楊灝

電子政務(wù)外網(wǎng)承載著政府部門的多種業(yè)務(wù)，IPv4地址資源極大地限制了電子政務(wù)的發(fā)展。下一代互聯(lián)網(wǎng)是以IPv6作為核心技術(shù)，從根本上解決了IPv4的發(fā)展瓶頸問題。因此本文主要通過研究IPv6過渡技術(shù)和升級改造關(guān)鍵點(diǎn)，為電子政務(wù)外網(wǎng)實(shí)現(xiàn)IPv6網(wǎng)絡(luò)演進(jìn)提供思路。

一、引言

隨著歐洲網(wǎng)絡(luò)協(xié)調(diào)中心（RIPE NCC）宣布IPv4地址用完，理論上新增設(shè)備無法獲得合法的IPv4地址。IPv6的出現(xiàn)讓IP地址短缺不再成為問題，而且發(fā)展至今技術(shù)已經(jīng)成熟，海量的地址資源可以有效的支撐新的信息化應(yīng)用。中共中央辦公廳、國務(wù)院辦公廳發(fā)布的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計(jì)劃》，提出了IPv6的發(fā)展目標(biāo)和總體要求，IPv6已經(jīng)成為向下一代互聯(lián)網(wǎng)演進(jìn)的必由之路。

目前電子政務(wù)外網(wǎng)承載著政府部門的多種業(yè)務(wù)，大多是采用私網(wǎng)地址和地址轉(zhuǎn)換技術(shù)，隨著業(yè)務(wù)范圍的逐漸擴(kuò)大，為保障新業(yè)務(wù)的開展不受IPv4地址制約，需要逐步從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)平滑過渡，同時不影響業(yè)務(wù)質(zhì)量。本文旨在通過對IPv6過渡技術(shù)進(jìn)行研究，分析電子政務(wù)外網(wǎng)實(shí)現(xiàn)IPv6升級改造的方法。

二、IPv6過渡技術(shù)現(xiàn)狀

IPv6發(fā)展至今已經(jīng)逐漸成熟，并且衍生出廣泛的應(yīng)用。但是IPv6協(xié)議替代IPv4協(xié)議不可能一蹴而就，因此在未來一段時間內(nèi)IPv4協(xié)議和IPv6協(xié)議會共存在一個環(huán)境中。在從IPv4平穩(wěn)演進(jìn)到IPv6的過程中，需要根據(jù)電子政務(wù)外網(wǎng)的特點(diǎn)尋找到合適的過渡機(jī)制。目前常用的IPv6過渡技術(shù)有雙棧技術(shù)、隧道技術(shù)和翻譯技術(shù)。

（一）雙棧技術(shù)

雙棧技術(shù)是目前最直接、也是最徹底的部署IPv6網(wǎng)絡(luò)的一種方法，適合長期演進(jìn)和大規(guī)模部署。該技術(shù)需要網(wǎng)絡(luò)、設(shè)備及業(yè)務(wù)系統(tǒng)同時支持IPv4和IPv6，這樣用戶可以通過IPv4和IPv6通道分別訪問IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。實(shí)現(xiàn)雙棧需要在過渡期間同時維持IPv4和IPv6環(huán)境，而且網(wǎng)絡(luò)中每個節(jié)點(diǎn)都要升級，同時當(dāng)前全球IPv6網(wǎng)絡(luò)環(huán)境還未形成，許多網(wǎng)絡(luò)安全問題尚不明確，缺乏相應(yīng)的安全防護(hù)措施，給同時運(yùn)行IPv4和IPv6兩套協(xié)議棧帶來了網(wǎng)絡(luò)安全風(fēng)險。

（二）隧道技術(shù)

隧道技術(shù)在IPv4向IPv6過渡過程中也非常重要。隧道技術(shù)不改變網(wǎng)絡(luò)中大部分IPv4設(shè)備，只需要在用戶和業(yè)務(wù)系統(tǒng)的接入設(shè)備、網(wǎng)絡(luò)出口路由設(shè)備上同時運(yùn)行IPv4和IPv6協(xié)議，并在接入設(shè)備和出口路由設(shè)備之間建立 IPv4 隧道，基于IPv4隧道來傳送IPv6數(shù)據(jù)報(bào)文。通過隧道技術(shù)，網(wǎng)絡(luò)只需要出口路由設(shè)備和接入設(shè)備雙?；渌O(shè)備不受影響。該技術(shù)增加了網(wǎng)絡(luò)維護(hù)和故障定位的難度，而且還增加了報(bào)文長度，對于用戶和業(yè)務(wù)系統(tǒng)都需要安裝相應(yīng)的IPv6隧道軟件，需要配合雙棧技術(shù)來完成IPv6改造。

（三）翻譯技術(shù)

翻譯技術(shù)可以分為傳統(tǒng)的有狀態(tài)翻譯技術(shù)、有狀態(tài)應(yīng)用層翻譯技術(shù)和無狀態(tài)翻譯技術(shù)。翻譯技術(shù)的原理同樣是實(shí)現(xiàn)出口路由設(shè)備和接入設(shè)備雙?；?，在用戶和業(yè)務(wù)系統(tǒng)之間部署翻譯設(shè)備，建立IPv6/IPv4之間地址和端口的映射關(guān)系，用戶和業(yè)務(wù)系統(tǒng)的IPv6報(bào)文翻譯成IPv4報(bào)文才進(jìn)入網(wǎng)絡(luò)，在IPv6出口處再次翻譯成IPv6報(bào)文，用戶和業(yè)務(wù)系統(tǒng)的IPv4報(bào)文則直接進(jìn)入IPv4網(wǎng)絡(luò)，不進(jìn)行翻譯。

有狀態(tài)的翻譯技術(shù)主要有NAT64、NAT46，主要是基于動態(tài)映射將源站的IPv4地址和IPv6地址對應(yīng)起來。該技術(shù)對網(wǎng)絡(luò)和現(xiàn)有系統(tǒng)改動較小，但會存在IPv6訪問無法溯源的問題，難以對訪問的用戶進(jìn)行管理。有狀態(tài)應(yīng)用層翻譯技術(shù)是采用了代理機(jī)制，外部用戶先訪問到代理服務(wù)器，然后通過代理服務(wù)器訪問網(wǎng)站。這種技術(shù)因?yàn)樵黾恿舜?，?dǎo)致用戶訪問時延增大。無狀態(tài)翻譯技術(shù)是基于網(wǎng)絡(luò)層算法將IPv4地址和IPv6地址進(jìn)行映射，實(shí)現(xiàn)IPv6/ IPv4地址無狀態(tài)轉(zhuǎn)換。該技術(shù)依賴于翻譯設(shè)備，支持同一網(wǎng)絡(luò)出口的所有網(wǎng)站及業(yè)務(wù)系統(tǒng)，能夠解決應(yīng)用支持和安全溯源的問題。

三、電子政務(wù)外網(wǎng)的IPv6升級改造

目前電子政務(wù)外網(wǎng)運(yùn)行的業(yè)務(wù)都是基于IPv4的，從電子政務(wù)外網(wǎng)的長遠(yuǎn)發(fā)展來考慮，如何讓電子政務(wù)外網(wǎng)接受IPv6用戶的訪問變得至關(guān)重要。

（一）IPv6升級改造主要內(nèi)容

電子政務(wù)外網(wǎng)的IPv6升級改造涉及的環(huán)節(jié)眾多，主要包括三部分內(nèi)容：終端、業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)。終端操作系統(tǒng)通過升級后支持雙棧，即可以同時訪問IPv4資源和IPv6資源；業(yè)務(wù)系統(tǒng)包括操作系統(tǒng)升級、軟件升級和硬件升級，對于無法支持升級IPv6協(xié)議的可以考慮臨時過渡技術(shù)或者替換來解決；網(wǎng)絡(luò)改造需要考慮IPv6過渡技術(shù)的選擇、網(wǎng)絡(luò)地址的申請和規(guī)劃、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的升級等內(nèi)容。

（二）IPv6升級改造關(guān)鍵點(diǎn)

電子政務(wù)外網(wǎng)IPv6改造主要從網(wǎng)絡(luò)調(diào)研、地址申請和規(guī)劃、過渡技術(shù)選擇和安全策略這四個關(guān)鍵點(diǎn)進(jìn)行說明。

網(wǎng)絡(luò)調(diào)研：通過調(diào)研網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)業(yè)務(wù)情況、網(wǎng)絡(luò)設(shè)備信息以及IPv4相關(guān)情況，對網(wǎng)絡(luò)設(shè)備、架構(gòu)以及業(yè)務(wù)系統(tǒng)的IPv6支持度和性能進(jìn)行評估，做出適合網(wǎng)絡(luò)演進(jìn)的最優(yōu)決策。

地址申請和規(guī)劃：業(yè)務(wù)系統(tǒng)升級首先要獲得IPv6線路和地址，IPv6地址分配后，地址規(guī)劃可以從安全性、擴(kuò)展性和路由聚合三個方面進(jìn)行考慮。其中安全性是控制敏感路由發(fā)布，做到網(wǎng)絡(luò)隔離；擴(kuò)展性是考慮業(yè)務(wù)類型增加和用戶數(shù)增長，合理預(yù)留地址空間，提高擴(kuò)展性；路由聚合是指采用層次化設(shè)計(jì)，提高聚合性。

圖1 基于業(yè)務(wù)系統(tǒng)的ipv6改造架構(gòu)

過渡技術(shù)選擇：電子政務(wù)外網(wǎng)由于其業(yè)務(wù)特殊性，會從少量的IPv6流量訪問，到中間經(jīng)歷很長一段IPv4和IPv6兩種流量共存的時間，再到少量的IPv4流量訪問，最后演進(jìn)為純IPv6網(wǎng)絡(luò)。所以在過渡期間網(wǎng)絡(luò)升級主要以雙棧技術(shù)為主，還需要翻譯和隧道技術(shù)作為輔助，實(shí)現(xiàn)網(wǎng)絡(luò)的平滑升級。

安全策略：IPv6協(xié)議相對于IPv4協(xié)議在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)上沒有什么變化，且在IPv4網(wǎng)絡(luò)中相關(guān)安全威脅在IPv6中同樣存在，因此，要建設(shè)基于IPv6的網(wǎng)絡(luò)安全體系，可以基于原有的IPv4防護(hù)經(jīng)驗(yàn)從技術(shù)和管理兩個層面進(jìn)行安全防范。但是面對當(dāng)前復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢，尤其是全新的IPv6協(xié)議網(wǎng)絡(luò)環(huán)境，應(yīng)該制定全新的安全防護(hù)策略，通過針對IPv6的安全技術(shù)和管理手段來實(shí)現(xiàn)防護(hù)能力，比如針對IPv6的攻擊分析預(yù)測、威脅預(yù)警、流量監(jiān)控、用戶行為分析等。

四、結(jié)語

電子政務(wù)外網(wǎng)的IPv6升級改造是一個長期而又復(fù)雜的過程，完成改造對于進(jìn)一步推動下一代互聯(lián)網(wǎng)的平滑演進(jìn)升級具有重要的意義。因此需要結(jié)合實(shí)際情況，尋找到適合電子政務(wù)外網(wǎng)的IPv6升級改造方法，針對部署過程中的技術(shù)細(xì)節(jié)還有待進(jìn)一步深入探討。

作者單位：國資委信息中心