淺析電子政務外網中的IPv6升級改造

楊灝

電子政務外網承載著政府部門的多種業務，IPv4地址資源極大地限制了電子政務的發展。下一代互聯網是以IPv6作為核心技術，從根本上解決了IPv4的發展瓶頸問題。因此本文主要通過研究IPv6過渡技術和升級改造關鍵點，為電子政務外網實現IPv6網絡演進提供思路。

一、引言

隨著歐洲網絡協調中心（RIPE NCC）宣布IPv4地址用完，理論上新增設備無法獲得合法的IPv4地址。IPv6的出現讓IP地址短缺不再成為問題，而且發展至今技術已經成熟，海量的地址資源可以有效的支撐新的信息化應用。中共中央辦公廳、國務院辦公廳發布的《推進互聯網協議第六版（IPv6）規模部署行動計劃》，提出了IPv6的發展目標和總體要求，IPv6已經成為向下一代互聯網演進的必由之路。

目前電子政務外網承載著政府部門的多種業務，大多是采用私網地址和地址轉換技術，隨著業務范圍的逐漸擴大，為保障新業務的開展不受IPv4地址制約，需要逐步從IPv4網絡向IPv6網絡平滑過渡，同時不影響業務質量。本文旨在通過對IPv6過渡技術進行研究，分析電子政務外網實現IPv6升級改造的方法。

二、IPv6過渡技術現狀

IPv6發展至今已經逐漸成熟，并且衍生出廣泛的應用。但是IPv6協議替代IPv4協議不可能一蹴而就，因此在未來一段時間內IPv4協議和IPv6協議會共存在一個環境中。在從IPv4平穩演進到IPv6的過程中，需要根據電子政務外網的特點尋找到合適的過渡機制。目前常用的IPv6過渡技術有雙棧技術、隧道技術和翻譯技術。

（一）雙棧技術

雙棧技術是目前最直接、也是最徹底的部署IPv6網絡的一種方法，適合長期演進和大規模部署。該技術需要網絡、設備及業務系統同時支持IPv4和IPv6，這樣用戶可以通過IPv4和IPv6通道分別訪問IPv4網絡和IPv6網絡。實現雙棧需要在過渡期間同時維持IPv4和IPv6環境，而且網絡中每個節點都要升級，同時當前全球IPv6網絡環境還未形成，許多網絡安全問題尚不明確，缺乏相應的安全防護措施，給同時運行IPv4和IPv6兩套協議棧帶來了網絡安全風險。

（二）隧道技術

隧道技術在IPv4向IPv6過渡過程中也非常重要。隧道技術不改變網絡中大部分IPv4設備，只需要在用戶和業務系統的接入設備、網絡出口路由設備上同時運行IPv4和IPv6協議，并在接入設備和出口路由設備之間建立 IPv4 隧道，基于IPv4隧道來傳送IPv6數據報文。通過隧道技術，網絡只需要出口路由設備和接入設備雙棧化，其他設備不受影響。該技術增加了網絡維護和故障定位的難度，而且還增加了報文長度，對于用戶和業務系統都需要安裝相應的IPv6隧道軟件，需要配合雙棧技術來完成IPv6改造。

（三）翻譯技術

翻譯技術可以分為傳統的有狀態翻譯技術、有狀態應用層翻譯技術和無狀態翻譯技術。翻譯技術的原理同樣是實現出口路由設備和接入設備雙棧化，在用戶和業務系統之間部署翻譯設備，建立IPv6/IPv4之間地址和端口的映射關系，用戶和業務系統的IPv6報文翻譯成IPv4報文才進入網絡，在IPv6出口處再次翻譯成IPv6報文，用戶和業務系統的IPv4報文則直接進入IPv4網絡，不進行翻譯。

有狀態的翻譯技術主要有NAT64、NAT46，主要是基于動態映射將源站的IPv4地址和IPv6地址對應起來。該技術對網絡和現有系統改動較小，但會存在IPv6訪問無法溯源的問題，難以對訪問的用戶進行管理。有狀態應用層翻譯技術是采用了代理機制，外部用戶先訪問到代理服務器，然后通過代理服務器訪問網站。這種技術因為增加了代理，導致用戶訪問時延增大。無狀態翻譯技術是基于網絡層算法將IPv4地址和IPv6地址進行映射，實現IPv6/ IPv4地址無狀態轉換。該技術依賴于翻譯設備，支持同一網絡出口的所有網站及業務系統，能夠解決應用支持和安全溯源的問題。

三、電子政務外網的IPv6升級改造

目前電子政務外網運行的業務都是基于IPv4的，從電子政務外網的長遠發展來考慮，如何讓電子政務外網接受IPv6用戶的訪問變得至關重要。

（一）IPv6升級改造主要內容

電子政務外網的IPv6升級改造涉及的環節眾多，主要包括三部分內容：終端、業務系統和網絡。終端操作系統通過升級后支持雙棧，即可以同時訪問IPv4資源和IPv6資源；業務系統包括操作系統升級、軟件升級和硬件升級，對于無法支持升級IPv6協議的可以考慮臨時過渡技術或者替換來解決；網絡改造需要考慮IPv6過渡技術的選擇、網絡地址的申請和規劃、網絡設備和安全設備的升級等內容。

（二）IPv6升級改造關鍵點

電子政務外網IPv6改造主要從網絡調研、地址申請和規劃、過渡技術選擇和安全策略這四個關鍵點進行說明。

網絡調研：通過調研網絡架構、網絡業務情況、網絡設備信息以及IPv4相關情況，對網絡設備、架構以及業務系統的IPv6支持度和性能進行評估，做出適合網絡演進的最優決策。

地址申請和規劃：業務系統升級首先要獲得IPv6線路和地址，IPv6地址分配后，地址規劃可以從安全性、擴展性和路由聚合三個方面進行考慮。其中安全性是控制敏感路由發布，做到網絡隔離；擴展性是考慮業務類型增加和用戶數增長，合理預留地址空間，提高擴展性；路由聚合是指采用層次化設計，提高聚合性。

圖1 基于業務系統的ipv6改造架構

過渡技術選擇：電子政務外網由于其業務特殊性，會從少量的IPv6流量訪問，到中間經歷很長一段IPv4和IPv6兩種流量共存的時間，再到少量的IPv4流量訪問，最后演進為純IPv6網絡。所以在過渡期間網絡升級主要以雙棧技術為主，還需要翻譯和隧道技術作為輔助，實現網絡的平滑升級。

安全策略：IPv6協議相對于IPv4協議在網絡拓撲結構設計上沒有什么變化，且在IPv4網絡中相關安全威脅在IPv6中同樣存在，因此，要建設基于IPv6的網絡安全體系，可以基于原有的IPv4防護經驗從技術和管理兩個層面進行安全防范。但是面對當前復雜嚴峻的網絡安全形勢，尤其是全新的IPv6協議網絡環境，應該制定全新的安全防護策略，通過針對IPv6的安全技術和管理手段來實現防護能力，比如針對IPv6的攻擊分析預測、威脅預警、流量監控、用戶行為分析等。

四、結語

電子政務外網的IPv6升級改造是一個長期而又復雜的過程，完成改造對于進一步推動下一代互聯網的平滑演進升級具有重要的意義。因此需要結合實際情況，尋找到適合電子政務外網的IPv6升級改造方法，針對部署過程中的技術細節還有待進一步深入探討。

作者單位：國資委信息中心