《上海IPv6创新发展白皮书.pdf》由会员分享,可在线阅读,更多相关《上海IPv6创新发展白皮书.pdf(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 上海上海 IPv6IPv6 创新发展白皮书创新发展白皮书 中国信息通信研究院中国信息通信研究院 推进推进 IPv6IPv6 规模部署专家委员会规模部署专家委员会 20212021 年年 8 8 月月 前前 言言 2021 年 7 月,经中央网络安全和信息化委员会同意,中央网信办、国家发展改革委、工业和信息化部印发关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知。明确了“十四五”时期深入推进 IPv6 规模部署和应用的主要目标、重点任务和时间表,是各地区、各部门推进 IPv6部署应用工作的指导性文件。为加快我国 IPv6 从“通路”走向“通车”,工业和信息化部联合中央网信办发布
2、IPv6 流量提升三年专项行动计划(2021-2023 年),围绕 IPv6 流量提升总体目标,明确了未来三年的重点发展任务,标志着我国 IPv6 发展正式步入“流量提升”时代。针对 2021 年的具体工作目标,中央网信办、国家发展改革委、工业和信息化部联合印发深入推进 IPv6 规模部署和应用 2021 年工作安排,明确了 2021 的工作目标,部署了在强化网络承载能力等方面的一系列工作任务。本白皮书主要从用户数、流量、基础资源、应用等多个维度对上海市 IPv6 当前发展情况进行综合分析,力求全面、准确反映上海市 IPv6 发展状况,为持续有效推进 IPv6 规模部署工作提供必要的信息支撑。
3、目目录录 前前 言言.2 一、一、全球进入全球进入 IPV6 新时代新时代.4(一)全球进一步强调对 IPV6 及演进技术的部署要求.4(二)中国 IPV6 规模部署取得阶段性成果.5 二、二、上海上海 IPV6 网络建设成果与举措网络建设成果与举措.7(一)不断加强政策供给、引导行业发展.7(二)网络建设成果显著.7 三、三、IPV6 创新应用赋能上海千行百业创新应用赋能上海千行百业.18(一)政府网站 IPV6 改造统筹推进与集约建设-上海市大数据中心.19(二)SRV6 技术推进 IPV6 在金融领域的规模部署-浦发银行.27(三)基于 IPV6+5G 技术的医院物流机器人运输平台的探索
4、-瑞金医院.37 四、四、存在问题存在问题.43 五、五、总结与总结与工作建议工作建议.44 六、六、展望展望.46 一、全球进入 IPv6 新时代(一)全球进一步强调对 IPv6 及演进技术的部署要求 随着物联网、工业互联网和人工智能等产业的迅速布局,日益枯竭的 IPv4 地址资源已严重阻碍了互联网的蓬勃发展。据国外权威机构统计数据显示,近年来 IPv6 部署在全球推进迅速,主要发达国家 IPv6 部署率持续稳步提升,部分发展中国家推进迅速,印度、比利时、美国等国家 IPv6 部署率已超过 50%,Google 全球 IPv6 用户访问占比超过 25%,根据World IPv6 Launch
5、的统计数据,全球373个网络运营商IPv6部署率平均值为 30.83%,Alexa 排名 Top1000 的网站中 IPv6的支持率为 29.70%。Google、Facebook 等全球排名靠前的网站已经全面支持 IPv6。荷兰阿姆斯特丹 AMS-IX 数据中心统计,截至 2021 年 3 月,IPv6 平均流量占比为 3.6%。当前,全球对 IPv6 的重视程度进一步加深。法国在 2020年的 IPv6 过渡说明中提到,地址缺乏阻碍了智能家居、在线游戏等新业务的部署,同时要求5G许可证持有者必须在2020年底前使其移动网络与 IPv6 兼容。美国在 IPv6 过渡要求中说明,美国将加速联邦
6、信息网络系统 IPv6 单栈迁移,到 2023年要求达到 20%,到 2024 年要求达到 50%;到 2025 年要求达到 80%。欧洲 ETSI 成立了 IPE(IPv6 Enhanced)协会,在其白皮书内提到:IPv6+技术是 IPv6 的创新,是满足 5G 和云时代需求的必要技术。(二)中国 IPv6 规模部署取得阶段性成果 2017 年 11 月,中共中央办公厅、国务院办公厅印发 推进互联网协议第六版(IPv6)规模部署行动计划。2020 年是该行动计划的收官之年,2021 年将进入 IPv6 规模部署第三阶段。截至 2021 年 6 月,我国 IPv6 活跃用户数已达 5.33
7、亿,约占中国网民的 53.91%,IPv6 地址资源位居全球第一,全国LTE 网络、城域网基本完成 IPv6 改造、互联网骨干网、承载网全部支持 IPv6。已分配 IPv6 地址用户数达到 15.92 亿,城域网 IPv6 总流量达 15.20Tbps,LTE 核心网 IPv6 总流量达 8950.56Gbps,占 LTE 全网流量的 14.31%。三大基础电信企业 IDC 已完成 IPv6 改造,11 家 TOP CDN 企业全国范围支持 IPv6 能力覆盖,TOP100 商业网站及应用全面支持 IPv6 访问。同时,政府、央企、新闻、高校网站 IPv6 支持率大幅提升,IPv6 已覆盖门户
8、/新闻、社交、视频、电商、搜索、游戏、浏览器、移动应用商店、生活服务、出行服务等主流应用。根据 APNIC 统计数据,目前我国 IPv6 用户数已经排名全球第二,但整体用户占比还有待提高。具体数据见表 1.1。表 1.1 全球 IPv6 用户数量及比例排名情况 排名排名 国家国家 IPv6IPv6 用户数量用户数量 排名排名 国家国家 IPv6IPv6 用户比例用户比例 1 印度 43245 万 1 印度 74.05%2 中国 17104 万 2 比利时 64.10%3 美国 12988 万 3 马来西亚 52.87%4 巴西 5981 万 4 美国 51.94%5 日本 4876 万 5 德
9、国 50.46%6 德国 3568 万 6 希腊 49.91%7 墨西哥 3425 万 7 法国 45.75%8 法国 2468 万 8 越南 45.07%9 英国 2422 万 9 瑞士 44.09%10 越南 2410 万 10 日本 43.10%39 中国 20.76%为了进一步推动 IPv6 规模部署,推进 IPv6 规模部署专家委员会成立了“IPv6+”创新推进组,针对目前 IPv6 部署中的问题,进一步开发 IPv6 技术与应用,为运营商、行业客户在数字化转型中创造更大价值。IPv6+技术创新工作组将依托我国 IPv6 规模部署进展成果,加强基于 IPv6 下一代互联网技术的体系创
10、新,从各方向积极开展 IPv6+网络新技术新应用的试验验证与应用示范,不断完善 IPv6 技术标准体系,显著提升我国在 IPv6 领域的国际竞争力。二、上海 IPv6 网络建设成果与举措(一)不断加强政策供给、引导行业发展。2020 年,上海市委网信办、上海市发展改革委、上海市经济信息化委、上海市通信管理局等四部门联合印发上海市推进互联网协议第六版(IPv6)规模部署三年行动计划(2020-2022 年)(以下简称行动计划)明确未来三年内上海市 IPv6 规模部署的总体考虑、主要任务和保障措施。行动计划围绕上海市 IPv6 推动互联网演进升级和创新健康发展的主线,推出实现基础网络升级、形成应用
11、创新生态、提升安全保障能力、完善技术产业发展等四项行动。通过三年的时间,统筹推进上海市 IPv6 发展,形成下一代互联网自主技术体系和产业生态,实现下一代互联网在经济社会各领域深度融合应用。(二)网络建设成果显著 目前,上海 IPv6 规模部署情况位居全国前列。根据国家IPv6 发展监测平台测算,上海市已分配 IPv6 地址用户数达到 4020 万,分配地址占比超过 90%,IPv6 活跃连接数占比接近 90%,各项指标均远超全国平均水平。中央网信办对各地网站 IPv6 评测结果显示,截至 2021 年 6 月,上海重点领域门户网站 IPv6 支持度综合得分排名全国第一。目前,上海市基础电信企
12、业已全面完成 LTE 端到端、固定网络端到端、骨干网络互联互通、全部数据中心和 DNS 域名递归解析系统的IPv6改造,可持续向全行业提供基于IPv6的互联网接入的能力。上海市 IPv6 活跃用户持续增长,截至 2021 年 6 月底,上海 IPv6 活跃用户占比已超过 60.2%,提前半年完成既定目标,上海 IPv6 规模部署情况位居全国前列。同时,上海的主流云服务、CDN、互联网企业也基本完成了 IPv6 的规模覆盖,上海已经初步完成 IPv6 规模部署二阶段的目标,未来的工作重点应该放在阶段三的工作开展之上。1、总体情况(1)网络基础设施 IPv6 能力就绪 上海基础电信企业骨干网、城域
13、网、接入网全面完成IPv6 改造,并开通 IPv6 业务承载功能;为支持 IPv6 的全部在网移动终端、固定终端分配 IPv6 地址;完善 IPv6 专线产品开通流程,为政企客户快速开通 IPv6 专线接入并支持分配 IPv6 地址。根据客户需求为新签或续签服务合同的政企客户分配 IPv6 地址。(2)应用基础设施提升 IPv6 业务承载能力 上海电信、上海移动和上海联通数据中心全面完成 IPv6改造,可为用户提供基于 IPv6 的互联网数据中心服务;网宿科技等 CDN 企业的 IPv6 改造节点已完成全国各省各运营商网络的覆盖,覆盖节点数量、本地覆盖能力占比超过 85%,可面向全国范围提供基
14、于 IPv6 的 CDN 服务。优刻得等云服务企业已实现 Top20 云服务的全面商用,覆盖全国可用域的 66%以上,可支持原生 IPv6 云应用服务。(3)网站及互联网应用生态加快向 IPv6 升级 发挥政府先行作用,带动整个行业健康有序发展发挥政府先行作用,带动整个行业健康有序发展。2021年 6 月,按照中央网信办工作要求,推进 IPv6 规模部署专家委员对全国 31 个省、自治区、直辖市及新疆生产建设兵团的政府政务、金融、教育、国企和新闻媒体等重点领域网站IPv6支持度进行了IPv6支持度的评测工作,评测结果显示,上海市进行测试的 310 个网站中,275 个网站支持 IPv6 访问,
15、占比为 88.71%。其中,政府政务网站和金融类网站支持度较好,64 个市地级以上政府门户网站及省级委办局网站中,59 个网站首页支持 IPv6 访问,二级链接 IPv6 平均支持率为 95.22%,三级链接 IPv6 平均支持率为 93.91%。上海市政府、青浦区政府、徐汇区政府、市科学技术委员会、市国有资产监督管理委员会等 24 个政府政务网站二、三级链接支持率均超过 95%,改造效果显著,起到了示范带头作用。二三级链接 IPv6 支持率均超过 95%的网站如表 2.1。表 2.1 二三级链接 IPv6 支持率均超过 95%网站列表 单位名称单位名称 门户网站门户网站 二级链接二级链接IP
16、v6IPv6 支持率支持率 三级链接三级链接IPv6IPv6 支持率支持率 上海市科学技术委员会上海市科学技术委员会 100.00 99.29 青浦青浦区区政府门户网站政府门户网站 99.37 99.80 徐汇徐汇区区政府门户网站政府门户网站 99.35 98.50 单位名称单位名称 门户网站门户网站 二级链接二级链接IPv6IPv6 支持率支持率 三级链接三级链接IPv6IPv6 支持率支持率 松江区人民政府网站松江区人民政府网站 99.13 98.24 奉贤奉贤区区政府门户网站政府门户网站 98.75 98.20 市监狱管理局市监狱管理局 99.08 97.69 市国有资产监督管理委员会市
17、国有资产监督管理委员会 96.65 99.53 市公安局市公安局 96.40 99.63 市地方金融监管管理局市地方金融监管管理局 97.12 98.51 市体育局市体育局 95.99 99.24 虹口虹口区区门户网站门户网站 97.90 97.11 市绿化和市容管理局市绿化和市容管理局 97.19 97.55 上海上海市政府市政府 96.45 98.25 市财政局市财政局 96.56 97.97 长宁门户网站长宁门户网站 97.25 97.23 宝山政府门户网宝山政府门户网 99.00 95.28 市交通委员会市交通委员会 97.64 96.48 杨浦杨浦区区政府门户网站政府门户网站 95.
18、67 98.25 市水务局市水务局 95.20 98.34 市发展和改革委员会市发展和改革委员会 97.45 96.08 市人民政府外事办公室市人民政府外事办公室 98.43 95.02 市教育委员会市教育委员会 97.79 95.03 市文化和旅游局市文化和旅游局 96.77 95.87 崇明崇明区区政府门户网站政府门户网站 95.12 96.45 同期,为动态掌握 IPv6 规模部署情况,上海市委网信办采用相关单位上报、平台监测、实验测评等形式对本市 500家重点网站(包括党政机关、市属国企和各行业机构)和 50个主流移动互联网应用也开展了 IPv6 支持度的监测工作。结果显示,截至 20
19、21 年 6 月,500 家重点网站中共 371 家主页支持 IPv6 访问,占比为 74.2%。对二三级链接抽样检测结果显示,二级链接平均支持率为 98.89%,其中 359 家支持率超过 90%。三级链接平均支持率为 99.12%,其中 357 家支持率超过 90%。主流移动互联网应用(App)方面,23 个移动互联网应用的 IPv6 流量占比不低于 30%,占比为 46%。其中,蜻蜓 FM、起点读书、喜马拉雅等 10 个移动互联网应用的 IPv6 流量占比超过 70%,改造程度较好。哔哩哔哩漫画、盒马、驴妈妈等 16 个移动互联网应用的 IPv6 流量占比低于 10%,仍需加大改造力度。
20、金融领域按照国家银保监会和证监会 2018 年出台的正式意见有序推动 IPv6 规模部署,IPv6 部署工作保持领先。158 家金融机构网站主页支持率超 93%,特别是 15 家银行网站,主页 100%支持 IPv6 访问,行业示范效果明显。176 家党政机关网站主页 IPv6 支持率为 61.36%;42 家医疗机构网站主页 IPv6 支持率达到 83.33%;24 家新闻媒体网站主页 IPv6 支持率为 70.83%;62 家教育机构网站 IPv6 支持率为69.35%;市属国企网站主页IPv6支持率有一定提升,达到 53.85%。(4)IPv6 网络安全保障进一步加强 上海市基础电信企业
21、不断完善网络安全管理制度体系,涵盖 IPv6 安全防护和管理相关要求;同步升级防火墙/WAF、IDS/IPS、4A 系统等 IPv6 网络安全防护手段;同步改造僵木蠕监测处置系统、移动互联网恶意程序监测处置系统、上网日志留存系统、IDC/ISP 信息安全管理系统等网络安全监测处置系统;完成已升级改造的基础网络、业务系统、CDN/IDC、云服务平台、域名系统等网络和系统单元的定级备案、符合性评测和风险评估等网络安全防护工作。2、IPv6 用户数 IPv6 用户数是反映我国 IPv6 发展状况的核心指标,包括 IPv6 活跃用户数、IPv6 活跃连接数及已分配 IPv6 地址用户数。IPv6活跃用
22、户数是指中国内地具备IPv6网络接入环境,已获得 IPv6 地址,且在近 30 天内有使用 IPv6 协议访问网站或移动互联网应用(APP)的互联网用户数量,直观反映我国网站和移动互联网应用 IPv6 改造情况。指基础电信运营商统计得出的,已经获得 IPv6 地址,且在 30 天内具备有效 IPv6 流量记录(不包含 Ping 和域名解析流量)的固定和移动终端数量,能够反映我国基础网络IPv6 支持情况 已分配 IPv6 地址用户数指基础电信企业在 30 天内为用户分配 IPv6 地址的数量,反映 LTE 网络和固定宽带接入网络 IPv6 的改造情况。(1)IPv6 活跃用户数 根据国家 IP
23、v6 发展监测平台测算,上海市 IPv6 互联网活跃用户占比已达到 60.2%,已提前半年达成 60%的既定目标。(2)已分配 IPv6 地址用户数 一年来,上海市三大基础电信企业加快改造进度,为全全市 LTE用户和固定宽带接入用户分配 IPv6地址。截至 2021年 6 月,上海市已分配 IPv6 地址用户数达到 4020 万,其中LTE 网络已分配 IPv6 地址的用户总数为 3337 万,固定宽带接入网络已分配 IPv6 地址的用户总数为 683 万。随着 LTE 网络端到端改造进程的加速,呈现出移动网络IPv6 用户数发展速度大幅领先固定网络的趋势。趋势表明,基础电信企业 LTE 网络
24、 IPv6 分配地址用户数增长趋于平稳。综合考虑 LTE 存量终端的 IPv6 支持情况,运营商侧 LTE 网络改造工作基本完成。一年来 LTE 网分配 IPv6 地址趋势如图 2.1 所示 图 2.1 LTE 网络 IPv6 分配地址趋势 趋势表明,固定宽带接入网络改造环节多,周期长,存量家庭终端升级复杂,改造进度整体落后于 LTE 网络,用户数增长缓慢,IPv6 升级改造仍存在较大空间。一年来城域网分配 IPv6 地址趋势如图 2.2 所示 图 2.2 城域网分配 IPv6 地址趋势图(3)IPv6 活跃连接数 285831363110319432263243321232233254330
25、8330333253337单位:万户单位:万户LTE网分配IPv6用户数552556560564565568575584604606594640683单位:万户城域网分配IPv6用户数截至 2021 年 6 月,上海市 IPv6 活跃连接数达 3593 万,其中,城域网 IPv6 活跃连接数为 595 万,LTE 网络 IPv6 活跃连接数达 2999 万。城域网 IPv6 活跃连接数占比 77.36%,LTE 网络 IPv6 活跃连接数占比达 87.01%。上海市城域网和 LTE 网络一年来 IPv6 活跃连接数趋势如图 2.3 和图 2.4 所示。图 2.3 城域网 IPv6 活跃连接数变
26、化趋势 492497501505507510513516537534528552595单位:万单位:万 图 2.4 LTE 网 IPv6 活跃连接数变化趋势 3、IPv6 流量 截至 2021 年 6 月,上海市城域网流量达 581.375Gbps。占全部城域网流量的 3.52%。目前城域网 IPv6 流量占比仍旧偏低,后续需加快智能家庭网关和家庭无线路由器的升级替换工作,提升城域网流量。一年来城域网流量占比趋势如图2.5 所示。图 2.5 城域网 IPv6 流量占比变化趋势图 2790285028652947300329322928293229902998298429952999250026
27、00270028002900300031003200单位:万3.26%2.29%2.61%3.01%3.06%3.25%3.97%4.12%3.32%2.98%3.09%3.21%3.52%0.00%1.00%2.00%3.00%4.00%5.00%截至 2021 年 6 月,上海市 LTE 核心网 IPv6 流量达157.355Gbps,IPv6 峰值流量占移动核心网出口总流量的比例超过 16.5%,。目前 LTE 终端大部分已经支持 IPv6,终端瓶颈已经逐渐消失。后续需深化移动互联网应用的 IPv6 改造,提升 LTE 网络流量。一年来 LTE 网络流量趋势如图 2.6所示。图 2.6
28、LTE 网络 IPv6 流量变化趋势 10.06%10.15%10.64%13.56%14.20%14.63%14.73%14.56%10.49%10.23%9.36%11.14%12.21%0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%16.00%三、IPv6 创新应用赋能上海千行百业 当前,IPv6 的规模部署已经进入第三阶段,“IPv6+”成为 IPv6 规模部署第三阶段的重要技术体系。“IPv6+”是 IPv6技术的持续演进方向,是面向 5G 和云时代的 IP 网络创新体系。“IPv6+”可以实现更加开放活跃的技术与业务创新、更加高效灵活的组网与
29、业务提供、更加优异的性能与用户体验、更加智能可靠的运维与安全保障,进而支撑下一代互联网的升级演进与创新发展。“IPv6+”技术体系包括三个阶段,“IPv6+”1.0 通过SRv6 等技术让网络具备了编程能力,实现了网络简化和部分自治网络;“IPv6+”2.0,通过网络切片、随流检测、新型组播、确定性网络等技术实现了大规模网络分片,保障了用户体验,让网络实现了有条件自治;“IPv6+”3.0 则通过 APN等技术实现了应用感知,实现了应用驱动网络,最终网络实现了高度自治。上海市积极开展“IPv6+”技术创新商用。上海电信基于“IPv6+”的多云交换城域网已经运营商在智能云网场景的商用典范,基于“
30、IPv6+”的多云互联也在上海市的银行、保险、证券等金融领域逐渐开始商用,2020 年 12 月,上海电信会同中国信通院、华为技术有限公司基于“IPv6+”2.0 技术,发布了确定性广域网在工业互联网的首个试验成果,“IPv6+”已经开始全面赋能上海市的千行百业。(一)政府网站 IPv6 改造统筹推进与集约建设-上海市大数据中心 1、实施背景及目标 加快推进 IPv6 规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求,有助于显著提升我国互联网的承载能力和服务水平,更好融入国际互联网,共享全球发
31、展成果,有力支撑经济社会发展,赢得未来发展主动。根据中共中央办公厅、国务院办公厅印发推进互联网协议第六版(IPv6)规模部署行动计划、国务院办公厅关于印发 2018 年政务公开工作要点的通知(国办发 201823 号)、国务院办公厅关于印发的通知(国办函201871 号)等文件要求,市大数据中心严格按照工作要求和时间节点开展全站 IPv6 升级改造工作,同时结合政府网站集约化平台建设工作,将该项工作的统筹推进纳入政府网站集约化平台建设中,组织协调16 家区政府网站、43 家市政府部门网站同步实现 IPv6 访问改造。2、工作情况(1)完成“中国上海”门户网站 IPv6 升级改造 2018 年,
32、市大数据中心在前期调研的基础上,制定“中国上海”门户网站 IPv6 升级改造工作方案,严格按照工作要求积极稳妥推进相关工作,按时完成了“中国上海”门户网站的 IPv6 升级改造工作。一是明确责任主体。“中国上海”门户网站由上海市人民政府办公厅主办,市大数据中心承办。根据工作职能,市大数据中心是“中国上海”门户网站 IPv6 部署改造工作的责任主体,市大数据中心门户网站管理部具体负责落实工作要求,会同其他相关部门共同协调推进“中国上海”IPv6 改造工作。二是厘清网站现状。“中国上海”门户网站共有 22 个应用系统、3 个数据库系统、46 台主机。网站系统于 2018 年 7月全部迁移至全市政务
33、云平台,由政务云平台统一提供网络及设备层基础设施,所有服务及计算资源均以虚拟机的形式提供。三是确定工作方案。由于 2018 年时,政务云平台底层基于华为 Fusion Cloud 云产品,华为 Fusion Cloud 当时的版本为 6.0,不支持 IPv6。据华为公司确认,Fusion Cloud 需升级到 6.5 才能支持 IPv6,该版本计划于 2019 年 3 月发布。为满足 IPv6 改造需求,经反复研究比对,决定采用通过网络侧出口防火墙设备使用 NAT64 协议,并通过手工配置静态映射关系,实现 IPv4 网络主动发起连接访问 IPv6 网络。图 3.1.1:业务访问流程 图 3.
34、1.2:NAT64 与 DNS64 的网络部署场景 NAT64 是一种有状态的网络地址与协议转换技术,一般只支持通过 IPv6 网络侧用户发起连接访问 IPv4 侧网络资源。但 NAT64 也支持通过手工配置静态映射关系,实现 IPv4 网络主动发起连接访问 IPv6 网络。NAT64 可实现 TCP、UDP、ICMP 协议下的 IPv6 与 IPv4 网络地址和协议转换。该方案的优势是数据中心内部改造较小,快速上线,但是转发性能受限于防火墙设备。“中国上海”门户网站互联网地址与内部负载均衡地址进行绑定,因而本次将通过配置 IPv6 地址转换至 IPV4 负载均衡地址的 NAT 转换方式实现;
35、次 IPv6 地址转换配置是在原有基础上新增 IPv6 地址入口,不影响原有 IPv4 地址的正常运行。2018 年底,对“中国上海”门户网站的连通性、稳定性,以及 IPv6 网络有效性逐一验证,达到预期效果。“中国上海”门户网站顺利完成全站改造工作。(2)积极推进全市政府网站 IPv6 升级改造 本市政府网站IPv6改造工作共计16家区政府网站和 43家委办局网站,该项工作需众多政府部门及厂商共同协作配合。涉及面广、工作复杂,必须统筹协调解决光纤电路和政务云网络配置、服务器组网、域名解析等多项工作,具有一定的难度。从 2019 年起,本市持续推进各区政府、市政府各部门政府网站的 IPv6 升
36、级改造工作,连续两年将相关工作要求写入“政务公开年度工作要点”,明确要求至 2020 年底,本市政府网站应全面支持 IPv6 访问。2020 年 7 月起,为进一步掌握工作进度,及时发现问题,我们每月通报各网站首页IPv6 升级改造工作情况,要求未完成改造工作的网站加紧推进该项工作。同时,根据 上海市人民政府办公厅关于印发的通知(沪府办20199 号),我们将 IPv6 改造工作与政府网站集约化工作一并部署、同步推进。上海市政府网站架构为市区两级平台互联互通,市级部门网站统一接入市级政府网站集约化平台,由市级政务云平台统一提供网络及设备层基础设施;16 个区级平台为各区政府门户网站群,由各区政
37、务云平台统一提供域名解析、网络及设备层基础设施。一是完成政府网站集约化平台 IPv6 改造。改造范围包括市政府门户网站和 43 家政府部门网站,市级政务云平台提供各网站出口 IPv6 地址,并与对应的 IPv4 地址进行绑定;市大数据中心集中申请域名绑定 IPv6 地址。二是完成云盾安全防护服务 IPv6 地址改造。改造范围包括市公安局、市体育局、市国资委、市卫生健康委,由各网站主管单位协调推进云盾技术提供商进行 IPv6 地址改造,并向市大数据中心申请域名绑定 IPv6 地址。目前 4 家部门网站已全部完成 IPv6 地址改造工作。三是敦促各委办局完成网站动态链接 IPv6 改造。由于集约化
38、平台仅接入委办局网站的静态页面,大部分动态链接后台由各委办局开发运维,不纳入集约化范围内,网站剩余部分 IPv6 改造需由各委办局自行协调完成。目前,绝大部分链接已完成改造,各委办局网站 IPv6 可访问率基本在 90%以上。四是完成区政府门户网站 IPv6 地址改造。由各区政府门户网站主管单位制定并实施本区政府门户网站升级改造方案。目前 16 家区政府门户网站已全部完成 IPv6 地址改造工作。3、工作成效 经集约化改造后的政府网站总占用资源约为原各单位网站所用资源总和的 30%,所使用 IP 也从“一站多个”,变为“多站一个”。改造后的各委办局网站使用了统一的域名解析,减少占用资源的同时,
39、大大提升 IPv6 升级改造效率,使得这部分工作能够又好又快完成。2020 年底,国务院办公厅对全国政府网站 IPv6 改造情况进行了抽查,将“中国上海”及 16 个区政府网站纳入抽查范围。17 家区政府网站均通过了复测,二三级链接通过率均超 90%。4、工作亮点(1)统筹规划,统一部署。政府网站的 IPv6 改造是一项系统工程,涉及内容多、厂商多、技术团队多,需要各方面的支持。市大数据中心作为本市政府网站统筹管理的责任落实部门,积极配合市政府办公厅加强统筹协调,做好与技术支撑以及建设托管商、网络运营商等各个方面的沟通衔接。在 IPv6 的改造后,IPv4 和 IPv6 的网络将同时并存,两个
40、协议的用户均能正常访问,做到政府网站功能不少,服务不减,不能影响用户正常的使用和访问。(2)集约建设,同步推进。以“中国上海”为主体,借助政府网站集约化改建设统一完成改造目标。2018 年,“中国上海”首先验证 IPv6 改造方案可行后,将“中国上海”IPv6 升级改造的经验复用在集约化平台建设工作中,确保改造工作和集约化工作一并部署,同步推进。基于“中国上海”的成功经验,并依托集约化平台解决了绝大部分“外链”问题后,市大数据中心加速推进 IPv6 部署。市大数据中心积极做好各区、各委办局的协调工作,于 2019 年依托集约化平台统一完成全市政府网站 ipv6 改造,真正做到资源集约。(3)督
41、促检查,确保成效。建立督促检查机制,确保政府网站运行有序平稳。国务院办公厅制定的政府网站与政务新媒体检查指标和政府网站与政务新媒体监管工作年度考核指标 中,对于网站功能设计必须要求进行 IPv6 升级改造。根据国办要求,市大数据中心从 2019 年起将区政府网站 IPv6 升级改造情况纳入监管。2020 年 7 月起,每月通报各网站首页 IPv6 升级改造工作情况,要求未完成改造工作的网站加紧推进该项工作;同时将该项工作纳入政府网站年度测评工作中,以保持 IPv6 升级改造工作成效。各政府网站牢固树立网络安全意识,严格落实安全责任,加强安全技术和机制的保障,做好监测,及时整改,确保网站的安全运
42、行。(二)SRv6 技术推进 IPv6 在金融领域的规模部署-浦发银行 1、背景 为切实贯彻落实国家全面推进 IPv6 规模部署战略及行业监管要求,浦发银行形成以“总体规划,分步实施,稳步推进”的总体思路,以实现双中心、双协议栈、应用双活部署为总体目标,积极推进 IPv6 的规模部署。2、目标 新增 IPv4/v6 双栈互联网线接入线路,构建双栈互联网接入区,不低于 IPv4 线路现有的安全防护能力;完成互联网相关全部域名解析设备的升级改造,同时发布 A 和 4A 记录,提升域名解析设备的安全防护能力;通过 NAT64、IPv6 over IPv4 隧道等过渡技术完成面向公众互联网应用系统的
43、IPv6 改造;选择维护等级为 A 类的信用卡网银系统作为试点系统,完成双栈改造;通过 SRv6 技术开展新一代核心广域网建设,在核心广域网全面支持 IPv6 后,逐步推进总、分行数据中心内部系统及园区网的双栈部署。3、浦发银行 IPv6 部署方案介绍(1)整体网络架构介绍 由于 IPv4 和 IPv6 协议不兼容,二者在 IP 地址格式、网络架构、DNS 解析过程、终端行为、主机系统、存量业务应用等层面不能直接通信,因此在其长期共存、阶段过渡、规模升级的过程中,浦发银行充分考量技术风险控制、投资合理性及投资保护等方面因素,并结合新规划的数字化银行生态云平台网络架构,制定了新建 IPv6 接入
44、区的架构方案。图 3.2.1 IPv6 网络改造总体架构设计 如上图,左边是浦发银行传统的互联网业务区,右边是本次 IPv6 改造新建的数字生态云互联网接入区,该区域的相关建设情况如下:1.向三家运营商申请具备全球路由穿透的 IPv4/v6 双栈互联网线路。2.向 CNNIC 申请 IPv4/v6 地址段和 AS 号,新增运营商接入路由器与运营商之间构建 IPv4/v6 的 EBGP 邻居,通过BGP 向运营商发布浦发银行互联网服务路由。3.新增抗 DDOS 清洗平台按照旁路方式进行部署,通过分光器将流量一分为二发送到清洗平台进行逐包检测,当检测到攻击流量会立即将被攻击的站点流量通过 EBGP
45、 路由牵引到清洗设备上,其他未被攻击攻击的流量按原流量路径转发不受影响。4.新增 NAT64 设备,实现 IPv6 到 IPv4 的 NAT64 转换。5.新增 DNS 设备,实现 A 记录和 4A 记录解析。6.数字生态云互联网接入区所有网络及安全设备均支持IPv4 与 IPv6 协议。下图为 IPv6 改造前后的流量示意图,其中图 3.3.2 为改造前,IPv4 的流量都从左边进入访问传统的互联网业务区的系统。图 3.2.3 为改造后,IPv4 和 IPv6 的流量都通过右边新建的数字生态云互联网接入区进入,其中 IPv6 的流量会经过NAT64 设备转换为 IPv4 的流量后再去往传统的
46、互联网业务区:图 3.2.2 IPv6 改造前流量示意图 图 3.2.3 IPv6 改造后流量示意图(2)IPv6 改造应用层适配 1.客户端源地址溯源 在 IPv6 改造中重点需要考虑的应用层问题是客户端地址溯源。IPv6 地址转换成 IPv4 地址后,对于 B/S 架构的应用,可以将客户端真实地址插入到 X-Forward-For 头中,后端程序针对相应的插入位置进行提取。对于 C/S 架构的应用,可以将客户端真实地址插入到 TCP Option 中,后端程序需要开发相应的模块对 TCP Option 中的真实地址进行提取。如果后端程序无法提取 IPv6 地址,可通过应用交付设备将地址转换
47、前后的对应列表以日志的方式输出到外部日志平台的方式获取源地址。2.源地址做会话保持适配 IPv6 改造过程中出口 NAT64 设备由于承载业务量比较大,向后端转发时需要通过地址池的形式做源地址转换,如果应用只能以源地址做会话保持,内部由于有负载均衡,有可能出现同一个用户访问分配到不同的服务器的问题。此问题可通过应用交付设备上的可编程功能解决,使得同一个IPv4 或 IPv6 过来的客户端转换为固定地址进而访问到后端同一台服务器,实现会话保持。(3)应用系统双栈改造上云 云计算是浦发银行数字化转型和变革的必然趋势,生态云作为支撑浦发银行数字生态银行 2.0 的关键基础设施,具备对外提供丰富云服务
48、的能力。开展系统迁移上云,并建立企业级开发运维一体化模式是浦发银行势在必行的关键任务之一。信用卡网银系统是浦发银行维护等级为 A 类的重要业务系统,系统改造业务影响面较大、迁移复杂度较高,将该系统选为上云改造的双栈应用系统更具典型性,也能凸显浦发银行对系统双栈改造的重视和对技术能力的自信。图 3.2.4 信用卡网银系统双栈上云总体架构设计 信用卡网银系统在上海、合肥两地双活部署。如上图所示,采用了 IPv4/v6 双栈集群,充分利用数字生态云互联网区域路由选路灵活、具备抗 DDOS 能力、态势感知能力的安全架构,提升业务访问和安全防护能力,保证了系统的稳定运行,同时云上基础设施为系统提供了高并
49、发、高弹性的需求支撑能力。云上集群采用了 Calico 网络模型配置,通过云计算资源的弹性分配,实现了应用的动态扩展,有效提升了应用系统的高可用性,降低系统维护工作量。IPv4/v6 双栈集群配置了应急故障转移策略,当某一集群故障时,IPv4 和IPv6 流量都会在用户无感知的情况下切换到其他正常提供服务的集群,保证业务服务不中断。系统正式对外发布后,经监控,IPv4 和 IPv6 的访问流量占比分别达到 55%和 45%,v6 访问用户已接近一半,目前系统运维稳定。(4)新一代核心网 SRv6 改造建设 图 3.2.5 新一代核心网 SRv6 架构图 浦发银行目前正在开展的新一代核心网建设项
50、目,采用了广域网控制器统一管理 SRv6(Segment Routing IPv6,基于IPv6 转发平面的段路由)网络,实现流量工程和智能网络优化。未来将扩展至三地(上海、合肥和苏州)六中心网络架构,并支持分行边界统一接入和流量管理。SRv6 技术架构能够推动浦发银行核心网的 IPv6 改造和业务流量分类,实现核心网流量工程和服务能力保障。4、成效与亮点(1)提供高可靠的双栈基础网络架构保障 数字化生态云互联网接入区域所有网络基础设施均支持 IPv4/v6 双栈模式。浦发银行也是上海市金融行业中第一家采用 BGP 动态路由方式接入互联网的银行。BGP 协议最大优势是可以灵活调控路由,流量可以