1、浅析电子政务外网中的浅析电子政务外网中的 IPv6IPv6 升级改造升级改造 杨灏 电子政务外网承载着政府部门的多种业务,IPv4 地址资源极大地限制了電子政务的发展。下一代互联网是以 IPv6 作为核心技术,从根本上解决了 IPv4 的发展瓶颈问题。因此本文主要通过研究 IPv6 过渡技术和升级改造关键点,为电子政务外网实现 IPv6 网络演进提供思路。一、引言一、引言 随着欧洲网络协调中心(RIPE NCC)宣布 IPv4 地址用完,理论上新增设备无法获得合法的 IPv4 地址。IPv6 的出现让 IP 地址短缺不再成为问题,而且发展至今技术已经成熟,海量的地址资源可以有效的支撑新的信息化
2、应用。中共中央办公厅、国务院办公厅发布的推进互联网协议第六版(IPv6)规模部署行动计划,提出了 IPv6 的发展目标和总体要求,IPv6 已经成为向下一代互联网演进的必由之路。目前电子政务外网承载着政府部门的多种业务,大多是采用私网地址和地址转换技术,随着业务范围的逐渐扩大,为保障新业务的开展不受 IPv4 地址制约,需要逐步从 IPv4 网络向 IPv6 网络平滑过渡,同时不影响业务质量。本文旨在通过对 IPv6 过渡技术进行研究,分析电子政务外网实现 IPv6 升级改造的方法。二、二、IPv6IPv6 过渡技术现状过渡技术现状 IPv6 发展至今已经逐渐成熟,并且衍生出广泛的应用。但是
3、IPv6 协议替代IPv4 协议不可能一蹴而就,因此在未来一段时间内 IPv4 协议和 IPv6 协议会共存在一个环境中。在从 IPv4 平稳演进到 IPv6 的过程中,需要根据电子政务外网的特点寻找到合适的过渡机制。目前常用的 IPv6 过渡技术有双栈技术、隧道技术和翻译技术。(一)双栈技术 双栈技术是目前最直接、也是最彻底的部署 IPv6 网络的一种方法,适合长期演进和大规模部署。该技术需要网络、设备及业务系统同时支持 IPv4 和 IPv6,这样用户可以通过 IPv4 和 IPv6 通道分别访问 IPv4 网络和 IPv6 网络。实现双栈需要在过渡期间同时维持 IPv4 和 IPv6 环
4、境,而且网络中每个节点都要升级,同时当前全球 IPv6 网络环境还未形成,许多网络安全问题尚不明确,缺乏相应的安全防护措施,给同时运行 IPv4 和 IPv6 两套协议栈带来了网络安全风险。(二)隧道技术 隧道技术在 IPv4 向 IPv6 过渡过程中也非常重要。隧道技术不改变网络中大部分 IPv4 设备,只需要在用户和业务系统的接入设备、网络出口路由设备上同时运行 IPv4 和 IPv6 协议,并在接入设备和出口路由设备之间建立 IPv4 隧道,基于 IPv4 隧道来传送 IPv6 数据报文。通过隧道技术,网络只需要出口路由设备和接入设备双栈化,其他设备不受影响。该技术增加了网络维护和故障定
5、位的难度,而且还增加了报文长度,对于用户和业务系统都需要安装相应的 IPv6隧道软件,需要配合双栈技术来完成 IPv6 改造。(三)翻译技术 翻译技术可以分为传统的有状态翻译技术、有状态应用层翻译技术和无状态翻译技术。翻译技术的原理同样是实现出口路由设备和接入设备双栈化,在用户和业务系统之间部署翻译设备,建立 IPv6/IPv4 之间地址和端口的映射关系,用户和业务系统的 IPv6 报文翻译成 IPv4 报文才进入网络,在 IPv6 出口处再次翻译成 IPv6 报文,用户和业务系统的 IPv4 报文则直接进入 IPv4 网络,不进行翻译。有状态的翻译技术主要有 NAT64、NAT46,主要是基
6、于动态映射将源站的 IPv4地址和 IPv6 地址对应起来。该技术对网络和现有系统改动较小,但会存在IPv6 访问无法溯源的问题,难以对访问的用户进行管理。有状态应用层翻译技术是采用了代理机制,外部用户先访问到代理服务器,然后通过代理服务器访问网站。这种技术因为增加了代理,导致用户访问时延增大。无状态翻译技术是基于网络层算法将 IPv4 地址和 IPv6 地址进行映射,实现 IPv6/IPv4 地址无状态转换。该技术依赖于翻译设备,支持同一网络出口的所有网站及业务系统,能够解决应用支持和安全溯源的问题。三、电子政务外网的三、电子政务外网的 IPv6IPv6 升级改造升级改造 目前电子政务外网运
7、行的业务都是基于 IPv4 的,从电子政务外网的长远发展来考虑,如何让电子政务外网接受 IPv6 用户的访问变得至关重要。(一)IPv6 升级改造主要内容 电子政务外网的 IPv6 升级改造涉及的环节众多,主要包括三部分内容:终端、业务系统和网络。终端操作系统通过升级后支持双栈,即可以同时访问 IPv4 资源和 IPv6 资源;业务系统包括操作系统升级、软件升级和硬件升级,对于无法支持升级 IPv6 协议的可以考虑临时过渡技术或者替换来解决;网络改造需要考虑 IPv6 过渡技术的选择、网络地址的申请和规划、网络设备和安全设备的升级等内容。(二)IPv6 升级改造关键点 电子政务外网 IPv6
8、改造主要从网络调研、地址申请和规划、过渡技术选择和安全策略这四个关键点进行说明。网络调研:通过调研网络架构、网络业务情况、网络设备信息以及 IPv4 相关情况,对网络设备、架构以及业务系统的 IPv6 支持度和性能进行评估,做出适合网络演进的最优决策。地址申请和规划:业务系统升级首先要获得 IPv6 线路和地址,IPv6 地址分配后,地址规划可以从安全性、扩展性和路由聚合三个方面进行考虑。其中安全性是控制敏感路由发布,做到网络隔离;扩展性是考虑业务类型增加和用户数增长,合理预留地址空间,提高扩展性;路由聚合是指采用层次化设计,提高聚合性。图图 1 1 基于业务系统的基于业务系统的 ipv6ip
9、v6 改造架构改造架构 过渡技术选择:电子政务外网由于其业务特殊性,会从少量的 IPv6 流量访问,到中间经历很长一段 IPv4 和 IPv6 两种流量共存的时间,再到少量的 IPv4 流量访问,最后演进为纯 IPv6 网络。所以在过渡期间网络升级主要以双栈技术为主,还需要翻译和隧道技术作为辅助,实现网络的平滑升级。安全策略:IPv6 协议相对于 IPv4 协议在网络拓扑结构设计上没有什么变化,且在 IPv4 网络中相关安全威胁在 IPv6 中同样存在,因此,要建设基于 IPv6 的网络安全体系,可以基于原有的 IPv4 防护经验从技术和管理两个层面进行安全防范。但是面对当前复杂严峻的网络安全形势,尤其是全新的 IPv6 协议网络环境,应该制定全新的安全防护策略,通过针对 IPv6 的安全技术和管理手段来实现防护能力,比如针对 IPv6 的攻击分析预测、威胁预警、流量监控、用户行为分析等。四、结语四、结语 电子政务外网的 IPv6 升级改造是一个长期而又复杂的过程,完成改造对于进一步推动下一代互联网的平滑演进升级具有重要的意义。因此需要结合实际情况,寻找到适合电子政务外网的 IPv6 升级改造方法,针对部署过程中的技术细节还有待进一步深入探讨。作者单位:国资委信息中心
