1、背景和目标

2018年3月,国资委下发《关于做好互联网协议第六版(IPv6)部署应用有关工作的通知》,明确要求各中央企业及其下属单位,应在2018年底前,将门户网站和面向公众的在线服务窗口完成IPv6改造,同时应积极推动企业内网等其他网络和应用的IPv6改造。

中国广核集团(以下简称“中广核”)作为央企,在企业网络IPv6改造方面应发挥示范带头作用。根据国资委的统一要求,中广核启动了集团互联网业务系统IPv6改造专项工作,对集团现有的57个门户网站进行IPv6改造。

2、做法和经验

2.1 案例介绍

集团网站群部署现状:集团网站与大部分二级单位网站应用部署在内部的自建机房内,少量二级单位网站部署在公有云上。

在集团互联网出口部署一套IPv6/IPv4应用互通平台及平台管理系统,改造集团外网DNS服务器及相关网络、安全设备,实现中广核集团现有57个门户网站的IPv6升级改造。

2.2 主要实施内容

目前,中广核集团互联网出口为运营商提供的IPv4链路,向公众用户提供门户网站服务。

图1 中广核互联网出口组网现状

本次升级方案为了承载IPv6业务及流量,需对现有的电信、联通运营商的专线链路进行IPv6升级改造,使其支持IPv6/IPv4双栈协议,同时出口交换机开启IPv6/IPv4双栈协议。

图2 互联网出口改造后组网图

2.2.1 建设IPv6/IPv4应用互通平台

建设一套IPv6/IPv4应用互通平台,帮助网站及应用系统向IPv6/IPv4用户提供访问服务,在功能上解决网站外链导致的内容缺失问题(以下简称“天窗问题”),支持智能缓存和内容加速功能,支持DDoS攻击、网络病毒等防范能力,支持网页浏览(HTTP/HTTPS)、邮件(POP3/SMTP)、视频等应用协议;在可靠性上要求所有环节都实现冗余备份;在扩展性上要求采用分布式架构,可以因业务需求随时方便地通过增加处理单元扩展平台的整体处理能力。具体方案如下图所示:

图3 门户网站群IPv6升级方案

IPv6/IPv4应用互通平台,采用基于内容的地址翻译技术,不仅无需修改IPv4源站代码,而且部署灵活,不改变原有网络结构,并且可对文件、图片、视频等内容进行缓存,用户再次访问相同域名时可快速从IPv6/IPv4应用互通平台返回,体验效果更佳。可快速批量完成网站升级,为公众提供IPv6访问服务。该平台能有效解决网站由于引用外部IPv4资源导致的天窗问题,确保IPv6用户的访问体验不低于IPv4用户。

在中广核集团的网络环境中,IPv6/IPv4应用互通平台以旁挂的方式接入IPv6交换机进行部署,IPv6/IPv4应用互通平台的IPv6和IPv4网络接口互相分离独立,IPv6网络接口实现与IPv6用户之间的通信,与IPv6交换机设备相连,而IPv4接口实现与IPv4内容源之间的互通。

网站通过IPv6/IPv4应用互通平台进行升级,IPv6用户访问时,需在DNS域名解析服务增加提供网站对应的AAAA记录,该AAAA记录的IPv6地址指向IPv6/IPv4应用互通平台,网站本身的网络部署和程序构架都无须做任何修改。

当IPv6用户准备访问通过该平台升级的网站时,用户首先向运营商DNS(或自行指定的DNS)查询网站所对应的IP地址,IPv6用户发出的DNS请求类型为AAAA,运营商DNS则从网站授权DNS上获得相应的AAAA记录,并把对应的IPv6地址反馈给用户。该IPv6地址就是平台给网站分配的IPv6地址。IPv6用户向解析回来的IPv6地址发出HTTP请求,该请求被路由到IPv6/IPv4应用互通平台上,平台把从网站同步过来的信息直接反馈给用户,从而帮助网站满足IPv6用户的访问需求,实现网站双栈化的目的。IPv4用户访问IPv6网站时,业务流程与IPv6用户访问IPv4网站的流程类似。

2.2.2 IPv6 DNS域名解析

集团门户网站通过IPv6/IPv4应用互通平台进行IPv6升级,支持用户访问时:

中广核集团内部网站,需在内部网络负载均衡设备的DNS域名服务器增加网站对应的AAAA记录,该AAAA记录的IPv6地址指向IPv6/IPv4应用互通平台地址,网站本身的网络部署和程序架构无须做任何修改。

托管在互联网云平台上的网站,需要在DNS域名服务器增加网站对应的AAAA记录,该AAAA记录的IPv6地址指向IPv6/IPv4应用互通平台地址。

3、成效和亮点

集团门户网站完成IPv6改造后,主要的成效和亮点如下:

●提供门户网站IPv6/IPv4业务平台接入能力。提供纯IPv6、纯IPv4、双栈用户访问能力,且覆盖范围涵盖集团整个网站群。

提供IPv6/IPv4环境下的综合安全防范能力。IPv6环境下的安全策略与IPv4环境保持一致,且支持IPv6环境下的用户溯源查询功能。

用户访问体验一致。纯IPv6、双栈用户与纯IPv4用户访问效果没有差异,解决天窗问题,支持纯IPv6用户的无差别访问。

充分验证了IPv6地址转换技术方案。通过部署IPv6/IPv4应用互通平台,集团外网出口设备未做大的改造,即可实现IPv6改造目标,方案技术成熟、风险小。

提升了运维团队的技术能力。通过对外网网站的IPv6改造,运维团队充分比较了各种IPv6改造方案特点,并在实践中掌握了相关设备的IPv6配置方法,为后续的IPv6深度改造工作储备了技术方案和经验。