​推动IPv6技术应用，助力建筑央企数字化转型
——中国交通建设集团有限公司IPv6规模部署和改造案例

一、概述

1、背景

一是落实党中央、国务院关于建设网络强国的战略部署。随着基于IPv4的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题，开展IPv6部署和应用，是助力国家网络强国建设的紧迫要求。

二是支撑中国交通建设集团（以下简称“中交集团”）数字化转型升级需要。中交集团积极探索将“数字化+智慧工地”“互联网+智能制造”“数字化+智慧建筑”等引入交通基础设施建设运营各领域，项目工地各类物联网边缘设备数量庞大，IPv6技术应用提供了充足的网络地址，能有效支撑交通建设领域物联网、工业互联网、大数据等场景的创新应用，助力中交集团数字化转型升级。

三是企业网络安全能力强化的迫切需要。国际网络安全形势日益复杂，加快IPv6规模应用，有助于创新网络安全保障手段，完善网络安全保障体系。

2、成果

中交集团已经部署完成了集团门户网站、集团所属公司门户网站（覆盖至三级单位，总计53家单位）、面向社会公众的服务窗口的物采平台系统、装备采购平台系统、中交集团质量奖评审移动APP等平台和应用的IPv6改造工作，且统一域名下的二、三级页面IPv6支持度不低于95%；完成了生产管理系统、投资管理系统等内部网络和应用IPv6改造工作；完成了以上网站、系统同域名下各级链接的部署验证工作。

二、建设内容

1、组织领导

中交集团领导高度重视IPv6的规模部署工作，要求成立IPv6项目组，集团分管信息化副总裁挂帅，项目组由集团科学技术与数字化部和中交信科集团联合组成。

2、项目设计

中交集团坚持遵循移动固定并举、增量带动存量的建设思路，坚持以应用为切入点和突破口，重点加强用户多、使用广的互联网应用的IPv6升级，分期分批做好IPv6改造工作，具体设计思路如下：

（1）坚持“双栈为主、翻译为辅”的原则，开展IPv6升级改造工作。网络链路、应用、终端、安全防护产品以IPv6/IPv4双栈技术作为改造部署的主要技术，短期内难以改造的以“翻译”作为辅助技术，后续逐步过渡到IPv6/IPv4双栈网络或纯IPv6网络。

（2）坚持以“网络双栈+网间协议交换+区域纯IPv6”作为集团IPv6部署的技术路线图，开展升级改造工作。按照“试点先行、区域改造、全面推广”的发展思路面向全集团进行规模部署。

（3）明确网络应用系统改造方案，依据现状择优实施。

3、技术手段

梳理集团IT资产信息，了解现有资产对IPv6支撑情况，确定集团IPv6部署技术路线。具体技术手段包括：

（1）坚持增量带动存量的发展思路，通过升级改造局部数据中心基础架构，建设一套独立的基于IPv6的网络系统，支持部署基于IPv6地址规划的私有云。

硬件部署架构图

通过新增DMZ区域建设一套基于IPv6的私有云基础设施，部署包括虚拟交换机、虚拟防火墙、虚拟负载均衡、云主机在内的各类虚拟网络及主机设备，采用软件定义网络和安全技术，提供包含转换、隧道、双栈在内的网络协议技术和安全功能；接入IPv6互联网专线，具备与现有IPv4网络同样的业务承载能力。

依托超融合和VNF（虚拟网络功能）等技术实现全虚拟化的基础架构、网络、安全设施，完成单个虚拟网络的全面双栈构建；在业务系统上配置IPv6虚地址（站点本地地址），在虚拟NAT设备上进行IPv6虚地址与IPv6实地址（全局单播地址）的一对一映射（或直接规划为全IPv6公网地址）。

超融合部署架构图

管理网络（绿色网络）：整体平台环境互相检测心跳以及管理和组件集群的通信网络。

业务网络（蓝色网络）：平台中运行的虚拟机对外提供服务的数据流通信网络。

VxLAN网络（黄色网络）：平台跨物理主机节点内部虚拟机互相通信所需要具备大二层网络环境。

存储网络（黄色网络）：平台存储网络，负责虚拟机数据存储。

（2）坚持典型应用先行的建设思路，通过使用协议转换技术快速实现互联网应用系统的IPv6访问。

中交集团部署了全集团统一云防护平台，具备IPv6/IPv4地址协议解析和转换功能。利用IPv6/IPv4地址协议转换技术进行IPv6改造，该方案仅需要对域名解析进行相应配置，源站无需改动，就可以将现有的应用直接面向IPv6客户端提供服务。架构图如下：

IPv6/IPv4地址协议转换示意图

4、制度保障

中交集团统一下发相关规定，要求各级单位新上线应用、新采购硬件设备和中间件设备必须全面支持IPv6。

三、成效亮点

1、实用性

通过制定以“网络双栈+网间协议交换+区域纯IPv6”改造技术路线，为逐步推广网络系统的IPv6改造和建设，提供较强的适用性和可操作性，达到降低网络系统运行成本，增加经济效益的目的。

2、先进性

项目结合IT行业成熟、先进、规范化的IT基础设施建设模式，规划了集团的网络架构蓝图。项目实施既兼顾短期内满足网络变更及建设平稳过渡的需要，又具有前瞻性以满足集团未来全面改造的需求。优先选择成熟的、标准的技术和产品，升级区域可与其他IPv6区域无缝接入。

3、扩展性

项目充分考虑总体拥有成本，保护集团既有投资，改造方案将具有良好的开放性和对标准的支持能力。改造采用模块化设计，有良好的可扩展性和伸缩性，便于集团网络架构今后的扩展和分步实施。

4、规范性

本项目将本着网络架构应采用开放的接口标准，以利于信息交换、信息共享和业务协同。

5、安全性

本项目结合整体信息安全体系，考虑网络安全边界、网络安全技术部署，保障应用服务安全，确保用户访问、外联接入、Internet接入安全可控。重点加强网络、应用的防护，加强网络链路安全监控，预防并及时发现IPv6网络存在的网络漏洞。