企業IPv6升級解決方案
企業IPv6升級解決方案
中國聯通研究院
網絡改造技術篇/前沿技術/其他
1 概述
2018年3月12日,國資委印發了《關于做好互聯網協議第六版(IPv6)部署應用有關工作的通知》,要求央企在18年完成門戶網站和面向用戶的在線服務窗口的IPv6改造。2018年5月3日,工信部發布《推進互聯網協議第六版(IPv6)規模部署行動計劃》通知,鼓勵典型行業、重點工業企業開展工業互聯網IPv6網絡化改造,創新工業互聯網應用實踐,構建工業互聯網IPv6標準體系。為響應國家IPv6發展,企業開展基于IPv6的創新業務,對網絡接入、內部網絡及系統提出新的需求。企業IPv6升級解決方案根據企業內部現有網絡及系統情況,提供從內部網絡IPv6升級改造技術路線到企業系統的IPv6規劃、升級和部署相關解決方案,以滿足企業開展IPv6業務,適用于工業互聯網網絡體系中工廠控制系統和工業云平臺部分。
1.1 背景
2017年11月26日中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,明確了推進IPv6部署的重要意義,提出了部署的總體要求和主要目標,要用5到10年時間,形成下一代互聯網自主技術體系和產業生態,建成全球最大規模的IPv6商業應用網絡,實現下一代互聯在經濟社會各領域深度融合應用。為貫徹落實中共中央辦公廳、國務院辦公廳印發的《推進互聯網協議第六版(IPv6)規模部署行動計劃》,加快網絡基礎設施和應用基礎設施升級步伐,促進下一代互聯網與經濟社會各領域的融合創新,工信部發布關于貫徹落實《推進互聯網協議第六版(IPv6)規模部署行動計劃》通知,積極推進內部網絡和應用IPv6改造,加快推進企業生產管理信息系統等內部網絡和應用的IPv6改造,加強IPv6環境下移動互聯網、物聯網、工業互聯網、云計算、大數據、人工智能等研究與應用,強化IPv6環境下網絡安全保障等。物聯網、移動互聯網、云計算等新興產業的發展都需要海量的IP地址作為支撐,IP地址不足已經嚴重制約著這些處于全球競爭前沿、具有最廣闊前景的新興產業發展。隨著物聯網、移動互聯網、云計算等業務不斷發展壯大,運營商不停地擴大網絡規模,這也使IPv4地址枯竭的速度更快了,分配殆盡的IPv4地址已經成為制約我國物聯網、移動互聯網、云計算發展的瓶頸。
1.2 實施目標
基于互聯網協議第四版(IPv4)的全球互聯網面臨網絡地址消耗殆盡、服務質量難以保證等制約性問題,IPv6能夠提供充足的網絡地址和廣闊的創新空間,是全球公認的下一代互聯網商業應用解決方案。大力發展基于IPv6的下一代互聯網,有助于顯著提升我國互聯網的承載能力和服務水平,更好融入國際互聯網,共享全球發展成果,有力支撐經濟社會發展,贏得未來發展主動。
推進IPv6規模部署是互聯網技術產業生態的一次全面升級,深刻影響著網絡信息技術、產業、應用的創新和變革。大力發展基于IPv6的下一代互聯網,有助于提升我國網絡信息技術自主創新能力和產業高端發展水平,高效支撐移動互聯網、物聯網、工業互聯網、云計算、大數據、人工智能等新興領域快速發展,不斷催生新技術新業態,促進網絡應用進一步繁榮,打造先進開放的下一代互聯網技術產業生態。
1.3 適用范圍
企業IPv6升級解決方案針對企業內部現有網絡及系統情況,提供從內部網絡IPv6升級改造技術路線到企業系統的IPv6規劃、升級和部署相關解決方案,以滿足企業開展IPv6業務,適用于工業互聯網網絡體系中工廠控制系統和工業云平臺IPv6升級演進,可應用到企業智能網絡IPv6組網、智能機器升級、工廠云平臺IPv6改造升級以及工業互聯網應用IPv6業務等。
1.4 在工業互聯網網絡體系架構中的位置
企業IPv6升級解決方案針對工廠控制系統,工業云平臺IPv6的升級,提供相應的改造方案。在智能機器中,物品應具有4個特性:可識別性、可感知性、可定位性以及可控制性。這四個特性使得物聯網對地址資源具有以下的特殊需求:工業互聯網需要地址資源支持海量性,因為工業互聯網中存在著海量的物品,這些物品的數量將以萬億計,而任意的物品之間均可能需要互聯,互聯時需要網絡地址用于定位,這些地址也將可能以萬億計;聯網需要地址資源支持安全性,物聯網將比互聯網具有更高的安全需求。 在工業云體系架構中,隨著虛擬化技術的發展,一臺物理主機上能夠運行多個虛擬主機,導致云計算所需的IP地址數量成比例增長,亟需海量的IPv6地址資源。利用主機虛擬化技術,能夠在一臺物理主機上運行多個虛擬主機,并且各個虛擬主機之間相互獨立、互不影響,用戶可以在虛擬主機上靈活的安裝任何軟件。通過在流量進出口的匯聚節點上部署IPv6/IPv4轉換網關,可以面向IPv6用戶,實現IPv6與IPv4協議轉換。但在云化數據中心中,網絡結構從匯聚變為扁平,流量的進出口數量不再唯一,需要在數據中心所有的流量進出口上都配備IPv6/IPv4轉換網關,這樣使得網絡改造起來較為復雜。另外,轉換網關需要維護處理數據中心內外所有業務的IPv6與IPv4協議轉換,對其處理性能也提出了更高的要求。
圖1 工業互聯網互聯示意圖
2 需求分析
根據工信部關于落實貫徹《推進互聯網協議第六版(IPv6)規模部署行動計劃》通知,要求發展工業互聯網IPv6應用,選擇典型行業、重點企業開展工廠企業網絡改造,創新工業互聯網應用,構建工業互聯網IPv6標準體系。在智能機器中,工業互聯網需要地址資源支持海量性;在工業云體系架構中,隨著虛擬化技術的發展,一臺物理主機上能夠運行多個虛擬主機,導致云計算所需的IP地址數量成比例增長,亟需海量的IPv6地址資源。2018年3月12日,國資委印發《關于做好互聯網協議第六版(IPv6)部署應用有關工作的通知》,要求央企在18年完成門戶網站和面向用戶的在線服務窗口的IPv6改造。
IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題,并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經提出了許多機制,它們的實現原理和應用環境各有側重。目前,應用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。
3 解決方案
互聯網是關系國民經濟和社會發展的重要基礎設施,深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家,在技術研發、網絡建設、應用創新方面取得了重要階段性成果,已具備大規模部署的基礎和條件。抓住全球網絡信息技術加速創新變革、信息基礎設施快速演進升級的歷史機遇,加強統籌謀劃,加快推進IPv6規模部署,構建高速率、廣普及、全覆蓋、智能化的下一代互聯網,是加快網絡強國建設、加速國家信息化進程、助力經濟社會發展、贏得未來國際競爭新優勢的緊迫要求。工業互聯網作為新一代信息技術與實體經濟深度融合的制高點,以及制造業轉型升級的主攻方向,成為IPv6網絡化改造的重點應用場景。
3.1 方案介紹
近年來,全球IPv6產業鏈條發展穩步推進。在網絡上設備方面,已經覆蓋了IPv4產品的所有類型,包括數據網、固網、移動交換網、移動核心網及安全等,能夠滿足網絡端到端的部署需求;在應用軟件方面,包括操作系統、Web引擎、數據庫、瀏覽器等通用軟件均支持IPv6。根據工業互聯網智能工程系統架構情況,設計相應的IPv6升級方案,可根據實際情況通過全面技術升級,將涉及到的業務各類應用系統和設備升級成支持IPv4和IPv6雙協議棧,完成基于IPv4和IPv6協議的業務互通;或通過技術改造,在IPv6協議和IPv4協議間建立映射聯系,滿足IPv6用戶能夠正確的獲取IPv4資源。
3.2 IPv6升級技術
IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題,并提供了一些特性使過渡過程簡化。針對IPv4到IPv6過渡問題已經提出了許多機制,它們的實現原理和應用環境各有側重。目前,應用比較廣泛的過渡策略主要包括雙棧策略、隧道策略以及翻譯策略。
雙棧策略是指在網絡節點中同時具有IPv4和IPv6兩個協議棧,這樣,它既可以接收、處理、收發IPv4的分組,也可以接收、處理、收發IPv6的分組。雙棧策略的優點是概念清晰,易于理解,網絡規劃相對簡單,同時在IPv6邏輯網絡中可以充分發揮IPv6協議的所有優點(如安全性、路由約束、流的支持等方面)。
隧道策略是IPv6升級中經常使用到的一種過渡機制。所謂“隧道”簡單地講就是利用一種協議來傳輸另一種協議的數據的技術。隧道技術主要實現了在IPv4數據包中封裝IPv6數據包,隨著IPv6技術的發展和廣泛應用,未來也將會出現在IPv4數據包中封裝IPv6數據包的隧道技術。隧道技術能夠充分利用現有的網絡投資,因此在過渡初期是一種方便的選擇。但是,在隧道的入口處會出現負載協議數據包的拆分,在隧道出口處會出現負載協議數據包的重組。這就增加了隧道出入口的實現復雜度,不利于大規模的應用。
翻譯策略可以分為兩個層面來進行,一方面是IPv4與IPv6協議層的翻譯,另一方面是IPv4應用與IPv6應用之間的翻譯。前者主要是通過NAT-PT技術實現的,后者則主要通過應用代理網關ALG來實現。NAT-PT實現了網絡層的協議翻譯;應用代理網關則實現應用層的協議翻譯,對于不同的應用,需要配置不同的應用代理網關。翻譯技術的優點是不需要進行IPv4、IPv6節點的升級改造,缺點是IPv4節點訪問IPv6節點的實現方法比較復雜,網絡設備進行協議轉換、地址轉換的處理開銷較大。因此,該策略一般是在其他互通方式無法使用的情況下使用。
3.3 企業IPv6演進
在IPv4向IPv6的演進過程中,為保證業務平臺的平滑、穩定演進,可以采用三種方案:第一種是互通網關方案,保持業務平臺現有結構不變,通過分別在IPv4和IPv6的網絡邊界部署網關設備,利用IPv4/IPv6翻譯技術接入IPv6用戶;第二種是IPv4和IPv6應用并存方案,業務平臺中IPv4和IPv6應用并存,使得平臺具備同時支持IPv4和IPv6的功能;第三種是全面升級方案,完成全業務平臺以及周邊系統IPv6升級,同時要求在IPv4網絡停止運營前,基于IPv4的業務平臺需要繼續支持IPv4用戶。
3.3.1 互通網關方案
保持平臺現有結構不變,通過協議轉換機制(NAT-PT/ALGA)支持IPv6用戶的接入。如下圖所示,通過在IPv4/IPv6網絡邊界部署網關設備,當IPv6終端用戶從IPv6網絡接入,與互通網關建立隧道后,可以使用IPv4網絡中的應用,類似的,當IPv4終端用戶從IPv4網絡接入,與互通網關建立隧道后,可以使用IPv6網絡中的應用。
圖2 基于翻譯技術的IPv6過渡方案
3.3.2 IPv4和IPv6應用并存方案
將業務平臺升級到IPv6后,IPv4和IPv6應用將并存。如下圖所示,將IPv4業務平臺的部分應用升級到IPv6,包括對外門戶和接口、核心業務邏輯,同時為了兼容IPv4用戶以及其它相關系統,保留原有IPv4業務平臺的對外門戶和接口暫時不變,核心業務交由IPv6核心業務邏輯處理。升級完成后,IPv4對外門戶和接口為IPv4用戶提供服務,IPv6對外門戶和接口為IPv6用戶提供服務,核心業務邏輯升級成IPv6實現共用。
圖3 IPv4和IPv6應用并存的IPv6過渡方案
業務平臺中IPv4和IPv6應用并存,同時支持IPv4和IPv6用戶的接入。
3.3.3 全面升級方案
一些企業需要滿足國家政策性要求或者自身發展需求,需要大量IP地址,對IPv6網絡改造有迫切需求,需要全面升級到IPv6網絡和服務,完成所有業務平臺和SP應用平臺的IPv6升級改造建設,包括數據中心的所有設備、網絡設備、終端系統和應用系統等全面支持IPv6,同時要求在IPv4網絡停止運營前, 基于IPv4的業務平臺需要繼續支持IPv4用戶。
3.3.4 方案對比
圖4 方案優劣對比
互通網關方案業務平臺工作量小,無風險,投入小,能快速實施,比較適合IPv6試商用階段;IPv4和IPv6應用并存方案改造部分業務平臺,為全面實現IPv6打下基礎,工作量中等,風險小,投入中等,比較適合IPv6規模商用階段;全面升級方案工作量大,風險大,投入大,只有在IPv6全面商用階段才會出現。
4 成功案例
4.1 案例一 國家電網IPv6升級方案
根據國家電網309家國電系統單位分區域整合互聯網出口,增強互聯網訪問的安全性,消除各分公司、子公司互聯網出口帶來的安全薄弱點;通過對互聯網出口整合,實現用戶上網流量統一管理、統一控制,合理、有效、按需分配帶寬,避免帶寬濫用、資源浪費,提升網絡質量;通過對互聯網出口整合,實現安全事件統一管理,做到事前預防、事中控制、事后追查,避免安全事件重復發生;并對國家電網100多個系統進行調研,根據系統架構及中間件情況,根據國家電網內部系統的架構有針對性的進行IPv6升級方案,考慮到國家電網系統比較復雜,為保證國家電網能完成平滑演進,采取了分步融合方案。具備改造條件的系統采用IPv4和IPv6應用方案,采用邊界升級方案,通過企業邊界的防火墻等設備實現NAT64等地址轉換,以最低成本實現IPv6的服務訴求。僅需要改造企業邊界的防火墻、路由器/交換機、日志審計等必要設備即可,通過邊界防火墻實現IPv6到IPv4的NAT64報文轉換,使得進入企業內部的流量全部轉換成IPv4流量,企業內部的入侵檢測、WAF、網絡設備、服務器和終端等設備都不需要改造。對于個別雙棧終端需要訪問外部的IPv6資源時,可以通過ISATAP隧道技術實現雙棧終端穿越IPv4網絡,實現IPv6資源的訪問需求。
圖5 國家電網IPv6改造方案
4.2 案例二 中國聯通企業官網IPv6升級方案
為了滿足工信部對央企網站IPv6改造的需求,為用戶提供IPv6業務,對該企業內部系統進行調研,根據系統情況,針對不同系統設計相應的IPv6升級方案,并對自己的官網提出了相應的IPV6升級改造要求,并采用互通網關方案。改造的重點在路由、網絡結構和協議轉換等方面。
圖6 聯通企業官網改造方案
路由需要的路徑改造:流量從公網進入資源池核心交換機之后通過靜態路由到安全等保設備,由于安全等保設備不支持IPv6,于是需要通過添加靜態路由的方式,把流量引導到直接進入負載均衡上去。在路徑改造之后,為了保證網絡安全,在現有網絡結構上,添加一對防火墻來實現IPv4與IPv6的轉換,位置旁掛于資源池核心交換機或集團門戶匯聚交換機,此方案路由走向需要重新指定,并于防火墻上完成配置。
客戶端以IPv6地址訪問負載均衡(或防火墻)設備的虛地址(IPv6類型),在負載均衡(或防火墻)設備上做源地址轉換,源地址轉換為SNAT地址池中的IPv4地址后再訪問后端應用服務器。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號