金融业 IPv6 迁移过渡技术与策略探析

行业现状：互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安全格局。基于互联网协议第四版（IPv4）的全球互联网正面临网络地址消耗殆尽、服务质量难以保证等问题。下一代的互联网协议第六版（IPv6）应运而生。我国在2003年已启动了中国下一代互联网示范项目CNGI，涉及八大部委、六大全国性网络运营商、一百多所高校和研究单位、几十个设备制造商，深刻影响着我国下一代互联网技术和产业的发展。2017年11月26日，中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》（以下简称《行动计划》），对各行业IPv6迁移过渡提出明确安排和时间要求。作为国家经济运行的重要支撑，金融行业应积极开展IPv6技术的试点研究与探索，为其全面部署落实奠定基础。

金融机构IPv6迁移部署存在的问题

　　《行动计划》要求在未来5~10年间实现下一代互联网IPv6自助产业技术体系和产业生态，并在经济社会各领域深度融合应用，金融机构网络将首先完成互联网环境的IPv6规模部署。

　　金融业的部分业务应用系统、操作系统与IP地址等网络参数之间的关联关系复杂，其在IPv6环境中的适用性和稳定性尚未经过充分测试验证，存在不可预知的潜在风险。

　　金融机构目前存在数量庞大的IPv4终端、网络设备和应用系统，完成IPv6升级需经历一个长期稳步推进的过程，运维成本、人员安排、网络和业务部署的复杂度等增加了IPv6全面迁移过渡的实施难度。

IPv6过渡技术比较

　　为实现IPv4向IPv6过渡，业界有三种主流技术。

　　1.双协议栈技术。双协议栈技术要求网络设备、运营支撑系统及应用系统的软硬件设备同时运行IPv4和IPv6两套协议栈，IPv4和IPv6两个网络并行，能够实现分别与IPv4或IPv6节点之间的数据通信。

　　2.隧道技术。隧道技术主要用于将一个地址族的数据报文封装到另一个地址族的数据报文中，穿越其网络，实现两个孤立的IPv4或IPv6地址族网络之间的数据通信。隧道技术要求建立隧道的两端设备实现双栈并能够良好互通。在IPv6网络演进初期，通常采用6to4隧道连接IPv6孤岛；当IPv6网络演进到一定程度时，IPv4将成为孤岛，采用4to6隧道连接IPv4孤岛。

　　3.协议转换技术。网络地址/协议翻译技术是在IPv6和IPv4之间建立网络层地址和协议端口的映射关系，实现透明的IPv6和IPv4相互访问。翻译设备位于两个网络的边界。鉴于部分协议的报文体中带有IP地址等信息，网络层的翻译技术需要妥善解决ALG（应用级网关）问题。

表  过渡技术比较

金融业IPv6迁移部署的技术策略

　　在IPv6过渡部署实施过程中，需依据不同网络应用的特点，合理利用双栈、隧道、协议翻译等过渡技术，有计划、分步骤地审慎实施，保证业务平滑迁移过渡。

　　1.在终端至路由器之间建立ISATAP隧道。这是隧道技术应用。在IPv6网络建设初期，网络设备主要支持IPv4协议栈。通常会先对出口路由器进行改造，增加一台支持ISATAP的路由器连接IPv6骨干网，新增网络节点或终端设备遵循使用IPv6技术的原则。

　　2.七层反向代理技术进行协议转换。利用负载均衡硬件或开源软件的七层反向代理技术实现IPv4终端访问Ipv6服务器或IPv6终端访问Ipv4服务器，应用层无须进行改造。此方案可实现快速部署，但后续网络和应用仍需向双栈网络和纯IPv6演进，且需要权衡代理设备的性能瓶颈问题。

　　3.终端及网络设备的全双栈改造。双栈技术是标准、设备、商用部署时间最为成熟的过渡技术。双栈方案是最直接、最简单引入IPv6并实现与IPv4共存的方案，是推动IPv6演进的基础。实施方案如图所示。

图  IPv4/IPv6全双栈改造应用

　　4.6to4隧道连接多个IPv6信息孤岛。当IPv6的迁移改造工作进展到一定阶段后，大部分局域网整体上已基本实现支持IPv6或IPv4/IPv6双栈协议，下一步可建立6to4隧道，将多个IPv6孤岛通过IPv4网络连接起来。

　　5.IPv6网络全面升级，实现IPv4业务穿透。IPv6迁移演进的中后期，IPv6技术已成为主流，此时双栈网络将逐步关闭IPv4栈，以完成对IPv6的彻底改造。对于少量存留的IPv4用户和应用，通过IPv6隧道封装IPv4数据分组进行网络传输，以实现网络层面对某些应用数据包中IPv4地址的屏蔽。当IPv4终端和操作系统全面实现向IPv6演进时，IPv6网络仍可利用NAT64/NDS64技术实现与IPv4的互访互通。

金融业IPv6规模部署建议

　　1.强化标准引领，加强对金融业IPv6的技术统筹和管理工作。IPv6的国际标准（网络层标准）主要由IETF制定，国内标准由中国通信标准化协会（CCSA）具体负责。目前已具备成熟的IPv6核心标准，基本满足纯IPv6的组网需求，但在过渡标准特别是翻译技术标准、应用类标准、安全类标准等方面尚未完全成熟或未经大规模应用验证。我国IPv6技术应用尚处探索研究和初步推广阶段，在国家宏观政策的指引下，人民银行应统筹和指导金融行业积极探索并推动IPv6技术和标准的研究工作，逐步建立金融业IPv6核心技术标准和管理制度，规范研究和安全应用。

　　2.遵循应用引领驱动，优化升级网络。以应用为切入点和突破口，重点推动用户多、使用广的互联网应用的IPv6升级，强化基于IPv6的特色应用创新，着力支持金融行业新兴产业的全面发展升级，并带动存量设备和应用加速换代。

　　3.网络平滑过渡，保障业务连续性。迁移实施阶段必须保证现有IPv4网络及其承载的业务应用安全可靠、平滑演进，重要应用需先行模拟测试，减少迁移工作对网络架构和应用系统的影响。在满足IPv6网络演进需求的基础上，应兼顾网络部署成本，确保网络基础设施可持续发展。

　　4.着力人才培养，打造专业网络运维团队。IPv6、物联网等新兴网络技术发展日新月异。金融业对网络信息安全的重视程度不断提高，需提升网络专业技术人才在行业内的竞争力和影响力，专注新兴技术的研究、推广与应用。

（文章来源：金融电子化杂志）

扫码即可手机
阅读转发此文