​中国海油网络IPv6改造——中国海洋石油集团有限公司IPv6规模部署和应用案例

1.案例概述

1.1 背景

中国海洋石油集团有限公司（以下简称“中国海油”）作为中国国务院国有资产监督管理委员会直属的特大型国有企业（中央企业），是一家以油气勘探开发、专业技术服务、炼化销售及化肥、天然气及发电、金融服务、新能源等六大业务板块为核心的主业突出、产业链完整的国际能源公司，属于国家IPv6规模部署工作要求的重点改造单位之一。2017年，集团领导高度重视IPv6建设部署工作，指导并督促集团信息技术中心并联合业内专家统筹规划全集团IPv6部署工作。

1.2 目标

中国海油网络IPv6改造的目标是指导建成覆盖中国海油所有业务板块的低延时、高可靠、广覆盖的生产网络基础设施，规模应用IPv6技术，为中国海油生产业务提供庞大的网络地址空间和数据传输通道，满足中国海油业务发展需要。同时紧跟国家政策要求，加快推动IPv6技术在中国海油规模部署，积极履行国家对央企到2025年三个阶段的工作要求。

2.做法与经验

2.1 IPv6网络演进路线

中国海油IPv6网络演进分为三个阶段。

IPv6试点阶段：聚焦互联网、对外公众服务，进行IPv6改造，同时选择总部作为试点园区，优先打通到数据中心测试区IPv6通路，为后续IPv6应用上线做准备。

IPv6规模部署阶段：聚焦数据中心网络、广域网络、园区网、内部应用，进行全网IPv6的互联互通改造。

IPv6深度改造阶段：完成IPv6网络及应用的规模部署，应用深度改造，IPv6应用于生产领域，IPv6平台化、全面化。

2.2 IPv6整网迁移过程

中国海油网络IPv6改造实施组制定集团IPv6整网迁移计划并按计划分步实施。

一是门户网站及对公众服务在线窗口完成IPv6改造，满足国家政策要求。

二是广域网改造，为接入的集团各级单位提供IPv6互通基础。

三是选择试点园区及数据中心测试区试点应用进行IPv6改造，打通园区用户到测试区IPv6通道，积累改造经验。

四是各应用逐步完成IPv6改造，子公司园区网全面进行IPv6改造。园区用户与内部应用系统实现全面的IPv6互访。

2.3 改造内容

2018年：完成集团门户网站改造70%。门户网站二、三级页面改造通过国资委检测平台检测，IPv6支持率达到70%。

2019年：完成全网互联网出口IPv6改造及集团门户网站二、三级页面深度改造，页面IPv6支持率90%以上。

2021年：完成集团门户网站改造100%，部分完成广域网IPv6改造，北京和上海“两地三中心”核心骨干环网IPv6改造；从APNIC申请/30的地址，完成全网IPv6地址规划。

2023年：全面完成互联网升级改造，完成部分广域网出口改造，在具备条件的局域网、园区网进行深度改造。

2025年：全面完成集团从内网到外网及90%以上办公和生产应用的IPv6化。

2.3.1 门户网站、对公众服务在线窗口改造

实现集团及所属公司10个门户网站、4个公众在线服务窗口全部支持IPv6访问。通过使用反向代理技术及NAT64转换技术，全面梳理优化网站数据及内外部链接，经过IPv6检测平台自测，同一域名下的二、三级页面IPv6支持度达到100%。

完成“重大危险源、隐患、应急资源系统”生产管理信息系统IPv6改造。通过开展互联网DMZ业务区网络IPv6/IPv4双栈改造以及系统底层源代码二次开发，实现该系统全面支持IPv6访问。

完成面向公众的“海油商城”“海油物流”移动APP的IPv6改造，APP客户端采用源代码二次开发、APP服务端采用NAT64转换技术，快速实现APP对外提供IPv6访问服务。

2.3.2 互联网出口改造

完成集团全国范围内5个数据中心互联网出口网络架构IPv6改造，互联网出口IPv6/IPv4双栈并行，具备IPv6支持能力。

2.3.3 广域网、数据中心改造

完成部分广域网、数据中心IPv6改造。改造范围：云资源池及数据中心出口、数据中心网络基础设施、数据中心安全设备。

2.4 “十四五”期间改造计划

2.4.1 2021年改造计划

广域网IPv6改造：构建新一代广域网络，替换不支持SRv6的现网设备，通过SRv6承载双栈流量。实现总部、海南、湛江节点间的SRv6隧道建立，少量VPN业务试点。

2.4.2 2022年改造计划

内部应用IPv6服务上线：内部应用经改造和测试，正式上线部署到数据中心的业务区。

2.4.3 2023-2025年改造计划

IPv6网络及应用的规模部署，应用深度改造。

IPv6应用于生产领域。

IPv6平台化、全面化。

3.成效与亮点

3.1 成效

自2017年年底以来，在集团顶层规划设计指导下，稳步落实IPv6内部网络和应用改造工作，截止到2021年6月已实现：

一、地址申请与分配方面：向IPNIC申请/30的IPv6地址，完成地址规划与分配，借助IPv6地址管理系统进行地址动态分配、管理、回收等工作。

二、网络改造方面：全面完成互联网出口IPv6改造，实现IPv6/IPv4双栈并行，具备IPv6底层支持能力。同步开展广域网网络架构调整，为IPv6高效、经济改造和规模应用提供基础。

三、应用改造方面：实现中国海油集团门户网站及公众在线服务窗口均支持IPv6访问，且同一域名下的二、三级页面IPv6支持度达100%。

四、客户端改造方面：完成“海油商城”、“海油物流”、“海油行”三个面向公众的移动APP的IPv6改造工作，实现APP面向公众提供IPv6访问服务，目前移动APP的IPv6业务已上线。

五、IPv6网络安全建设方面：深入落实网络安全防护有关管理规定，增加IPv6出口入侵防御等功能，进一步完善IPv6环境下网络安全保障工作。

3.2 亮点

亮点一：集团领导高度重视，提供强劲资源保障

中国海油成立以公司领导为组长的IPv6领导小组，统筹部署，压实责任，做好资金保障，强化规范管理，为推动IPv6改造工作持续平稳高效开展提供强劲支持。

亮点二：顶层规划，选取最优方案

完善顶层规划，以全局视角考虑IPv6应用和改造需求，充分考虑方案先进性、可行性、经济性，工作方案设计全面、合理，有效指导各部分改造工作。

亮点三：平滑演进，完成IPv6迁移

集团内部业务系统情况复杂，基于优先保障业务体验前提，全面考虑改造工作涉及的各个方面及其影响，遵循递进式推进与增量式推进相结合的方式逐步落实IPv6改造工作，逐步推动集团网络从IPv4单栈到双栈，最终平滑、持续演进到IPv6单栈，实现业务无感知改造。