​东风汽车集团IPv6规模部署——东风通信技术有限公司IPv6规模部署和应用案例

一、东风汽车集团IPv6规模部署项目概述

1.1 案例背景

中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》（以下简称《行动计划》）。东风汽车集团（以下简称“东风集团”或“集团”）及所属公司门户网站、公众在线服务窗口、移动APP等平台于2020年底全部支持IPv6访问，同一域名下的二、三级页面IPv6支持度不低于90%。

东风通信技术有限公司（以下简称“东风通信”）在东风集团通信保障、企业IPv6网络/应用升级及建设、工业互联网建设层面主动融入、积极推进，紧跟国家工业互联网发展规划，深入契合东风集团数字化转型事业计划，按照东风宏云（东风通信申报的工信部2018年工业互联网试点示范项目）建设要求，公司成功完成支持IPv6/IPv4双栈协议的视频会议系统、SD-WAN（软件定义广域互联网）、智慧中台、协作云等平台的建设，并配合集团总部两地三中心网络建设。

1.2 案例建设目标

互联网出口资源集中收敛复用；

集团IPv6地址统一规划；

集团统一建设IPv6平台，网络及安全设备复用集约化管理；

具备多层次全要素数据互通和数字化集成的网络服务能力和智能化网络运维管理能力；

支持企业内智能设备、制造系统、生产系统以及多车间、多企业之间网络互联；

具备用户管理、资源管理、安全管理等网络管理能力。

二、案例介绍与特点

2.1 案例介绍

2.1.1 一期网站及网络改造

东风集团于2020年初启动了集团网站IPv6的改造工作。

图1：东风集团IPv6部署实施方案

在进行改造工作时，集团技术部门充分调研并选择适宜的技术改造路线；集团组织厂家研发力量进场调研，认真研究《行动计划》中技术指标并与上级监管部门进行了技术探讨和认证，确认使用了国内先进的IVI过渡技术方案。该方案在不改变官方网站拓扑和架构的基础上，在确保安全的情况下完成IPv6改造。此次进行改造的集团方门户网站全部解决了“天窗”问题和“外链”问题，实现为IPv6用户提供网站全功能应用和服务。

2.1.2 二期视频调度系统

东风集团使用的视频调度系统，支持主流的H323视频协议和SIP视频协议，在通过组织转换厂家进行现场调研，了解需求，筛选难点，捋顺流程，完成了设计初稿。调动转换厂家研发团队进行现场开发，在经过三个月的现场协调与开发后，终于完成了H323协议和SIP协议的IPv6适配和转换，并在视频调度中成功完成了呼叫和接通。在完成研发后，对整个视频转换系统进行了生产部署和调优，并完成了100多个生产会议和线上会议调度任务，顺利达到设计预期目标。

2.2 案例特点

2.2.1 IPv6出口收敛

通过此次IPv6部署与升级改造，计划将集团全网的IPv6出口收敛至集团公司总部，进行IPv6地址的统一规划和部署，切实减少互联网的暴露面和风险点，初步形成了基础设施一张网，资产态势一张图，安全监管一盘棋，至此集团全网统一使用从CNNIC申请的/32地址，统一向外进行地址发布和广播，达到了管理上的一致性，在集团IPv6出口上进行统一安全策略的部署，提高安全性，降低网络威胁。

三、案例经验

3.1 案例可持续性

接入网络的设备与IPv6及标识解析节点应该具有唯一性标识，网络应对接入的设备与IPv6及标识解析节点进行身份认证，保证合法接入和合法连接，对非法设备与标识解析节点的接入行为进行阻断与告警，形成网络可信接入机制。网络接入认证采用基于数字证书的身份认证等机制来实现。

3.2 案例可复制性

本案例部署之初，东风通信与清华大学、CERNET2等科研机构专家进行密切合作，针对工业制造领域产业关联性强、工厂多、24小时不间断生产等特点制定出部署快速便捷、复制性强的方案。在东风集团企业内部网络及应用的改造升级过程中，已形成成熟稳定的产品，并在东风集团不同企业部门进行了部署应用。仅需3个工作日内即可完成部署应用，对原有网络使用及安全不产生影响，能很好地适应多网一终端等复杂的网络环境，具有较强的可复制性。

四、案例成效

4.1 经济效益

东风集团IPv6项目实施，标志着集团工业互联网基础建设迈出第一步，同时起步的还有骨干环网“东风宏云”。对于数量繁多又各自独立的企业网络、各种不同的基础平台、基于工业现场总线多种连接技术共融应用的环境，各大厂商的交换设备具有良好的兼容性，并根据用户网络结构进行无缝对接。同时，基于SD-WAN技术的应用，可满足不同用户的场景需求，可定制化设计和远程配置以及软件定义网络运营管理，通过云网一体和服务器虚拟化等措施，有效提高了服务器资源的利用率，大大加强了项目的可推广性和越来越高的经济效益。

4.2 社会效益

工业互联网以IPv6技术为纽带实现汽车生产内部纵向贯通，实现机器之间、车间之间、工厂之间的信息自动对接，生产形态进一步向网络化协同转变，并引发制造业研发创新体系、生产组织方式和经营管理模式的持续变革；助力汽车行业横向打通，实现汽车行业与其他工业互联网二级节点（金融、环保等）及产业网互联互通，“云+端”的新型生产方式和服务模式逐渐显现，通过汇聚资金、创意、工具等生产要素和资源，推动产业链环节形成网络空间的集聚，达到甚至超越以往地理空间集聚所产生的协同分工效果。

4.3 管理效益

建设覆盖东风集团支持IPv6协议的智能广域网（SD-WAN）管理平台，为东风集团及各板块企业提供更为高效的广域网接入、异地组网服务。对原有骨干环网进行改造，以更低的成本，高效迅捷地搭建集团东风云和各板块数据中心应用，提供企业间高品质专属网络服务。

截至2020年9月，该网络已接入十堰、襄阳、武汉、杭州四地东风相关用户56家，实现了集团层面下属生产环节相关单位网络100%的覆盖。

五、案例亮点与创新性

5.1 技术创新

转换网关支持Full Proxy架构。支持报文的二到七层解析和改写，不但支持三、四层报文包头IP地址的IPv6/IPv4转换，对于HTTP/HTTPS等应用，完全支持包头字段和有效负荷中IP地址的IPv6/IPv4转换，也支持HTTP/HTTPS等应用包头字段和有效负荷中其它内容的改写。

对视频会议主流协议（H323、SIP）等协议全面支持。打通了视频会议IPv6终端与IPv4终端的界限，扩展了视频调度系统应用范围和覆盖广度。

客户端IP地址溯源。对于HTTP/HTTPS应用，支持在HTTP/HTTPS Header中增加字段，插入用户访问端的真实IPv6地址，以方便用户网站统计分析或安全审计，也支持以日志方式记录用户访问端的真实IPv6地址。

解决天窗问题和外链问题。方案解决了官方网站在进行IPv6改造时易出现的天窗留白问题和外链无法打开问题，提升了纯IPv6用户访问官方网站时的体验，并保障了同一域名下二、三级页面的IPv6支持度。

5.2 组织创新（工作队伍，资源整合，机制保障）

本项目由东风集团经营管理部牵头，东风通信技术有限公司、清华大学、CERNET2联合推进实施。由东风通信负责东风集团IPv6地址的申请及东风集团骨干网的IPv6配置和发布，清华大学及CERNET2提供IPv6的互联网出口及IPv6平台的技术支持工作，校企结合有效保障了东风集团IPv6部署的顺利实施。