浅谈网站支持IPv6访问的技术路线选择
《推进IPv6规模部署》文件的发布吹响了中国互联网从从IPv4向IPv6升级演进的号角,按照文件制定的路线图和时间表,从2018年到2025年,中国将全面完成向IPv6的演进升级,并建成世界最大的IPv6商业网络,成为全球下一代互联网的领导者。在这8年时间里,IPv4和IPv6网络在中国将长期共存,此消彼长,逐步实现升级换代。
在IPv4、IPv6长期共存的情况下,实现IPv4和IPv6有效互联互通,主要有两种技术方案。
1、IPv4/IPv6双协议栈技术(简称双栈)
双栈是指在网元中同时运行IPv4和IPv6两个协议栈,它既可以接收、处理、收发IPv4的分组,也可以接收、处理、收发IPv6的分组。网站运行IPv4/IPv6双栈,是真正实现了IPv6升级。
图摘自H3C:IPv4单栈和46双栈网络示意
网站升级IPv4/IPv6双栈方案,是网站IPv6升级改造的最终目标,真正实现了两办《部署行动计划》要求的IPv6升级改造。
双栈策略的特点:对网站全系统进行整体升级改造,全部软、硬件设备同时运行IPv4和IPv6两个协议栈,能够同时处理IPv4和IPv6数据包,实现同时支持IPv6和IPv4访问。
双栈升级包括以下方面:
(1)网络层改造:制定IPv6网络升级规划,接入IPv6带宽,获得IPv6地址,制订内部IPv6地址DHCP策略。
(2)设备层改造:所有硬件设备均需支持IPv6,全部开启IPv6协议栈。
(3)业务系统改造:所有前后台业务管理系统、数据库系统、网络安全系统、应用系统,全部启用IPv6协议,支持同时运行IPv4/IPv6双协议栈。
(4)网站代码改造:对网站代码不能运行IPv6协议栈的部分进行修改。(此项工作比较复杂易出错,需要特别慎重)
2、网络地址转换/协议转换技术
IPv4向IPv6演进将存在一个较长的过渡期,在某些特定环境下,直接升级双栈可能存在条件不成熟、系统复杂、耗时较久、宕机风险较大等情况。这时可以采用“地址转换/协议转换”过渡技术,实现网站对IPv6用户访问的支持。
地址转换/协议转换技术的特点是:在IPv4网站外部,挂一台IPv4/IPv6协议转换设备,原有IPv4源站不需修改,权威DNS把IPv6用户的访问请求,解析到转换设备的IPv6地址,转换设备从IPv4源站读取数据,经过协议转换后发送给IPv6用户。
由于技术不断改进,地址/协议转换技术可以实现IPV6主机和IPv4主机之间的95%以上应用的相互通信。(请注意,不是100%)
备注:本图摘自H3C
采用协议转换技术进行IPv6升级,IPv4源站现有的业务系统、网站代码均不需要修改,仅需做好以下三项工作:
(1)网络接入IPv6:网络出口交换机接入IPv6带宽,配置IPv6地址,原有内部IPv4网络架构不改变。
(2)部署转换设备:IPv4源站不变,在网络出口部署1-2台IPv6转换设备(单机或双机热备),给域名配置IPv6地址。
(3)权威DNS启用4A记录:网站权威DNS系统启用AAAA记录,将域名解析到指定IPv6地址。
使用协议转换设备,通常在3个工作日内可以完工。
客观来看,互联网从v4向v6演进过渡期需要5-8年时间,所以地址转换/协议转换过渡技术也将在过渡期内长期存在和使用 。但是最终的结果仍然是升级到IPv4和IPv6双栈。
3、网站支持IPv6升级的技术路线选择
在IPv4/IPv6过渡阶段,网站应根据自身的实际情况、技术团队能力、掌握的资源等情况,实事求是,采取不同的支持IPv6升级策略。
网站支持IPv6访问的技术策略选择:
1、对于技术开发、运维团队实力强,网络安全管控能力较强,预算资金充足的单位,建议采取一步到位整体升级IPv4/IPv6双栈的策略,完成向IPv6的升级改造。
2、对于技术团队实力不足,预算资金不足、现有技术人员对IPv6缺乏经验的企业、机关单位、新闻媒体的网站,建议采取“两步走”的策略,完成IPv6升级改造工作。
所谓“两步走”的技术策略是:
第一步,网站采用“IPv4源站+转换设备”实现支持IPv6访问。由于IPv4网站防护系统已经非常完善,如果发生来自IPv6的网络攻击,只能攻击到转换设备,IPv4源站不会遭受来自IPv6的网络攻击。
第二步,预计2018年底或2019年初,国家新的信息系统安全等级保护制度(IPv6版)将会出台,可以遵循新版信息系统安全等级保护制度的相关规定,各方面准备工作完善之后,合规稳妥升级为IPv4/IPv6双栈。
两步走,就是先上一个台阶,取得阶段性成果,再上一个台阶,实现最终目标。
规模部署IPv6,应用拉动,政府先行,协同推进。2018年-2020年期间,全国的政府、央企、新闻媒体网站、TOP商业ICP网站,都将升级支持IPv6,这是国家部署的任务,也是未来发展的必然趋势。扎扎实实落实各项工作,推进IPv6规模部署,把中国建设成为网络强国,是我们每一个人的责任。
原文作者 :老赵@IPv6头跳