shè)計(jì)

本方案設(shè)計(jì)無(wú)需改動(dòng)公司現(xiàn)有外網(wǎng)網(wǎng)絡(luò)架構(gòu)，在原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上完成以下工作：

（1）申請(qǐng)運(yùn)營(yíng)商IPv6接入及相應(yīng)IPv6地址。

（2）申請(qǐng)外網(wǎng)網(wǎng)站對(duì)應(yīng)IPv6域名。

（3）出口鏈路負(fù)載均衡、出口匯聚交換機(jī)、出口防火墻、UTM、外網(wǎng)匯聚點(diǎn)、WAF、服務(wù)器區(qū)防火墻、服務(wù)器區(qū)核心交換機(jī)、業(yè)務(wù)負(fù)載均衡等設(shè)備配置IPv4/IPv6雙棧協(xié)議。

（4）出口匯聚交換機(jī)、外網(wǎng)匯聚點(diǎn)、服務(wù)器區(qū)防火墻部署OSPF V3動(dòng)態(tài)路由協(xié)議。

3.3 ?系統(tǒng)設(shè)計(jì)

在應(yīng)用負(fù)載均衡啟用IPv4/IPv6雙棧協(xié)議，新增外網(wǎng)網(wǎng)站IPv6 VS，同時(shí)，關(guān)聯(lián)原IPv4 Pool。IPv6用戶請(qǐng)求IPv6 DNS系統(tǒng)，查詢對(duì)應(yīng)的IPv6地址。IPv6 DNS根據(jù)記錄響應(yīng)用戶請(qǐng)求，并返回對(duì)應(yīng)負(fù)載均衡IPv6地址。用戶主機(jī)直接訪問負(fù)載均衡 IPv6地址，負(fù)載均衡地址收到請(qǐng)求后，進(jìn)行IPv6-IPv4轉(zhuǎn)換，發(fā)送IPv4數(shù)據(jù)包至應(yīng)用服務(wù)器。應(yīng)用服務(wù)器響應(yīng)請(qǐng)求，并返回?cái)?shù)據(jù)至負(fù)載均衡。負(fù)載均衡返回?cái)?shù)據(jù)給用戶。

IPv4用戶請(qǐng)求IPv4 DNS系統(tǒng)，查詢對(duì)應(yīng)的IPv4地址。IPv4 DNS根據(jù)記錄響應(yīng)用戶請(qǐng)求，并返回對(duì)應(yīng)負(fù)載均衡 IPv4地址。用戶主機(jī)直接訪問負(fù)載均衡IPv4地址，負(fù)載均衡地址收到請(qǐng)求后，進(jìn)行源地址轉(zhuǎn)換，發(fā)送IPv4數(shù)據(jù)包至應(yīng)用服務(wù)器;應(yīng)用服務(wù)器響應(yīng)請(qǐng)求，并返回?cái)?shù)據(jù)至負(fù)載均衡;負(fù)載均衡返回?cái)?shù)據(jù)給用戶。

3.4 ?路由規(guī)劃

外網(wǎng)出口負(fù)載均衡設(shè)備與運(yùn)營(yíng)商設(shè)備運(yùn)行IPv6靜態(tài)路由協(xié)議，實(shí)現(xiàn)路由交互。內(nèi)部網(wǎng)絡(luò)為保證其可靠性，規(guī)劃兩臺(tái)出口匯聚交換機(jī)、兩臺(tái)匯聚點(diǎn)交換機(jī)、兩臺(tái)服務(wù)器區(qū)防火墻板卡之間運(yùn)行OSPF V3動(dòng)態(tài)路由協(xié)議，通過修改各鏈路COST值，實(shí)現(xiàn)主備路徑選擇。

3.5 ?地址規(guī)劃

公司辦公外網(wǎng)出口采用IPv6靜態(tài)路由協(xié)議與運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)接，按照國(guó)網(wǎng)公司IPv6地址整體規(guī)劃，內(nèi)部資源分為設(shè)備管理及互聯(lián)、業(yè)務(wù)、辦公等地址網(wǎng)段。其中，網(wǎng)段2405：6F00：E01A：：/49為設(shè)備管理及互聯(lián)，網(wǎng)段2405：6F00：E61A：：/49為業(yè)務(wù)，網(wǎng)段2405：6F00：E69A：：/49為辦公，某省電力公司外網(wǎng)IPv6地址規(guī)劃如表1所示。

4 ? ?結(jié)語(yǔ)

國(guó)網(wǎng)公司下屬某省電力公司深入貫徹落實(shí)中辦、國(guó)辦印發(fā)的《推薦互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》要求，按照國(guó)資委具體工作部署，結(jié)合自身網(wǎng)絡(luò)現(xiàn)狀，開展外網(wǎng)門戶網(wǎng)站IPv6改造工作。在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，以應(yīng)用負(fù)載均衡設(shè)備實(shí)現(xiàn)門戶網(wǎng)站IPv6/IPv4協(xié)議的雙棧訪問。此次工作不但充分利用現(xiàn)有設(shè)備降低整體費(fèi)用，同時(shí)，為后續(xù)其他系統(tǒng)IPv6改造提供了寶貴的經(jīng)驗(yàn)。

[參考文獻(xiàn)]

[1]伍孝金.IPv6技術(shù)與應(yīng)用[M].北京：清華大學(xué)出版社，2010.

[2]JOSEPH D.深入解析IPv6[M].3版.北京：人民郵電出版社，2016.

[3]張東亮，李淵，任黎科.IPv6技術(shù)[M].北京：清華大學(xué)出版社，2010.

[4]沈鑫剡，伍紅兵，俞海英，等.IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)互聯(lián)技術(shù)[J].中國(guó)新通信，2008（5）：29-33.