IPv6技术在电子政务网应用分析

殷晓杭，杨守滂

(中国电信股份有限公司温州分公司，浙江 温州 325000)

0 引言

市电子政务外网是市电子政务的重要网络基础工程，是国家及省政务外网的延伸和拓展。市电子政务外网与互联网逻辑隔离，主要用于运行政府部门不需要在内网上运行的业务和政府部门面向社会的服务业务，为政府部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息支撑服务。现有的电子政务网建于2000年初，包括市行政中心核心节点（骨干网）和市行政中心区域网络，并实现几百家市级单位的横向接入，以及省电子政务外网和各个县（市、区）电子政务外网的纵向接入，市本级接入用户在万人左右，虽经过设备及链路的升级改造，网络结构变的复杂，而功能区域边界仍模糊，对于网络维护及故障判断造成极大不便。

1 市电子政务网现状分析

市电子政务外网是一个集资源共享、日常办公自动化及信息公开为一体的MPLS-VPN 网络，是市各级行政机构信息服务的综合平台，整个网络自建设以来，运行情况基本良好，但伴随着接入规模的扩大，整个电子政务外网的带宽需求剧增，部分设备的处理能力出现了较明显的瓶颈，部分设备运行年限也超过服役时间，性能跟不上现在信息化的支撑,降低了整个电子政务外网的安全性、稳定性；同时随着各类服务的上线，原有部分业务划分不够清晰，安全防护部分也面临这新的挑战。现有PE 主要运行VPN2、VPN3 主要业务，其中VPN2Resource、Public 各存在4W+路由并存在三个实例均为重复表现VPN3专网路由表存在1W+左右路由；以及OSPF本地路由在3000左右，未做路由过滤和优化共存在160K 路由表。安全方面由于缺少针对系统层面的整体安全防护与边界防护，出口安全设备陈旧，无法应对应用层的攻击，还不能满足《网络安全法》和等级保护相关要求。

2 IPV6电子政务网的构建

因此构成市电子政务外网的核心网络设备将全部更新换代并支持Ipv6 及MPLSVPN 功能：由政务外网的各个节点构成的骨干环网部署IPv4/IPv6双栈；

核心将采用高性能设备支持SDN 平滑升级，具备较大的IPv4和IPv6路由表以及转发表项，供互联互通和业务隔离。接入层交换机支持IPV6，满足IPV6用户的接入。

2.1 基础网络层面

整网采用星型架构，根据网络扁平化设计思路，整个网络包括核心路由区、用户接入区、行政中心外单位网络区、各云区、数据中心接入区、互联网出口接入区、安全管理区。主要节点采用两台高性能设备虚拟化成一台逻辑设备与电子政务外网互联。

2.2 出口安全层面

我国非常重视互联网安全，尤其是针对IP 地址的安全体系和措施，光是IPv4 的备案系统就有三套。一旦从IPv4 更换为IPv6，那么整体的架构和产品都要重新设计。[1]互联网出口采用两台高性能负载均衡防火墙路由部署实现整体安全防护和高可靠性。下一代防火墙核心产品兼具入侵防御，APT 检测，网站防篡改等应用层功能，实现对电子政务外网的整体防护。互联网出口网桥部署上网行为管理设备，实现对政务外网用户的上网管理与审计，以满足《网络安全法》日志审计保留6个月的要求。边界区域配置下一代防火墙，实现区域边界隔离与防护。

2.3 IP分布情况

目前，政务外网内存在三类地址，第一类是公网地址，其作为资源共享区和互联网区的服务器地址；第二类是10网段地址，其作为电子政务外网的私网地址使用，在电子政务外网内统一规划；第三类是各接入部门内部的局域网地址，一般由各部门自行规划，或根据纵向业务接入要求进行规划。

2.4 IPV6过渡规划

解决IPv6 终端用户能使用IPv4 业务应用的问题是推动IPv6用户发展、激活IPv6产业链的关键。因为IPv4 网络及应用在相当长的时间内仍是主流，尽管用户对采用IPv4还是IPv6接入网络并不关心，但在IPv6发展的初期，必须确保用户能够访问目前主流的IPv4互联网应用，进而保证IPv6 宽带接入网络得以健康发展。

为解决IPv6 的平稳和平滑过渡，业界当前有三种主流的关键过渡技术：双栈、隧道和转换技术。实际组网中，往往是多种技术方案组合部署，应对多种应用场景。请根据具体的应用场景灵活选择相应的技术。

3 IPv4/IPv电子政务网的实现

现有网络大致可分为骨干网络区和行政中心网络区，两个区域功能交叉重叠，用户和数据中心无法有效隔离，不利于精细化管理和控制。希望能够将核心区、数据中心区（含电子政务云）、用户接入区等进行清晰划分，区域之间实现安全隔离，整网根据电子政务网络技术规范进行设计，由于用户数量难以精确统计，故经过横向比较，参考经验数据，预测未来几年接入市政务外网的总用户数大致会达到10000。同时由于部门业务专网的整合和业务系统的上云用户的业务流量也会逐步从原有的部门专网和局域网上移至市电子政务外网，网络业务的类型也会更为丰富。因此，必须要有高效稳定的网络平台作为基础保障。核心骨干网络应当支持万兆以上带宽，政务云等数据中心支持万兆以上接入，并且可以根据业务需要进行适当扩展，整网要具备流控功能，确保关键业务的优先带宽保障等等,同时网络的可靠性、自愈能力也需要进一步增强。

3.1 双栈技术的应用

由于现有的网络有大量的IPv4 设备，在升级的过程中，很容易出现业务中断。而双栈技术可以低成本的解决中断的问题。“合理的网络规划，比如采用双栈同时支持IPv4 和IPv6 访问，或者使用NAT64 临时转换等，这样业务中断的时间完全可控。”[2]双栈定义在RFC4213 中，是指允许在终端设备和网络节点上同时安装IPv4和IPv6协议栈，实现与不同协议节点间的信息交流。这是一种有效的IPv4向IPv6过渡技术，为其他过渡技术提供基础。网络节点支持IPv4 和IPv6 协议栈，根据需要选择不同协议栈进行通信，设备根据报文协议类型进行处理和转发。

3.2 隧道技术的应用

隧道技术将一种协议封装到另一种协议中，用于连接孤立的IPv6 网络或IPv4 岛屿。边界节点实现双栈，通过隧道在不同地址族之间传输数据。IPv6 报文封装在IPv4 报文中，通过现有IPv4 网络连接到目标IPv6网络，然后解封装，恢复原始IPv6报文进行转发。

3.3 MPLS6PE/6vPE技术的应用

现有骨干IPv4MPLS网络改造升级支持IPv6的接入和承载，同时可以提供IPv6VPN 业务。骨干网PE设备开启双栈，支持IPv6 静态、动态路由，运行MPBGP，LDP，6PE 或6vPE。新增IPv6RR，或升级原IPv4RR，以避免MP-BGP邻居间的全连接。原有骨干IPv4MPLS 网络不需进行大规模的网络改造升级即可支持IPv6的接入和承载，同时可以提供IPv6VPN 业务且不影响原有IPv4VPN业务。

3.4 互联网出口IPV6升级

关于互联网接入区改造，面向公众服务应用提供IPv6 访问，目前已有技术路线主要有如下三种：一是互联网接入区新建IPv6 单栈，二是IVI 技术实现Ipv6和Ipv4互访，三是NAT64方案。

由于IPv4和IPv6协议互不兼容，导致向IPv6演进的过程中，产生了很多网络和应用的迁移过渡技术，需要确保IPv4 协议用户和IPv6 协议用户均能够访问并获取服务。应对当前市电子政务网IPv6 升级改的实际情况，确定采纳应用以下三种技术。

⑴互联网出口新建IPv6单栈应用

新建单栈IPv6 互联网接入区，DMZ 区部署双栈，IPv4 和IPv6 用户分别使用不同的区域接入。新建IPv6 互联网接入区和DMZ 区，新建包括AntiDDos、出口路由器、LB、FW、IPS/IDS、WAF，日志系统等，并进行IPv6 相关配置，部署ipv6 业务系统（IPv6 门户网站、DNSv6、WEB、APP等）。新增IPv6接入线路，对接ISP的IPv6 互联网，支持IPv6 接入；在DNS 服务器上添加AAAA 记录，并对外发布。IPv4 终端通过原有IPv4 互联网接入区访问IPv4 业务系统，访问流程不变；IPv6终端通过新建IPv6互联网接入区访问IPv6业务系统。

⑵IVI技术实现Ipv6和Ipv4互访应用

“IVI 是将IPv4 地址嵌入到IPv6 地址形成一个具有specfic-prefix 的IPv6 地址，这个地址配置在IPv6 网络的用户或者服务器上，此IPv6 用户或者服务器可以直接访问IPv6 域用户和业务，也可以通过XLAT 设备访问IPv4 域的用户和业务。”[3]同时，IPv4 网络的用户和业务可以直接访问这个内嵌的IPv4 地址，通过XLAT 设备后转换为IPv6 报文访问到实际的用户和服务器。

⑶NAT64应用方案

在IPv6 网络的发展过程中，面临最大的问题应该是IPv6与IPv4的不兼容性，因此无法实现二种不兼容网络之间的互访。为了实现IPv6与IPv4的互访，IETF（互联网工程任务组）在早期设计了NAT-PT 的解决方案：RFC2766，NAT-PT 通过IPv6 与IPv4 的网络地址与协议转换，实现了IPv6网络与IPv4网络的双向互访。但NAT-PT 在实际网络应用中面临各种缺陷，IETF推荐不再使用，因此已被RFC4966所废除。为了解决NAT-PT 中的各种缺陷，同时实现IPv6与IPv4之间的网络地址与协议转换技术，IETF（互联网工程任务组）重新设计一项新的解决方案：NAT64 与DNS64技术。

由于当前主流在线业务基本上为IPV4业务，为应对新技术发展需求，需要部分升级到IPV6，为互联网或者广域网上的部分ipv6 用户提供服务；在保护用户投资的同时，以最小代价完成IPV4 业务升级到IPV6。将原有的IPV4 业务和新建IPV6 业务组合在一起统一对外提供IPV6业务对于这种情况当外网访问时，要能对用户灵活提供IPV4或者ipv6服务；因此在网络出口部署ipv4/ipv6 双栈、翻译、代理技术的技术，实现Ipv6与Ipv4的用户对网站的无缝升级访问。

4 结束语

总之，在总体构建和关键设备上考虑对IPv6 和IPv4 两种协议的兼容，支持双栈，保证整个网络今后能够顺利平滑升级至IPv6 阶段。做到已有投资设备可使用的同时，不需要大规模的网络改造升级。核心设备支持双栈，边缘采用6PE/6VPE 的方式，可支持IPv6 的接入和承载，同时提供IPv6VPN 业务。在经济上和工程实施上，较为节省和敏捷，无须大规模的网络改造升级，适用于大多数电子政务网分步式改造。