《上海IPv6创新发展白皮书.docx》由会员分享,可在线阅读,更多相关《上海IPv6创新发展白皮书.docx(45页珍藏版)》请在课桌文档上搜索。
1、上海IPv6创新发展白皮书中国信息通僧研究院推进IPVe规模部专家委员会2021年8月2021年7月,经中央网络安全和信息化委员会同意,中央网信办、国家发展改革委、工业和信息化部印发关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知。明确了“I四五”时期深入推进IPv6规模部署和应用的主要目标、重点任务和时间表,是各地区、各部门推进IPv6部署应用工作的指导性文件。为加快我国IPv6从“通路”走向“通车”,工业和信息化部联合中央网信办发布IPv6流量提升三年专项行动计划(2021-2023年),围绕IPv6流量提升总体目标,明确了未来三年的重点发展任务,标志着我国IPv6发展正式
2、步入“流量提升时代。针对2021年的具体工作目标,中央网信办、国家发展改革委、工业和信息化部联合印发深入推进IPv6规模部署和应用2021年工作安排,明确了2021的工作目标,部署了在强化网络承载能力等方而的一系列工作任务。本白皮书主要从用户数、流量、基础资源、应用等多个维度对上海市IPv6当前发展情况进行综合分析,力求全面、准确反映上海市IPv6发展状况,为持续有效推进IPv6规模部署工作提供必要的信息支撑。目录W2一、全球IPV6新时代4(一)全球进一步强调射IPv6及演进技术的部署要求4(三)HIPv6炫HJ郃界取得阶段性成果5二、WIPV6网整建段成果与IH1.7(一)不断加演政策供给
3、、引导行业发展7(一)网络建设成果显著7三、IPV6创新应用XiR上海千行百业18I)政府网站IPv6改造统涔推进与集约建设-上河市大数楙中心19(一)SRV6技术推进IPV6在金融领域的规模部署浦发银行27(三)基于IPV6+SG技术的医院物流机器人运较平台的探索瑞金医院37四、43五、总鳍与工作仪44六、XUi46全球进入IPv6新时代(一)全球进一步强调对IPv6及演进技术的部署要求随着物联网、工业互联网和人工智能等产业的迅速布局,日益枯竭的IPv4地址资源已严重阻碍了互联网的蓬勃发展。据国外权威机构统计数据显示,近年来IPv6部署在全球推进迅速,主要发达国家IPv6部署率持续稳步提升,
4、部分发展中国家推进迅速,印度、比利时、美国等国家IPv6部署率已超过50%,GoogIC全球IPv6用户访问占比超过25%,根据Wor1.dIPv61.aunch的统计数据,全球373个网络运营商IPv6部署率平均值为30.83%,AIeXa排名Top1.OOO的网站中IPv6的支持率为29.70%。Goog1.e.FaCebOOk等全球排名靠前的网站已经全面支持IPV6。荷兰阿姆斯特丹AMS-IX数据中心统计,截至2021年3月,IPv6平均流量占比为3.6%。当前,全球对IPv6的重视程度进一步加深。法国在2020年的IPv6过渡说明中提到,地址缺乏阻碍智能家居、在线游戏等新业务的部署,同
5、时要求5G许可证持有者必须在2020年底前使其移动网络与IPv6兼容。美国在IPv6过渡要求中说明,美国将加速联邦信息网络系统IPV6单栈迁移,到2023年要求达到20%,到2024年要求达到50%;到2025年要求达到80%。欧洲ETS1.成立了IPE(IPv6Enhanced)协会,在其白皮书内提到:IPv6+技术是IPv6的创新,是满足5G和云时代需求的必要技术。(二)中国IPv6规模部署取得阶段性成果2017年11月,中共中央办公厅、国务院办公厅印发推进互联网协议第六版(IPV6)规模部署行动计划o2020年是该行动计划的收官之年,2021年将进入IPv6规模部署第三阶段。截至2021
6、年6月,我国IPV6活跃用户数已达5.33亿,约占中国网民的53.91%,IPv6地址资源位居全球第全国1.TE网络、城域网基本完成IPV6改造、互联网骨干网、承载网全部支持IPV6。已分配IPv6地址用户数达到15.92亿,城域网IPv6总流量达15.20Tbps,1.TE核心网IPv6总流量达8950.56Gbps,占1.TE全网流量的14.31%。三大基础电信企业IDC已完成IPv6改造,”家ToPCDN企也全国范围支持IPv6能力覆盖,TOP1.OO商业网站及应用全面支持IPv6访问。同时,政府、央企、新闻、高校网站IPv6支持率大幅提升,IPv6已覆盖门户/新闻、社交、视频、电商、搜
7、索、游戏、浏览器、移动应用商店、生活服务、出行服务等主流应用。根据APNIe统计数据,目前我国IPv6用户数已经排名全球第二,但整体用户占比还有待提高。具体数据见表1.1。表1.1全球IPv6用户数量及比例排名情况排名国家IpVe用户数量排名国家IPVe用户比例1印度43245万1印度74.05%2中国i7it万2比利时64.10%3美国12988万3马来西亚52.87%4巴西5981万4美国51.94%5日本4876万5德国50.46%6海国3568万6希腊49.91%7墨西哥3425万7法国45.75%8法国2468万8越南45.07%9英国2422万9瑞士44.09%10越南2410万1
8、0日本43.10%39中国20.76%为了进一步推动IPv6规模部署,推进IPv6规模部署专家委员会成立了“IPv6+”创新推进组,针对目前IPv6部署中的问题,进步开发IPV6技术与应用,为运营商、行业客户在数字化转型中创造更大价值。IPv6+技术创新工作组将依托我国IPv6规模部署进展成果,加强基于IPv6下一代互联网技术的体系创新,从各方向积极开展IPv6+网络新技术新应用的试验验证与应用示范,不断完善IPv6技术标准体系,显著提升我国在IPv6领域的国际竞争力。二、上海IPv6网络建设成果与举措(一)不断加强政策供给、引导行业发展O2020年,上海市委网信办、上海市发展改革委、上海市经
9、济信息化委、上海市通信管理局等四部门联合印发上海市推进互联网协议第六版(IPv6)规模部署三年行动计划(2020-2022年)(以下简称行动计划)明确未来三年内上海市IPv6规模部署的总体考虑、主要任务和保障措施。行动计划围绕上海市IPv6推动互联网演进升级和创新健康发展的主线,推出实现基础网络升级、形成应用创新生态、提升安全保障能力、完善技术产业发展等四项行动。通过三年的时间,统筹推进上海市IPv6发展,形成下一代互联网自主技术体系和产业生态,实现下一代互联网在经济社会各领域深度融合应用。(一)网络建设成果显著目前,上海IPv6规模部署情况位居全国前列。根据国家IPv6发展监测平分测算,上海
10、市已分配IPv6地址用户数达到4020万,分配地址占比超过90%,IPv6活跃连接数占比接近90%,各项指标均远超全国平均水平。中央网信办对各地网站IPv6评测结果显示,截至2021年6月,上海重点领域门户网站IPv6支持度综合得分排名全国第一。目前,上海市基础电信企业已全面完成1.TE端到端、固定网络端到端、骨干网络互联互通、全部数据中心和DNS域名递归解析系统的IPv6改造,可持续向全行业提供基于IPv6的互联网接入的能力。上海市IPv6活跃用户持续增长,截至2021年6月底,上海IPv6活跃用户占比已超过60.2%,提前半年完成既定目标,上海IPv6规模部署情况位居全国的列。同时,上海的
11、主流云服务、CDN.互联网企业也基本完成了IPv6的规模覆盖,上海已经初步完成IPv6规模部署二阶段的目标,未来的工作重点应该放在阶段三的工作开展之上。1、总体情况(1)网络基础设施IPv6能力就绪上海基础电信企业骨干网、城域网、接入网全面完成IPv6改造,并开通IPv6业务承载功能;为支持IPv6的全部在网移动终端、固定终端分配IPv6地址;完善IPv6专线产品开通流程,为政企客户快速开通IPv6专线接入并支持分配IPv6地址。根据客户需求为新签或续签服务合同的政企客户分配IPv6地址。(2)应用基础设施提升IPv6业务承载能力上海电信、上海移动和上海联通数据中心全面完成IPv6改造,可为用
12、户提供基于IPv6的互联网数据中心服务;网宿科技等CDN企业的IPv6改造节点已完成全国各省各运营商网络的覆盖,覆盖节点数量、本地覆盖能力占比超过85%,可面向全国范围提供基于IPv6的CDN服务。优刻得等云服务企业已实现Top20云服务的全面商用,覆盖全国可用域的66%以上,可支持原生IPv6云应用服务。(3)网站及互联网应用生态加快向IPv6升级发挥政府先行作用,带动整个行业健康有序发展,2021年6月,按照中央网信办工作要求,推进IPv6规模部署专家委员对全国31个省、自治区、直辖市及新疆生产建设兵团的政府政务、金融、教育、国企和新闻媒体等重点领域网站IPv6支持度进行了IPv6支持度的
13、评测工作,评测结果显示,上海市进行测试的310个网站中,275个网站支持IPv6访问,占比为88.71%。其中,政府政务网站和金融类网站支持度较好,64个市地级以上政府门户网站及省级委办局网站中,59个网站首页支持IPv6访问,二级链接IPv6平均支持率为95.22%,三级链接IPv6平均支持率为93.91%。上海市政府、青浦区政府、徐汇区政府、市科学技术委员会、市国有资产监督管理委员会等24个政府政务网站二、三级链接支持率均超过95%,改造效果显著,起到了示范带头作用。二三级链接IPv6支持率均超过95%的网站如表2.1。表2.1二三级链接IPv6支持率均超过95%网站列表单位名称门户网站I
14、pw,支持率IPv6初率上海市科学技术委员会StCSI(X).(K)99.29Ir浦区政府门户网站99.3799.80徐汇区政府门户网站wu99.3598.50单位名称门户网站IPv6支持率IPv6却率松江区人民政府网站99.1398.24率货区政府门户网站98.7598.20市监狱管理局99.0897.69市国有资产Jtt,管理委员会96.6599.53市公安局96.4099.63市地方wrM97.1298.51市体育局95.9999.24虹口区门户网站97.9097.11布WKwnnr容管三m97.1997.55*n11S96.4598.25市财政局96.5697.97长宁门户网站97.2
15、597.23宝山政府门户网WWWS99.0095.28市交通委员会97.M96.48物浦区政府门户网站95.6798.25市水务局95.2098.34市发展和改革委员会97.4596.08市人民政府外事办公宣98.4395.02市教育委员会97.7995.03市文化和旅游局96.7795.87崇明区政府门户网站95.1296.45同期,为动态掌握IPv6规模部署情况,上海市委网信办采用相关单位上报、平台监测、实验测评等形式对本市500家重点网站(包括党政机关、市属国企和各行业机构)和50个主流移动互联网应用也开展IPv6支持度的监测工作。结果显示,截至2021年6月,500家重点网站中共371
16、家主页支持IPv6访问,占比为74.2%。对二三级链接抽样检测结果显示,二级链接平均支持率为98.89%,其中359家支持率超过90%。三级链接平均支持率为99.12%,其中357家支持率超过90%。主流移动互联网应用(APP)方面,23个移动互联网应用的IPv6流量占比不低于30%,占比为46%。其中,蜻蜓FM、起点读书、喜马拉雅等IO个移动互联网应用的IPv6流量占比超过70%,改造程度较好。哗哩哗哩漫画、盒马、驴妈妈等16个移动互联网应用的IPv6流量占比低于10%,仍需加大改造力度。金融领域按照国家银保监会和证监会2018年出台的正式意见有序推动IPv6规模部署,IPv6部署工作保持领
17、先。158家金融机构网站主页支持率超93%,特别是15家银行网站,主页100%支持IPv6访问,行业示范效果明显。176家党政机关网站主页IPv6支持率为61.36%:42家医疗机构网站主页IPv6支持率达到83.33%:24家新闻媒体网站主页IPv6支持率为70.83%;62家教育机构网站IPv6支持率为69.35%;市属国企网站主页IPv6支持率有一定提升,达到53.85%。(4)IPv6网络安全保障进一步加强上海市基础电信企业不断完善网络安全管理制度体系,涵盖IPv6安全防护和管理相关要求;同步升级防火墙/WAF、IDS/IPS.4A系统等IPv6网络安全防护手段;同步改造假木蠕监测处置
18、系统、移动互联网恶意程序监测处置系统、上网日志留存系统、IDC/ISP信息安全管理系统等网络安全监测处置系统:完成已升级改造的基础网络、业务系统、CDN/IDC.云服务平台、域名系统等网络和系统单元的定级备案、符合性评测和风险评估等网络安全防护工作。2、IPv6用户数IPv6用户数是反映我国IPv6发展状况的核心指标,包括IPv6活跃用户数、IPv6活跃连接数及已分配IPv6地址用户数。IPv6活跃用户数是指中国内地具备IPv6网络接入环境,已获得IPv6地址,且在近30天内有使用IPv6协议访问网站或移动互联网应用(APP)的互联网用户数量,直观反映我国网站和移动互联网应用IPv6改造情况。
19、指基础电信运营商统计得出的,已经获得IPv6地址,且在30天内具备有效IPv6流量记录(不包含Ping和域名解析流量)的固定和移动终端数量,能够反映我国基础网络IPv6支持情况已分配IPv6地址用户数指基础电信企业在30天内为用户分配IPv6地址的数量,反映1.TE网络和固定宽带接入网络IPv6的改造情况。(1)IPv6活跃用户数根据国家IPv6发展监测平台测算,上海市IPv6互联网活跃用户占比已达到60.2%,已提前半年达成60%的既定目标。(2)已分配IPv6地址用户数年来,上海市三大基础电信企业加快改造进度,为全全市1.TE用户和固定宽带接入用户分配IPv6地址。截至2021年6月,上海
20、市已分配IPv6地址用户数达到4020万,其中1.TE网络已分配IPv6地址的用户总数为3337万,固定宽带接入网络已分配IPv6地址的用户总数为683万。随着1.TE网络端到端改造进程的加速,呈现出移动网络IPv6用户数发展速度大幅领先固定网络的趋势。趋势表明,基础电信企业1.TE网络IPv6分配地址用户数增长趋于平稳。综合考虑1.TE存量终端的IPv6支持情况,运营商侧1.TE网络改造工作基本完成。一年来1.TE网分配IPv6地址趋势如图2.1所示图2.11.TE网络IPv6分配地址趋势趋势表明,固定宽带接入网络改造环节多,周期长,存量家庭终端升级复杂,改造进度整体落后于1.TE网络,用户
21、数增长缓慢,IPV6升级改造仍存在较大空间。一年来城域网分配IPv6地址趋势如图2.2所示城域网分配Ix用户数图2.2城域网分配IPv6地址趋势图(3)IPv6活跃连接数截至2021年6月,上海市IPv6活跃连接数达3593万,其中,城域网IPv6活跃连接数为595万,1.TE网络IPv6活跃连接数达2999万。城域网IPv6活跃连接数占比77.36%,1.TE网络IPv6活跃连接数占比达87.01%。上海市城域网和1.TE网络一年来IPv6活跃连接数趋势如图2.3和图2.4所示。图2.3城域网IPv6活跃连接数变化趋势图2.41.TEMIPv6活跃连接数变化趋势3、IPv6流量截至2021年
22、6月,上海市城域网流量达581.375Gbps0占全部城域网流量的3.52%11目前城域网IPv6流量占比仍旧偏低,后续需加快智能家庭网关和家庭无线路由器的升级替换工作,提升城域网流量。一年来城域网流量占比趋势如图2.5所示。截至2021年6月,上海市1.TE核心网IPv6流量达1.57.355Gbps,IPv6峰值流量占移动核心网出口总流量的比例超过16.5%,。目前1.TE终端大部分已经支持IPv6,终端瓶颈已经逐渐消失。后续需深化移动互联网应用的IPv6改造,提升1.TE网络流量。一年来1.TE网络流量趋势如图2.6所示。16.00%1,v14.20%1463%1473%1456%14.
23、00%YP一-21%Iza三,06%10.15%10堂2|。产8.00%6.o%4.00%2.00%0.00%图2.61.TE网络IPv6流量变化趋势三、IPv6创新应用赋能上海千行百业当前,IPv6的规模部署已经进入第三阶段,“IPv6+”成为IPv6规模部署第三阶段的重要技术体系。“IPv6+”是IPv6技术的持续演进方向,是面向5G和云时代的IP网络创新体系。“IPv6+”可以实现更加开放活跃的技术与业务创新、更加高效灵活的组网与业务提供、更加优异的性能与用户体验、更加智能可靠的运维与安全保障,进而支撑下一代互联网的升级演进与创新发展。“IPv6+”技术体系包括三个阶段,“IPv6+”1
24、.0通过SRv6等技术让网络具备了编程能力,实现了网络简化和部分自治网络;“IPv6+”2.0,通过网络切片、随流检测、新型组播、确定性网络等技术实现了大规模网络分片,保障了用户体验,让网络实现了有条件自治:“IPv6+”3.0则通过APN等技术实现了应用感知,实现了应用驱动网络,最终网络实现了高度自治。上海市积极开展“IPv6+”技术创新商用。上海电信基于“IPv6+”的多云交换城域网已经运营商在智能云网场景的商用典范,基于“Pv6+”的多云互联也在上海市的银行、保险、证券等金融领域逐渐开始商用,2020年12月,上海电信会同中国信通院、华为技术有限公司基于“Pv6+2.0技术,发布了确定性
25、广域网在工业互联网的苜个试验成果,“IPv6+”已经开始全面赋能上海市的千行百业。(一)政府网站IPv6改造统筹推进与集约建设-上海市大数据中心1、实施背景及目标加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求,有助于显著提升我国互联网的承载能力和服务水平,更好融入国际互联网,共享全球发展成果,有力支撑经济社会发展,扁得未来发展主动。根据中共中央办公厅、国务院办公厅印发推进互联网协议第六版(IPv6)规模部署行动计划、国务院办公厅关于印发2018年政务公开工作要点的通知(国办发(
26、2018)23号)、国务院办公厅关于印发政府网站集约化试点工作方案的通知(国办函(2018)71号)等文件要求,市大数据中心严格按照工作要求和时间节点开展全站IPv6升级改造工作,同时结合政府网站集约化平台建设工作,将该项工作的统筹推进纳入政府网站集约化平台建设中,组织协调16家区政府网站、43家市政府部门网站同步实现IPV6访问改造。2、工作情况(1)完成“中国上海”门户网站IPv6升级改造2018年,市大数据中心在前期调研的基础上,制定“中国上海门户网站IPv6升级改造工作方案,严格按照工作要求积极稳妥推进相关工作,按时完成了“中国上海”门户网站的IPv6升级改造工作。是明确责任主体。“中
27、国上海”门户网站由上海市人民政府办公厅主办,市大数据中心承办。根据工作职能,市大数据中心是“中国上海”门户网站IPv6部署改造工作的责任主体,市大数据中心f1户网站管理部具体负责落实工作要求,会同其他相关部门共同协调推进“中国上海”IPv6改造工作。二是厘清网站现状。“中国上海”门户网站共有22个应用系统、3个数据库系统、46台主机。网站系统于2018年7月全部迁移至全市政务云平台,由政务云平台统一提供网络及设备层基础设施,所有服务及计算资源均以虚拟机的形式提供。三是确定工作方案。由于2018年时,政务云平台底层基于华为FUSionQOUd云产品,华为FUSiOnC1.oud当时的版本为6.0
28、,不支持IPV6。据华为公司确认,FusionCIOUd需升级到6.5才能支持IPv6,该版本计划于2019年3月发布。为满足IPv6改造需求,经反复研究比对,决定采用通过网络侧出口防火墙设备使用NAT64协议,并通过手工配置静态映射关系,实现IPv4网络主动发起连接访问IPv6网络。用QDNS64NAT64SefVefMQuywDNS6ResponseTCPoverIPv6J.-NAT64册DTCPWr1.PHTCPOVefIPv4YNAT64WICF1.otfefJPvfi图3.1.1:业务访问流程NAT64是一种有状态的网络地址与协议转换技术,一般只支持通过IPv6网络侧用户发起连接访问
29、IPv4侧网络资源。但NAT64也支持通过手工配置静态映射关系,实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP.ICMP协议卜一的IPv6与IPv4网络地址和协议转换。该方案的优势是数据中心内部改造较小,快速上线,但是转发性能受限于防火墙设备。“中国上海”门户网站互联网地址与内部负载均衡地址进行绑定,因而本次将通过配置IPv6地址转换至IPV4负载均衡地址的NAT转换方式实现;次IPv6地址转换配置是在原有基础上新增IPv6地址入口,不影响原有IPv4地址的正常运行。2018年底,对“中国上海”门户网站的连通性、稳定性,以及IPv6网络有效性逐一验证,达到预期效果
30、。“中国上海”门户网站顺利完成全站改造工作。(2)积极推进全市政府网站IPv6升级改造本市政府网站IPv6改造工作共计16家区政府网站和43家委办局网站,该项工作需众多政府部门及厂商共同协作配合。涉及面广、工作复杂,必须统筹协调解决光纤电路和政务云网络配置、服务器组网、域名解析等多项工作,具有一定的难度。从2019年起,本市持续推进各区政府、市政府各部门政府网站的IPv6升级改造工作,连续两年将相关工作要求写入“政务公开年度工作要点”,明确要求至2020年底,本市政府网站应全而支持IPv6访问。2020年7月起,为进一步掌握工作进度,及时发现问题,我们每月通报各网站首页IPv6升级改造工作情况
31、,要求未完成改造工作的网站加紧推进该项工作。同时,根据上海市人民政府办公厅关于印发上海市政府网站集约化平分建设工作方案的通知(沪府办(2019)9号),我们将IPv6改造工作与政府网站集约化工作一并部署、同步推进。上海市政府网站架构为市区两级平台互联互通,市级部门网站统接入市级政府网站集约化平台,由市级政务云平台统提供网络及设备层基础设施;16个区级平台为各区政府门户网站群,由各区政务云平台统一提供域名解析、网络及设备层基础设施。是完成政府网站集约化平台IPv6改造。改造范围包括市政府门户网站和43家政府部门网站,市级政务云平台提供各网站出口IPv6地址,并与对应的IPv4地址进行绑定;市大数
32、据中心集中申请域名绑定IPv6地址。二是完成云盾安全防护服务IPv6地址改造。改造范围包括市公安局、市体育局、市国资委、市卫生健康委,由各网站主管单位协调推进云盾技术提供商进行IPv6地址改造,并向市大数据中心申请域名绑定IPV6地址。目前4家部门网站已全部完成IPv6地址改造工作。三是敦促各委办局完成网站动态链接IPv6改造。由于集约化平台仅接入委办局网站的静态页面,大部分动态链接后台由各委办局开发运维,不纳入集约化范围内,网站剩余部分IPV6改造需由各委办局自行协调完成。目前,绝大部分链接已完成改造,各委办局网站IPv6可访问率基本在90%以上。四是完成区政府门户网站IPv6地址改造。由各
33、区政府门户网站主管单位制定并实施本区政府门户网站升级改造方案。目前16家区政府门户网站已全部完成IPv6地址改造工作。3、工作成效经集约化改造后的政府网站总占用资源约为原各单位网站所用资源总和的30%,所使用IP也从“一站多个”,变为“多站一个改造后的各委办局网站使用了统的域名解析,减少占用资源的同时,大大提升IPv6升级改造效率,使得这部分工作能够又好又快完成。2020年底,国务院办公厅对全国政府网站IPv6改造情况进行了抽查,将“中国上海”及16个区政府网站纳入抽查范围。17家区政府网站均通过了复测,二三级链接通过率均超90%o4、工作亮点(1)统筹规划,统部署。政府网站的IPv6改造是项
34、系统工程,涉及内容多、厂商多、技术团队多,需要各方面的支持。市大数据中心作为本市政府网站统筹管理的责任落实部门,积极配合市政府办公厅加强统筹协调,做好与技术支撑以及建设托管商、网络运营商等各个方面的沟通衔接。在IPv6的改造后,IPv4和IPv6的网络将同时并存,两个协议的用户均能正常访问,做到政府网站功能不少,服务不减,不能影响用户正常的使用和访问。(2)集约建设,同步推进。以“中国上海”为主体,借助政府网站集约化改建设统一完成改造目标。2018年,“中国上海”首先验证IPv6改造方案可行后,将“中国上海”IPv6升级改造的经验复用在集约化平台建设工作中,确保改造工作和集约化工作并部署,同步
35、推进。基于“中国上海”的成功经验,并依托集约化平台解决了绝大部分“外链”问题后,市大数据中心加速推进IPv6部署。市大数据中心积极做好各区、各委办局的协调工作,于2019年依托集约化平台统完成全市政府网站ipv6改造,真正做到资源集约。(3)督促检查,确保成效。建立督促检查机制,确保政府网站运行有序平稳。国务院办公厅制定的政府网站与政务新媒体检查指标和政府网站与政务新媒体监管工作年度考核指标中,对于网站功能设计必须要求进行IPv6升级改造。根据国办要求,市大数据中心从2019年起将区政府网站IPv6升级改造情况纳入监管。2020年7月起,每月通报各网站首页IPv6升级改造工作情况,要求未完成改
36、造工作的网站加紧推进该项工作:同时将该项工作纳入政府网站年度测评工作中,以保持IPv6升级改造工作成效。各政府网站牢固树立网络安全意识,严格落实安全责任,加强安全技术和机制的保障,做好监测,及时整改,确保网站的安全运行。(二)SRv6技术推进IPv6在金融领域的规模部署-浦发银行1、背景为切实贯彻落实国家全面推进IPv6规模部署战略及行业监管要求,浦发银行形成以“总体规划,分步实施,稳步推进”的总体思路,以实现双中心、双协议栈、应用双活部署为总体目标,积极推进IPv6的规模部署。2、目标新增IPv4v6双栈互联网线接入线路,构建双栈互联网接入区,不低于IPv4线路现有的安全防护能力;完成互联网
37、相关全部域名解析设备的升级改造,同时发布A和4A记录,提升域名解析设备的安全防护能力;通过NAT64、IPv6overIPv4隧道等过渡技术完成面向公众互联网应用系统的IPv6改造;选择维护等级为A类的信用卡网银系统作为试点系统,完成双栈改造;通过SRv6技术开展新一代核心广域网建设,在核心广域网全面支持IPv6后,逐步推进总、分行数据中心内部系统及园区网的双栈部署。3、浦发银行IPv6部署方案介绍(1)整体网络架构介绍由于IPv4和IPv6协议不兼容,二者在IP地址格式、网络架构、DNS解析过程、终端行为、主机系统、存量业务应用等层面不能直接通信,因此在其长期共存、阶段过渡、规模升级的过程中
38、,浦发银行充分考量技术风险控制、投资合理性及投资保护等方而因素,并结合新规划的数字化银行生态云平台网络架构,制定了新建IPv6接入区的架构方案。图321IPv6网络改造总体架构设计如上图,左边是浦发银行传统的互联网业务区,右边是本次IPv6改造新建的数字生态云互联网接入区,该区域的相关建设情况如下:1 .向三家运营商申请具备全球路由穿透的IPv4v6双栈互联网线路。2 .向CNN1.C申请IPv4v6地址段和AS号,新增运营商接入路由器与运营商之间构建IPv4v6的EBGP邻居,通过BGP向运营商发布浦发银行互联网服务路由。3 .新增抗DDoS清洗平台按照旁路方式进行部署,通过分光器将流量一分
39、为二发送到清洗平台进行逐包检测,当检测到攻击流量会立即将被攻击的站点流量通过EBGP路由牵引到清洗设备上,其他未被攻击攻击的流量按原流量路径转发不受影响。4 .新增NAT64设备,实现IPv6到IPv4的NAT64转换。5.新增DNS设备,实现A记录和4A记录解析。6 .数字生态云互联网接入区所有网络及安全设备均支持IPv4与IPv6协议。万图为IPv6改造前后的流量示意图,其中图3.3.2为改造前,IPv4的流量都从左边进入访问传统的互联网业务区的系统。图323为改造后,IPv4和IPv6的流量都通过右边新建的数字生态云互联网接入区进入,其中IPv6的流量会经过NAT64设备转换为IPv4的
40、流量后再去往传统的互联网业务区:改造前IPv4业务入阳源图3.2.2IPV6改造前流量示意图改造后IPv4抑Pv6业旁入向潦IB图323IPv6改造后流量示意图(2)IPv6改造应用层适配1 .客户端源地址溯源在IPv6改造中重点需要考虑的应用层问题是客户端地址溯源。IPv6地址转换成IPv4地址后,对于B/S架构的应用,可以将客户端真实地址插入到X-ForWard-For头中,后端程序针对相应的插入位置进行提取。对于C/S架构的应用,可以将客户端真实地址插入到TCPoPtiOn中,后端程序需要开发相应的模块对TCPoPtiOn中的真实地址进行提取。如果后端程序无法提取IPv6地址,可通过应用
41、交付设备将地址转换前后的对应列表以日志的方式输出到外部日志平台的方式获取源地址。2 .源地址做会话保持适配IPv6改造过程中出口NAT64设备由于承载业务量比较大,向后端转发时需要通过地址池的形式做源地址转换,如果应用只能以源地址做会话保持,内部由于有负载均衡,有可能出现同一个用户访问分配到不同的服务器的问题。此问题可通过应用交付设备上的可编程功能解决,使得同一个IPv4或IPv6过来的客户端转换为固定地址进而访问到后端同一台服务器,实现会话保持。(3)应用系统双栈改造上云云计算是浦发银行数字化转型和变革的必然趋势,生态云作为支撑浦发银行数字生态银行2.0的关键基础设施,具备对外提供丰富云服务
42、的能力。开展系统迁移上云,并建立企业级开发运维一体化模式是浦发银行势在必行的关键任务之一。信用卡网银系统是浦发银行维护等级为A类的重要业务系统,系统改造业务影响面较大、迁移复杂度较高,将该系统选为上云改造的双栈应用系统更具典型性,也能凸显浦发银行对系统双栈改造的重视和对技术能力的自信。互联网浦发内部网络B72nB联入区域图324信用卡网银系统双栈上云总体架构设计信用卡网银系统在上海、合肥两地双活部署。如上图所示,采用了IPv4v6双栈集群,充分利用数字生态云互联网区域路由选路灵活、具备抗DDOS能力、态势感知能力的安全架构,提升业务访问和安全防护能力,保证了系统的稳定运行,同时云上基础设施为系
43、统提供了高并发、高弹性的需求支撑能力。云上集群采用了Ca1.iCO网络模型配置,通过云计算资源的弹性分配,实现了应用的动态扩展,有效提升了应用系统的高可用性,降低系统维护工作量。IPv4v6双栈集群配置了应急故障转移策略,当某一集群故障时,IPv4和IPv6流量都会在用户无感知的情况下切换到其他正常提供服务的集群,保证业务服务不中断。系统正式对外发布后,经监控,IPv4和IPV6的访问流量占比分别达到55%和45%,v6访问用户已接近一半,目前系统运维稳定。(4)新代核心网SRv6改造建设图325新一代核心网SRv6架构图浦发银行目前正在开展的新一代核心网建设项目,采用了广域网控制器统管理SR
44、v6(SegmentRoutingIPv6,基于IPv6转发平而的段路由)网络,实现流量工程和智能网络优化。未来将扩展至三地(上海、合肥和苏州)六中心网络架构,并支持分行边界统接入和流量管理。SRv6技术架构能够推动浦发银行核心网的IPv6改造和业务流量分类,实现核心网流量工程和服务能力保障。4、成效与亮点(1)提供高可靠的双栈基础网络架构保障数字化生态云互联网接入区域所有网络基础设施均支持IPv4v6双栈模式。浦发银行也是上海市金融行业中第一家采用BGP动态路由方式接入互联网的银行。BGP协议最大优势是可以灵活调控路由,流量可以在多个出口间负载均衡,可以自主选择最优路径,可极大地提高浦发银行
45、的业务访问速度。通过BFD检测技术保障了在单个互联网出口中断后的3-4秒内快速自动切换至另一个出口,具有很高的健壮性和自愈能力。同时,三家运营商的互联网线路均根据浦发银行要求配置了国内和全球的路由穿透,单个运营商出现问题,可实现路由快速的跨运营商切换,进一步保障了高可用性。(2)灰度发布方案有效降低投产风险应用系统在完成IPv6改造后,通过在生态云互联网接入区部署不对外发布的DNS服务器,测试终端配置.该DNS服务器的IP地址后,可对应用系统进行全面性测试。通过这种灰度发布的方式,在测试验证完全符合预期后再在正式的智能DNS上进行对外发布,可有效降低投产风险。浦发银行采用灰度发布方式,最多的情况下一次性完成了包括个人网银、手机银行等重要系统在内的22个系统的IPv6改造。该方案的优势在于可以提前在真实链路环境做好充分验证,提前发现和规避投产后的未知问题,为IPv6业务实现快速、大规模部署提供了技术保障。(3)动态灵活的可编程网络架构通过应用交付设备有效解决了经NAT64设备转换后源地址溯源问即,以及应用会话保持等问题。(4)业务运维可视化构建一体化运维可视化平台,全面掌握每个业务的访问情况,快速定位故障,保障系统稳定运行。(5)利用SRv6技术为全行内部规模部署
