当前位置:首页 > 电子政务

电子政务云平台IPv6改造研究

来源:   时间:

摘要:《推进互联网协议第六版(IPv6)规模部署行动计划》要求分阶段推进互联网应用和网络基础设施IPv6改造工作。当前国内多个省级、市级电子政务系统已部署在政务云平台上,且均按照IPv4设计、建设。笔者主要研究基于云平台的电子政务网络由IPv4向IPv6升级改造的思路及实施方案,旨在为电子政务云平台的网络升级提供参考。

0 引言

根据《推进互联网协议第六版(IPv6)规模部署行动计划》要求,政务云平台IPv6升级部署主要可分成两个阶段。

第1阶段,开展政务云互联网区IPv6升级部署,以支持互联网应用升级,政府网站、新闻及广播电视媒体网站IPv6改造,工业互联网IPv6应用等上云业务的IPv6服务。采取“IPv4网站加挂转换设备”的技术策略,快速实现网站支持IPv6,对外同时发布IPv4+IPv6双通道业务,内网服务器逐步进行由IPv4向IPv4与IPv6共存,再至IPv6阶段改造,实现用户端透明、业务内网改动小、用户可保持原有架构不变、IPv6业务无缝切换改造的目标。

第2阶段,开展政务云政务外网区IPv6全面升级部署,全面支持电子政务系统等IPv6服务。需全面考虑IPv6基础设施建设和普及进度,区别不同用户和不同业务开展IPv6升级部署,并调研各应用系统的系统架构、组件等对IPv6的支持和部署要求。全面考虑ISP运营商对IPv6互联网的接入方案,是否具备过渡期各种业务类型和客户端对IPv4和IPv6并存的接入、转换、合成等成熟解决方案。受限于IPv4网络的普及面和使用习惯,IPv4和IPv6网络将长期共存,因此产生了过渡期间适用不同场景的过渡技术。

1 过渡技术

IPv4向IPv6过渡技术主要包括双栈、隧道、翻译转换技术等3种。

1.1 双栈

双栈就是主机或者网络设备同时支持IPv4及IPv6双协议栈,如果节点支持双栈,那么它能够同时使用IPv4和IPv6的协议栈、同时处理IPv4及IPv6的数据。源节点根据目的节点的不同选用不同的协议栈,而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。

1.2 隧道

隧道是一种封装技术,它利用一种网络传输协议,将其他协议产生的数据报文封装在自身的报文中,然后在网络中传输。一个隧道提供了一条使封装的数据报文能够传输的通路,在隧道的两端可以分别对数据报文进行封装及解封装。隧道技术是IPv4向IPv6过渡的一个重要手段。IPv6与IPv4存在不兼容性,而大量替换IPv4设备所需成本巨大,且会导致运行的业务中断。在过渡初期,IPv4网络已经大量部署,而IPv6网络只是散落的“孤岛”,通过隧道技术,使IPv6报文在IPv4网络中传输,实现IPv6网络之间的孤岛互连。

1.3 NAT64和IVI

NAT64是一种有状态的网络地址与协议转换技术,通常支持通过IPv6网络侧用户发起连接访问IPv4侧网络资源。NAT64支持通过手工配置静态映射关系,实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。DNS64主要配合NAT64工作,将DNS查询信息中的A记录(IPv4地址)合成到AAAA记录(IPv6地址)中,返回合成的AAAA记录用户给IPv6侧用户。

IVI是基于运营商路由前缀的无状态地址映射的IPv4/IPv6翻译技术,翻译必须可反向唯一还原。从IPv4地址空间中,取出一部分地址映射到IPv6地址空间,这部分地址不能分配给实际的主机使用。IVI的地址映射规则是在IPv6地址中插入IPv4地址。地址的0~31位为ISP 32位的IPv6前缀,32~39位设置为FF,表示这是一个IVI映射地址;40~71位表示插入的全局IPv4空间的地址格式,如IPv4/24映射为IPv6/64,而IPv4/32映射为IPv6/72。

2 IPv6改造方案

2.1 现有政务云平台架构

当前各省级、市级政务云平台分为互联网区和政务外网区,其中互联网区为多家委办厅局提供互联网对外发布服务,政务外网区主要运行行政及事业单位的内部业务系统,通过专线与国家信息中心连接。出于安全考虑,政务外网区和互联网区之间部署安全隔离网闸,互联网区服务器通过万兆网闸数据摆渡的方式和政务外网进行数据传输。政务云平台架构拓扑图如图1所示。

图1 政务云平台架构拓扑图

2.2 改造思路

2.2.1业务群拆分

遵循最大限度利旧原则,结合政务云平台设备投入以及IPv6推广使用的阶段需求,采用双栈部署的方式,对前端业务主机启用双栈协议部署,统一规划IPv6地址,逐步将政务云平台相应业务系统拆分为两个应用集群:IPv4应用集群、IPv6应用集群。

(1)过渡阶段访问规则

1)IPv4客户端通过IPv4的线路访问IPv4的业务系统集群。2)IPv6客户端使用IPv6的线路访问IPv6的业务集群。3)IPv4客户端通过IPv4的线路需要访问IPv6业务时,通过负载均衡完成IPv4至IPv6的NAT地址转换。4)IPv6的客户端通过IPv6线路访问IPv4业务系统需通过负载均衡完成IPv6至IPv4的NAT地址转换。

(2)业务系统启用双栈规则

1)对于BS架构系统,采用WEB-APP-DB架构部署,先对WEB服务器启用IPv6双栈部署,APP和DB服务器根据对IPv6的支持情况启用双栈。2)对于CS架构的业务系统,根据客户端升级需要,客户端为IPv4的,服务器端保持IPv4集群部署;客户端为IPv6的,启用双栈IPv6协议。3)对于互联网和政务外网的横向互访,首先完成互联网区业务虚机的双栈部署,政务外网虚机保留使用纯IPv4部署,根据政务外网的IPv6升级进度,启用双栈部署。4)根据容灾业务集群不同,IPv4业务集群容灾和IPv6业务集群容灾。5)根据业务需要,内部其他横向访问流量对源主机和目的主机启用双栈协议部署,内部主干网络启用双栈核心网络,接入层支持IPv4和IPv6的2层转发。6)根据流量分析设备的支持情况,镜像流量对分析设备进行升级和替换。

2.2.2全面替代

经过过渡阶段的适配和技术发展、IPv6全网应用普及,逐步取消全网双栈IPv4协议的应用,实现纯IPv6的政务云平台、全运营商IPv6支持、纯IPv6客户端。

2.3 政务云平台改造

2.3.1 IPv6流量模型

1)外部IPv4/IPv6客户端访问云平台IPv6业务Web服务器端,Web端访问本地后端或远端政务外网区的后端流量。2)内部IPv6服务器端上网主动访问ISP互联网IPv6/IPv4端地址流量。3)内部业务主机之间的互访IPv6流量,包括跨网闸和本地不跨网闸流量。4)业务主机的数据容灾备份、审计、监控、日志分析等IPv6流量。

2.3.2 IPv6路由节点配置

云平台内部IPv6升级,首先接入IPv6运营商线路进行业务互联网IPv6发布,需解决不同类型客户端对IPv6主机的访问可达性。云平台内部IPv6升级需兼容横向的业务互访,尤其是互联网和政务外网的业务访问、业务系统间互访、容灾备份数据和镜像管理数据的支持。在IPv6技术尚未大规模普及应用时,为了兼容IPv4和IPv6的客户端对应用的访问和互联网请求,需要针对不同业务场景采用适当的过度技术,来支持不同协议类型的通信和不同类型的访问请求。

(1)互联网区的过度技术

1)负载均衡设备配置IPv4和IPv6业务发布与双栈路由转发、NAT64转换。2)防火墙配置双栈路由转发以及双栈访问控制策略。3)核心交换机作为双栈网络核心,配置双栈路由分发。4)双栈主机启用网卡的双栈地址和网关配置,根据业务请求地址选择IPv4或IPv6协议转发。5)在对应双栈路由节点增加IPv6静态路由,全局负载均衡配置到运营商的缺省::0/0路由。6)综合网关上行增加缺省::0/0路由指向负载均衡IPV6邻居接口,下行配置业务IPv6前缀明细路由。7)核心交换机按照租户VPC实例上行增加缺省::0/0路由指向负载均衡IPV6邻居接口,下行按照租户VPC配置业务IPv6前缀明细路由。8)核心交换机业务VLAN接口作为租户业务网关。9)核心交换机和网闸配置直连,网闸需配置::/0路由。10)互联网区内部IPv6主机访问IPv4主机,使用双栈IPv4接口与IPv4主机互访。

(2)政务外网区的过度技术

1)综合安全网关负责IPv4和IPv6业务发布与双栈路由转发、NAT64转换、访问控制策略。2)核心交换机负责作为双栈网络核心,负责双栈路由分发。3)双栈主机启用网卡的双栈IP地址和网关配置,根据业务请求地址选择IPv4或IPv6协议转发。

4)在对应双栈路由节点增加IPv6静态路由,综合网关配置到运营商的缺省::0/0路由,下行按照租户VPC配置业务IPv6前缀明细路由。5)核心交换机按照租户VPC实例上行增加缺省::0/0路由指向综合网关IPv6邻居接口,核心交换机业务VLAN接口作为租户业务网关。6)核心交换机和网闸配置直连,网闸需配置::/0路由。7)政务外网区内部IPv6主机访问IPv4主机,使用双栈IPv4接口与IPv4主机互访。

2.4 IPv6的部署

(1)升级运营商线路及网关。升级运营商IPv6线路及运营商域名系统以支持DNS64合成,同时支持外部IPv6主机访问云平台IPv6业务,内部IPv6访问外部IPv6主机。

(2)升级设备。多数云平台出口网络安全设备、网关路由节点、容灾备份系统等均支持IPv6,安全网关支持NAT64地址转换等,若现版本的运维管理、审计、监控、日志分析系统等安全管理类设备未支持IPv6,需升级至支持IPv6的版本。

(3)调试相关应用。传统业务系统架构主要包含BS、CS架构,政务云平台业务系统主要以BS架构为主,对于一些较老旧版本的数据库可能对IPv6的数据包不能识别,在启用对应主机IPv6协议栈前,应调研测试。

(4)IPv6地址规划。IPv6由两部分(网络部分和主机部分)组成,其中全局前缀64位(包含子网16位),接口ID 64位。因业务主机IP地址较为固定,云平台IPv6地址采用静态分配,手动配置,使用的IPv6地址可根据当地运营商统一分配全局单播地址,无需地址转换可全局路由,初期可使用IPv4 to IPv6、IPv6 to IPv4的NAT适配IPv6互联网线路的接入。对于使用DHCPv6服务器的云平台可使用由状态地址方式分配获取主机地址。

3 结语

政务云平台IPv6部署工作需要结合业务实际情况,梳理业务系统对IPv6的支持情况,然后针对不同的业务分阶段启用IPv6。目前过渡方案采用全网核心网络和主机启用双栈路由协议,投入小且部署灵活。经研究,该方案满足国办《推进互联网协议第六版(IPv6)规模部署行动计划》的建设要求,适用于各省、市级电子政务云平台的IPv6改造。


作者:上海理工大学 戴振华 丁绪武

来源:《经济研究导刊》2019年第22期



【字体: 】【打印】 【关闭
【相关报道】

版权所有、主办:民政部信息中心

地址:北京市东城区北河沿大街147号 邮编:100721 总机:(010)58123114

ICP备案编号:京ICP备13012430号


精准民政