韓春曉 周希昱 陳琦 溫圣軍* 袁剛*

（1.國家市場監(jiān)督管理總局信息中心 北京市 100820 2.北京連星科技有限公司 北京市 100043）

1 IPv6發(fā)展情況

基于互聯(lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)面臨網(wǎng)絡地址消耗殆盡、服務質(zhì)量難以保證等制約性問題，IPv6 能夠提供充足的網(wǎng)絡地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網(wǎng)商業(yè)應用解決方案[1]。自2017年起，政府加強主導推動IPv6 升級改造，2017年11月，中共中央辦公廳、國務院辦公廳印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，在此背景下，以行政力量牽引IPv6 產(chǎn)業(yè)鏈各方按照政府制定的目標加速IPv6 發(fā)展。2021年7月，中央網(wǎng)信辦、國家發(fā)展改革委、工業(yè)和信息化部等部門發(fā)布文件，明確了“十四五”時期深入推進 IPv6 規(guī)模部署和應用的主要目標，要求到 2025年末，網(wǎng)絡、平臺、應用、終端及各行業(yè)全面支持IPv6[2]，并強調(diào)推動電子政務公共平臺IPv6 改造，深化政府網(wǎng)站及政務服務平臺IPv6 改造。在《深入推進IPv6 規(guī)模部署和應用2021年工作安排》中，也明確要求開展省市兩級政務外網(wǎng)IPv6 升級改造，推動國家政務服務平臺、各地區(qū)省級政務服務平臺、國務院各有關部門政務服務平臺加快IPv6 改造，這對政府部門加快政務應用改造提出了新的緊迫要求。

目前各政府部門基本實現(xiàn)了在政府網(wǎng)站層面實施IPv6 升級，而對于其他政務服務應用的IPv6 規(guī)模部署及改造成果還未突出展現(xiàn)，隨著近年來改革舉措的不斷深入，政務服務應用多樣化，網(wǎng)絡安全等基礎設施、應用及終端等各環(huán)節(jié)存在各自建設、技術標準不統(tǒng)一等問題，如何全面了解IPv6 在各政務應用的規(guī)模部署及發(fā)展情況，提取出基于全景畫像的IPv6 代際升遷部署方法，從而進行全生命周期管理，為政府部門落實國家戰(zhàn)略、全面推進IPv6 規(guī)模部署奠定基礎，值得我們思考和研究。

2 政府部門IPv6部署現(xiàn)狀及問題

在全面推進政府數(shù)字化轉(zhuǎn)型過程中，IPv6 是支撐數(shù)字基礎設施的核心底座，在推動數(shù)字政府、智慧政務等方面可以發(fā)揮重要作用。政府機構(gòu)特別是國家部委需要積極落實國家戰(zhàn)略，推進IPv6 規(guī)模部署，發(fā)揮示范引領作用。當前，政府機構(gòu)在推進IPv6 部署時往往以單一改造項目為主，缺乏通盤考慮，導致工作推進緩慢、成效不彰。IPv6 規(guī)模部署是一項系統(tǒng)工程，涉及面和影響面非常廣泛，需要從工程全局視角充分調(diào)研網(wǎng)絡現(xiàn)狀，收集足夠的IPv6 支持度信息，為后續(xù)制訂頂層規(guī)劃和實施策略打下堅實基礎。具體主要面臨以下痛點和難題[3]：

（1）無法精確掌握IPv6 支持現(xiàn)狀，現(xiàn)網(wǎng)處于“黑箱”狀態(tài)。政府部門網(wǎng)絡規(guī)模龐大、承載業(yè)務多、設備類型復雜、廠商異構(gòu)普遍、安全管控嚴格，缺少對全網(wǎng)IPv6 現(xiàn)狀的精準定位和掌握。

（2）缺乏有效的IPv6 支持度權威檢測和評估分析手段。雖然國家IPv6 發(fā)展監(jiān)測平臺制定并發(fā)布了權威IPv6 監(jiān)測指標體系，但在具體實踐中，還缺乏本部門的監(jiān)測分析。

（3）IPv6 改造影響大、周期長，經(jīng)常各自為戰(zhàn)，難以總覽全局，導致工作進展參差不齊，不利于全生命周期管理，影響業(yè)務發(fā)展。

（4）IPv6部署可能帶來未知的安全風險，一方面來自IPv6本身、安全設備特點、策略配置等方面的風險，另一方面IPv4 向IPv6 的各類過渡技術目前缺乏成熟的防護經(jīng)驗，也存在一定的安全風險[4]。

（5）IPv6 規(guī)模部署標準不統(tǒng)一，目前國際、國內(nèi)目前制定的IPv6 相關標準體系還沒有完全成熟[5-6]，規(guī)范引導IPv6 部署和應用的國家標準體系缺乏，存在改造效果不達標，導致重復建設的風險。

綜上所述，需要重點研究上述五方面問題的解決方法，選取政府部門某辦公區(qū)域開展實踐，從而不斷完善和改進。

3 基于全景畫像的IPv6代際升遷部署方法研究

3.1 現(xiàn)網(wǎng)“黑箱”問題

基于IP 地址的唯一性，針對現(xiàn)網(wǎng)“黑箱”問題，采用網(wǎng)絡空間測繪方法，通過集中化的IP 地址管理系統(tǒng)，采用IP 作為全網(wǎng)唯一可信的標識，將異構(gòu)網(wǎng)絡中的所有IP 數(shù)據(jù)資產(chǎn)統(tǒng)一納管，消除不同廠商和類型的差異性。以IP 地址為索引，通過探針進行廣泛的探測掃描（支持SNMP/NMAP 等多種探測技術），繪制全網(wǎng)地圖，形成包括網(wǎng)絡設備、安全設備、終端設備、應用系統(tǒng)在內(nèi)的全景拓撲圖，徹底清除網(wǎng)絡“黑箱”和“死角”。

3.2 監(jiān)測評估問題

依托于國家IPv6 發(fā)展監(jiān)測平臺的權威IPv6 監(jiān)測指標體系，通過采用IPv6 態(tài)勢監(jiān)測方法，全面監(jiān)測網(wǎng)絡設備、安全設備、終端、應用和運維支撐體系的IPv6 支持度、IPv6 配置情況、IPv6 網(wǎng)絡可達性、IPv6 網(wǎng)絡質(zhì)量狀況等，形成一套IPv6“指紋庫”，分析評估不同階段的IPv6 發(fā)展指數(shù)。

按照IPv6 代際升遷的發(fā)展演進路線，拓撲節(jié)點有如下五種IPv6 支持狀態(tài)：

（1）未調(diào)研：暫未進行調(diào)研，不確定節(jié)點的IPv6 支持情況。

（2）不支持IPv6：經(jīng)過調(diào)研，確認節(jié)點不支持IPv6。

（3）支持IPv6：經(jīng)過調(diào)研，確認節(jié)點支持IPv6。

（4）IPv6 已配置：節(jié)點支持IPv6，并且已完成IPv6 配置。

（5）IPv6 可通達：節(jié)點有IPv6 配置，且IPv6 業(yè)務正常可通達。

基于IPv6“指紋庫”，在政府部門全局網(wǎng)絡地圖上標識出節(jié)點的IPv6 支持情況，從而形成IPv6 支持度沙盤，實時反映當前IPv6部署進展。

3.3 全生命周期管理問題

IPv4 向IPv6 平滑升級演進是一項繁雜的系統(tǒng)工程，涉及影響面非常廣，包括網(wǎng)絡、業(yè)務、組織、流程等，需要對IPv6 平滑演進的整個生命周期進行全面的掌控，實現(xiàn)全流程診斷把關和跟蹤監(jiān)管，真正實現(xiàn)全景化展現(xiàn)、一鍵式定位、智能化協(xié)作。全生命周期管理方法依托于網(wǎng)絡空間測繪和IPv6 態(tài)勢監(jiān)測，準確掌握每一個生命周期的IPv6 發(fā)展狀態(tài)，并基于當前的情況的總結(jié)分析，給出下一階段的工作要求和建議，實現(xiàn)從現(xiàn)狀調(diào)研、規(guī)劃設計、部署實施、評估評測四個周期的全流程監(jiān)控管理。

3.4 安全風險問題

在IPv6 代際升遷部署過程中，需要將安全防護體系納入全景畫像的全過程，實現(xiàn)全面掌握安全防護策略配置、實時動態(tài)監(jiān)測、安全設備的IPv6 支持和改造等情況。對安全風險的關注和預防，一是要持續(xù)完善并依托安全防護體系，二是加大設備安全改造能力，比如在防火墻、IDS 等通用安全設備功能、性能和安全性測試基礎上，適應IPv6 改造安全需求，研究針對IPv6 的安全配置策略，進一步強化IPv6 防護[7]。

3.5 標準規(guī)范問題

完善標準政策支持是“十四五”時期貫徹落實國家推進規(guī)模部署和應用改造的重要工作之一。需要將標準規(guī)范貫穿于IPv6 代際升遷部署工程的全過程，結(jié)合政府部門IPv6 改造需求和應用實踐，全面梳理IPv6 規(guī)模部署、IPv6 應用管理、IPv6 終端管理、IPv6 網(wǎng)絡管理、IPv6 安全管理、IPv6 運維管理等相關規(guī)范，將其作為長期工程，基于全景畫像，實現(xiàn)標準規(guī)范的整體管理及應用，并在實踐中不斷完善、推廣。

4 基于全景畫像的IPv6代際升遷部署方法實踐

4.1 總體要求

選取某政府部門辦公區(qū)作為試點區(qū)域，建設IPv6 代際升遷部署工程全景畫像，通過構(gòu)建全生命周期的IPv6 網(wǎng)絡空間測繪平臺和IPv6 態(tài)勢監(jiān)測平臺，實現(xiàn)集中規(guī)劃、監(jiān)測和管理本地、云端和邊緣等基礎設施環(huán)境中的IPv6 數(shù)據(jù)資產(chǎn)，深度融合網(wǎng)絡、安全、應用、終端、運維、用戶、鏈路、標準的數(shù)據(jù)信息，實時監(jiān)控全網(wǎng)數(shù)據(jù)資產(chǎn)的IPv6 支持狀態(tài)，形成全流程可視化的IPv6 工程沙盤及全景畫像，并基于動態(tài)監(jiān)測和數(shù)據(jù)分析，客觀、真實地反映當前試點區(qū)域的IPv6 發(fā)展情況。

4.2 總體設計

如圖1 所示，IPv6 代際升遷部署工程全景畫像創(chuàng)新性地融合云計算和容器技術構(gòu)建基礎平臺，系統(tǒng)采用分層架構(gòu)設計，整體分為三層：

圖1：系統(tǒng)架構(gòu)圖

基礎設施層主要包含底層的云平臺環(huán)境、應用、網(wǎng)絡、安全、終端、用戶等，系統(tǒng)通過廣泛部署的探針及第三方接口，對基礎設施進行持續(xù)的監(jiān)控和數(shù)據(jù)采集（如設備IPv6 支持度、在線終端數(shù)量、IPv6 地址使用率、安全告警日志等）。

平臺層基于容器化部署的云平臺架構(gòu)，按照獨立容器的模式實現(xiàn)不同的功能模塊。其中，網(wǎng)絡空間測繪通過IP 地址管理系統(tǒng)，對全網(wǎng)進行遍歷掃描，繪制出完整、詳細的拓撲結(jié)構(gòu)圖；IPv6 態(tài)勢監(jiān)測對拓撲節(jié)點進行IPv6 支持度評測分析，形成IPv6 支持度沙盤；全生命周期管理提供基于調(diào)研、設計、部署、評估的全流程監(jiān)測和分析，從生命周期的角度支撐IPv6 代際升遷部署過程。

展示層對基礎設施層和平臺層生成的數(shù)據(jù)進行統(tǒng)計和分析，形成IPv6 代際升遷部署工程全景畫像，以可視化的方式全景呈現(xiàn)應用、終端、網(wǎng)絡、安全、運維的IPv6 支持狀態(tài)及改造進展情況，為IPv6 規(guī)模部署提供客觀、準確的數(shù)據(jù)支撐。

4.3 IPv6工程全景畫像實踐效果

IPv6 工程全景畫像主要通過概覽、應用、終端、網(wǎng)絡、安全和運維六張可視化智能圖景進行展現(xiàn)。

4.3.1 IPv6 工程概覽圖

如圖2 所示，IPv6 工程全景畫像概覽是一張總覽圖，覆蓋應用、終端、網(wǎng)絡、安全、運維五個領域的IPv6 態(tài)勢監(jiān)測和IPv6 支持度數(shù)據(jù)統(tǒng)計。在IPv6 支持度沙盤上，采用五種不同顏色標識拓撲節(jié)點的IPv6 支持狀態(tài)（即未調(diào)研、不支持IPv6、支持IPv6、IPv6 已配置、IPv6 可通達），并按照應用、終端、網(wǎng)絡、安全、運維等五個領域，分別監(jiān)測和統(tǒng)計各自的IPv6 支持度情況，通過全景一覽圖的方式，直觀呈現(xiàn)IPv6 規(guī)模部署現(xiàn)狀。

圖2：IPv6 工程全景畫像概覽

4.3.2 IPv6 應用全景畫像

如圖3 所示為IPv6 應用全景畫像，通過監(jiān)測和采集IDC、云環(huán)境、服務器、中間件/數(shù)據(jù)庫、各類業(yè)務應用的IPv6 升級改造情況，包括IPv6 網(wǎng)絡連通性、IPv6 域名解析能力、首頁可訪問性、二三級鏈接支持度、外部鏈接支持度、IPv6 網(wǎng)絡質(zhì)量（域名解析時延、首頁響應時延等）、頁面內(nèi)容一致性等，并根據(jù)各項檢測指標結(jié)果形成整體的監(jiān)測統(tǒng)計數(shù)據(jù)，以準確評估應用的IPv6 改造達標情況。

圖3：IPv6 應用全景畫像

4.3.3 IPv6 終端全景畫像

如圖4 所示為IPv6 終端全景畫像，基于IP 數(shù)據(jù)資產(chǎn)管理系統(tǒng)，采用臺賬模式管理終端資產(chǎn)（包括資產(chǎn)名稱、IPv4/IPv6 地址、MAC地址、資產(chǎn)類型、定位信息、業(yè)務名稱、所屬VLAN、負責人等）。監(jiān)測終端資產(chǎn)的IPv6 支持度，跟蹤終端資產(chǎn)的變化，實時呈現(xiàn)終端資產(chǎn)的IPv6 改造趨勢。

圖4：IPv6 終端全景畫像

4.3.4 IPv6 網(wǎng)絡全景畫像

如圖5 所示為IPv6 網(wǎng)絡全景畫像，采用標準SNMP 協(xié)議自動發(fā)現(xiàn)和納管所有網(wǎng)絡設備，并提供以網(wǎng)絡設備為監(jiān)測節(jié)點的全景網(wǎng)絡拓撲圖，按照五大類狀態(tài)呈現(xiàn)節(jié)點的IPv6 改造支持情況。

圖5：IPv6 網(wǎng)絡全景畫像

4.3.5 IPv6 安全全景畫像

如圖6 所示為IPv6 安全全景畫像，以安全設備的網(wǎng)絡拓撲圖為基礎，通過監(jiān)測不同安全設備的IPv6 支持狀態(tài)，并按照五大類進行分類統(tǒng)計和展示，呈現(xiàn)整體安全防護體系的IPv6改造進展情況。4.3.6 IPv6 運維全景畫像

圖6：IPv6 安全全景畫像

如圖7 所示為IPv6 運維全景畫像，通過詳細調(diào)研和采集運維支撐體系的IPv6 部署進展情況數(shù)據(jù)，如運維平臺IPv6 支持率、運維人員IPv6 掌握程度、IPv6 運維制度等，直觀展現(xiàn)運維體系的IPv6 發(fā)展現(xiàn)狀。

圖7：IPv6 運維全景畫像

5 結(jié)束語

本文立足于政府部門IPv6 規(guī)模部署和應用的試點實踐，解決政府部門在推進IPv6 過程中遇到的各種難題。本方法的亮點體現(xiàn)在三個方面，一是網(wǎng)絡空間測繪，基于IP 掃描探測和IP 地址管理，實現(xiàn)IP 地址資源與網(wǎng)絡設備、業(yè)務應用、組織機構(gòu)和人員的融合關聯(lián)。通過IP 索引，準確測繪出全網(wǎng)的資產(chǎn)、拓撲、流量和安全狀態(tài)，將“網(wǎng)絡黑箱”一覽無余，形成全面覆蓋、動態(tài)更新的網(wǎng)絡空間地圖。二是IPv6 工程態(tài)勢監(jiān)測，實現(xiàn)對全景網(wǎng)絡地圖中的節(jié)點（包括應用/終端/網(wǎng)絡/安全/運維五類節(jié)點）進行自動化的監(jiān)測和分析，評估其IPv6 的支持情況?；诳陀^、專業(yè)的數(shù)據(jù)分析，指導IPv6 規(guī)模部署工作。三是IPv6 代際升遷部署全生命周期管理，IPv6 工程全景畫像提供對IPv6 發(fā)展情況的實時監(jiān)測和動態(tài)呈現(xiàn)，展示代際升遷不同階段的IPv6 部署進展，通過流程化的數(shù)據(jù)監(jiān)測和分析，實現(xiàn)IPv6 全生命周期統(tǒng)一管理，支撐IPv6 規(guī)模部署和平滑演進。

通過本文中選取案例的實施，能夠自動化監(jiān)測和數(shù)據(jù)分析，全局可視化地呈現(xiàn)當前IPv6 部署情況，從生命周期的維度管理IPv6代際升遷過程，有效支撐了IPv6 規(guī)模部署工作。在后續(xù)不斷實踐完善過程中，將逐步從一個辦公區(qū)向政府部門全局推廣，進而向部委全系統(tǒng)中予以推廣。