一、案例概述

(一)项目背景

中国中化控股有限责任公司(以下简称“中国中化”)全面落实中办、国办印发的《推进互联网协议第六版(IPv6)规模部署行动计划》要求,按照国资委《关于做好互联网协议第六版(IPv6)部署应用有关工作的通知》和《关于做好2019年中央企业互联网协议第六版(IPv6)部署应用有关工作的通知》要求,积极开展IPv6应用部署工作,将基于云计算架构的轻量级IPv6改造项目列入2019年公司网信重点工作,成立工作组,安排专项预算,开展项目建设工作。

(二)项目建设目标

1.完成公司网站群IPv6改造,并全部迁移至新建IPv6网站群系统中,新建IPv6网站群网页防篡改、网站云防护等安全防护机制。

2.基于云计算架构构建IPv6试点网络区域,与公司现有IPv4网络实现互联互通。在IPv6试点网络区域部署云安全防护体系,达到网络安全等保三级要求。

3.根据IPv6试点网络区域建设经验,依托公司网络改造项目,大力推进网络基础设施及链路升级,以点带面全面开展公司网络IPv6改造工作。

项目实施目标

二、做法与经验

中国中化网络安全与信息化领导小组高度重视公司IPv6规模部署网络试点改造工作,责成公司网信办成立专项工作组,由总部数字化部牵头,小组成员包括中化IT公司及各单位相关人员,工作组广泛开展内部协同,协调各方资源,共同推进项目实施工作。

为确保公司网络IPv6改造方案的合理性及先进性,工作组结合企业实际,与外部专家一同深入研讨技术方案,论证方案可行性、合理性、可靠性和先进性,对比分析多种IPv6实现技术,从代码重构、配置变更、运维工作量、网络连通性、系统稳定性等关键要素考量,最终采用基于云计算架构的轻量级IPv6改造方案。该方案能够将虚拟计算和存储资源整合到同一个系统平台,资源统一管理,扩展能力强,并与公司IPv4网络互联互通,能够充分满足公司IPv6网站群运行及未来信息化发展需求。

在IPv6网站群改造中,工作组深入分析现有网站群应用架构,组织专业人员对总部及各单位所属60个网站进行IPv6改造和验证,将改造后的网站群迁移到试点区域,实现IPv4和IPv6双向接入,实现公司网站群对外提供IPv6访问服务。

为加强IPv6试点网络区域安全防护,工作组按照公司网络安全建设技术标准,将网络划分为DMZ区、应用服务区、管理运维区等不同安全区域,通过边界安全设备进行区域间隔离和访问限制。在DMZ区综合部署防火墙、WAF、IDS、IPS、APT等网络安全防护系统,在网站群系统中部署网站防篡改、网站云防护等安全防护机制,使新建IPv6网络区域及IPv6网站群系统满足网络安全等保三级要求。

试点区域网络架构

在IPv6试点网络区域建设成功的经验基础上,以公司网络汇聚工程项目为契机,将IPv6规模部署工作在公司内全面铺开。公司网络汇聚工程项目采用SD-WAN、专线进行互联网出口集中,将中国中化公司总部、直管单位、二级单位及下属各单位在国内的611个互联网出口精简为2个出口,同时建设互联网出口DMZ区IPv6,全面支持IPv6/IPv4双栈,既保障与原有IPv4单栈网络的互联互通,又能够从IPv4单栈到IPv6/IPv4双栈平滑切换,彻底解决公司网络IP地址不够用的问题。公司网络汇聚工程项目于2020年荣获中央企业“新基建”网络安全优秀综合解决方案奖项。

按照公司制定IPv6改造统一规划要求,目前正逐步开展基础设施及链路更新工作,满足公司网络及业务应用对IPv6/IPv4双栈需求。如公司在2021年实施的中化私有云建设及办公网优化升级改造项目,所有设备均支持双栈配置,支持业务系统在IPv6网络中运行,为公司IPv6规模部署奠定良好基础。

三、成效与亮点

中国中化严格遵照国资委的统一要求和行动计划,认真规划和组织实施,制定符合企业自身实际、科学准确、切实可行的实施方案,保证IPv6规模部署工作高效有序开展,取得主要成效如下。

1.建立IPv6部署组织保障机制,制定公司网络IPv6规模部署统一规划,逐年实施,从根本上解决公司网络地址资源紧张问题,满足未来应用系统大规模建设需求。

2.构建公司IPv6网络试点区域,启用IPv6/IPv4双栈,建立IPv6域名解析服务,完成公司网站群IPv6改造,实现对外提供IPv6访问服务,提高IPv6试点区域网络安全防护能力,满足等保三级要求。

3.通过IPv6试点部署积累改造经验,明确技术路线,指导后续开展IPv6规模部署工作。