IPv6技术研究与规模部署——中国工商银行IPv6规模部署和应用案例

1.案例概述

1.1 背景

2019年1月，中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》，指导金融行业IPv6规模部署工作稳步有序推进。中国工商银行（以下简称“工行”）积极响应监管机构要求，启动IPv6规模部署工作。

1.2 目标

总体目标是完成工行所有面向公众服务的互联网应用的IPv6改造工作，具体分两阶段推进：

第一阶段：2019年，完成集团及分支机构门户和用户规模排名首位的“手机银行”APP应用的IPv6改造。

第二阶段：2020年，按整体工程计划继续分阶段完成剩余互联网应用的IPv6部署。

2.IPv6规模部署实施概况

2.1 加强组织领导，夯实主体责任

工行总行成立了IPv6规模部署专项工作领导小组，同时组织各中心组建了工程实施团队。在领导小组的统筹领导和各实施单位的密切协同下，全行IPv6规模部署各项工作快速有序推进。

2.2 明确双栈技术路线

工行作为银行业示范机构，理应对双栈技术方案进行充分实践，探索方案难点，为同业提供借鉴；同时，IPv6改造应着眼于业务价值的创造，而实现双栈改造可以更好地支持后续IPv6业务价值的发掘和利用。

基于上述考虑，工行确定所有互联网应用的改造均采用“一步到位”的IPv6/IPv4双栈技术。整体工程实施按照互联网接入环境、服务器区域基础设施、互联网应用、安全系统和运维管理系统五个维度并行推进，示意如图一。

图一 工商银行IPv6规模部署方案

2.3 加强人才队伍建设

工行主要采用专业培训和实践历练相结合的方式进行人才培养。

培训方面，一是选派人员参加专业技术培训班，提升IPv6专业知识储备。二是开展全行集中培训，邀请内外部专家就IPv6技术进行专题授课。三是各相关机构内部分别组织IPv6专题培训和技术交流。

实践方面，倡导工程实施团队进行内部专业协作，重点通过前移和投产支持等手段促进研发、测试、运维各团队相互学习，提升团队整体能力。

2.4 多措并举保障安全生产

为在IPv6工程实施过程中坚守“安全生产”底线，工行采取了如下四方面措施，保障工程实施过程中平稳有序。

一是遵循灰度原则投产，针对各应用上线双栈服务，通常按一次试点+两次推广完成。

二是制定专门的“标准技术测试方案”，指导各应用测试团队充分验证业务可用性，进而识别应用间IPv6单栈的依赖关系，有效保障应用版本的改造质量。

三是以“实现分钟级快速回退到IPv4单栈运行”为目标，制定周密应急预案。

四是推动安全和运维监控管理系统在双栈业务上线前完成IPv6适配改造，确保双栈基础设施和应用的安全及运维管理能力不低于IPv4环境。

3.IPv6规模部署成效与经验

2017年工行推出IPv6国际化门户网站，成为国内首家应用IPv6网络对外提供服务的大型金融机构。2020年10月工行完成包括手机银行、融e联等在内的面向公众服务互联网应用的IPv6改造，实现应改尽改。根据对应用访问情况的监控统计，门户网站等PC端应用的IPv6访问流量占比约30%，个人手机银行等移动端应用IPv6访问流量占比约50%，使用IPv6的用户逐步提升。

此外，根据IPv6规模部署实践，工行形成了如下九方面经验，涵盖了互联网网络环境、数据中心基础设施管理、安全生产保障等多个方面。

一是持续跟踪分析互联网基础环境就绪情况，针对其中存在的问题及时反馈和协调解决，从而不断完善互联网对IPv6的支持能力，更好的为IPv6用户提供服务。

二是对应用访问流量进行持续监控，实时掌握互联网IPv6流量占比，为后续其他应用部署提供流量模型和性能容量管理依据。

三是对各类客户端的行为机制进行深入研究，理清双栈客户端行为机制，以支撑应用的开发部署以及投产后各类问题的排查和分析。

四是对主流运营商LDNS双栈行为机制进行详细的调研和测试论证，在为权威域名服务器IPv6顺利发布提供技术保障的同时，确保应用正常对外提供服务。

五是从规范化、体系化两方面确保应用功能改造的完整性。一是针对应用开发制定双栈开发规范，明确IPv6数据格式标准；二是从业务影响角度梳理应用之间的关联关系，合理制定应用发版计划以保证纯IPv6环境下的正常访问。

六是开发面向域名的网络资源管理视图，实现互联网应用资源的可视化管理和应用IPv6版本从开发、测试到投产的全流程跟踪管理。

七是按照分地区逐步开放IPv6访问并推广到全国的策略，制定完善的投产、应急及回退方案，进一步控制风险。

八是在应急处置方面，如果IPv6对外服务有问题，通过技术手段强制客户端切换到IPv4进行访问，确保应急实效控制在预设的“分钟级”区间。

九是参考RFC标准中Happy Eyeballs算法，自行开发相关移动客户端构件，实现对IPv4/IPv6服务质量的判断和自动选择，确保用户访问体验。

4.总结展望

在推动IPv6规模部署工作中，工行以落实国家战略为使命，始终坚持先试先行，不断积累并分享改造经验，努力通过以点带面来扩大金融行业参与下一代互联网演进升级事业的工作成果。后续，工行将依托IPv6规模部署成果，进一步加强基于“IPv6+”的技术研究与创新应用，为下一代互联网在经济金融领域的发展与应用贡献力量。