門戶網站IPv6改造的技術路線選擇

姚 娟，聞琛陽

（湖北郵電規劃設計有限公司，湖北 武漢 430070）

0 引 言

2017年11月，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》（以下簡稱“行動計劃”），行動計劃制定了總體目標、路線圖、時間表和重點任務，大力推進IPv6部署。2018年3月12日國資委下發《關于做好互聯網第六版（IPv6）部署應用有關工作的通知》，明確要求“請于2018年4月16日前將門戶網站和面向公眾的在線服務窗口IPv6改造工作計劃報送國資委綜合局”。時隔一個月，網信辦、國辦相繼討論推進落實TOP商業ICP網站、中央級TOP新聞媒體網站、各部委官網支持IPv6訪問的升級工作。

1 門戶網站IPv6改造的解決方案

門戶網站IPv6改造簡單來說是指終端用戶通過IPv6協議能夠訪問網站并實現業務辦理。IPv6演進是一個漫長的過程，IPv4和IPv6網絡在中國有5～8年的共存期，實現IPv4和IPv6有效互聯互通，門戶網站IPv6改造主要有兩種技術方案。第一種是將涉及到網站業務交互的所有應用系統和設備全面支持IPv4和IPv6雙協議棧，能夠同時處理IPv4和IPv6數據包；第二種是增加協議轉換設備或者在防火墻、負載均衡設備上配置協議轉換，在IPv6協議和IPv4協議之間建立映射關系，以實現透明的IPv6和IPv4互訪問[1]。

上述兩種方案中，雙棧才能真正實現兩辦《行動計劃》文件要求的IPv6升級改造，是網站IPv6改造的終極目標。但是，在過渡期間，協議轉換技術也會長期存在和使用，兩種技術方案各有利弊。

2 技術路線的選擇

2.1 雙棧技術

雙棧技術是在網元中同時運行IPv4和IPv6兩個協議棧，既可以接收、處理、收發IPv4的分組，也可以接收、處理、收發IPv6的分組[2]。網站運行IPv4/IPv6雙棧，真正實現了IPv6升級。雙協議棧技術如圖1所示。

圖1 IPv4/IPv6雙協議棧技術

雙棧方案是全系統的升級改造方案，包含網絡、設備、軟件等多系統的協同，需要統籌規劃，協同考慮。其改造主要有下述三個方面。第一，設備改造。網絡設備支持IPv6，全部開啟IPv6協議棧，安全設備、服務器等硬件支持IPv4IPv6雙路由。第二，業務系統改造。所有前后臺業務管理系統、數據庫系統、網絡安全系統以及應用系統全部啟用IPv6協議，支持同時運行IPv4/IPv6雙協議棧。第三，源代碼改造。將使用IP地址的配置和代碼修改為使用域名地址。

雙棧方案雖然改造徹底，便于理解，互通效果較好。但是，因涉及到硬件的升級改造，投資較大，對于結構復雜的IPv4網站需要進行源代碼的改造，也存在一定的風險。

2.2 協議轉換

協議轉換技術是在IPv4網站的入口處增加IPv4/IPv6協議轉換設備，原有IPv4源站不需修改，DNS服務器把IPv6用戶的訪問請求，解析到轉換設備的IPv6地址，轉換設備從IPv4源站讀取數據，經過協議轉換后發送給IPv6用戶。協議轉換技術如圖2所示。

圖2 協議轉換技術

采用協議轉換技術進行IPv6升級，IPv4源站現有的業務系統、網站代碼可以不用修改，其改造僅通過兩步實現。第一，部署協議轉換設備：IPv4源站不變，在網站入口部署1～2臺IPv6轉換設備或者在防火墻、負載均衡設備上配置協議轉換，給域名配置IPv6地址。第二，DNS服務器能夠接受IPv6 DNS請求，需要配置IPv6地址，啟用AAAA解析記錄，完成域名和IPv6地址的映射。當DNS請求的AAAA資源記錄時，DNS服務器將網址解析為IPv6地址，當DNS請求的A資源記錄時，DNS服務器將網址解析為IPv4地址。

協議轉換方案簡單，能夠快速實施，不用改造源代碼，特別適合解決老舊網站、架構復雜的網站。但是，該方案僅能實現Web網站支持IPv6訪問，適用于V4V6過渡期。如果網站涉及到物聯網和工業互聯網的應用部署，則不能使用轉換方案。

2.3 技術路線的選擇

從實現原理上分析，在TCP/IP協議標準上，協議轉換是一種網絡層+傳輸層的解決方案，僅停留在解決網絡互通；而雙棧方案是一種應用層解決方案，是一種應用互通方案，相比網絡互通，應用互通的效果更好，升級更徹底，也是應用升級的真正目標。兩種技術方案的對比如表1所示。

按照網站的規模劃分，對于日訪問流量超過10億次的大型網站，因為其運維的技術力量優勢明顯，能夠應對網絡攻擊快速處理故障，所以建議一步到位，升級為雙棧。對于中小型網站，技術支撐力量相對薄弱，如果資金充足，可以選擇總體規劃，直接升級到雙棧；技術存儲不足、準備不充分、資金沒有保障的單位，建議先選擇協議轉換的方案過渡。

按照網站的新舊程度劃分，新建網站和應用系統建議直接按雙棧方案部署；已建系統，如果網站結構簡單，源代碼修改簡單，資金充足，建議首選一步到位，升級雙棧；如果網站結構復雜，年代久遠，沒有辦法找到廠家修改源代碼，年度預算緊張，則建議使用協議轉換方案過渡。

3 演進路線的選擇

在IPv4向IPv6演進的過程中，門戶網站應根據自網站現狀、掌握的資源、技術支撐能力等，選擇不同的支持IPv6升級策略。

選擇一步到位的門戶網站，建議充分利用近年來國內外IPv6的技術積累，基于IPv6的技術要求和標準規范進行部署規劃，構建統一標準的終端、網絡、平臺體系，整體升級IPv4/IPv6雙棧的策略，完成向IPv6的升級改造。一步到位，端到端的改造包含如下內容。

第一，獲得IPv6地址接入服務：聯系運營商，獲得IPv6地址，接入IPv6網絡。

第二，網絡設備支持IPv6：大部分以太網交換機不涉及IPv6協議處理，無需升級，對于部分執行Snooping、協議VLAN等功能的二層交換機，應納入升級的范圍；需要基于IPv6地址進行轉發處理的三層設備，如路由器、三層交換機等，應進行升級；防火墻、入侵檢測、負載均衡等應用層設備，凡涉及IPv6報文流量處理的，應進行升級[3]。

第三，服務器操作系統支持IPv6協議：對于不支持IPv6的操作系統要進行版本升級。第四，DNS服務器升級：域名解析支持AAAA。第五，應用系統軟件代碼改造：更新網頁代碼，滿足IPv6訪問的需求。

表1 IPv6改造技術路線比較

選擇過渡方案的門戶網站，過渡期網站通過協議轉換設備實現IPv6訪問，減少對網絡架構和系統架構的影響，確保過渡期的平穩性和逐步可推進性。待條件具備后，合規穩妥升級為IPv4/IPv6雙棧。

4 結 論

根據IPv6規模部署的行動方案，在未來三年全國政府、央企、新聞媒體網站以及TOP商業ICP網站都必須支持IPv6訪問，這也是互聯網發展的必然趨勢。建議在IPv4向IPv6演進期間充分考慮現網實際情況，遵循“統一規劃、按需實施”的總體原則，實現門戶網站向IPv6平滑、安全過渡。