本文选自《金融电子化》2020年3月刊

文 / 浙江省农村信用社联合社科技管理部  李雷

2019年11月26日，欧洲网络协调中心（RIPENCC）宣布全球所有43亿个IPv4地址已全部分配完毕。由于移动互联网、云计算、大数据、物联网、人工智能等新兴信息技术高速发展，对IP地址资源的需求异常旺盛，IPv4地址资源匮乏已成为数字经济发展的制约因素。

2017年11月26日，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，要求各地区各部门结合实际认真贯彻落实。在2019年~2020年重点工作中，明确提出了要完成金融领域的服务平台改造。因此，当前最迫切的任务是完成门户网站、网络银行、手机银行、微信银行等对外服务平台的IPv6改造。

IPv4/IPv6过渡技术简析

目前IPv4向IPv6演进的主流网络技术包括网络地址转换和双栈两种。

1.IPv4/IPv6网络地址转换

IPv4向IPv6演进将存在一个较长的过渡期，在某些特定环境下，直接升级双栈可能存在条件不成熟、系统复杂、耗时较久、网络风险较大等情况。可以采用“地址转换/协议转换”过渡技术，实现站点对IPv6用户访问的支持。采用网络地址转换/协议转换技术进行IPv6升级，IPv4源站现有的业务系统、网站代码均无改造，仅需接入IPv6带宽并获得地址，在网络出口部署IPv6转换设备（双机热备），DNS系统上启用AAAA记录支持IPv6地址解析即可。协议转换技术方案虽然简单，实施快速，但该技术仅适用于演进过渡期，不能代替真正的双栈网站。如物联网或工业互联网应用部署，就不能使用转换方案，必须采用双栈技术方案。

2.IPv4/IPv6双栈技术方案

网站升级IPv4/IPv6双栈方案，是网站IPv6升级改造的最终目标，其特点是对网站全系统进行整体升级改造,全部软、硬件设备同时运行IPv4和IPv6两个协议栈，支持对应用户的所有访问。升级双栈需要制定严格的网络升级规划，硬件设备、前后台业务管理系统、数据库系统、网络安全系统、应用系统需支持并启用IPv4/IPv6双协议栈，并对网站代码不能运行IPv6协议栈的部分进行修改。双栈方案是最为彻底的一种网站支持IPv6升级改造技术，升级工作一步到位，永久解决问题。但全系统升级，涉及到软件、硬件、网络、业务管理平台、业务系统、网络安全系统等多系统的协同，同时网站部分代码需要修改，工作量无法准确评估，耗时较长。

浙江农信的IPv6实践

IPv4向IPv6的演进是一个循序渐进的过程，从IPv4演进到IPv4/IPv6双栈再到IPv6的过程当中需要保证数据不丢失，减少业务中断时间。还要确保IPv6环境的高可用、高安全，不出现全局性、大范围业务异常和安全访问控制漏洞。

浙江省农村信用社联合社（简称浙江农信）的信息化建设已有20余年，拥有一个新老并存且庞大的IT系统，在此条件下IPv6改造不能一蹴而就。因此浙江农信针对于信息系统现状，选择了一条相对稳健的路线，分三个阶段完成相关改造工作。第一阶段，对外门户网站满足公众IPv6访问需求，完成开发测试环境的双栈建设工作；第二阶段，试点互联网交易系统满足公众IPv6访问需求，完成生产网络的双栈建设工作；第三阶段，全面推广互联网交易系统双栈改造，满足公众的IPv6访问需求。

1.门户网站的IPv6发布

浙江农信在明确采用NAT64（IPv4/IPv6网络地址转换）实现第一阶段对外门户网站的IPv6发布目标后，对相关基础设施条件进行了摸排，为保证站点IPv6地址的顺利发布，按照生产网的部署架构搭建了1:1的模拟测试环境。测试过程中发现，在无法保证门户网站子域名或外链页面实现IPv6发布的情况下，建议将该页面取消或通过嵌入式页面代理来解决IPv6-only用户在访问时存在的“天窗”现象。

2.通过AAAA解析实现站点域名的IPv6地址发布

测试环境完成门户网站的IPv6地址发布测试工作后，即可开始DNS服务器及域名运营商的IPv6支持能力测试。

由于浙江农信采用的是自建DNS服务器，因此须同时发布IPv4和IPv6两组NS解析记录，并在服务器上做好CNAME域名的AAAA解析配置。如未采用自建DNS服务器，可直接在域名运营商的解析面板上配置AAAA记录，实现站点域名的IPv6地址解析。

需要特别注意的是，互联网用户采用IPv6-only或双栈地址访问站点的时候，会优先采用IPv6地址。根据国家IPv6发展监测平台显示，由于全国90%的移动终端用户已实现了双栈接入。因此，当站点发布AAAA记录时会导致IPv6的用户量突发增长，如采用完全新建IPv6系统环境的路线，则需要提前评估好系统容量后再实施上线。

3.开发测试环境的双栈建设

开发测试环境的双栈建设主要分为如下两大部分。

首先，基础硬件设备。小型机、PC服务器以及网络设备，除少数出厂时间非常早的设备以外，均支持IPv4/IPv6双栈协议。可能存在的问题主要集中在性能以及软件版本对IPv6的特性支持是否完整。浙江农信在开发测试网是通过MP-BGP EVPN方式部署的Vxlan分布式网关，与网络厂商进行数月的测试和软件代码迭代后，将全网设备升级到最终稳定版本，实现了开发测试环境全面支持基于Vxlan分布式网关的双栈部署（如图）。网络安全设备在IPv6的支持上相对较弱，实际投入使用需要特定的软件版本才能实现，在双栈功能的支持上，更是屈指可数。因此浙江农信在网络安全设备的使用上，为了避免双栈功能可能带来的不稳定因素，采用了IPv4和IPv6独立部署的模式。

图  分布式网关双栈

其次，服务器操作系统、数据库及开发软件。服务器操作系统对IPv6的支持与硬件厂商几乎同步，浙江农信在开发测试网针对Windows、Linux、AIX等现网使用的操作系统进行了测试，所有操作系统均支持IPv6地址的配置和通信，且支持同时配置IPv4和IPv6双栈地址。数据库软件在IPv6的支持上主要与版本有关，根据《2018年~2019年全球IPv6支持白皮书》统计，目前数据库支持IPv6的版本如:DB2v10.5、MySQLv5.7.17、Oraclev12.1.0.2等。与数据库软件相同，开发软件在IPv6的支持度上也主要与版本相关，目前开发软件支持IPv6的版本如：Apachev2.4.29、Tomcatv8.5.23、IBMWASv8.5等。

4.交易类互联网生产系统的双栈建设

由于互联网系统普遍遵循WEB、APP、DB三层架构的部署原则，因此对互联网生产系统IPv6改造可采取“由外向内，由简向繁”的方式来实现。

WEB层主要是静态资源，不存在交易逻辑，因此改造难度相对较小，主要考虑通过何种方式实现WEB层IPv6主机与APP层IPv4主机的通信。可以采用两种方式来实现：第一，在WEB层和APP层之间设置NAT64设备，将两层的主机IP通过防火墙做双向地址映射来实现互通。第二，通过在WEB层主机上同时设置IPv6和IPv4的地址实现双栈访问，这样既可实现WEB层主机对外采用IPv6地址，对内又可以通过IPv4地址实现和APP层主机的通信。

APP层主要用于实现交易逻辑、上下游系统及第三方的对接，因此改造难度巨大，除了应用软件和代码本身需要实现IPv6地址的通信，还要考虑上下游系统及第三方同时存在IPv4和IPv6两类地址栈的情况，解决方案与WEB层相同。

DB层的改造主要取决于采用的数据库软件是否支持IPv4和IPv6双栈同时运行，在软件无法支持的情况下可以通过NAT64设备来实现与应用节点的互通。

总之，加快推进IPv6的规模部署已成为金融机构未来的一项重要工作。但对于金融机构而言，其业务系统与基础设施规模庞大，改造工作将面临巨大挑战。面对IPv6改造的难点与挑战，浙江农信严格遵循改造过程中保障业务系统平稳运行的原则，制定合理的改造方案。在安全可控的范围内，逐步推进各系统的改造工作，确保改造后的应用系统业务连续性及安全防护能力均不低于原有水平。