銀行業IPv6演進方案

楊帥

摘要：本文簡要分析了IPv6對數字化建設的驅動，以銀行業互聯網業務為例，提出從IPv4到IPv6演進的三種方案并做分析研究。

[關鍵詞]NATIPv6IPv4

1IPv6對數字化建設的驅動

1.1增強互聯網服務能力

IPv4面臨地址嚴重匱乏、服務質量難以保障等制約互聯網持續發展的問題，成為構建數字化基礎設施的短板，IPv6能夠提供充足的地址空間，是下一代互聯網的基礎協議，能夠提供更強大的互聯網服務能力。同時，IPv6簡單的報文頭部，層次化的編址，大大提高了路由效率，降低了對于設備的要求。

1.2促進數字應用創新

IPv6能夠提供更廣泛的互聯網和物聯網連接，支持移動特性，實現萬物互聯，打造數字化基礎設施，促進物聯網、AI等新領域的創新。

1.3提升網絡安全能力

支持端到端的安全防護（IPv6協議定義中包含IPsec標準），同時，IPv6為解決網絡安全問題提供了新平臺和新思路（真實源地址認證技術、根域名服務器等），不斷完善的網絡安全保障體系，將為數字化應用提供更安全可信的網絡空間環境。

2銀行業互聯網業務后臺網絡架構現狀分析

如圖1所示，銀行業網絡架構對針對互聯網業務可抽象為幾個區域：Internet接入區、DMZ區、核心交換區、對外生產區及其他區域。

Internet接入區：作為網絡邊界連接企業與Internet，部署多個路由器與運營商用戶端設備相連，實現內外通信，面向公眾提供服務。

DMZ區：與其他兩個區域通過防火墻隔離，實現對外提供服務的安全性。內部部署交換機、負載均衡設備（F5）、應用服務器集群、Web服務器集群，所有站點部署DNS承擔域名解析。

核心交換區：實現對外生產區、工作區、安全區、開發測試區的隔離，并提供高速轉發功能。

對外生產區：主要提供門戶、網銀等業務的應用處理，部署數據庫服務器、核心賬務系統等。

其他區域（工作區、安全區、開發測試區）;主要用于企業內部辦公、安全設備管理、軟件開發測試等。

用戶訪問銀行Web網站并進行網銀等業務操作可以分為前端和后端兩個部分。前端：從Internet接入區到DMZ區中Web服務器部分。用戶通過國際互聯網訪問Web服務器，用戶HTTPS連接和Session在Web層終結。后端：Web服務器與對外生產區中的各應用服務器建立連接，進行相關應用和數據訪問。3IPv6改造方案

由于銀行機構承載著重要的社會服務職能，本著安全穩定的原則，應遵循兩個不變：總體架構不變、訪問流程不變。具體的改造設計三個主要方面：DNS改造、網絡/安全改造、網站應用改造。

3.1方案一：新建IPv6DMZ區

前端的Internet接入區和DMZ區通過IPv6對外提供Web服務，通過IPv4和對外生產區數據拉通。改造后，網絡架構如圖2所示。

新增IPv6Internet接入區：接入各運營商IPv6互聯網線路。

新增IPv6DMZ區：DMZ區的服務器集群提供IPv6Web服務。本區域內所有設備基于IPv6的路由協議完成互聯互通。Internet邊界防火墻等安全設備對IPv6流量進行相關安全防護。應用服務器、Web服務器等通過IPv6協議接入到DMZ區交換機，通過IPv4協議接入到核心交換區。在所有web站點部署DNSv6，并部署鏈路負載均衡設備確保來回路徑一致。

核心交換區、對外生產區：仍通過IPv4提供業務的應用處理。

3.2方案二：新增IPv6服務器集群

改造升級前端網絡支持雙棧，IPv4服務器集群和新建IPv6服務器集群復用一張雙棧網絡。改造后，網絡架構如圖3所示。

原Internet接入區：同時接入各運營商IPv4/IPv6Internet線路。

原DMZ區：新增IPv6服務器集群，提供IPv6Web服務。DMZ交換機等網絡設備通過雙棧方式互聯互通。Internet邊界防火墻等安全設備對IPv4/IPv6流量進行相關安全防護。應用服務器、Web服務器通過雙棧路由協議接入到DMZ區交換機，通過IPv4協議接入到核心交換區。在所有web站點同時部署DNS及DNSv6，根據原IP智能解析并返回IPv4或IPv6地址。負載均衡設備通過雙棧網絡承載相應服務，根據源IP地址將業務轉到IPv4/IPv6服務器池中最優的web服務器。

核心交換區、對外生產區：仍通過IPv4提供業務的應用處理。

3.3方案三：原服務器集群開啟雙棧

改造升級前端網絡和服務器集群支持IPv4/IPv6雙棧服務。改造后，網絡架構如圖4

原Internet接入區：同時接入各運營商IPv4/IPv6Internet線路

原DMZ區：DMZ區的服務器集群同時提供IPv4和IPv6服務。DMZ交換機等網絡設備通過雙棧方式互聯互通。Internet邊界防火墻邊界防火墻等安全設備對IPv4/IPv6流量進行相關安全防護。Web服務器、門戶Web服務器等通過雙棧路由協議接入到DMZ區交換機，通過IPv4協議接入到核心交換區。在所有Web站點同時部署DNS及DNSv6，根據原IP智能解析并返回IPv4或IPv6webIP地址。負載均衡設備通過雙棧網絡承載相應服務，并作為服務器的網關，根據源IP地址將業務轉到server池中最優的Web服務器。

核心交換區、對外生產區：仍通過IPv4提供網絡、業務的處理。

4方案對比

上述三種改造方案的對比見表1。

5結束語

本文探討了IPv6在數字化建設領域的優勢，通過分析銀行業典型網絡架構，提出三種IPv4到IPv6的演進方案，為廣大行業提供了參考。

參考文獻

[1]王毅，黃愛明。基于IPv4和IPv6雙協議企業網的研究與實現[J].計算機系統應用，2011，20（09）：189-192.

[2]新華三集團，銀行網銀雙活系統部署實踐，http：//www.h3c.com/cn/d-201307/790134_30008_0.htm[N]，2013.

[3]許佳偉.基于校園網環境下IPv6過渡解決方案的設計與實現[D].華中科技大學，2011.