一、IPv6改造背景

在“数字化”浪潮中,各行各业都在积极拥抱互联网,IPv6作为新一代互联网协议,提供了更广泛的互联网和物联网连接。持续推进IPv6规模部署,对我国构建高速率、智能化的下一代互联网将会产生深远影响。

(一)国家政策引导

IPv6规模部署是互联网演进升级的必然趋势和技术产业创新发展的重大契机,为解决金融行业下一代网络规划提供了新平台、新思路。2019年1月,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布《关于金融行业贯彻〈推进互联网协议第六版(IPv6)规模部署行动计划〉的实施意见》,一系列政策支持为金融行业IPv6规模部署提供了指导方向和前进路线。

(二)技术发展驱动

IPv4地址空间出现不足,早在2011年,IPv4地址库已分配完毕;伴随着5G、物联网、工业互联网、人工智能等新应用、新技术的兴起,IPv6地址的需求量也迅速增长;IPv6终端用户数量迅速增加,截至2021年12月底,中国IPv6的活跃用户数已经达到6.08亿,在互联网用户中的占比达到60.11%,发展基于IPv6的下一代互联网,是互联网演进升级的必然趋势,对提升国家网络空间综合竞争力、加快网络强国建设具有重要意义。

二、IPv6改造目标

光大银行作为IPv6改造行业示范机构,行内高度关注,积极展开金融领域公共管理、民生公益等服务平台的IPv6改造,目标是完成所有面向公众服务的互联网应用系统的软硬件基础设施改造,实现从互联网到Web服务器全路径IPv6/IPv4双栈改造。同时根据实施意见要求,制定了三步走的改造战略:2019年底完成IPv6试点网络区域的建设并实现门户网站和云缴费移动APP两个系统进行IPv6试点改造上线;2020年继续稳步推进全行面向公众服务的互联网应用系统的IPv6改造工作;2021年起持续完成面向公众服务互联网新增应用系统的IPv6改造、健全IPv6监控运维体系和完善网络安全管理制度与能力。

三、改造经验

总结过去三年IPv6双栈改造工作,光大银行在管理上通过组织架构、规章制度进行保障,在技术上综合考虑网络层、系统层、应用系统开发改造、运行监控、安全配套等多个维度,在改造方式上按照由基础设施自底向上的改造顺序进行,顺利完成全量面向公众服务应用系统的改造工作,取得了较好的成果,相关经验总结如下。

在组织架构层面,光大银行成立了以副行长为主要负责人的IPv6规模部署领导小组;涵盖规划、开发、应用、系统、网络、安全、监控等多中心多专业处室负责人构成的IPv6日常工作推进实施组;以处室团队骨干组成的IPv6项目工作小组。通过多层次的组织架构,明确责任分工,强化部门间沟通协作,监督确保具体措施切实落地。在项目组织上打破了单一专业团队牵头整个项目的方式,创新式地采用双中心双牵头的方式进行组织。运维中心和开发中心均设有牵头团队,并行开展各项工作,开发中心牵头互联网应用系统的盘点梳理、评估风险、各应用系统的开发测试,运维中心牵头整体基础架构的改造建设,监控部署,制度完善,有效保障了整个改造工作的顺利进行。

在网络层面,由于双栈改造需进行大量测试验证,光大银行提前对正实行开发测试的互联网区域进行IPv6/IPv4双栈架构优化改造,有力确保了后续生产系统的顺利改造。后期在生产网络环境改造阶段,光大银行在IPv6地址使用规划、网络设备版本适配确认、权威DNS双栈改造等方面进行了大量实践,确保网络环境运行稳定可靠。在应用层面,通过对现有应用进行全面梳理,明确IPv6改造过程中需要调整的内容并形成了详细的对照表,同时总结了开发过程中需要注意的细节。在安全配套方面,光大银行同步完成IPv6的DDOS防护系统、IPv6地址自动封禁系统、蜜罐系统以及WAF防火墙及全流量监控设备等安全配套改造。

四、成效与亮点

2020年11月底,在中国人民银行指导下光大银行完成所有面向公众提供服务的53个存量应用系统IPv6/IPv4双栈改造,截至2022年3月底,光大银行面向公众服务的59个应用系统已全部支持IPv6/IPv4双栈,完成既定改造目标。

光大银行IPv6改造正值全行网络安全体系持续加固建设及国产化改造全面推进期间,因此,在进行IPv6改造的同时,项目组需要结合应用WAF接入改造和网络设备国产化改造需求,并行进行三项改造工作,尤其是WAF接入改造,需要将原先一层负载均衡到WEB服务器的方式改造为SSL-WAF-WEB三层负载的高冗余架构,每一层均需要进行彻底的双栈改造,允许IPv6地址直接访问到服务器。为配合上述改造工作顺利完成,光大银行对行内互联网区域基础设施层面进行全面升级,完成出口路由器的国产化升级、外网防火墙的国产化升级以及SSL加密设备升级替换工作,最终完成互联网应用系统的安全加固。

IPv6规模部署工作是对互联网技术的一次全面技术升级,也是一项长期而复杂的系统工程。光大银行认真落实IPv6规模部署工作要求,在监管单位指导和帮助下,积极推进完成了面向公众服务系统的IPv6改造工作。后续,光大银行还会持续推进IPv6网络在行内的规模化部署,促进下一代互联网与光大银行金融行业系统的深度融合,探索IPv6技术创新与业务整合的新应用、新模式、新业态。