运营商网络的IPv6部署与改造——安徽移动IPv6规模部署和应用案例

一、项目背景

2017年，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，具体要求到2025年末，网络、应用和终端全面支持IPv6，开启了IPv6改造的新篇章。安徽移动作为网络运营商，设备种类繁多且数量非常庞大，完成IPv6部署与改造的任务艰巨。

二、技术难点与创新

在实施IPv6部署工作中，面对的最大问题就是部署范围广、改造设备多、技术难度大。为解决这些问题，安徽移动以“典型应用先行、移动固定并举、增量带动存量”为原则，承载先行、支撑系统按需部署，以IPv6地址的编码与规划贯穿全局，在完善编码规范后，实施端管云逐个击破，同步开启客户、承载及云服务的IPv6改造，并辅以IPv6安全管理与质量管控系统，保障IPv6业务质量，完成安徽移动IPv6的部署与改造。

图1 IPv6改造与部署路线

（一）IPv6地址编码规划

IPv6的优势在于它大大地扩展了地址的可用空间，同时也因为IPv6地址相比IPv4地址长度更长，带来了编码规划难度加大的问题。

图2 IPv6地址类型

在进行IPv6地址规划的过程中，安徽移动按照地址用途增加类型标识字段，用来标识区分网络地址与用户地址。网络地址设置网络及专业标识，用于区分省公司不同的网络及专业。为了满足对用户地址的监管要求，用户地址和网络地址采用不同的规划方式，将用户地址分为生活消费和政务生产两大类。生活消费类用户地址增加区县标识，在地址规划中嵌入8比特区县编码，实现了生活消费类用户地址细分到区县，根据用户的地址就可以判断用户的区县归属。

（二）终端与客户侧改造

在新入网用户中，均采用了具备IPv6功能的家庭网关，同时完成所有可远程升级家庭网关的IPv6升级，对不可远程升级的家庭网关，也均通过上门维护等方式完成了IPv6改造。

图3 IPv6全息转换技术

互联网客户的网站之间往往会进行相互引用，简单的IPv6双栈或代理技术往往会带来“天窗”效应，影响用户访问体验，而如果进行全部网络与代码改造，改造工作量大、改造周期长、投入资金多。安徽移动推出IPv6全息转换技术，极大简化客户改造及配置工作量，以“零部署、零配置”方式无需客户端及网站侧做任何改造及配置，即可快速提供IPv6应用服务，同时完美解决“天窗”问题，帮助客户快速完成IPv6改造。

（三）承载与业务系统改造

安徽移动承载了三千多万手机及一千多万固网用户，网络体量异常庞大，拥有路由器、交换机等各类网元共两万多台，在实现IPv6部署目标基础上，需保证对业务影响最小且尽可能利用现网设备以降低投资。

图4 安徽移动网络总架构

在改造的过程中，安徽移动以实施移动网络升级换代和固定网络光纤到户为契机，稳步推进DNS、RADIUS业务系统改造，同步提高用户上网质量，提升用户满意度。

图5 DNS双栈用户请求类型

图6 用户发起AAAA DNS请求流程

由于改造后实际的网络仍处于过渡阶段，即IPv4和IPv6共存，IPv6资源依然较少，为提升双栈用户访问感知，安徽移动使用以下技术方案：首先是由于过渡阶段中，大部分域名无对应IPv6资源，为提升双栈用户访问感知，将无AAAA解析结果的域名通过强制不递归方式规避用户的递归查询请求，以减少双栈用户递归域名等待时间，降低系统递归负荷，提升用户感知。

（四）云平台改造

云平台基础设施IPv6改造技术复杂且工作量庞大，涉及大量网络设备，云软件及安全设备等。

图7 云平台IPv6接入方式

针对云平台基础设施改造技术复杂的各类情况，安徽移动首先完成了硬件设备的升级，使得云平台各类软硬件网元具备IPv4/IPv6双栈能力。针对网络及业务地址规划事项，按照安徽移动IPv6地址分配规范，按照云平台归属及地理位置，将地址段切换为网络及业务两类地址，按照96位地址规划分配租户地址。针对存量改造，协同客户搭建云产品测试环境，验证改造方案可行性及安全性，并以此进一步优化升级方案，提高升级效率。

（五）IPv6系统支撑

1.安全管理

IPv6地址空间的扩大，一部分基于扫描的安全威胁得到缓解，无论是互联网还是内网，大规模的穷举扫描实现起来非常困难，这也间接增加了蠕虫病毒扩散的难度。但对于大多数针对网络层的攻击，例如DDoS攻击，IPv6并没有解决。

图8 IPv6 DDoS攻击示意图

在IPv6DDoS攻击防护中，安徽移动首先完成了对现有抗DDoS攻击设备的评估，对部分不支持直接IPv6升级的设备完成了替换，可实现双栈流量同时检测，起到监控预警作用，并部署了更强的流量清洗能力，自动判断IP类型，可支持海量IPv6地址的安全防御和DDoS清洗。

2.质量管控

安徽移动建设了IPv6专用质量管控系统，综合IPv6业务端到端各项数据，分析IPv6业务流量、质量变化，通过系统挖掘IPv6端到端全流程的质量问题，推动解决IPv6终端、网络、业务平台等之间适配性问题，保障IPv6用户业务质量，同时支撑异常问题快速定位，IPv6故障处理平均时长由6小时缩短至1.5小时，提高了IPv6故障处置效率，加强用户感知。

三、建设成果

截至目前，安徽移动完成了所有网络设施的IPv6改造，全部设备与云产品均支持IPv6，IPv6服务的可用域达到全部IPv4可用域数量的50%以上，地址容量得到极大提升，大大拓展了互联网业务发展空间，并为全国范围内的互联网客户提供IPv4/IPv6双栈专线、IPv6单栈专线、IPv6代播等多种业务，对IPv6单栈专线开通给予了九五折资费优惠，全力助力IPv6业务发展，提升中国互联网的健壮性和安全性。安徽移动开展了IPv6质量告警监控，完成了两百多台IPv6探针部署，通过对各类网站开展双栈拨测分析，确保了IPv6网络质量与IPv4持平，网络抖动保持在0.01%以下。