從IPv4過(guò)渡到IPv6 電子政務(wù)外網(wǎng)建設(shè)方案

作為國(guó)家電子政務(wù)骨干網(wǎng)的電子政務(wù)網(wǎng)外網(wǎng)，承載各政府部門的多種業(yè)務(wù)，卻大量使用著私網(wǎng)地址和地址轉(zhuǎn)換技術(shù)。目前在電子政務(wù)外網(wǎng)內(nèi)存在三類地址，第一類是公網(wǎng)地址，作為資源共享區(qū)和互聯(lián)網(wǎng)區(qū)的服務(wù)器地址，每個(gè)省分配1個(gè)公網(wǎng)B類地址，每個(gè)縣分配一個(gè)C類地址，遠(yuǎn)不夠各地方政府使用；第二類是10網(wǎng)段地址，作為電子政務(wù)外網(wǎng)的私網(wǎng)地址使用，在電子政務(wù)外網(wǎng)內(nèi)統(tǒng)一規(guī)劃，到互聯(lián)網(wǎng)需要進(jìn)行地址轉(zhuǎn)換；第三類是各接入部門內(nèi)部的局域網(wǎng)地址，一般是192網(wǎng)段，由各部門自行規(guī)劃，或根據(jù)縱向業(yè)務(wù)接入要求進(jìn)行規(guī)劃，訪問(wèn)資源共享區(qū)域需要進(jìn)行地址轉(zhuǎn)換?？梢?jiàn)即使在電子政務(wù)外網(wǎng)的辦公應(yīng)用方面，都需要部署大量的設(shè)備提供地址轉(zhuǎn)換功能。

此外，作為我國(guó)電子政務(wù)的骨干網(wǎng)，將有越來(lái)越多的應(yīng)用接入電子政務(wù)外網(wǎng)，一些復(fù)雜新業(yè)務(wù)的開(kāi)展也受到IP地址的制約。比如應(yīng)急指揮業(yè)務(wù)，涉及大量的監(jiān)控、視頻會(huì)議、通信設(shè)備等終端，必然會(huì)占用大量的IP地址，我們不得不投入較大的人力、物力在如何有效的分配IP地址和進(jìn)行地址轉(zhuǎn)換上。在環(huán)境與生態(tài)監(jiān)測(cè)、交通控制等領(lǐng)域，使用傳感器協(xié)作地監(jiān)控不同位置的物理或環(huán)境狀況，進(jìn)行統(tǒng)一的分析或決策指示。比如地震監(jiān)測(cè)、水文監(jiān)測(cè)等，跨地域廣泛分布的傳感器網(wǎng)絡(luò)正在形成，這些設(shè)備同樣面臨IP地址的有效分配問(wèn)題。

電子政務(wù)外網(wǎng)IPv4向IPv6過(guò)渡之路

電子政務(wù)外網(wǎng)目前運(yùn)行的是IPv4業(yè)務(wù)，并采用MPLS VPN技術(shù)來(lái)隔離不同的業(yè)務(wù)，技術(shù)實(shí)現(xiàn)上較為復(fù)雜。考慮到IPv6規(guī)范制定尚不完善，IPv6技術(shù)應(yīng)用并不成熟，在國(guó)內(nèi)也只有IPv6實(shí)驗(yàn)網(wǎng)絡(luò)，還沒(méi)有真正意義上的商用IPv6網(wǎng)絡(luò)出現(xiàn)，因此在電子政務(wù)外網(wǎng)不適宜建設(shè)大規(guī)模的IPv6網(wǎng)絡(luò)，可采取先試點(diǎn)，再推廣的方式進(jìn)行。在國(guó)家電子政務(wù)外網(wǎng)和少數(shù)幾個(gè)部委、少數(shù)省電子政務(wù)外網(wǎng)先進(jìn)行試點(diǎn)IPv6建設(shè)，試點(diǎn)單位的終端主機(jī)升級(jí)為IPv6/IPv4雙棧；逐步增加IPv6業(yè)務(wù)系統(tǒng)，先增加一部分IPv6/ IPv4雙棧業(yè)務(wù)，既能支持新增IPv6終端主機(jī)的訪問(wèn)，也支持未能升級(jí)的IPv4終端主機(jī)的訪問(wèn)。試點(diǎn)網(wǎng)絡(luò)的建設(shè)應(yīng)兼容IPv4和IPv6兩種協(xié)議，考慮到國(guó)家電子信息產(chǎn)業(yè)振興規(guī)劃強(qiáng)調(diào)推進(jìn)下一代網(wǎng)絡(luò)（IPv6）的試驗(yàn)和推廣，在政務(wù)外網(wǎng)上的網(wǎng)絡(luò)升級(jí)應(yīng)采用更為先進(jìn)的技術(shù)--雙棧技術(shù)實(shí)現(xiàn)，為后續(xù)建設(shè)純IPv6網(wǎng)絡(luò)進(jìn)行技術(shù)積累。在技術(shù)設(shè)計(jì)上，先在共享資源區(qū)試點(diǎn)IPv6的IP地址分配、路由規(guī)劃等基本的IPv6技術(shù)，然后再試點(diǎn)IPv6 MPLS VPN技術(shù)，將部分縱向VPN切換到IPv6網(wǎng)絡(luò)運(yùn)行。

在電子政務(wù)外網(wǎng)上實(shí)現(xiàn)端到端的IPv6涉及到三個(gè)系統(tǒng)的升級(jí)，分別是業(yè)務(wù)系統(tǒng)、終端系統(tǒng)和網(wǎng)絡(luò)網(wǎng)絡(luò)。

業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)系統(tǒng)軟件及相應(yīng)的數(shù)據(jù)庫(kù)、中間件）：因?yàn)樯婕暗綄ぶ?，所以需要進(jìn)行升級(jí)。以數(shù)字監(jiān)控系統(tǒng)為例，就涉及監(jiān)控終端、編解碼器等的IPv6地址升級(jí)，以及服務(wù)器端尋址方式的升級(jí)。目前我國(guó)僅在教育科研網(wǎng)進(jìn)行了IPv6建設(shè)，業(yè)務(wù)應(yīng)用多以游戲、視頻下載點(diǎn)播等校園應(yīng)用為主，適合政務(wù)應(yīng)用的IPv6資源和業(yè)務(wù)很少。因此在政務(wù)外網(wǎng)上可考慮逐步開(kāi)發(fā)適合政務(wù)應(yīng)用的IPv6業(yè)務(wù)，如公文交換、郵件系統(tǒng)等。

終端系統(tǒng)：如果操作系統(tǒng)是windows Vista及以上系統(tǒng)，默認(rèn)支持IPv6并且可以支持DHCP v6,無(wú)需升級(jí)；如是Windows其他版本或其他操作系統(tǒng)，雖可以升級(jí)為支持IPv6,但升級(jí)后不能支持DHCP v6,因此建議操作系統(tǒng)采用windows Vista或以上系統(tǒng)。通過(guò)升級(jí)，使個(gè)人終端變成雙棧主機(jī)，即可以同時(shí)訪問(wèn)IPv4資源和IPv6資源。

網(wǎng)絡(luò)系統(tǒng)：目前主要有兩種IPv4->IPv6的過(guò)渡技術(shù)。一種是隧道技術(shù)，即將IPv6協(xié)議封裝在IPv4報(bào)文中穿越IPv4網(wǎng)絡(luò)，適合為較少的互相獨(dú)立的IPv6網(wǎng)絡(luò)（或終端）提供聯(lián)通性。另一種是雙棧技術(shù)，網(wǎng)絡(luò)設(shè)備必須同時(shí)支持IPv4/IPv6協(xié)議棧，這種過(guò)渡方式能兼容目前IPv4和IPv6共存的現(xiàn)狀，同時(shí)又可以平滑的從IPv4升級(jí)到IPv6.

在電子政務(wù)外網(wǎng)可采用雙棧技術(shù)和隧道技術(shù)結(jié)合的方式，在骨干網(wǎng)和部分試驗(yàn)局域網(wǎng)采用雙棧技術(shù)，在投資有限的單位局域網(wǎng)可采用隧道技術(shù)。

電子政務(wù)外網(wǎng)IPv6方案

電子政務(wù)外網(wǎng)IPv6骨干網(wǎng)絡(luò)建議分階段建設(shè)，先基于雙棧技術(shù)，建設(shè)基礎(chǔ)IPv6網(wǎng)絡(luò)，待技術(shù)積累成熟、網(wǎng)絡(luò)運(yùn)行穩(wěn)定后，再進(jìn)行IPv6 MPLS VPN的建設(shè)。電子政務(wù)外網(wǎng)基礎(chǔ)IPv6網(wǎng)絡(luò)建設(shè)可以考慮兩種建設(shè)模式，一是新建IPv6/IPv4雙棧網(wǎng)絡(luò)，二是現(xiàn)有IPv4網(wǎng)絡(luò)升級(jí)為雙棧。下面逐一加以介紹。

1）新建IPv6/IPv4雙棧網(wǎng)絡(luò)

新建IPv6/IPv4雙棧網(wǎng)絡(luò)可與現(xiàn)有IPv4骨干網(wǎng)規(guī)模相同，但鏈路帶寬略低，兩張骨干網(wǎng)同時(shí)運(yùn)行。新建骨干網(wǎng)絡(luò)承載IPv4和IPv6協(xié)議，后續(xù)該新建網(wǎng)絡(luò)可作為IPv6骨干網(wǎng)專門承載IPv6協(xié)議。

可試點(diǎn)將共享資源區(qū)的業(yè)務(wù)逐步切換到IPv6,在電子政務(wù)外網(wǎng)IPv4網(wǎng)絡(luò)依舊承載縱向VPN和Internet業(yè)務(wù)，如圖1.

圖1  IPv4網(wǎng)絡(luò)、IPv6/IPv4雙棧網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃

在新建雙轉(zhuǎn)網(wǎng)絡(luò)中，建立雙棧業(yè)務(wù)服務(wù)器，網(wǎng)絡(luò)中的所有雙棧設(shè)備均具有IPv4/IPv6兩種地址。由路由器鏈路層解析出接收到的數(shù)據(jù)包的數(shù)據(jù)段，拆開(kāi)并檢查包頭。如果IPv4/IPv6包頭中的第一個(gè)字段，即IP包的版本號(hào)是4,該包就由IPv4的協(xié)議棧來(lái)處理；如果版本號(hào)是6,則由IPv6的協(xié)議棧處理。

雙棧路由器可通過(guò)雙棧主機(jī)的目的訪問(wèn)地址尋徑路由到IPv4資源或IPv6資源，如圖2.如果雙棧主機(jī)訪問(wèn)縱向VPN或Internet,雙棧主機(jī)將其歸屬到IPv4網(wǎng)絡(luò)，按照原IPv4網(wǎng)絡(luò)的方式轉(zhuǎn)發(fā)報(bào)文；如果雙棧主機(jī)訪問(wèn)IPv6地址，則雙棧主機(jī)將在雙棧網(wǎng)絡(luò)尋址資源。

圖2 雙棧主機(jī)訪問(wèn)方式

因?yàn)榉?wù)器資源為雙棧，網(wǎng)絡(luò)中沒(méi)有升級(jí)雙棧的IPv4主機(jī)可以通過(guò)IPv4協(xié)議訪問(wèn)該雙棧資源，如圖3.

圖3 IPv4主機(jī)訪問(wèn)方式

電子政務(wù)外網(wǎng)IPv6路由協(xié)議規(guī)劃可采用類似IPv4網(wǎng)絡(luò)的方式，包括域間路由協(xié)議（EGP）和域內(nèi)路由協(xié)議（IGP）。對(duì)于EGP,采用IPv6 BGP.IPv6 EBGP用于廣域骨干網(wǎng)進(jìn)行互聯(lián)，IPv6 IBGP用于承載城域網(wǎng)（AS）內(nèi)部的用戶路由和MPLS VPN的建立。IGP在廣域骨干網(wǎng)和中央城域網(wǎng)中主要承載網(wǎng)絡(luò)設(shè)備間的互聯(lián)路由，采用OSPF v3協(xié)議實(shí)現(xiàn)。在省級(jí)電子政務(wù)外網(wǎng)可采取同樣的規(guī)劃方式規(guī)劃省電子政務(wù)外網(wǎng)路由。如圖4.

圖4  IPv6路由規(guī)劃

電子政務(wù)外網(wǎng)新建雙棧網(wǎng)絡(luò)的地址分配需全網(wǎng)統(tǒng)一規(guī)劃，并與網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。需規(guī)劃IPv4和IPv6兩種地址，網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)IPv4報(bào)文，路由尋址需要IPv4地址，IPv6路由協(xié)議OSPFv3中的ROUTER ID等也需IPv4地址，同時(shí)需要在雙棧設(shè)備上配置IPv6地址供IPv6協(xié)議尋址。由于IPv6地址長(zhǎng)度是128位，比IPv4地址復(fù)雜的多，如何分配和管理IPv6地址就成為一個(gè)重要問(wèn)題。IPv6協(xié)議本身支持自動(dòng)進(jìn)行地址配置來(lái)降低網(wǎng)絡(luò)管理難度，但由于采用DHCP v6方式式分配地址可以讓網(wǎng)絡(luò)管理員知道哪些設(shè)備連接到網(wǎng)絡(luò)上，以及他們的IP地址，更有利于維護(hù)網(wǎng)絡(luò)的安全性，因此新建雙棧網(wǎng)絡(luò)的IPv6地址分配建議采用DHCP v6方式。

2）現(xiàn)有IPv4網(wǎng)絡(luò)升級(jí)為雙棧

另一種方式是將現(xiàn)有IPv4網(wǎng)絡(luò)直接升級(jí)為IPv6/IPv4雙棧網(wǎng)絡(luò)，這樣可以節(jié)省鏈路費(fèi)用，但是需充分考慮新增IPv6業(yè)務(wù)是否會(huì)影響現(xiàn)有IPv4業(yè)務(wù)的風(fēng)險(xiǎn)。

在網(wǎng)絡(luò)中采用逐步將共享資源業(yè)務(wù)從IPv4切換到IPv6/IPv4雙棧的方式，其他業(yè)務(wù)仍然采用IPv4協(xié)議。如圖5.

圖5 IPv6/IPv4網(wǎng)絡(luò)承載業(yè)務(wù)

雙棧主機(jī)訪問(wèn)雙棧資源時(shí)通過(guò)IPv6協(xié)議，訪問(wèn)IPv4資源時(shí)通過(guò)IPv4協(xié)議。IPv4主機(jī)訪問(wèn)所有資源均可通過(guò)IPv4協(xié)議。如圖6.

圖6 IPv4主機(jī)、雙棧主機(jī)訪問(wèn)方式

路由規(guī)劃采用與新建雙棧網(wǎng)絡(luò)相同，IP地址規(guī)劃同樣采用DHCP v6方式，在雙棧設(shè)備上新增IPv6地址。

3）IPv6 MPLS VPN實(shí)現(xiàn)

考慮到MPLS VPN技術(shù)在現(xiàn)有電子政務(wù)外網(wǎng)的應(yīng)用，可在實(shí)現(xiàn)IPv6/IPv4雙棧網(wǎng)絡(luò)試點(diǎn)后，進(jìn)一步試點(diǎn)IPv6 MPLS VPN技術(shù)。無(wú)論是新建雙棧網(wǎng)絡(luò)方案還是現(xiàn)網(wǎng)升級(jí)方案，采用技術(shù)相同?？稍圏c(diǎn)少數(shù)部委開(kāi)啟縱向VPN,通過(guò)MPLS VPN技術(shù)進(jìn)行不同業(yè)務(wù)間的隔離?？煽紤]通過(guò)在雙棧PE設(shè)備上啟用6VPE技術(shù)，建立IPv6的MPLS VPN連接。6VPE（IPv6 VPN Provider Edge）可為電子政務(wù)外網(wǎng)IPv6用戶提供BGP MPLS VPN服務(wù)，通過(guò)VPN技術(shù)實(shí)現(xiàn)不同IPv6業(yè)務(wù)間的邏輯隔離。6VPE技術(shù)使用MP-BGP承載VPN-IPv6路由信息，在為IPv6網(wǎng)絡(luò)提供VPN服務(wù)的同時(shí)也可以在其它接口或子接口上為普通的IPv4用戶提供MPLS VPN業(yè)務(wù)，即在6VPE有可能同時(shí)存在IPv6 VRF和IPv4 VRF.在6VPE技術(shù)中用戶網(wǎng)絡(luò)（CE）采用的地址族也可以是IPv4也可以是IPv6,骨干網(wǎng)同樣可以是IPv4網(wǎng)絡(luò)也可以是IPv6網(wǎng)絡(luò)。在電子政務(wù)外網(wǎng)的下一代網(wǎng)絡(luò)建設(shè)中，建議在初期先采用PE升級(jí)為6VPE設(shè)備，在骨干網(wǎng)絡(luò)仍采用IPv4傳輸路由標(biāo)簽的方式。如圖7.

圖7 IPv6/IPv4雙棧網(wǎng)絡(luò) MPLS VPN拓?fù)?/p>

結(jié)語(yǔ)：雖然關(guān)于IPv6的實(shí)踐已經(jīng)多年，但I(xiàn)Pv6的標(biāo)準(zhǔn)并沒(méi)有完全制定完成，標(biāo)準(zhǔn)化進(jìn)程還在繼續(xù)。電子政務(wù)外網(wǎng)的IPv6建設(shè)過(guò)程一定是長(zhǎng)期而復(fù)雜的，而它的成功實(shí)現(xiàn)對(duì)我國(guó)實(shí)踐IPv6技術(shù)、參與國(guó)際/內(nèi)IPv6標(biāo)準(zhǔn)的制定，都將具有非常重要的意義。