互联网应用系统及基础设施IPv6改造和实践——中国建设银行股份有限公司IPv6规模部署和应用案例

一、案例概述

1.1背景

2019年1月，中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布的《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》，提出初期试点、规模推广、持续建设三步走改造战略，指导金融行业IPv6规模部署工作稳步有序推进。IPv6改造是落实网络强国战略的重要组成部分，中国建设银行（以下简称“建行”）领导高度重视，成立专项工作推进组、落实资金和人才资源，在多部门协同下，超额完成监管要求。截至2020年底，不仅完成所有面向公众服务的互联网应用系统改造，非面向公众服务系统IPv6改造也全部完成，改造系统数量和域名规模位居金融行业前列。

1.2目标

IPv6改造不仅仅是网络协议的改变，而是涉及整体IT架构的重建，建行从基础架构、平台服务、应用系统、安全管控、统一运维五个维度统筹规划，推进IPv6改造，整体IT架构改造示意图如图1所示。

图1 IPv6改造架构图

IPv6改造按照专项事项推进，改造目标如下：

1、完成应用系统改造，完成所有互联网应用系统及相关联内部系统改造。

2、完成基础架构改造，基础设施是IPv6改造的先行条件，需要优先完成改造，满足平台、应用等IPv6接入要求。

3、完成平台服务改造，完成云计算、大数据、人工智能等平台级服务改造，满足IPv6资源供给及服务调用。

4、完成安全管控改造，完成抗DDOS防护系统、蜜罐、WAF、安全封禁等安全系统改造，完成互联网技术栈相关安全产品改造。

5、完成统一运维改造，完成商业技术栈云管理平台和互联网技术栈云管理平台改造，满足商业技术栈系统、互联网技术栈租户的IPv6业务需求，提高互联网服务能力，增强客户粘性。

二、做法与经验

2.1选择双栈改造技术，基础设施一步到位

常用的IPv6改造技术有三种：双栈技术、隧道技术和翻译转换，为了更好地支持后续IPv6业务价值的发掘和利用，根据改造原则及策略，建行确定使用IPv6/IPv4双栈技术方案。IT基础设施所有软硬件设备均改造为双栈设备，同时处理IPv4和IPv6业务数据。

2.2制定合理的改造原则及策略，控制安全风险

IPv6改造遵循的原则：保障业务质量、确保过渡安全、选择通用技术、控制改造成本。

2.3统筹安排，推进IPv6整体规划设计

IPv6演进规划主要包含：架构演进方案，根据IPv6网络演进的技术及时间要求，总结适合建行的技术方案及演进策略；IPv6地址规划，根据需求分析，参考业界趋势，输出建行IPv6地址规划方案，并形成全行统一的分配规范。

2.4总结经验，形成应用IPv6改造参考规范

为持续推进后期应用系统IPv6的改造，支持应用系统IPv4和IPv6的双栈运行能力，总结互联网系统改造经验，形成统一开发指导规范。

2.5投产管控，支持IPv6业务灰度发布

为有效控制IPv6投产风险，缩小故障影响范围，建行采用技术和计划两种手段进行安全管控，技术上通过智能DNS调优调度策略，针对重要系统、重要域名采用分地域、分省市、分运营商的灰度发布策略，计划上遵循测试、试点、推广三步走实现应用系统IPv6服务平滑释放。

2.6数据挖掘，发挥智能探针分析能力

建行通过智能探针针对互联网流量，通过域名、运营商、客户端类型等不同维度，持续统计分析监控，实时掌握互联网IPv6/IPv4流量占比和变化趋势，为后续其他应用部署提供流量模型和性能容量管理依据。

2.7提升客户体验，CDN服务支持IPv6

为持续提升建行面向公共服务的IPv6服务能力，提升客户访问体验，在阿里云等CDN厂商的大力支持下，实现客户端、边缘服务节点、源站全部支持IPv6，建行IPv6服务能力得到端到端保障。

三、成效与亮点

目前，建行已全面完成互联网IPv6改造与规模部署工作，正在全面推进企业内部网络和应用IPv6改造推广工作，主要成果如下：

建行所有互联网应用系统全部支持IPv6服务，改造系统近百个，涉及域名450多个，整体投产完成率100%，超额完成中国人民银行监管要求。在中国人民银行组织金融行业改造情况排名中位列总分第一名。

图2 金融行业IPv6改造情况

完成运营商互联网接入线路与基础设施的IPv6改造，可同时承载IPv6/IPv4访问流量，实现线路、设备高可用。其中BGP互联网接入线路AS号和公网IP地址是向中国互联网络信息中心（CNNIC）申请建行专属AS号和IP地址，可实现公网IP地址自主控制、精细化流量调度。

完成互联网域名解析系统基础设施改造，并为建行所有面向公众服务的互联网应用提供了IPv6域名解析服务。建行IPv6权威域名解析服务器完成了相关注册并对外提供服务，具备完整的IPv6互联网域名授权体系。

完成建行云版本升级，支持IPv6互联网连接访问，具备IPv6承载能力。

完成IPv6高阶规划设计，以现状调研及需求分析为基础，结合IPv6在金融、互联网行业的部署案例，为建行IPv6网络改造提供全局性地址规划方案及网络演进方案。

四、总结

IPv6改造工作任重道远，在总行领导的高度重视下，在总分行、运营数据中心和建信金科各子公司支持协作下顺利完成，克服了诸多困难，在确保现有IPv4应用安全稳定运行的前提下，实现IPv6应用平稳上线。建行始终以落实国家战略为使命，始终坚持先试先行，不断积累经验，继续推进建行未来的IPv6部署，为下一代互联网在经济金融领域的发展和应用贡献自己的力量。