1 案例概述
1.1 背景
在5G技术与IOT业务高速发展的今天,万物互联已经成为趋势,对应需要的海量网络地址,低开销网络通信能力成为系统支撑的关键。
政策层面要求
国务院——推进互联网协议第六版(IPv6)规模部署行动计划
推动企业完成IPv6改造,新上线和新版本的移动互联网应用必须支持IPv6。在IPv4/IPv6双栈连接的情况下,上述应用均需优先采用IPv6连接访问。
集团——关于做好IPv6规模部署支撑改造工作通知
完成BOSS等业务支撑系统改造,支持IPv6用户的受理、开通、运行维护等能力;完成网上营业厅等面向公众用户的互联网应用及其系统服务器升级改造。
业务层面要求
大量的终端设备联网产生了大量的地址需求,使用传统NAT的方式无法支持新的5G及物联网应用。
1.2 目标
2 做法与经验
2.1 案例介绍
在接到IPv6升级改造工作要求后,上海公司组织技术专家,全面评估业务支撑系统、网络架构的现状,并积极投入到IPv6的专项改造工作中。
网络侧改造:升级应用防火墙设备、负载均衡、交换机设备,支撑IPv6业务数据处理。
平台侧改造:对资源池、中间件平台进行配置改造,实现IPv6数据请求功能。
业务支撑网系统改造:对近60余个系统从设备接口层、应用访问层两个维度入手,深入分析改造范围,重点关注网厅、掌上APP系统建设,保证用户使用感知。
数据统计改造:对IPv6活跃用户进行统计,评估系统改造效果。
通过这些维度的改造,形成了整体架构上的优化,全面支撑IPv6业务的开展。
2.2 架构设计
上海公司业务支撑系统架构IPv6改造主要从网络拓扑着手,重点调整负载均衡、交换机设备,支撑IPv6业务数据处理;更换应用防火墙,支撑IPv6安全防护,其整体架构图如下:
现有架构中,外部应用访问请求从核心交换机进入后,通过应用防火墙判研后,由负载均衡设备将请求转发至对应主机,对于进入内网访问的数据,需经过华为防火墙,调用内网IPv4的业务接口。
改造一:升级公网出口核心交换机设备
目前上海公司DMZ区域出口设备使用了思科N5K设备,对其配置,支撑IPv6业务访问
改造二:更换负载均衡设备
对现有公网出口负载均衡设备进行更换,具备IPv6业务解析能力
改造三:更换应用防火墙
更换应用防火墙,具备IPv6数据安全防护功能。
2.3 实施方案
在硬件方案升级后,外部已具备接收IPv6数据访问,对用户访问系统的改造主要从两方面开展:
平台升级--中间件
在DMZ区域内,各类应用系统以云化与非云化架构存在,需做以下对应改造来实现IPv6协议在客户交互流程中的应用。
WEB容器联调:大多的web容器需进行相应的配置以及联调测试。
登录认证改造:对应系统的登录模块需要改造以识别IPv6地址,同步支持IPv4地址的识别。
日志模块改造:用户在平台上的访问交互包含IP地址数据都要实时写入系统日志文件,针对日志模块功能进行改造,支持兼容IPv6/IPv4地址数据记录。
外围系统联调:对各系统内部的后台进程进行改造,支撑系统间以IPv6协议进行交互,同步保持对IPv4的支持。
上海公司主要采用了BES的中间件产品,对用户访问的系统涉及的中间件均进行了升级,具备IPv6业务的解析能力。
平台升级-资源池
在仔细分析了系统承载的资源池平台后,对Vmware资源池进行IPv6的传输协议配置,需要在物理主机上开启IPv6的开关,并重启主机,并对具体访问的应用主机上配置双IP地址。
系统升级
针对DMZ区域内系统现状,结合系统间的IPv4协议交互模式,形成了两大类改造方案,客户交互层面改造方案与设备接口层面改造方案;
客户交互层面改造:针对云化系统架构与非云化系统架构,形成以下两种改造方案。
方案一:
方案二:
改造系统范围举例如下,主要分为电子渠道(用户访问系统)与内部系统。
3 成效与亮点
实施IPv6改造的一年来,在不影响用户访问体验的前提下,LTE活跃用户数、家宽活跃用户数、电子渠道IPv6活跃用户数有了显著增长。
以掌厅APP为例,近两月用户登录量在6675万左右,IPv6访问用户数稳定在45%左右。
以网上营业厅为例,近两月登录量近11万,其中IPv6用户占比近20%。
目前整体上,每月LTE IPv6活跃用户数已达到1574万,分配了1660万个IPv6地址数,家宽类IPv6活跃用户数228.8万。
PC版