摘要：IPv6規(guī)模部署是國(guó)家網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要支撐，也是萬(wàn)網(wǎng)融合的技術(shù)核心。2017年11月26日，中辦國(guó)辦印發(fā)的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》（以下簡(jiǎn)稱《行動(dòng)計(jì)劃》），明確了推進(jìn)IPv6部署的重要意義。為加快推進(jìn)我國(guó)IPv6的規(guī)模部署，切實(shí)做好《行動(dòng)計(jì)劃》有關(guān)工作，國(guó)務(wù)院辦公廳等重要部門，先后下發(fā)多項(xiàng)政策性文件，貫徹落實(shí)《行動(dòng)計(jì)劃》有關(guān)要求。本文重點(diǎn)闡述了IPv6部署的意義，并提出了解決方案。

關(guān)鍵詞：IPv6;IPv6轉(zhuǎn)換服務(wù);IPv6解決方案

IPv6是英文“Internet Protocol Version 6”（互聯(lián)網(wǎng)協(xié)議第6版）的縮寫，是互聯(lián)網(wǎng)工程任務(wù)組（IETF）設(shè)計(jì)的用于替代IPv4的下一代IP協(xié)議，其地址數(shù)量號(hào)稱可以為全世界的每一粒沙子編上一個(gè)地址 。由于IPv4最大的問題在于網(wǎng)絡(luò)地址資源不足，嚴(yán)重制約了互聯(lián)網(wǎng)的應(yīng)用和發(fā)展。IPv6的使用，不僅能解決網(wǎng)絡(luò)地址資源數(shù)量的問題，而且也解決了多種接入設(shè)備連入互聯(lián)網(wǎng)的障礙。

一、IPv6部署的意義

隨著IPv4地址的耗盡，發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，不僅是互聯(lián)網(wǎng)演進(jìn)升級(jí)的必然趨勢(shì)，更是助力互聯(lián)網(wǎng)與實(shí)體經(jīng)濟(jì)深度融合、支撐經(jīng)濟(jì)高質(zhì)量發(fā)展的迫切需要，對(duì)于提升國(guó)家網(wǎng)絡(luò)空間綜合競(jìng)爭(zhēng)力，加快網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)具有重要意義。

針對(duì)目前IPv6部署困境，國(guó)家要求“突破關(guān)鍵前沿技術(shù)，構(gòu)建自主技術(shù)產(chǎn)業(yè)生態(tài)”，提出支持采用網(wǎng)絡(luò)過渡、網(wǎng)絡(luò)安全、新型路由等關(guān)鍵技術(shù)創(chuàng)新。實(shí)現(xiàn)網(wǎng)站應(yīng)用的平滑遷移。為保證網(wǎng)絡(luò)安全，國(guó)家也同步提出了關(guān)于強(qiáng)化網(wǎng)絡(luò)安全保障，維護(hù)國(guó)家網(wǎng)絡(luò)安全，進(jìn)一步升級(jí)改造現(xiàn)有網(wǎng)絡(luò)安全保障系統(tǒng)，提高網(wǎng)絡(luò)安全預(yù)警管控、快速處置、偵查打擊能力的相關(guān)建設(shè)要求。

二、IPv6解決方案

根據(jù)國(guó)家要求，校園網(wǎng)站升級(jí)需進(jìn)行全方位雙棧改造，包括整個(gè)網(wǎng)站的網(wǎng)絡(luò)設(shè)備、安全設(shè)備，應(yīng)用系統(tǒng)等，如將上述內(nèi)容全部進(jìn)行IPv6升級(jí)，將是一個(gè)高成本、周期長(zhǎng)極其復(fù)雜的過程。實(shí)現(xiàn)IPv6升級(jí)，需要IPv6轉(zhuǎn)換服務(wù)，IPv6轉(zhuǎn)換服務(wù)提供IPv6和IPv4網(wǎng)絡(luò)地址和協(xié)議的轉(zhuǎn)換，通過該服務(wù)可以不改變網(wǎng)站原碼及網(wǎng)絡(luò)結(jié)構(gòu)，快速、批量化完成多個(gè)網(wǎng)站及應(yīng)用的升級(jí)。

（一）方案一：IPv6轉(zhuǎn)換服務(wù)（公有云）方式

1.方案規(guī)劃

在IPv6轉(zhuǎn)換服務(wù)平臺(tái)將校園門戶網(wǎng)站全部主域名、子域名及獨(dú)立IPv4地址進(jìn)行配置，實(shí)現(xiàn)原IPv4網(wǎng)站的IPv6接入服務(wù)能力。通過該服務(wù)可以不改變網(wǎng)站原碼及網(wǎng)絡(luò)結(jié)構(gòu)，在IPv6云轉(zhuǎn)換服務(wù)平臺(tái)配置網(wǎng)站翻譯數(shù)據(jù)后，客戶端添加網(wǎng)站權(quán)威DNS的AAAA解析記錄即可完成網(wǎng)站IPv6改造，確保IPv6網(wǎng)絡(luò)用戶的正常訪問。

2.方案效果

公有云方式不需要開通IPv6專線，不支持等保2.0要求的NAT 安全溯源。需用戶單位自行配置4A記錄。

（二）方案二：IPv6轉(zhuǎn)換服務(wù)（私有云）方式

1.方案規(guī)劃

根據(jù)校園網(wǎng)絡(luò)現(xiàn)狀，結(jié)合國(guó)家政策及網(wǎng)絡(luò)安全法、等保2.0、網(wǎng)絡(luò)安全審查辦法等要求，校園網(wǎng)站IPv6升級(jí)項(xiàng)目也可采用IPv6轉(zhuǎn)換服務(wù)（私有云）方式，如下部署模型：

新建IPv6環(huán)境，部署交換機(jī)、防護(hù)設(shè)備功能模塊，提供基礎(chǔ)數(shù)據(jù)通信通道。以上網(wǎng)絡(luò)和安全設(shè)備支持IPv6協(xié)議，通過四六橋平臺(tái)支持IPv6訪問網(wǎng)站。在權(quán)威DNS服務(wù)上增加網(wǎng)站AAAA解析記錄，IPv6地址指向四六橋平臺(tái)，使IPv6用戶訪問校園網(wǎng)絡(luò)時(shí)，經(jīng)過四六橋的協(xié)議轉(zhuǎn)換平臺(tái)，將IPv6訪問請(qǐng)求轉(zhuǎn)換為IPv4訪問請(qǐng)求，并通過原有的IPv4安全體系規(guī)則過濾，到達(dá)內(nèi)部應(yīng)用系統(tǒng)。

2.方案優(yōu)勢(shì)

優(yōu)點(diǎn)1：快速部署實(shí)現(xiàn)IPv6用戶對(duì)校園網(wǎng)站及下轄?wèi)?yīng)用系統(tǒng)的訪問。

優(yōu)點(diǎn)2：這樣設(shè)計(jì)的目的主要是考慮給升級(jí)改造預(yù)留一個(gè)過渡期，不需立即對(duì)原IPv4網(wǎng)站進(jìn)行全面改造，維持現(xiàn)狀，既能按時(shí)完成國(guó)家對(duì)IPV6的升級(jí)要求，又能實(shí)現(xiàn)網(wǎng)站IPV6終極改造的平滑過渡，避免開發(fā)成本的浪費(fèi)。

優(yōu)點(diǎn)3：在現(xiàn)階段IPv6網(wǎng)絡(luò)安全發(fā)展不成熟的情況下，冒然直接升級(jí)會(huì)增加網(wǎng)站被攻擊的風(fēng)險(xiǎn)。而使用私立橋平臺(tái)技術(shù)方案，網(wǎng)站安全策略可保持現(xiàn)有成熟的IPv4安全方案不變動(dòng)，協(xié)議轉(zhuǎn)換平臺(tái)也可作為一種抵御IPv6網(wǎng)絡(luò)攻擊的方案。

3.方案效果

采用IPv6轉(zhuǎn)換服務(wù)（私有云）方式以上全部網(wǎng)站及應(yīng)用系統(tǒng)全部進(jìn)行轉(zhuǎn)換。門戶網(wǎng)站以友情外鏈的方式關(guān)聯(lián)的其他單位網(wǎng)站，通過門戶網(wǎng)站訪問做一級(jí)打開轉(zhuǎn)換，不做整站轉(zhuǎn)換。私有云方式，需要配套設(shè)備及IPv6專線。

三、結(jié)語(yǔ)

IPv6轉(zhuǎn)換服務(wù)解決方案的IPv4/IPv6地址轉(zhuǎn)換技術(shù)可滿足國(guó)家對(duì)校園網(wǎng)站的考核要求，即網(wǎng)站域名能解析IPv6地址，且二、三級(jí)頁(yè)面與鏈接能夠打開，IPv6支持度百分百。在不影響原IPv4互聯(lián)網(wǎng)門戶網(wǎng)站對(duì)外提供的服務(wù)及網(wǎng)絡(luò)結(jié)構(gòu)的前提下，IPv6轉(zhuǎn)換服務(wù)平臺(tái)只要與網(wǎng)站應(yīng)用網(wǎng)絡(luò)可達(dá)，DNS域名解析服務(wù)商添加對(duì)應(yīng)的AAAA記錄，即可完成IPv6升級(jí)，并滿足原所有網(wǎng)站在IPv6環(huán)境下的承載能力，實(shí)現(xiàn)IPv4和IPv6的無縫對(duì)接、平滑遷移與安全防護(hù)。

參考文獻(xiàn)：

[1]高校校園網(wǎng)絡(luò)安全隱患與防范措施[J].陸懷平.電子技術(shù)與軟件工程.2018（06）

[2]論影響校園網(wǎng)絡(luò)安全的因素及其對(duì)策[J].劉洪賓.信息系統(tǒng)工程.2012（04）

作者簡(jiǎn)介：張鋒（1977.1），男，漢族，黑龍江鶴崗市人，東北大學(xué)碩士，鶴崗師范高等專科學(xué)校，副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。