/ / /
尽管一直在帮助客户进行IPv6改造升级,但近期的一个新闻还是让我觉得有必要再说说这件事,因为IPv4的资源已经耗尽了。
近日,欧洲网络信息中心(RIPE NCC)表示,“已经从可用池中的最后剩余地址进行了最终的/22 IPv4分配。现在,我们已经用完了IPv4地址。”
作为一名网络工程师,尽管对IPv4地址耗尽已经有所预期,但当这一天真的到来之时,还是有些失落。这与技术本身无关,我想更多的是自己对一个时代结束的感慨······
/ / IPv4 VS IPv6:不只是技术的升级 / /
IPv4又称互联网通信协议第四版,是网际协议开发过程中的第四个修订版本,也是此协议第一个被广泛部署的版本。IPv4是互联网的核心,也是使用最广泛的网际协议版本。IPv4使用32位(4字节)地址,地址空间中只有4,294,967,296(2)个地址。
随着IPv4地址的全球耗尽,世界上开启使用IPv6地址,IPv6的数量足够多,达到了3.4×1038,IPv6的地址长度为128位,是IPv4地址长度的4倍。于是IPv4点分十进制格式不再适用,采用十六进制表示。在IPv6时代,我们可能不必再担心地址耗尽问题了,因为IPv6可以给地球上每一粒沙子一个地址。
对于中国而言,从IPv4到 IPv6不只是地址增加,更重要的是我们对地址的可控。IPv4时代,全世界根服务器只有13台,1个为主根服务器在美国。其余12个均为辅根服务器,其中9个在美国,欧洲2个,位于英国和瑞典,亚洲1个位于日本。
在IPv6时代,中国主导并联合国际互联网WIDE机构推出了“雪人计划”,在与现有IPv4根服务器体系架构充分兼容基础上,于2016年在全球16个国家完成25台IPv6根服务器架设,事实上形成了13台原有根加25台IPv6根的新格局,中国部署了其中的4台,由1台主根服务器和3台辅根服务器组成,打破了中国过去没有根服务器的困境。今年6月,工信部同意中国互联网络信息中心设立域名根服务器及运行机构。
/ / IPv6改造:一个艰巨但必胜的任务 / /
我们为IPv6时代做了如此充分的准备,就没有理由不抓住这一机遇。
2017年11月26日,中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,将IPv6上升到国家战略层面。
2018年6月,三大运营商联合阿里云宣布,将全面对外提供IPv6服务,并计划在2025年前助推中国互联网真正实现“IPv6 Only”。
2018年8月3日,工信部通信司在北京召开IPv6规模部署及专项督查工作全国电视电话会议,中国将分阶段有序推进规模建设IPv6网络,实现下一代互联网在经济社会各领域深度融合。
2019年4月16日,工业和信息化部发布《关于开展2019年IPv6网络就绪专项行动的通知》。
特别是2019年初,人行、银保监会、证监会联合印发了关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见,对金融机构提出了具体的要求。这些政策都在给我们传递一个信号,IPv6改造,不是一个只牵扯到企业自身意愿的技术升级,而是一个国家层面的艰巨但必胜的任务。
/ / IPv6改造之路——以某银行为例 / /
从监管机构实施意见出台以来,我们帮助大量金融客户进行了IPv6改造的咨询和实施,尽管客户需求不同、客户基础架构不同、客户对于金融科技支撑重点业务也有不同,但在众多的案例中我们还是找到了很多共性,下面我们想以一个具体案例来说明IPv6改造的过程。
作为某银行IT基础架构运维的重要合作伙伴,2019年,中亦科技负责了该行包括服务器、存储、数据库、网络、负载均衡等大部分设备的维保工作,客户在接到监管部门的要求后,第一时间向我们进行了咨询。客户的要求很明确,按照监管部门的时间要求,到2019年底,实现门户网站支持IPv6连接访问。同时,兼顾后续改造需求,即到2020年底,面向公众服务的互联网应用系统支持IPv6连接访问,并具备与IPv6改造前同等的业务连续性保障能力。2021年起,在做好金融行业面向公众服务的互联网应用系统IPv6改造基础上,持续推进IPv6规模部署,逐步构建高速率、广普及、全覆盖、智能化的下一代互联网。
客户还一再提及,务必保证系统安全,确保不能出现断网停机等类似生产事故。
在接到客户的需求后,我们迅速成立了项目组,尽管对客户的网络架构比较熟悉,一期工作只是对官网进行改造,技术相对简单,但我们还是按照步骤进行了必要的准备工作:
1、整体把控:
细化客户网络拓扑图,让整个改造流程逻辑更加清晰:
2、技术选择:
当前 IPv4到IPv6的过渡技术主要包括如下三种:IPv4/v6双栈技术、地址协议转换技术、隧道技术。三种技术特性利弊见下图:
技术 | 优点 | 缺点 | 补充说明 |
双栈技术 | 无需对现有结构进行修改,改造彻底,完全兼容IPv6与IPv4 | 相关软硬件基础设施需要全面支持IPv6、升级改造投资大、配置管理复杂 | 从长期来看,为推荐方案,建议优先采用 |
地址协议 转换技术 | 现有环境改动小,简单、部署速度快、投资较小 | 部分应用需通过ALG实现,ALG功能对网络设备要求高 | 可作为短期方案,快速上线 |
隧道技术 | 成本较低、部署快、适用于IPv6孤岛间通信 | 配置复杂、封装\解封装需消耗部分网络设备资源,运维和性能存在一定的挑战 | 不符合<<IPv6实施意见>>相关要求,互联网区改造不建议使用 |
根据监管要求,后续需要对整体架构进行改造,所以尽管投入成本相对较高,技术相对复杂,但我们还是推荐客户采用IPv4/v6双栈技术,在与客户充分沟通的基础上,客户非常认可这一方案。
关于双栈技术我还想再补充几句,双栈技术实际是通过双栈+地址协议转换的方案,实现了纯IPv4网络过渡到IPv4/v6双栈网络,再从双栈网络过渡到纯IPv6网络的一种技术方案,对于金融客户来说,这个方案最大程度上降低了改造风险,满足了客户业务连续性这个底线。
以下操作步骤为中亦为某客户在IPv4、IPv6双栈实施的一个成功案例。
3、实施准备:
1)要求客户外联区所有网络设备都支持IPv6/IPv4双栈;
2)要求客户外联区链路即运营商(如电信、联通、移动)链路都支持IPv6/IPv4双栈;
3)若客户计划使用自己DNS解析,还要求客户DNS支持IPv6/IPv4双栈;
4)协助客户向运营商申请IPv6互联地址及业务地址,并进行IP地址备案。
4、项目实施:
1)出口路由器配置:
A、在路由器特权模式下全局开启IPv6路由功能;
B、接口中使能IPv6功能并配置IPv6互联地址;
C、配置IPv6缺省及明细路由;
D、配置IPv6访问控制ACL;
2)负载均衡IPv6配置:客户使用的负载均衡为Radware,其功能主要实现V6 to V4的转换及智能识别V4或者V6的流量,V4的流量送到V4服务器响应,V6的流量送到V6服务器响应。
A、接口中使能IPv6功能并配置IPv6互联地址
B、配置VS,勾选IPv6 to IPv4功能;
C、配置IPv6缺省路由
D、配置IPv6 DNS解析记录;
E、配置IPv6 to IPv4 的NAT转换;
5、业务测试
IPv6/IPv4双栈实施完成后,需进行具体测试,以保证业务正常开展,具体操作如下:
对业务域名进行nslookup的AAAA检查
通过以上测试可以即可说明本次IPv6改造取得了圆满成功。
/ / 关于IPv6改造的一些心得体会 / /
金融行业的IPv6改造是一项长期而系统的工程,做好客户的改造,需要通过客户整体架构拓扑图站在更高的角度去审视这项工作。要从大处着眼,小处着手,分步骤按计划进行整体改造:
第一步,可以通过双栈技术,快速实现业务平台对外提供IPv6服务,首先完成出口改造;
第二步,按照计划,分步完成服务器、数据库、平台软件等改造,逐步实现对双栈的支持,可以先部分对外提供单一IPv6服务,并进行观察,为全部平台实现IPv6服务提供基础;
第三步,在门户网站等改造过程中熟悉环境,积累经验,并在内网建立模拟网进行IPv6改造,待运行稳定后,逐步实施内网IPv6改造,实现整体架构的IPv6服务能力。
/ / / /
改变是痛苦的,但不改变更痛苦。每一次的痛苦,都是一次蜕变,都是一次成长,对人是这样,对企业、对行业也都是这样。
未来已来,欢迎来到IPv6时代!
- end -
关注 “中亦科技” 公众号
查看更多精彩文章
