劉熹：湖南以五個階段推進IPv6改造

湖南省2018年7月啟動省級單位門戶網站IPv6升級改造工作，于12月完成55個站點的改造，并通過國務院辦公廳的檢驗。在湖南省人民政府發展研究中心網絡運行處高級工程師劉熹看來，能夠在如此短的時間里，低成本、高效率的完成政務外網的IPv6改造，得益于政府的高度重視和精心組織，以及正確的實施方案。在“2019中國IPv6發展論壇”上，劉熹分享了湖南推進政務外網IPv6改造的經驗。

清晰的組織架構是有力保障

從中共中央辦公廳到湖南省人民政府辦公廳都出臺了相關文件，為推進政府門戶網站IPv6改造提供政策支持。湖南省政府辦公廳還召開了電子政務外網和政府網站IPv6部署改造工作調度推進會，為推動湖南省政務外網的IPv6部署提供方針與指導。

湖南省人民政府發展研究中心(即湖南省電子政務中心)官網作為湖南省政務外網和省政府門戶網站的運維單位，承接了本次湖南省政務外網IPv6的改造工作，成立了以分管領導為首的政務外網IPv6改造工作領導小組，專門負責改造工作，由網絡運行處主辦，應用開發處和政府網站處協辦。職責分明、結構清晰的組織架構，是本次IPv6改造任務能夠短期內順利完成的有力保障。

此外，湖南省網絡運行處通過自主學習、跟蹤研討，為政務外網的IPv6改造提供了充足的知識儲備，還通過邀請國家信息中心領導和網絡技術公司專家授課以及技術交流、培訓學習等機會，加強對部門技術人員能力的培養。

利用轉譯工具技術部署IPv6

為全面支撐IPv6與IPv4的融合，對于網站服務器有三種可選方案：一是徹底改造成雙棧；二是構建IPv6鏡像網站服務器；三是構建IPv6/IPv4轉換翻譯工具。湖南省綜合時間、成本、目標等各方面的考慮，最終選擇方案三作為此次政府門戶網站改造的方案。方案三主要采用了轉譯工具的技術原理，也就是NAT66和七層反向代理技術，此原理的工作流程分為六步。

第一步，在DNS服務器上增加網站的AAAA記錄，指向轉譯工具。第二步，用戶在進行訪問時，僅感知轉譯工具的IPv6地址，即被訪問網站的IPv6地址，并和轉譯工具建立TCP連接。第三步，轉譯工具接收到來自用戶的TCP連接后，正常代理網站和用戶建立TCP連接。第四步，用戶發起HTTP訪問，轉譯工具接收到用戶訪問后，終止該訪問，并進行IPv6和IPv4的地址轉換，記錄轉換情況，使用轉換后的IPv4地址向真實網站業務系統發起訪問。第五步，服務器正常響應后，轉譯工具根據地址翻譯情況，替換對應IP地址，返回給用戶。第六步，整個過程，用戶不感知翻譯情況。

IPv6改造仍需持續推進

在改造伊始，湖南省就確立了安全優先、功能為主、物盡其用和平滑升級的建設思路，并制定了五個階段的實施策略進行政務外網的IPv6改造。

第一階段，完成門戶網站及互聯網出口網絡和外部數據中心網絡的IPv6改造，實現互聯網門戶可以通過IPv6訪問外部云網站群業務。第二階段，在第一階段的基礎上，逐步完成外部數據中心服務器的IPv6改造，實現所有互聯網業務均支持雙棧。第三階段，完成內部云IPv6改造，實現城域網用戶可以通過IPv6訪問整個湖南省電子政務外網的業務。第四階段，完成縱向廣域網IPv6改造，實現省市縣三級用戶通過IPv6協議棧訪問內部云及外部云業務。第五階段，完成內部云、外部云網站群及應用IPv6改造，逐步減少政務外網的IPv4業務支持范圍，最終實現全網全面IPv6化。

本次IPv6改造只完成了第一階段，后續四個階段的改造任務會越來越艱巨，湖南省還需總結經驗，繼續探索，逐步完成全網的IPv6改造。