鐵路12306互聯網售票系統IPv6演進的方案研究

李 琪，劉相坤，徐東平，劉彥麟，韓夢源

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

互聯網服務的發展趨勢是讓服務更加智能化，這就需要為互聯網上的每臺設備都分配IP地址，實現基于個性化特征的定位、推送及交互等服務。隨著物聯網技術的迅速發展，需要連接網絡的物體越來越多，而全球IPv4 地址資源已在2011 年2 月3日向五個區域因特網注冊機構分配完畢[1]，現有的IPv4地址池已接近枯竭。互聯網的下一代協議IPv6提供了理論上雖然有限但實際使用中幾乎無窮的IP地址。豐富的IP地址可以把網絡智能解析的威力發揮到極致。地址越大帶來的可能性就越多，與IPv4的32 bit二進制報頭相比，IPv6的報頭增加至128 bit位二進制數，使得我們可以把信息放在IPv6數據包中，IPv6地址可以變得更智能，在確定其通過網絡的路徑方面發揮更積極的作用。IPv6在構建智能網絡中的關鍵地位，使得由IPv4過渡到IPv6已勢在必行。

目前網絡設備廠商的主流產品均已支持IPv6協議。3大電信運營商的骨干網絡也已具備支持IPv6的能力。國內主要的商業網站均制定了分階段的演進計劃。2017年國務院印發通知，提出用5～10年時間，形成下一代互聯網自主技術體系和產業生態，建成全球最大規模的IPv6商業應用網絡。鐵路12306互聯網售票系統（簡稱：12306系統）當前網絡為IPv4架構。為了給旅客提供更豐富、更智能化的服務，需要選擇適合的過渡技術分階段穩定演進到IPv6。

1 IPv6演進標準和進度計劃

1.1 演進標準

根據中國通信標準化協會的工作計劃與安排，IP與多媒體工作委員會目前已經完成對IPv6系列標準的規劃設計工作。在新的規劃設計書中，將我國的IPv6標準劃分為以下幾個大類：基本協議類，網絡體系結構與性能指標分配，網絡的評估標準和測試方法，網絡設備規范和網絡設備的測試規范，支持移動通信類，業務與應用類型[2]。在IPv6演進過程中應按照標準推進。

1.2 演進計劃

《IPv6規模部署行動計劃》中指出，到2018年末，市場驅動的良性發展環境基本形成，IPv6活躍用戶數達到2億，在互聯網用戶中的占比不低于20%；到2020年末，市場驅動的良性發展環境日臻完善，IPv6活躍用戶數將超過5億，在互聯網用戶中的占比超過50%；到2025年末，我國IPv6網絡規模、用戶規模、流量規模將位居世界第一，形成全球領先的下一代互聯網技術產業體系。12306系統的IPv6演化進度也應按照20%、50%、100%的比例漸進演化為IPv4/IPv6雙棧環境，直到IPv4完全退出后變為IPv6環境。

2 IPv4到IPv6過渡技術

IPv4 到IPv6 的過渡技術主要包括雙棧技術、隧道技術，以及地址轉換（NAT，Network Address Translation）技術[3]。

2.1 雙棧技術

雙棧技術是指網絡以及網絡中所有節點同時支持IPv 4和IPv 6協議棧，使得網絡或者節點能處理兩種類型的協議，同時，包括service（業務、應用等）具備支持雙協議棧的能力[4]，從而實現分別與IPv4或IPv6節點間的信息互通。通信源節點可根據目的節點的協議類型選擇運行的協議棧，而網絡設備則根據報文的協議類型選擇不同的協議棧進行處理和轉發[5]。

雙棧機制的優點是，它是IPv6節點與IPv4節點兼容的最直接的方式，不必為不同類型的用戶單獨部署網絡配置，互通性好、開銷小、管理簡單、邏輯清晰。缺點是，不支持雙棧的設備需要更換，必要時需要補充使用NAT技術，應用軟件也需做適應性改造。

2.2 隧道技術

隧道技術是通過將一種IP 協議嵌套在另一種IP協議中，跨過網絡傳遞到另一個路由器的技術。隧道技術是基于現有的IPv4 路由體系來傳送IPv6 數據包的。它將IPv6數據報文作為載荷封裝到IPv4 數據包內，并沿著隧道所標識的虛擬鏈路進行發送，最后到達隧道的終點[6]。隧道技術只要求在隧道的入口和出口處進行雙棧升級改造，對網絡的其他部分沒有要求，因此較容易實現。雙棧技術并不要求建立隧道，只有當IPv6節點需利用IPv4的路由機制傳遞信息包時隧道才是必需的，但隧道的建立卻需要雙協議棧的支持[7]。

隧道技術的優點是，不用把所有的設備都升級為雙棧，只要求網絡的邊緣設備實現雙棧和隧道功能。除邊緣節點外，其它節點不需要支持雙協議棧；缺點是，隧道技術不能實現IPv4主機和IPv6主機的直接通信，只是過渡技術，不是最終的解決方案。

2.3 NAT技術

NAT技術通過對數據包的轉換實現IPv4和IPv6的互相訪問，提供了IPv4網絡和IPv6網絡之間的互通方案。

NAT技術的優點是實現純IPv6網絡與IPv4網絡之間的互通，提供IPv6與IPv4之間的互相訪問且無需改動現有網絡；缺點是，存在業務質量降低、加密報文無法翻譯的風險。

3 12306系統的IPv6演進方案

3.1 系統演進過渡方案

目前12306系統使用IPv4協議運行，該協議運行基本穩定。局域網絡具備相當的用戶規模，如果重建局域網將面臨投資較大、網絡重新規劃、業務整合等一系列問題，可以考慮采用過渡技術解決方案。遵循穩定、安全、可靠的基本原則，通過對比分析雙棧技術、隧道技術和NAT技術3種方式的優缺點，確定12306系統IPv6演進應采用主體部署雙棧和NAT技術補充的方案，當12306系統和辦公區域都支持IPv6后，可考慮逐步關閉IPv4網絡協議棧，并通過NAT技術來解決少量的IPv4內容訪問需求。

3.2 系統演進改造內容

（1）內容分發網絡改造

12306系統通過內容分發網絡（CDN，Content Delivery Network）為互聯網用戶提供售票服務，CDN需進行改造以提供IPv4/IPv6雙棧服務。

（2）主體網絡及安全設備改造

在第1和第2數據中心需進行IPv4/IPv6雙棧改造調試的網絡及安全設備包括：互聯網接入設備（例如安全設備、鏈路負載均衡設備等）、客服外網核心交換機、客服外網安全及加密設備、客服外網雙中心互連設備（例如防火墻、路由器等）、客服內外網安全平臺、客服內網核心交換機、客服內網安全設備、客服內網雙中心互連設備（例如防火墻、路由器等）、客票網安全平臺、客票網核心交換機、客票網二層互聯設備和客票網核心路由器。

（3）服務器及存儲設備改造

將第1和第2數據中心的服務器及存儲設備，按照CDN接入用戶的IPv6流量所占比例以及整體進度要求進行IPv4至IPv4/IPv6雙棧遷移改造。同時對其上的基礎及系統軟件進行調試并試運行。

（4）應用系統改造

IPv6整體演進改造過程中，除了關于網絡層的改造，對應用系統的改造也是關鍵所在。目前大部分應用軟件不支持IPv6，如果需要使用IPv6，需要對其進行升級開發，做必要的適應性改造，并在試驗環境中進行測試驗證。應用系統改造工作主要包括運行環境配置和相關網絡協議的代碼行改造兩部分。運行環境配置主要是對操作系統、中間件、數據庫等基礎平臺運行環境進行相關配置改造。相關網絡協議的代碼行改造主要是指IPv4 過渡到IPv6 需要修改的網絡協議[8]。

12306系統IPv6演進改造方案的總體架構圖如圖1所示。

圖1 12306系統IPv6演進架構圖

3.3 系統演進實施步驟

12306系統進行IPv6改造涉及互聯網接入區、客服外網區、客服內網區、客票網區4個網絡分區；涉及的設備為網絡及安全設備、服務器及存儲設備兩大類；涉及的軟件為基礎及系統軟件、應用軟件兩大類。

系統的演進分步實施主要按照以下步驟。

（1）在實驗室搭建一套虛擬試驗環境，模擬12306互聯網售票，對環境和應用軟件進行適應性測試驗證，對于雙棧設備進行性能評估。

（2）對于4個區域的網絡及安全設備進行支持IPv4/IPv6雙棧改造調試。12306系統中的設備是在不同時期、不同工程中采購的，所以在IPv6演進改造遷移過程中需充分考慮設備到期更新的需求，將即將到期的設備優先用在IPv4/IPv6雙棧中。在此后的新增設備和新開發軟件都應將支持IPv4/IPv6雙棧作為一項基本標準和要求。通過將既有設備進行改造遷移或者在設備到期更新時完成改造，可以節省投資，但需在測試驗證和遷移改造過程的維護方面做充分的工作。

（3）對4個區域的服務器及存儲設備按照20%的流量比例進行IPv4至IPv4/IPv6雙棧遷移改造，同時對其上的基礎及系統軟件、應用軟件進行調試并試用行。

（4）根據IPv6流量比例的需要以及整體進度要求進行改造遷移。

3.4 系統IPv6演進的關鍵問題

3.4.1 演進中的域名問題

由于系統采用統一資源標識符（URI，Uniform Resource Identfier）對外提供服務，而用戶通過域名服務器（DNS，Domain Name Server）來解析應用的服務器地址，因此在演進過程中會遇到DNS的解析問題。為解決該問題運營商針對同一URI可以支持向用戶同時返回IPv4地址和IPv6地址，由用戶終端決定采用哪個地址進行通信。在實際實施時，應用系統可以按照現有域名同時設置IPv4地址和IPv6地址。當然也可以考慮為IPv4和IPv6分別獨立設置一個域名[9]。綜合分析兩種方法，前者更為便捷。

3.4.2 演進中的安全問題

相對于IPv4而言，IPv6協議由于內嵌Internet安全性協議及海量的地址對應用平臺，安全性有了一定程度的提高。但在大規模推廣時也可能出現新的安全問題。部署IPv6后，原有的安全設備需要同步升級，實現對分布式拒絕服務攻擊、入侵檢測等多層面防護。如原有安全設備可以升級，盡量采用升級的方式，如不支持，可將原有安全設備仍然作為IPv4的防護，新增安全設備作為IPv6的防護[9]。

3.4.3 用戶接入流量統一調度

在12306系統的兩個數據中心分別新增運營商IPv4/IPv6雙棧通道，新增CDN到一中心和二中心的IPv4/IPv6訪問，實現CDN到兩個數據中心IPv4和IPv6不同通道的同時訪問。同時要求 CDN具備根據實際需要實時調整IPv4和IPv6訪問流量比例的功能。也可以考慮在互聯網接入區增配流量控制設備，對IPv4和IPv6流量統一調度，設置優先級。但考慮到新增通道成本問題，應采用第1個方案。

3.4.4 演進中的應急措施

在12306系統進行IPv6演進改造的過程中，為了保證系統運行的穩定性，主要能采取以下幾項應急措施。

（1）在演進實施之初不應立即接入IPv6的流量，應先對設備和軟件進行驗證。在應用系統功能驗證和雙棧設備性能評估均達標后再接入IPv6的流量。

（2）改造設備時先改造一個數據中心的設備，做好必要的應急準備，一旦出現問題，可用另一個數據中心承擔生產業務。改造經確認沒有問題后再改造另一個數據中心的設備。

（3）服務器集群一般情況下由多個設備承擔同一功能任務，應按照IPv6流量的占比，以及1.2節提到規劃中的比例（20%、50%、100%）進行服務器集群分批改造。改造后的集群是雙棧的，可以同時處理IPv4和IPv6的業務，因此改造比例應為IPv6的上限值。

（4）有個別設備在單一數據中心里單獨承擔任務，應逐一分時改造兩個數據中心的設備為雙棧模式，以免同時出現問題。

（5）應在客服外網、客服內網、客票網各區域的核心交換機處設置NAT網關，補充實際流量與處理能力不匹配的部分。保留一定規模量的NAT能力，既可為業務預留升級的時間窗口，也可彌補升級后不匹配的問題。在IPv4至IPv4/IPv6雙棧服務器的遷移中，如果流量不符合實際，可以通過NAT技術達到總體平穩可用。客服外網到客服內網以及客服內網到客票網，及時調節IPv4和IPv4/IPv6流量的處理能力。但是為了不使NAT網關成為瓶頸，需要控制NAT的總量，盡量科學計算流量比例，分階段分批對服務器設備進行遷移和調整。

4 結束語

IPv6的推廣是一次全球網絡信息技術的創新與變革，是時代挑戰也是機遇。加快推進IPv6規模部署有利于構建智能化的下一代鐵路信息網，提高承載能力和服務水平，也是鐵路信息網融入國際互聯網環境的迫切需求。未來應積極將IPv6技術投入到12306售票系統及其他鐵路系統中，為旅客提供更加豐富、智能化的服務。IPv6演進過程中的安全問題、性能問題、可管理性等都是需要進一步研究的方向。