IPV6升级改造方案(完整版)
IPV6升级改造技术方案金融行业IPV6升级改造项目规划建议书(通用版)目录第1章 IPV6升级建设背景41.1 指导思想41.2 基本原则51.3 各阶段主要目标6第2章 IPV6建设要求82.1 初期阶段82.2 规模推广阶段92.3 持续建设阶段9第3章 建设内容梳理103.1 初级阶段103.2 规模推广阶段103.3 持续建设阶段10第4章 技术实现及问题114.1 IPV6技术说明114.1.1 IPV6介绍114.1.2 IPV6地址说明114.1.3 操作系统对IPV6的支持度154.1.4 DNS AAAA记录164.1.5 不同操作系统在双栈部署时的差别174.2 建设问题及关注点174.2.1 IPV6演进路线174.2.2 安全防护问题184.2.3 数据中心域名化问题204.2.4 设备性能问题214.2.5 门户网站天窗问题214.2.6 应用改造问题224.3 IPV6建设实现方式224.3.1 IPV6/IPV4双栈协议技术234.3.2 翻译技术234.3.3 ALG代理技术24第5章 建设方案255.1 IPV6改造步骤建议255.2 准备工作255.3 IP地址规划建议265.3.1 IPV6地址范围建议265.3.2 IPV6地址分配原则285.4 初期建设方案对比(通用版)305.4.1 方案1-单独采用内容翻译设备305.4.2 方案2-单独采用负载均衡设备325.4.3 方案3-混合式部署方案(豪华版)355.4.4 混合部署方案-(乞丐版)385.5 规模推广阶段(通用版)405.5.1 内网域名化改造405.5.2 方案1-构建IPV6专属服务区425.5.3 方案2-构建IPV6/IPV4双栈服务区435.5.4 业务连续性部署44第1章 IPV6升级建设背景1.1 指导思想坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大、十九届二中、三中全会和,全国金融工作会议精神,全面贯彻落实习近平总书记关于网络强国的重要思想,坚持稳中求进工作总基调和新发展理念,抓住全球网络信息技术加速创新变革机遇,加快金融行业软硬件基础设施和应用系统更新步伐,完成金融领域公共管理、民生公益等服务平台IPv6改造,促进互联网与金融行业的深度融合,为经济强国建设奠定坚实基础。1.2 基本原则按行动计划要求,以IPv6规模部署为主线,以典型应用改造和特色应用创新为方向,始终坚持“一个前提,两个结合”三项基本原则推进金融行业IPv6规模部署工作。1.以保障系统安全稳定运行为前提。加强顶层设计,统筹谋划,充分论证,稳健实施,坚持发展与安全并举,实现网络、应用、安全的协同,稳步推进金融行业IPv6规模部署。IPv6改造与运维保障、网络安全工作同步规划、同步建设、同步运行,确保IPv6规模部署实施过程中网络和系统安全稳定运行。2,应用系统改造与软硬件基础设施升级相结合。协同推进应用系统和软硬件基础设施IPv6改造工作,以应用系统支持IPv6连接访问为主攻方向,同步加快软硬件基础设施支持IPv6协议升级改造步伐。统筹考虑应用系统和软硬件基础设施的改造实施计划,防范集中式升级改造引发的安全生产风险。3,递进式推进与增量式推进相结合。优先选择风险可控、代表性强的存量应用系统先行开展IPv6改造工作,在总结试点经验基础上,探索符合本单位实际,具有可操作性的IPv6改造实施方案,安全快速推进存量应用系统改造,最终实现金部应用系统均支持IPv6连接访问的远期目标,新增软硬件基础设施的,明确提出支持IPv6协议的具体需求。新开发的应用系统,实现支持双栈连接功能。在IPv4/IPv6双栈连接情况下,优先采用IPv6连接访问。1.3 各阶段主要目标1.到2019年底,金融服务机构门户网站支持IPv6连接访问。基于IPv6安全特点,金融行业针对IPv6网络构筑既能有效防范IPv6安全风险,又不低于现有IPv4网络同等防护能力的安全防护体系。2到2020年底,金融服务机构面向公众服务的互联网应用系统支持IPv6连接访问,并具备与IPv6改造前同等的业务连续性保障能力。3,2021年起,在做好金融行业面向公众服务的互联网应用系统IPv6改造基础上,持续推进IPv6规模部署,逐步构建高速率、广普及、全覆盖、智能化的下一代互联网。第2章 IPV6建设要求2.1 初期阶段1金融服务机构应认真研究落实行动计划相关要求,完成对面向公众服务的互联网应用系统的全面梳理,形成互联网应用系统信息反馈表,及时按要求反馈。2结合互联网应用系统信息反馈表,金融服务机构应完成与应用系统相关的软硬件基础设施摸排验证,梳理各类软硬件基础设施对IPv6协议的支持情况。3对无法全面支持IPv6协议的软硬件基础设施,金融服务机构制定详细的升级改造工作计划。4.生金融服务机构完成互联网相关全部域名解析设备升级改造,支持同时发布A记录和AAAA记录,并重点提升域名解析设备的安全防护能力。 5.金融服务机构完成本单位总部及下辖机构门户网站IPv6改造工作,并在其首页标示该网站已支持IPv6。除有用户权限登录控制的定制应用系统外,门户网站主域名内全部静态页面、动态页面、多媒体资源和第三方应用插件等,均支持IPv6连接访问,页面链接的部子域名网站均完成IPv6改造。6.金融服务机构新增IPv6互联网接入线路,具备既能有效防范IPv6安全风险,又不低于IPv4线路现有的安全防护能力,如访问控制功能、入侵检测防御功能、流量分析清洗功能、WEB应用防护功能等。7IPv6改造行业示范机构至少选择一个活跃用户规模在本机构内排名前3位(含)的移动APP应用系统,使其支持IPv6连接访问,并在其首页标示该应用已支持IPv6。2.2 规模推广阶段1.金融服务机构完成所有面向公众服务的互联网应用系统相关软硬件基础设施的升级改造工作,所有软硬件基础设施均支持IPv6协议。2金融服务机构互联网相关全部域名解析设备能支持IPv4/IPv6双栈技术,同时具有IPv4和IPv6访问地址。3金融服务机构所有面向公众服务的互联网应用系统,全部支持IPv6连接访问,并在其首页标示该应用已支持IPv6。4.IPv6改造行业示范机构至少全面完成一个面向公众服务的互联网应用系统的IPv4/IPv6双栈改造工作。5金融服务机构所有面向公众服务的互联网应用系统,保证在IPv6和IPv4环境下,具备同等的业务连续性保障能力。2.3 持续建设阶段金融服务机构在做好面向公众服务的互联网应用系统IPv6改造工作基础上,及时总结经验,持续开展网络、应用、终端的IPv6升级改造工作,不断健全IPv6监控运维体系和完善网络安全管理制度与能力,稳步推进金融行业信息化体系向下一代网络的平滑演进升级。第3章 建设内容梳理3.1 初级阶段u 完成互联网应用梳理u 完成互联区服务区软硬件 基础设施对 IPv6 支持情况梳理u 对公众服务的互联网门户网站提供 IPv6 域名解析及 IPv6 服务力u IPv6 网络安全防护能力不低于当前 IPv4 网络安全防护能力u 本机构内排名前 3的移动 APP应用需支持 IPv6 连接访问3.2 规模推广阶段u 互联网应用区所有软硬件系统支持 IPv6 和 IPv4 双枝服务能力u 域名解析设备支持 IPv6 和 IPv4 双枝服务能力u 对公众服务的应用系统全面提供 IPv6 服务能力u ipv6 与 IPv4 的互联网应用系统具备同 等业务连续性保障能力3.3 持续建设阶段在内部网络持续开展网络 、应用、终端的 IPv6 升级改造工作 ,不断健全 IPv6 监控运维体系和完善网络安全管理 制度与能力 ,稳步推进金融行业信息化体系向下 一代网络的平滑演进升级。第4章 技术实现及问题4.1 IPV6技术说明4.1.1 IPV6介绍IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是互联网工程任务组(IETF)设计的用于替代IPv4的下一代IP协议。4.1.2 IPV6地址说明4.1.2.1 地址分类IPv6协议主要定义了三种地址类型:单播地址(Unicast Address)、组播地址(Multicast Address)和任播地址(Anycast Address)。与原来在IPv4地址相比,新增了“任播地址”类型,取消了原来IPv4地址中的广播地址,因为在IPv6中的广播功能是通过组播来完成的。单播地址:用来唯一标识一个接口,类似于IPv4中的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的一个接口。组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4中的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。IPv6地址类型是由地址前缀部分来确定,主要地址类型与地址前缀的对应关系如下:IPv6单播地址与IPv4单播地址一样,都只标识了一个接口。为了适应负载平衡系统,RFC3513允许多个接口使用同一个地址,只要这些接口作为主机上实现的IPv6的单个接口出现。单播地址包括四个类型:全局单播地址、本地单播地址、兼容性地址、特殊地址。一、全球单播地址:等同于IPv4中的公网地址,可以在IPv6 Internet上进行全局路由和访问。这种地址类型允许路由前缀的聚合,从而限制了全球路由表项的数量。二、本地单播地址:链路本地地址和唯一本地地址都属于本地单播地址,在IPv6中,本地单播地址就是指本地网络使用的单播地址,也就是IPV4地址中局域网专用地址。每个接口上至少要有一个链路本地单播地址,另外还可分配任何类型(单播、任播和组播)或范围的IPv6地址。(1)链路本地地址(FE80:/10):仅用于单个链路(链路层不能跨VLAN),不能在不同子网中路由。结点使用链路本地地址与同一个链路上的相邻结点进行通信。例如,在没有路由器的单链路IPv6网络上,主机使用链路本地地址与该链路上的其他主机进行通信。(2)唯一本地地址(FC00:/7):唯一本地地址是本地全局的,它应用于本地通信,但不通过Internet路由,将其范围限制为组织的边界。类似于IPv4中的172.16.0.0/12和10.0.0.0/8以及192.168.0.0/164.1.2.2 表示方法IPv6的地址长度为128位,是IPv4地址长度的4倍。于是IPv4点分十进制格式不再适用,采用十六进制表示。IPv6有3种表示方法:冒分十六进制表示法格式为X:X:X:X:X:X:X:X,其中每个X表示地址中的16b,以十六进制表示,例如:ABCD:EF01:2345:6789:ABCD:EF01:2345:6789这种表示法中,每个X的前导0是可以省略的,例如:2001:0DB8:0000:0023:0008:0800:200C:417A 2001:DB8:0:23:8:800:200C:417A二、0位压缩表示法在某些情况下,一个IPv6地址