楊帥

摘要：本文簡要分析了IPv6對數(shù)字化建設的驅(qū)動，以銀行業(yè)互聯(lián)網(wǎng)業(yè)務為例，提出從IPv4到IPv6演進的三種方案并做分析研究。

[關(guān)鍵詞]NATIPv6IPv4

1IPv6對數(shù)字化建設的驅(qū)動

1.1增強互聯(lián)網(wǎng)服務能力

IPv4面臨地址嚴重匱乏、服務質(zhì)量難以保障等制約互聯(lián)網(wǎng)持續(xù)發(fā)展的問題，成為構(gòu)建數(shù)字化基礎設施的短板，IPv6能夠提供充足的地址空間，是下一代互聯(lián)網(wǎng)的基礎協(xié)議，能夠提供更強大的互聯(lián)網(wǎng)服務能力。同時，IPv6簡單的報文頭部，層次化的編址，大大提高了路由效率，降低了對于設備的要求。

1.2促進數(shù)字應用創(chuàng)新

IPv6能夠提供更廣泛的互聯(lián)網(wǎng)和物聯(lián)網(wǎng)連接，支持移動特性，實現(xiàn)萬物互聯(lián)，打造數(shù)字化基礎設施，促進物聯(lián)網(wǎng)、AI等新領(lǐng)域的創(chuàng)新。

1.3提升網(wǎng)絡安全能力

支持端到端的安全防護（IPv6協(xié)議定義中包含IPsec標準），同時，IPv6為解決網(wǎng)絡安全問題提供了新平臺和新思路（真實源地址認證技術(shù)、根域名服務器等），不斷完善的網(wǎng)絡安全保障體系，將為數(shù)字化應用提供更安全可信的網(wǎng)絡空間環(huán)境。

2銀行業(yè)互聯(lián)網(wǎng)業(yè)務后臺網(wǎng)絡架構(gòu)現(xiàn)狀分析

如圖1所示，銀行業(yè)網(wǎng)絡架構(gòu)對針對互聯(lián)網(wǎng)業(yè)務可抽象為幾個區(qū)域：Internet接入?yún)^(qū)、DMZ區(qū)、核心交換區(qū)、對外生產(chǎn)區(qū)及其他區(qū)域。

Internet接入?yún)^(qū)：作為網(wǎng)絡邊界連接企業(yè)與Internet，部署多個路由器與運營商用戶端設備相連，實現(xiàn)內(nèi)外通信，面向公眾提供服務。

DMZ區(qū)：與其他兩個區(qū)域通過防火墻隔離，實現(xiàn)對外提供服務的安全性。內(nèi)部部署交換機、負載均衡設備（F5）、應用服務器集群、Web服務器集群，所有站點部署DNS承擔域名解析。

核心交換區(qū)：實現(xiàn)對外生產(chǎn)區(qū)、工作區(qū)、安全區(qū)、開發(fā)測試區(qū)的隔離，并提供高速轉(zhuǎn)發(fā)功能。

對外生產(chǎn)區(qū)：主要提供門戶、網(wǎng)銀等業(yè)務的應用處理，部署數(shù)據(jù)庫服務器、核心賬務系統(tǒng)等。

其他區(qū)域（工作區(qū)、安全區(qū)、開發(fā)測試區(qū)）;主要用于企業(yè)內(nèi)部辦公、安全設備管理、軟件開發(fā)測試等。

用戶訪問銀行Web網(wǎng)站并進行網(wǎng)銀等業(yè)務操作可以分為前端和后端兩個部分。前端：從Internet接入?yún)^(qū)到DMZ區(qū)中Web服務器部分。用戶通過國際互聯(lián)網(wǎng)訪問Web服務器，用戶HTTPS連接和Session在Web層終結(jié)。后端：Web服務器與對外生產(chǎn)區(qū)中的各應用服務器建立連接，進行相關(guān)應用和數(shù)據(jù)訪問。3IPv6改造方案

由于銀行機構(gòu)承載著重要的社會服務職能，本著安全穩(wěn)定的原則，應遵循兩個不變：總體架構(gòu)不變、訪問流程不變。具體的改造設計三個主要方面：DNS改造、網(wǎng)絡/安全改造、網(wǎng)站應用改造。

3.1方案一：新建IPv6DMZ區(qū)

前端的Internet接入?yún)^(qū)和DMZ區(qū)通過IPv6對外提供Web服務，通過IPv4和對外生產(chǎn)區(qū)數(shù)據(jù)拉通。改造后，網(wǎng)絡架構(gòu)如圖2所示。

新增IPv6Internet接入?yún)^(qū)：接入各運營商IPv6互聯(lián)網(wǎng)線路。

新增IPv6DMZ區(qū)：DMZ區(qū)的服務器集群提供IPv6Web服務。本區(qū)域內(nèi)所有設備基于IPv6的路由協(xié)議完成互聯(lián)互通。Internet邊界防火墻等安全設備對IPv6流量進行相關(guān)安全防護。應用服務器、Web服務器等通過IPv6協(xié)議接入到DMZ區(qū)交換機，通過IPv4協(xié)議接入到核心交換區(qū)。在所有web站點部署DNSv6，并部署鏈路負載均衡設備確保來回路徑一致。

核心交換區(qū)、對外生產(chǎn)區(qū)：仍通過IPv4提供業(yè)務的應用處理。

3.2方案二：新增IPv6服務器集群

改造升級前端網(wǎng)絡支持雙棧，IPv4服務器集群和新建IPv6服務器集群復用一張雙棧網(wǎng)絡。改造后，網(wǎng)絡架構(gòu)如圖3所示。

原Internet接入?yún)^(qū)：同時接入各運營商IPv4/IPv6Internet線路。

原DMZ區(qū)：新增IPv6服務器集群，提供IPv6Web服務。DMZ交換機等網(wǎng)絡設備通過雙棧方式互聯(lián)互通。Internet邊界防火墻等安全設備對IPv4/IPv6流量進行相關(guān)安全防護。應用服務器、Web服務器通過雙棧路由協(xié)議接入到DMZ區(qū)交換機，通過IPv4協(xié)議接入到核心交換區(qū)。在所有web站點同時部署DNS及DNSv6，根據(jù)原IP智能解析并返回IPv4或IPv6地址。負載均衡設備通過雙棧網(wǎng)絡承載相應服務，根據(jù)源IP地址將業(yè)務轉(zhuǎn)到IPv4/IPv6服務器池中最優(yōu)的web服務器。

核心交換區(qū)、對外生產(chǎn)區(qū)：仍通過IPv4提供業(yè)務的應用處理。

3.3方案三：原服務器集群開啟雙棧

改造升級前端網(wǎng)絡和服務器集群支持IPv4/IPv6雙棧服務。改造后，網(wǎng)絡架構(gòu)如圖4

原Internet接入?yún)^(qū)：同時接入各運營商IPv4/IPv6Internet線路

原DMZ區(qū)：DMZ區(qū)的服務器集群同時提供IPv4和IPv6服務。DMZ交換機等網(wǎng)絡設備通過雙棧方式互聯(lián)互通。Internet邊界防火墻邊界防火墻等安全設備對IPv4/IPv6流量進行相關(guān)安全防護。Web服務器、門戶Web服務器等通過雙棧路由協(xié)議接入到DMZ區(qū)交換機，通過IPv4協(xié)議接入到核心交換區(qū)。在所有Web站點同時部署DNS及DNSv6，根據(jù)原IP智能解析并返回IPv4或IPv6webIP地址。負載均衡設備通過雙棧網(wǎng)絡承載相應服務，并作為服務器的網(wǎng)關(guān)，根據(jù)源IP地址將業(yè)務轉(zhuǎn)到server池中最優(yōu)的Web服務器。

核心交換區(qū)、對外生產(chǎn)區(qū)：仍通過IPv4提供網(wǎng)絡、業(yè)務的處理。

4方案對比

上述三種改造方案的對比見表1。

5結(jié)束語

本文探討了IPv6在數(shù)字化建設領(lǐng)域的優(yōu)勢，通過分析銀行業(yè)典型網(wǎng)絡架構(gòu)，提出三種IPv4到IPv6的演進方案，為廣大行業(yè)提供了參考。

參考文獻

[1]王毅，黃愛明。基于IPv4和IPv6雙協(xié)議企業(yè)網(wǎng)的研究與實現(xiàn)[J].計算機系統(tǒng)應用，2011，20（09）：189-192.

[2]新華三集團，銀行網(wǎng)銀雙活系統(tǒng)部署實踐，http：//www.h3c.com/cn/d-201307/790134_30008_0.htm[N]，2013.

[3]許佳偉.基于校園網(wǎng)環(huán)境下IPv6過渡解決方案的設計與實現(xiàn)[D].華中科技大學，2011.