李 琪，劉相坤，徐東平，劉彥麟，韓夢(mèng)源

（中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081）

互聯(lián)網(wǎng)服務(wù)的發(fā)展趨勢(shì)是讓服務(wù)更加智能化，這就需要為互聯(lián)網(wǎng)上的每臺(tái)設(shè)備都分配IP地址，實(shí)現(xiàn)基于個(gè)性化特征的定位、推送及交互等服務(wù)。隨著物聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，需要連接網(wǎng)絡(luò)的物體越來(lái)越多，而全球IPv4 地址資源已在2011 年2 月3日向五個(gè)區(qū)域因特網(wǎng)注冊(cè)機(jī)構(gòu)分配完畢[1]，現(xiàn)有的IPv4地址池已接近枯竭?；ヂ?lián)網(wǎng)的下一代協(xié)議IPv6提供了理論上雖然有限但實(shí)際使用中幾乎無(wú)窮的IP地址。豐富的IP地址可以把網(wǎng)絡(luò)智能解析的威力發(fā)揮到極致。地址越大帶來(lái)的可能性就越多，與IPv4的32 bit二進(jìn)制報(bào)頭相比，IPv6的報(bào)頭增加至128 bit位二進(jìn)制數(shù)，使得我們可以把信息放在IPv6數(shù)據(jù)包中，IPv6地址可以變得更智能，在確定其通過(guò)網(wǎng)絡(luò)的路徑方面發(fā)揮更積極的作用。IPv6在構(gòu)建智能網(wǎng)絡(luò)中的關(guān)鍵地位，使得由IPv4過(guò)渡到IPv6已勢(shì)在必行。

目前網(wǎng)絡(luò)設(shè)備廠商的主流產(chǎn)品均已支持IPv6協(xié)議。3大電信運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)也已具備支持IPv6的能力。國(guó)內(nèi)主要的商業(yè)網(wǎng)站均制定了分階段的演進(jìn)計(jì)劃。2017年國(guó)務(wù)院印發(fā)通知，提出用5～10年時(shí)間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)。鐵路12306互聯(lián)網(wǎng)售票系統(tǒng)（簡(jiǎn)稱：12306系統(tǒng)）當(dāng)前網(wǎng)絡(luò)為IPv4架構(gòu)。為了給旅客提供更豐富、更智能化的服務(wù)，需要選擇適合的過(guò)渡技術(shù)分階段穩(wěn)定演進(jìn)到IPv6。

1 IPv6演進(jìn)標(biāo)準(zhǔn)和進(jìn)度計(jì)劃

1.1 演進(jìn)標(biāo)準(zhǔn)

根據(jù)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)的工作計(jì)劃與安排，IP與多媒體工作委員會(huì)目前已經(jīng)完成對(duì)IPv6系列標(biāo)準(zhǔn)的規(guī)劃設(shè)計(jì)工作。在新的規(guī)劃設(shè)計(jì)書中，將我國(guó)的IPv6標(biāo)準(zhǔn)劃分為以下幾個(gè)大類：基本協(xié)議類，網(wǎng)絡(luò)體系結(jié)構(gòu)與性能指標(biāo)分配，網(wǎng)絡(luò)的評(píng)估標(biāo)準(zhǔn)和測(cè)試方法，網(wǎng)絡(luò)設(shè)備規(guī)范和網(wǎng)絡(luò)設(shè)備的測(cè)試規(guī)范，支持移動(dòng)通信類，業(yè)務(wù)與應(yīng)用類型[2]。在IPv6演進(jìn)過(guò)程中應(yīng)按照標(biāo)準(zhǔn)推進(jìn)。

1.2 演進(jìn)計(jì)劃

《IPv6規(guī)模部署行動(dòng)計(jì)劃》中指出，到2018年末，市場(chǎng)驅(qū)動(dòng)的良性發(fā)展環(huán)境基本形成，IPv6活躍用戶數(shù)達(dá)到2億，在互聯(lián)網(wǎng)用戶中的占比不低于20%；到2020年末，市場(chǎng)驅(qū)動(dòng)的良性發(fā)展環(huán)境日臻完善，IPv6活躍用戶數(shù)將超過(guò)5億，在互聯(lián)網(wǎng)用戶中的占比超過(guò)50%；到2025年末，我國(guó)IPv6網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模將位居世界第一，形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。12306系統(tǒng)的IPv6演化進(jìn)度也應(yīng)按照20%、50%、100%的比例漸進(jìn)演化為IPv4/IPv6雙棧環(huán)境，直到IPv4完全退出后變?yōu)镮Pv6環(huán)境。

2 IPv4到IPv6過(guò)渡技術(shù)

IPv4 到IPv6 的過(guò)渡技術(shù)主要包括雙棧技術(shù)、隧道技術(shù)，以及地址轉(zhuǎn)換（NAT，Network Address Translation）技術(shù)[3]。

2.1 雙棧技術(shù)

雙棧技術(shù)是指網(wǎng)絡(luò)以及網(wǎng)絡(luò)中所有節(jié)點(diǎn)同時(shí)支持IPv 4和IPv 6協(xié)議棧，使得網(wǎng)絡(luò)或者節(jié)點(diǎn)能處理兩種類型的協(xié)議，同時(shí)，包括service（業(yè)務(wù)、應(yīng)用等）具備支持雙協(xié)議棧的能力[4]，從而實(shí)現(xiàn)分別與IPv4或IPv6節(jié)點(diǎn)間的信息互通。通信源節(jié)點(diǎn)可根據(jù)目的節(jié)點(diǎn)的協(xié)議類型選擇運(yùn)行的協(xié)議棧，而網(wǎng)絡(luò)設(shè)備則根據(jù)報(bào)文的協(xié)議類型選擇不同的協(xié)議棧進(jìn)行處理和轉(zhuǎn)發(fā)[5]。

雙棧機(jī)制的優(yōu)點(diǎn)是，它是IPv6節(jié)點(diǎn)與IPv4節(jié)點(diǎn)兼容的最直接的方式，不必為不同類型的用戶單獨(dú)部署網(wǎng)絡(luò)配置，互通性好、開(kāi)銷小、管理簡(jiǎn)單、邏輯清晰。缺點(diǎn)是，不支持雙棧的設(shè)備需要更換，必要時(shí)需要補(bǔ)充使用NAT技術(shù)，應(yīng)用軟件也需做適應(yīng)性改造。

2.2 隧道技術(shù)

隧道技術(shù)是通過(guò)將一種IP 協(xié)議嵌套在另一種IP協(xié)議中，跨過(guò)網(wǎng)絡(luò)傳遞到另一個(gè)路由器的技術(shù)。隧道技術(shù)是基于現(xiàn)有的IPv4 路由體系來(lái)傳送IPv6 數(shù)據(jù)包的。它將IPv6數(shù)據(jù)報(bào)文作為載荷封裝到IPv4 數(shù)據(jù)包內(nèi)，并沿著隧道所標(biāo)識(shí)的虛擬鏈路進(jìn)行發(fā)送，最后到達(dá)隧道的終點(diǎn)[6]。隧道技術(shù)只要求在隧道的入口和出口處進(jìn)行雙棧升級(jí)改造，對(duì)網(wǎng)絡(luò)的其他部分沒(méi)有要求，因此較容易實(shí)現(xiàn)。雙棧技術(shù)并不要求建立隧道，只有當(dāng)IPv6節(jié)點(diǎn)需利用IPv4的路由機(jī)制傳遞信息包時(shí)隧道才是必需的，但隧道的建立卻需要雙協(xié)議棧的支持[7]。

隧道技術(shù)的優(yōu)點(diǎn)是，不用把所有的設(shè)備都升級(jí)為雙棧，只要求網(wǎng)絡(luò)的邊緣設(shè)備實(shí)現(xiàn)雙棧和隧道功能。除邊緣節(jié)點(diǎn)外，其它節(jié)點(diǎn)不需要支持雙協(xié)議棧；缺點(diǎn)是，隧道技術(shù)不能實(shí)現(xiàn)IPv4主機(jī)和IPv6主機(jī)的直接通信，只是過(guò)渡技術(shù)，不是最終的解決方案。

2.3 NAT技術(shù)

NAT技術(shù)通過(guò)對(duì)數(shù)據(jù)包的轉(zhuǎn)換實(shí)現(xiàn)IPv4和IPv6的互相訪問(wèn)，提供了IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的互通方案。

NAT技術(shù)的優(yōu)點(diǎn)是實(shí)現(xiàn)純IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)之間的互通，提供IPv6與IPv4之間的互相訪問(wèn)且無(wú)需改動(dòng)現(xiàn)有網(wǎng)絡(luò)；缺點(diǎn)是，存在業(yè)務(wù)質(zhì)量降低、加密報(bào)文無(wú)法翻譯的風(fēng)險(xiǎn)。

3 12306系統(tǒng)的IPv6演進(jìn)方案

3.1 系統(tǒng)演進(jìn)過(guò)渡方案

目前12306系統(tǒng)使用IPv4協(xié)議運(yùn)行，該協(xié)議運(yùn)行基本穩(wěn)定。局域網(wǎng)絡(luò)具備相當(dāng)?shù)挠脩粢?guī)模，如果重建局域網(wǎng)將面臨投資較大、網(wǎng)絡(luò)重新規(guī)劃、業(yè)務(wù)整合等一系列問(wèn)題，可以考慮采用過(guò)渡技術(shù)解決方案。遵循穩(wěn)定、安全、可靠的基本原則，通過(guò)對(duì)比分析雙棧技術(shù)、隧道技術(shù)和NAT技術(shù)3種方式的優(yōu)缺點(diǎn)，確定12306系統(tǒng)IPv6演進(jìn)應(yīng)采用主體部署雙棧和NAT技術(shù)補(bǔ)充的方案，當(dāng)12306系統(tǒng)和辦公區(qū)域都支持IPv6后，可考慮逐步關(guān)閉IPv4網(wǎng)絡(luò)協(xié)議棧，并通過(guò)NAT技術(shù)來(lái)解決少量的IPv4內(nèi)容訪問(wèn)需求。

3.2 系統(tǒng)演進(jìn)改造內(nèi)容

（1）內(nèi)容分發(fā)網(wǎng)絡(luò)改造

12306系統(tǒng)通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN，Content Delivery Network）為互聯(lián)網(wǎng)用戶提供售票服務(wù)，CDN需進(jìn)行改造以提供IPv4/IPv6雙棧服務(wù)。

（2）主體網(wǎng)絡(luò)及安全設(shè)備改造

在第1和第2數(shù)據(jù)中心需進(jìn)行IPv4/IPv6雙棧改造調(diào)試的網(wǎng)絡(luò)及安全設(shè)備包括：互聯(lián)網(wǎng)接入設(shè)備（例如安全設(shè)備、鏈路負(fù)載均衡設(shè)備等）、客服外網(wǎng)核心交換機(jī)、客服外網(wǎng)安全及加密設(shè)備、客服外網(wǎng)雙中心互連設(shè)備（例如防火墻、路由器等）、客服內(nèi)外網(wǎng)安全平臺(tái)、客服內(nèi)網(wǎng)核心交換機(jī)、客服內(nèi)網(wǎng)安全設(shè)備、客服內(nèi)網(wǎng)雙中心互連設(shè)備（例如防火墻、路由器等）、客票網(wǎng)安全平臺(tái)、客票網(wǎng)核心交換機(jī)、客票網(wǎng)二層互聯(lián)設(shè)備和客票網(wǎng)核心路由器。

（3）服務(wù)器及存儲(chǔ)設(shè)備改造

將第1和第2數(shù)據(jù)中心的服務(wù)器及存儲(chǔ)設(shè)備，按照CDN接入用戶的IPv6流量所占比例以及整體進(jìn)度要求進(jìn)行IPv4至IPv4/IPv6雙棧遷移改造。同時(shí)對(duì)其上的基礎(chǔ)及系統(tǒng)軟件進(jìn)行調(diào)試并試運(yùn)行。

（4）應(yīng)用系統(tǒng)改造

IPv6整體演進(jìn)改造過(guò)程中，除了關(guān)于網(wǎng)絡(luò)層的改造，對(duì)應(yīng)用系統(tǒng)的改造也是關(guān)鍵所在。目前大部分應(yīng)用軟件不支持IPv6，如果需要使用IPv6，需要對(duì)其進(jìn)行升級(jí)開(kāi)發(fā)，做必要的適應(yīng)性改造，并在試驗(yàn)環(huán)境中進(jìn)行測(cè)試驗(yàn)證。應(yīng)用系統(tǒng)改造工作主要包括運(yùn)行環(huán)境配置和相關(guān)網(wǎng)絡(luò)協(xié)議的代碼行改造兩部分。運(yùn)行環(huán)境配置主要是對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等基礎(chǔ)平臺(tái)運(yùn)行環(huán)境進(jìn)行相關(guān)配置改造。相關(guān)網(wǎng)絡(luò)協(xié)議的代碼行改造主要是指IPv4 過(guò)渡到IPv6 需要修改的網(wǎng)絡(luò)協(xié)議[8]。

12306系統(tǒng)IPv6演進(jìn)改造方案的總體架構(gòu)圖如圖1所示。

圖1 12306系統(tǒng)IPv6演進(jìn)架構(gòu)圖

3.3 系統(tǒng)演進(jìn)實(shí)施步驟

12306系統(tǒng)進(jìn)行IPv6改造涉及互聯(lián)網(wǎng)接入?yún)^(qū)、客服外網(wǎng)區(qū)、客服內(nèi)網(wǎng)區(qū)、客票網(wǎng)區(qū)4個(gè)網(wǎng)絡(luò)分區(qū)；涉及的設(shè)備為網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器及存儲(chǔ)設(shè)備兩大類；涉及的軟件為基礎(chǔ)及系統(tǒng)軟件、應(yīng)用軟件兩大類。

系統(tǒng)的演進(jìn)分步實(shí)施主要按照以下步驟。

（1）在實(shí)驗(yàn)室搭建一套虛擬試驗(yàn)環(huán)境，模擬12306互聯(lián)網(wǎng)售票，對(duì)環(huán)境和應(yīng)用軟件進(jìn)行適應(yīng)性測(cè)試驗(yàn)證，對(duì)于雙棧設(shè)備進(jìn)行性能評(píng)估。

（2）對(duì)于4個(gè)區(qū)域的網(wǎng)絡(luò)及安全設(shè)備進(jìn)行支持IPv4/IPv6雙棧改造調(diào)試。12306系統(tǒng)中的設(shè)備是在不同時(shí)期、不同工程中采購(gòu)的，所以在IPv6演進(jìn)改造遷移過(guò)程中需充分考慮設(shè)備到期更新的需求，將即將到期的設(shè)備優(yōu)先用在IPv4/IPv6雙棧中。在此后的新增設(shè)備和新開(kāi)發(fā)軟件都應(yīng)將支持IPv4/IPv6雙棧作為一項(xiàng)基本標(biāo)準(zhǔn)和要求。通過(guò)將既有設(shè)備進(jìn)行改造遷移或者在設(shè)備到期更新時(shí)完成改造，可以節(jié)省投資，但需在測(cè)試驗(yàn)證和遷移改造過(guò)程的維護(hù)方面做充分的工作。

（3）對(duì)4個(gè)區(qū)域的服務(wù)器及存儲(chǔ)設(shè)備按照20%的流量比例進(jìn)行IPv4至IPv4/IPv6雙棧遷移改造，同時(shí)對(duì)其上的基礎(chǔ)及系統(tǒng)軟件、應(yīng)用軟件進(jìn)行調(diào)試并試用行。

（4）根據(jù)IPv6流量比例的需要以及整體進(jìn)度要求進(jìn)行改造遷移。

3.4 系統(tǒng)IPv6演進(jìn)的關(guān)鍵問(wèn)題

3.4.1 演進(jìn)中的域名問(wèn)題

由于系統(tǒng)采用統(tǒng)一資源標(biāo)識(shí)符（URI，Uniform Resource Identfier）對(duì)外提供服務(wù)，而用戶通過(guò)域名服務(wù)器（DNS，Domain Name Server）來(lái)解析應(yīng)用的服務(wù)器地址，因此在演進(jìn)過(guò)程中會(huì)遇到DNS的解析問(wèn)題。為解決該問(wèn)題運(yùn)營(yíng)商針對(duì)同一URI可以支持向用戶同時(shí)返回IPv4地址和IPv6地址，由用戶終端決定采用哪個(gè)地址進(jìn)行通信。在實(shí)際實(shí)施時(shí)，應(yīng)用系統(tǒng)可以按照現(xiàn)有域名同時(shí)設(shè)置IPv4地址和IPv6地址。當(dāng)然也可以考慮為IPv4和IPv6分別獨(dú)立設(shè)置一個(gè)域名[9]。綜合分析兩種方法，前者更為便捷。

3.4.2 演進(jìn)中的安全問(wèn)題

相對(duì)于IPv4而言，IPv6協(xié)議由于內(nèi)嵌Internet安全性協(xié)議及海量的地址對(duì)應(yīng)用平臺(tái)，安全性有了一定程度的提高。但在大規(guī)模推廣時(shí)也可能出現(xiàn)新的安全問(wèn)題。部署IPv6后，原有的安全設(shè)備需要同步升級(jí)，實(shí)現(xiàn)對(duì)分布式拒絕服務(wù)攻擊、入侵檢測(cè)等多層面防護(hù)。如原有安全設(shè)備可以升級(jí)，盡量采用升級(jí)的方式，如不支持，可將原有安全設(shè)備仍然作為IPv4的防護(hù)，新增安全設(shè)備作為IPv6的防護(hù)[9]。

3.4.3 用戶接入流量統(tǒng)一調(diào)度

在12306系統(tǒng)的兩個(gè)數(shù)據(jù)中心分別新增運(yùn)營(yíng)商IPv4/IPv6雙棧通道，新增CDN到一中心和二中心的IPv4/IPv6訪問(wèn)，實(shí)現(xiàn)CDN到兩個(gè)數(shù)據(jù)中心IPv4和IPv6不同通道的同時(shí)訪問(wèn)。同時(shí)要求 CDN具備根據(jù)實(shí)際需要實(shí)時(shí)調(diào)整IPv4和IPv6訪問(wèn)流量比例的功能。也可以考慮在互聯(lián)網(wǎng)接入?yún)^(qū)增配流量控制設(shè)備，對(duì)IPv4和IPv6流量統(tǒng)一調(diào)度，設(shè)置優(yōu)先級(jí)。但考慮到新增通道成本問(wèn)題，應(yīng)采用第1個(gè)方案。

3.4.4 演進(jìn)中的應(yīng)急措施

在12306系統(tǒng)進(jìn)行IPv6演進(jìn)改造的過(guò)程中，為了保證系統(tǒng)運(yùn)行的穩(wěn)定性，主要能采取以下幾項(xiàng)應(yīng)急措施。

（1）在演進(jìn)實(shí)施之初不應(yīng)立即接入IPv6的流量，應(yīng)先對(duì)設(shè)備和軟件進(jìn)行驗(yàn)證。在應(yīng)用系統(tǒng)功能驗(yàn)證和雙棧設(shè)備性能評(píng)估均達(dá)標(biāo)后再接入IPv6的流量。

（2）改造設(shè)備時(shí)先改造一個(gè)數(shù)據(jù)中心的設(shè)備，做好必要的應(yīng)急準(zhǔn)備，一旦出現(xiàn)問(wèn)題，可用另一個(gè)數(shù)據(jù)中心承擔(dān)生產(chǎn)業(yè)務(wù)。改造經(jīng)確認(rèn)沒(méi)有問(wèn)題后再改造另一個(gè)數(shù)據(jù)中心的設(shè)備。

（3）服務(wù)器集群一般情況下由多個(gè)設(shè)備承擔(dān)同一功能任務(wù)，應(yīng)按照IPv6流量的占比，以及1.2節(jié)提到規(guī)劃中的比例（20%、50%、100%）進(jìn)行服務(wù)器集群分批改造。改造后的集群是雙棧的，可以同時(shí)處理IPv4和IPv6的業(yè)務(wù)，因此改造比例應(yīng)為IPv6的上限值。

（4）有個(gè)別設(shè)備在單一數(shù)據(jù)中心里單獨(dú)承擔(dān)任務(wù)，應(yīng)逐一分時(shí)改造兩個(gè)數(shù)據(jù)中心的設(shè)備為雙棧模式，以免同時(shí)出現(xiàn)問(wèn)題。

（5）應(yīng)在客服外網(wǎng)、客服內(nèi)網(wǎng)、客票網(wǎng)各區(qū)域的核心交換機(jī)處設(shè)置NAT網(wǎng)關(guān)，補(bǔ)充實(shí)際流量與處理能力不匹配的部分。保留一定規(guī)模量的NAT能力，既可為業(yè)務(wù)預(yù)留升級(jí)的時(shí)間窗口，也可彌補(bǔ)升級(jí)后不匹配的問(wèn)題。在IPv4至IPv4/IPv6雙棧服務(wù)器的遷移中，如果流量不符合實(shí)際，可以通過(guò)NAT技術(shù)達(dá)到總體平穩(wěn)可用。客服外網(wǎng)到客服內(nèi)網(wǎng)以及客服內(nèi)網(wǎng)到客票網(wǎng)，及時(shí)調(diào)節(jié)IPv4和IPv4/IPv6流量的處理能力。但是為了不使NAT網(wǎng)關(guān)成為瓶頸，需要控制NAT的總量，盡量科學(xué)計(jì)算流量比例，分階段分批對(duì)服務(wù)器設(shè)備進(jìn)行遷移和調(diào)整。

4 結(jié)束語(yǔ)

IPv6的推廣是一次全球網(wǎng)絡(luò)信息技術(shù)的創(chuàng)新與變革，是時(shí)代挑戰(zhàn)也是機(jī)遇。加快推進(jìn)IPv6規(guī)模部署有利于構(gòu)建智能化的下一代鐵路信息網(wǎng)，提高承載能力和服務(wù)水平，也是鐵路信息網(wǎng)融入國(guó)際互聯(lián)網(wǎng)環(huán)境的迫切需求。未來(lái)應(yīng)積極將IPv6技術(shù)投入到12306售票系統(tǒng)及其他鐵路系統(tǒng)中，為旅客提供更加豐富、智能化的服務(wù)。IPv6演進(jìn)過(guò)程中的安全問(wèn)題、性能問(wèn)題、可管理性等都是需要進(jìn)一步研究的方向。