一、案例概述

1.1改造背景

为加快推进基于互联网协议第六版(IPv6)的规模部署,促进互联网演进升级和健康创新发展,中国移动集团公司组织编制了《中国移动2020年IPv6规模部署工作方案》,北京公司积极响应中办、国办、集团公司的要求,深入了解网站、App的IPv6改造技术并组织专项讨论,逐步明确IPv6的网络改造涉及范围、技术实现方案及可行性,制定了详细的IPv6改造部署方案,以确保IPv6改造工程顺利落地。

1.2改造目标

中国移动北京公司涉及改造的网站、App包括北京移动手机营业厅、云商盟、和粉俱乐部、乐活App、集团业务管理平台等,涉及多部门多专业。在多方努力下,2020年11月底,完成全部自营网站、应用的IPv6改造,其各级内部链接及内部资源100%支持IPv6并优先通过IPv6访问;全部网站二级、三级链接的IPv6浓度达100%(剔除外链),App的IPv6浓度达90%以上(大幅超过考核要求的60%),顺利完成改造任务,更好地支撑业务办理和运营活动中高并发的需要,具备面向公众客户和内部用户提供IPv6接入服务的网络能力。

二、做法与经验

2.1采用IPv4/IPv6双栈模式

通常IPv6改造方案有三种:使用IPv4/IPv6转换;保留现有IPv4环境,重新搭建一套IPv6环境;在现有IPv4环境下进行IPv4/IPv6双栈改造。北京移动各部门结合目前系统现状,进行了多次技术方案沟通和研讨,经过对改造成本、改造时间、系统稳定性、业务连续性等多方面评估,最终确定采用IPv4/IPv6双栈的技术方案。

在基于IPv4/IPv6双栈模式实施IPv6网络改造时,需要提前摸清当前IPv4网络与安全基础架构中,设备的性能及软件的版本是否足以支撑IPv6流量的传输与安全,需要统筹考虑网络与流量清洗、互联网接入线路、负载均衡设备、防火墙、交换机、DNS解析等,使用智能DNS对IPv6站点状态进行探测,为客户端交付最优IPv6服务地址。

2.2基于云平台部署模式

北京移动和粉俱乐部网站、和粉俱乐部App、乐活App、手机营业厅、云商盟、集团业务管理平台等均由北京移动信息部私有云承载。基于现有云平台强大的计算能力、存储能力、多样化的服务以及高性价比,各类网站、App均在云平台进行IPv6迁移。

合理规划云资源。按照现有系统物理架构、软件架构、应用部署结构,根据现有服务器和云平台服务器处理性能对应关系,规划出需要的服务器规则和数量,区分DMZ、核心区,门户web请求、静态页面访问和需要访问外网的应用程序均放置到DMZ区,数据库不需要访问外网的应用或者任务统一放置到核心区服务器。

网络出口改造。网络出口部署NAT64设备,只需要出口设备和NAT设备支持双栈协议即可。增加AAAA记录,增加IPv6解析服务器及在相关硬件完整的IPv6 GLSB智能引导。通过互联网接入区改造实现IPv6,对目前已有的IPv4网络和应用无需任何改动,迁移过程平滑,无需断网。

客户端改造。主要内容是iOS和Android系统API及相应的流程修改,实现对所处网络环境的判定。改造完成后,各类终端通过IPv4/IPv6同时存在的网络下访问客户端,可以动态切换优先级,保证向用户正常提供服务。

应用系统改造。业务平台和运管平台进行相应改造,对业务逻辑中使用IP地址作为参数和数据存储的地方修改为支持IPv6地址,对运管平台中运营位对应配置的地址以及数据库中存储地址进行修改。

IPv6改造后的网络架构图

IPv6改造后的部署架构图

通过POC(概念验证)验证方案。现网的各类网络与安全产品可能存在不能完整支持IPv6协议的情况,IPv6网络改造方案需要通过POC的方式,在实际的网络环境中进行IPv6相关兼容性测试论证,并对测试发现的问题进行分析,根据不同的情况,对网络与安全设备进行软件升级或者直接更新设备,以达成IPv6支持最理想的状况。

2.3闭环管理等机制保障

从源头管控,闭环管理。从源头抓起,要求各部门对不支持IPv6的链接严控上线,做好自查。集成中心牵头,网信安配合,对自有网站域名报备环节进行管控,相关要求加入报备资料中:网站域名备案时要出示包含4A记录的证明材料。网站运行中新增链接(北京移动内部链接以及外部链接)均需支持IPv6,如果被检测出来不支持IPv6,均按照下线处理。

三、成效与亮点

顺利达成2020年考核目标。经过IPv6改造,北京移动和粉俱乐部网站、和粉俱乐部App、乐活App、手机营业厅、云商盟、集团业务管理平台等均支持IPv6用户访问;经过IPv6浓度专项提升工作,涉及网站的二、三级链接均100%支持IPv6用户访问;涉及App所有内部页面均100%支持IPv6用户访问;涉及App的IPv6平均浓度均保持在90%以上,远超考核要求的60%。

增强业务部署灵活性。北京公司涉及改造的网站、App均采用云平台承载,消除了IP地址资源的限制和影响,提供了充足的地址资源。当系统请求量较大时或者较小时,都能够充分使用云平台的动态服务伸缩管理,动态增减服务器的数量,来快速支撑不同业务时期的不同业务量。

为用户提供更好的IPv6体验。北京移动手机营业厅和云商盟在2019年11月份完成IPv6改造,同步发布了支持IPv6访问的App版本,在图标上标注了支持IPv6访问,并对全量用户(手机营业厅1800万用户、云商盟4万用户)开启,业务运行稳定。IPv6技术具有更高的网络报文转发效率与更强的安全性,通过IPv6改造为用户提供更好的使用体验。