​推进IPv6互联网建设 助力广发数字化转型——广发银行IPv6规模部署和应用案例

1、案例概述

广发银行采用NAT64和IPv6/IPv4双栈改造相结合的方式开展IPv6改造工作，通过向CNNIC申请IPv6地址、IPv6互联网线路与运营商使用BGP动态路由协议对接的方案，实现所有面向公众服务的互联网应用系统支持IPv6连接访问，提升了IPv6用户的访问体验，按监管要求顺利完成IPv6改造任务。

1.1 背景

根据中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布的《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》（以下简称《实施意见》）的要求，广发银行作为银行业16家IPv6改造行业示范机构之一，须按监管要求稳步推进IPv6规模部署工作。

1.2 目标

2020年底前完成监管要求的IPv6改造规模部署工作，所有面向公众服务的互联网应用系统支持IPv6连接访问，至少完成一个互联网应用系统的双栈改造工作。确保IPv6规模部署实施过程中网络和系统安全稳定运行，对现网IPv4业务无影响。同时，结合IPv6下一代互联网的特点，提升广发银行互联网业务线上化、移动化的竞争优势。

2、做法与经验

2.1 全行上下高度重视

收到《实施意见》的通知后，广发银行高度重视，立即成立以主管科技行领导为组长的IPv6规模部署领导小组，将IPv6改造工作纳入年度重点工作执行，提前编制IPv6改造预算资金，纳入年度财务预决算，落实资金保障，制定各项工作机制及计划，确保IPv6改造工作有序平稳推进。

2.2 开展现网IPv6支持情况排查评估

为更好推进IPv6改造工作，广发银行对各类软硬件基础设施和应用系统对IPv6协议的支持情况开展排查，根据排查评估结果制定软硬件的升级或替换计划，应用系统依据以下功能点开展排查评估。

1）是否记录互联网用户IP地址

2）用户IP地址存储方式（日志/数据库/文件）

3）数据库记录IP地址的字段长度

4）记录的IP地址是否传递给关联系统

5）程序中是否存在对IP地址格式进行校验

6）程序代码中是否固化了IP地址

7）配置文件是否存储IP地址

8）是否向行内及行外互联网应用提供SDK，提供的SDK是否与外部系统通讯

9）访问方式（WEB、移动APP、PC客户端、API）

2.3 制定合适的IPv6改造方案

IPv6规模部署工作周期较长，期间存在IPv4、IPv6/IPv4、IPv6三种场景共存的情况，涉及网络、系统、应用和安全等多技术领域，需要选择合适技术实现IPv4到双栈、IPv6单栈的平滑过渡，既满足规模部署的要求，又降低IPv6改造工作对业务连续性的影响。

2.3.1. IPv6改造技术

IPv6改造演进技术有NAT64、双栈和隧道三种，其中NAT64和双栈在技术层面均可满足应用系统发布IPv6访问的需求。经综合评估，广发银行选用NAT64和双栈改造相结合的方式开展IPv6改造工作，大部分面向公众服务的互联网应用系统通过NAT64改造支持IPv6连接访问，其他互联网应用系统通过双栈改造支持IPv6连接访问。

2.3.2. IPv6互联网接入

IPv6地址可以向三大运营商或CNNIC申请，如果选择向CNNIC申请IPv6地址，须与运营商确认是否允许自带IPv6地址接入和采用BGP动态路由协议互连。

由于向CNNIC申请IPv6地址的组网方案在互联互通、互联网线路切换等明显优于向运营商申请IPv6地址的组网方案。经广泛调研评估和详细论证，并与CNNIC及三大运营商沟通达成一致意见后，决定选用向CNNIC申请IPv6地址的组网方案。

2.3.3. 技术方案

按照“分阶段、分网络域”的方式，广发银行制定了IPv6改造技术方案，整体架构及技术要点如图1所示。

图1 技术方案

●新建互联网IPv6/IPv4双栈接入区

✔新建互联网双栈接入区，向CNNIC申请IPv6地址和AS号，新增不同运营商的双栈互联网线路，与运营商采用BGP动态路由协议对接。

✔现有互联网IPv4接入区保持不变。

✔新增NAT64设备，支持IPv6用户透明访问IPv4源站。

●新建IPv6/IPv4双栈DMZ区

✔新建双栈DMZ区，现有IPv4 DMZ区逐步启用IPv6。

✔新增双栈WEB服务器，APP及DB服务器保持不变，双栈WEB服务器通过IPv4协议访问APP服务器。

●应用IPv6改造

✔移动APP客户端、PC客户端和SDK支持IPv6。

✔IP地址检验函数、IP地址变量、IP地址字段长度支持IPv6。

✔应用支持获取IPv6地址，日志打印支持IPv6。

●安全防护

✔NAT64模式下复用现有IPv4网络防火墙、WAF、IDS等网络安全设备，安全策略保持不变。

✔双栈DMZ区的网络安全设备参照IPv4 DMZ区配置IPv6安全策略。

2.4 IPv6地址溯源及安全防护

在NAT64的组网方案中，需重点关注IPv6地址的溯源问题。NAT64设备支持记录IPv6到IPv4的地址转换信息，并将IPv6源地址插入X-Forwarded-For字段，NAT64设备后端的IPv4网络安全设备和应用系统通过读取该字段信息进行安全管控及审计。

3、成效与亮点

广发银行于2020年11月完成IPv6改造第二阶段实施工作，改造完成至今，所有面向公众服务的互联网应用和IPv6网络安全稳定运行，其中B/S类应用IPv4和IPv6的访问流量占比约为5:1，移动APP类应用IPv4和IPv6的访问流量占比约为3:2。广发银行在金融行业IPv6发展监测平台上的总评分名列前茅。

基于IPv4网络成熟技术，广发银行在IPv6改造上进行大胆创新尝试，采用向CNNIC申请IPv6地址，IPv6互联网线路与运营商通过BGP动态路由协议对接的技术方案，提高了IPv6互联网的可用性和访问质量。IPv6互联网线路故障切换时间较IPv4互联网线路故障切换时间由分钟级提升为秒级，不同运营商均有到广发银行IPv6地址段的最优路由，提升了IPv6用户访问广发银行互联网应用的体验，助力广发银行数字化转型。