負載均衡實現門戶網站雙棧訪問研究

宮帥 李彬 柴吳軍

摘 ? 要：為貫徹落實中共中央辦公廳、國務院辦公廳《推進互聯網協議第六版（IPv6）規模部署行動計劃》有關部署，切實做好中央企業部署應用IPv6有關工作，國家電網有限公司（以下簡稱“國網公司”）根據國資委文件要求，積極開展門戶網站和面向公眾的在線服務窗口IPv6改造工作。文章以國網公司下屬某省級公司信息網絡為例，探討在不改變現有網絡結構的基礎上，以應用負載均衡設備實現門戶網站IPv6/IPv4協議的雙棧訪問。

關鍵詞：互聯網協議第6版;雙棧;門戶網站;應用負載均衡

國網公司數據通信網基于互聯網協議第4版（Internet Protocol Version 4，IPv4）技術，互聯網協議（Internet Protocol，IP）地址不足問題已經顯現，部分發達下屬省公司中IPv4地址已經枯竭，新增系統和新建節點多采用地址轉換方式，應用私網地址緩解地址資源不足問題。這種解決方式將增加網絡管理復雜性、降低網絡綜合性能，小規模部分補充使用時這些問題尚能接受，一旦大規模應用，將嚴重影響網絡管理的效率和性能，危害通信安全，因此，不具有規模應用可能。國網公司開展門戶網站和面向公眾的在線服務窗口互聯網協議第6版（Internet Protocol Version 6，IPv6）改造工作，符合國家主管部門要求，符合國網公司網絡發展實際需要，符合國內外網絡技術發展趨勢，對國網公司未來信息化發展具有重要意義[1]。

1 ? ?網絡現狀

1.1 ?網絡拓撲

某省電力公司信息外網出口網絡拓撲如圖1所示，某省公司（以下簡稱公司）信息外網按其功能劃分為網絡出口區、用戶終端區、服務器區等3大區域。網絡出口區是作為整個網絡出口區域，通過在出口部署兩臺Radware負載均衡設備實現多運營商、多鏈路的流量負載與冗余。出口防火墻及UTM設備承擔整體網絡的安全防護作用，通過配置安全策略實現互聯網對公司內網網絡的安全訪問。用戶終端區網絡作為公司辦公終端的接入網絡，通過部署行為管理和郵件阻斷設備，實現對用戶終端的訪問行為和業務帶寬進行安全控制。服務器區網絡主要承載公司外網所有業務系統，通過在出口處部署Web應用防護系統（Web Application Firewall，WAF）設備，實現對Web應用的安全防護。

整體網絡以兩臺華為S7706交換機作為匯聚點，各網絡區域分別與匯聚點互聯，實現區域之間的業務互訪。兩臺匯聚點交換機與兩臺出口匯聚交換機、兩臺用戶區核心交換機、兩臺服務器核心交換機之間運行OSPF V2，通過修改各鏈路COST值，實現主備路徑選擇。

1.2 ?系統拓撲

外網網站應用服務器采用多節點部署，通過業務負載均衡對外提供服務。兩臺負載均衡設備主備部署分別旁掛在服務器區接入交換機上。應用服務器同時接入服務器區接入交換機上。用戶訪問通過主機名訪問外網網站系統，直接訪問負載均衡地址，負載均衡地址收到請求后，根據負載均衡算法選擇應用服務器。將數據請求進行源地址轉換后，發送至應用服務器。應用服務器響應請求，并返回數據至負載均衡。負載均衡返回數據給用戶[2]。

1.3 ?DNS解析

互聯網IPv4用戶向本地域名系統（Domain Name System，DNS）域名服務器發起針對公司外網網站的域名解析請求，本地域名服務器無相關記錄，向國網公司根域名服務器發起請求;根域名服務器根據本地NS記錄，向授權的公司二級域名服務器發起請求;公司域名服務器根據本地A記錄，返回域名對應IPv4地址[3]。

2 ? ?改造思路

根據現有技術特點分析，共有4種方式可以實現門戶網站的雙棧訪問，具體如下：

（1）外網出口設備地址轉換。在外網出口網絡地址轉換（Network Address Translation，NAT）設備上啟用IPv4與IPv6地址轉換技術，在NAT設備配置內部IPv4地址與公網IPv6地址的映射關系，網絡內部仍然采用IPv4部署模式。外部用戶可通過公網IPv6地址訪問公司業務，在NAT設備將訪問業務系統的IPv6報文轉換為IPv4報文。網絡中只需在出口NAT設備支持雙棧協議即可，其他網絡設備、安全設備及業務系統無需調整。

（2）應用負載均衡設備地址轉換。網絡出口、核心、匯聚等網絡及安全設備均運行雙棧協議，在應用負載均衡上為需要實現IPv6部署的業務系統新增IPv6地址。用戶IPv4和IPv6訪問請求均先訪問負載均衡設備，由負載均衡設備將訪問請求轉換為內部IPv4訪問請求。負載均衡以下均運行IPv4，無需對業務系統進行調整，負載均衡以上運行雙棧協議。該方案需對外網DNS進行調整，保證公網用戶請求DNS服務器時可返回解析后的IPv6地址。

（3）新建IPv6網絡專區。原IPv4網絡架構不變，在出口防火墻下新建IPv6區域，新增獨立的核心、匯聚、接入、負載均衡等支持雙棧協議設備，將需要改造的業務系統遷移至該區域。

（4）全外網區域改造。網絡出口、核心、匯聚等網絡設備及安全設備均運行IPv6/IPv4雙棧協議，負載均衡進行IPv6地址的虛地址和實地址映射，業務及DNS系統兩套部署，支持IPv6和IPv4協議各一套[4]。

根據網絡現狀，結合現有資源情況，某省公司計劃采用方式二進行外網門戶網絡的IPv6改造。改造后的某省電力公司信息外網出口網絡拓撲如圖2所示。

3 ? ?設計方案

3.1 ?總體架構

從運營商引入IPv6出口，增加網站域名對應IPv6地址的域名解析。IPv6改造深入至業務邊界，在業務負載均衡上配置IPv6虛地址（站點本地地址），在NAT設備上進行IPv6虛地址與IPv6實地址（全局單播地址）的一對一映射，在業務負載均衡上同時監聽IPv4和IPv6的端口訪問請求，通過業務負載均衡將IPv6訪問請求轉換為IPv4訪問請求，發送給對應的業務系統。業務負載均衡設備及以上的網絡運行IPv6和IPv4雙棧，業務負載均衡設備及以下運行僅IPv4地址。

3.2 ?拓撲設計

本方案設計無需改動公司現有外網網絡架構，在原有網絡架構的基礎上完成以下工作：

（1）申請運營商IPv6接入及相應IPv6地址。

（2）申請外網網站對應IPv6域名。

（3）出口鏈路負載均衡、出口匯聚交換機、出口防火墻、UTM、外網匯聚點、WAF、服務器區防火墻、服務器區核心交換機、業務負載均衡等設備配置IPv4/IPv6雙棧協議。

（4）出口匯聚交換機、外網匯聚點、服務器區防火墻部署OSPF V3動態路由協議。

3.3 ?系統設計

在應用負載均衡啟用IPv4/IPv6雙棧協議，新增外網網站IPv6 VS，同時，關聯原IPv4 Pool。IPv6用戶請求IPv6 DNS系統，查詢對應的IPv6地址。IPv6 DNS根據記錄響應用戶請求，并返回對應負載均衡IPv6地址。用戶主機直接訪問負載均衡 IPv6地址，負載均衡地址收到請求后，進行IPv6-IPv4轉換，發送IPv4數據包至應用服務器。應用服務器響應請求，并返回數據至負載均衡。負載均衡返回數據給用戶。

IPv4用戶請求IPv4 DNS系統，查詢對應的IPv4地址。IPv4 DNS根據記錄響應用戶請求，并返回對應負載均衡 IPv4地址。用戶主機直接訪問負載均衡IPv4地址，負載均衡地址收到請求后，進行源地址轉換，發送IPv4數據包至應用服務器;應用服務器響應請求，并返回數據至負載均衡;負載均衡返回數據給用戶。

3.4 ?路由規劃

外網出口負載均衡設備與運營商設備運行IPv6靜態路由協議，實現路由交互。內部網絡為保證其可靠性，規劃兩臺出口匯聚交換機、兩臺匯聚點交換機、兩臺服務器區防火墻板卡之間運行OSPF V3動態路由協議，通過修改各鏈路COST值，實現主備路徑選擇。

3.5 ?地址規劃

公司辦公外網出口采用IPv6靜態路由協議與運營商網絡對接，按照國網公司IPv6地址整體規劃，內部資源分為設備管理及互聯、業務、辦公等地址網段。其中，網段2405：6F00：E01A：：/49為設備管理及互聯，網段2405：6F00：E61A：：/49為業務，網段2405：6F00：E69A：：/49為辦公，某省電力公司外網IPv6地址規劃如表1所示。

4 ? ?結語

國網公司下屬某省電力公司深入貫徹落實中辦、國辦印發的《推薦互聯網協議第六版（IPv6）規模部署行動計劃》要求，按照國資委具體工作部署，結合自身網絡現狀，開展外網門戶網站IPv6改造工作。在不改變現有網絡結構的基礎上，以應用負載均衡設備實現門戶網站IPv6/IPv4協議的雙棧訪問。此次工作不但充分利用現有設備降低整體費用，同時，為后續其他系統IPv6改造提供了寶貴的經驗。

[參考文獻]

[1]伍孝金.IPv6技術與應用[M].北京：清華大學出版社，2010.

[2]JOSEPH D.深入解析IPv6[M].3版.北京：人民郵電出版社，2016.

[3]張東亮，李淵，任黎科.IPv6技術[M].北京：清華大學出版社，2010.

[4]沈鑫剡，伍紅兵，俞海英，等.IPv4網絡和IPv6網絡互聯技術[J].中國新通信，2008（5）：29-33.