IPv6在三峡集团互联网站系统中的应用
——中国长江三峡集团有限公司IPv6规模部署和应用案例

1.案例概述

根据国资委《关于做好互联网协议第六版（IPv6）部署应用有关工作的通知》和中国长江三峡集团有限公司（以下简称“三峡集团”）信息化建设要求，三峡集团需在2019年完成集团所属互联网站系统IPv6改造工作。

为顺利完成互联网站系统IPv6改造，三峡集团主要通过NAT64转换技术和逐步试点实现对外网站提供IPv6服务，同时将IPv6应用、网络、主机逐步迁移至纯IPv6网络中进行验证测试，为IPv6大规模部署积累经验。

改造过程中，需要向运营商申请IPv6地址、增加DNSv6服务、部署NAT64设备以及IPv6出口安全设备，从而实现IPv6主机通过IPv6网络安全访问企业web服务器的目的。

1.1 背景

三峡集团互联网站系统采用中科汇联的easySite内容管理系统进行搭建，为了实现对外提供安全、稳定的网站IPv6服务，本次改造的主要内容包括网络改造、系统代码升级、系统部署、测试检验等工作。

1.2 目标

通过对网络基础设施IPv6升级改造、网站系统IPv6软件升级，实现整个网络系统IPv6互联互通、网站系统IPv6应用可达、应用系统安全、稳定和高可用的目的。

2.做法与经验

2.1 IPv6生产环境系统部署

根据系统IPv6改造需求，结合三峡集团网络系统设计及产品选型的标准，按照性能可靠、配置灵活、适应未来发展需要等原则，采用了星型结构、千兆以太网为主干的设计方案，该方案采用第三层交换式万兆以太网技术（Layer-3Switching）、虚网技术（VLAN）构建交换式高速网络平台。网络逻辑拓扑图如下：

改造前后的网络逻辑拓扑图

改造完成后，整体网络为双模方式，分为IPv4网络区域和IPv6网络区域，保持原有IPv4网络区域的网络架构和应用不变，建立新的IPv6试点网络区域，两个区域之间通过NAT64转换设备实现网络互通互访。

互联网站应用系统原来部署在IPv4网络区域，升级后调整至IPv6网络区域。

2.1.1 新增IPv6出口链路

通过申请专线方式接入运营商IPv6网络，实现三峡集团网络IPv6互联网出口，为应用系统提供IPv6链路资源。

2.1.2 升级DNS服务器支持IPv6

对现有DNS服务器进行IPv6升级改造，并对已注册的域名增加一条AAAA记录，满足在IPv6、IPv4环境下分别对不同类型记录的域名解析请求响应。

2.1.3 部署NAT64转换设备

利用NAT64地址转换技术实现IPv6网络到IPv4网络的转换，满足IPv6地址访问请求。对NAT64设备与IPv6、IPv4网络互连的接口分别配置IPv6、IPv4地址，当目的IPv6地址匹配前缀时，数据正常转发并转换为IPv4地址。

2.1.4 内网IPv6试点区域网络搭建

如拓扑图中IPv6区域所示，在试点区域配置IPv6交换机等网络设备，为新建IPv6试点区域提供IPv6网络环境，提供IPv6应用接入和终端接入，为全面IPv6升级做技术储备。

2.1.5 试点终端访问互联网

企业IPv6公网链路部署并获取IPv6地址后，为IPv6终端分配IPv6地址，并将DNS设置为DNSv6服务器地址。IPv6终端通过DNSv6服务器获取需访问域名对应的IPv6地址，然后通过IPv6试点区域中网络设备转发至公网，完成终端对IPv6互联网资源的访问。

已有IPv4终端若需要访问IPv6互联网资源，可将其接入交换机（二层）与IPv6区域汇聚交换机互联，并在终端上配置IPv6地址，将终端IPv6网关设置为IPv6汇聚交换机地址完成内部互联，再为其配置DNSv6服务器地址实现访问IPv6互联网的需求。

2.1.6 IPv6出口安全

升级到IPv6网络后，在IPv6网络与运营商链路互联的边界位置需要安全访问控制、防病毒、防攻击等安全防护措施，作为隔离企业内外网，进行访问控制的安全节点。

2.2 互联网站系统改造

三峡集团互联网站系统采用easySite内容管理平台进行搭建，作为集团统一的网站开发和内容发布系统，针对IPv6进行了代码改造和系统部署配置相关工作。

2.2.1 代码改造

easySite产品在IPv6适配性改造中，针对代码和数据库两方面进行了升级。代码层针对IPv6的识别、理解、应用三个方面进行改造，数据库针对IPv6地址的存储进行改造，包括用户接入模块、系统管理、采编发模块、日志模块、留言板等模块及表的改造，使系统能够全面满足IPv6环境的部署要求。

2.2.2 系统部署配置调整

为保障网站访问不中断，前期系统部署在原IPv4网络区域的生产环境中，采用NAT64设备，实现IPv6到IPv4的转换，后期在IPv6试点区域重新进行系统部署，增加了IPv6监听，为管理网站提供IPv6访问接口，另一方面在Apache web服务器配置IPv6地址，为网站提供IPv6访问。

3.成效与亮点

通过IPv6的升级改造，实现了三峡集团所属的25个网站IPv6可达，网站应用系统安全、稳定运行。