1、 银行IPv6 建设规划与规模部署方案 目 录银行IPv6 建设规划与规模部署方案1一、背景3二、建设规划与规模部署思路4三、下一步建设目标7四、结语8【摘要】本文根据中国人民银行 中国银保监会 中国证监会关于金融行业贯彻推进互联网协议第六版( IPv6 )规模部署行动计划的实施意见银发 2018 343 号文件的要求,在充分调研与交流的基础上,结合中小银行信息系统 IT 基础架构情况,初步形成了中小银行 IPv6 建设规划与规模部署思路,即为了切实贯彻落实国家战略部署及行业监管要求,同时更好的支撑与保障银行业务发展,以“总体规划,分步实施,稳步推进”为总体思路,以实现双中心、双协议栈应用双活
2、部署为总体目标,同时实现双协议栈的自动化控制及可视化监控。一、背景IP 地址是互联网的重要基础资源。众所周知,全球 IPv4 (互联网协议第四版)地址总库早在 2011 年已经分配完毕,目前我国 IPv4 地址规模基本维持自 2011 年的 3.4 亿左右不变,人均仅 0.42 个。根据 APNIC 统计我国在用 IPv4 地址已经攀升至总地址量的 90% 。详见图 1 所示。图 1互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全球经济格局、利益格局和安全格局,加快推进 IPv6 规模部署,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。而
3、现有 IPv4 地址资源与我国互联网发展需求严重不匹配,对我国 “ 互联网 +” 、 5G 、工业互联网、物联网、云计算、大数据、人工智能等信息化战略部署和实施造成严重制约。为保障国家战略部署, 2017 年 11 月 中共中央办公厅、国务院办公厅联合发文推进互联网协议第六版 (IPv6) 规模部署行动计划,明确了实施路线图和规模部署目标。从通信运营商、 CDN 内容分发服务商等基础服务端入手,开始全面推广 IPv6 建设,为全国范围全行业实现 IPv6 接入提供了基础支撑。从统计数据可以看到,无论是从实际分配 IPv6 地址数量还是从 IPv6 活跃用户数,从 2017 年开始均有了显著增长
4、。详见图 2 。图 22019 年 1 月 10 日,中国人民银行、银保监会、证监会联合发布关于金融行业贯彻 的实施意见,进一步明确了未来金融行业 IPv6 建设与规模部署的行动目标。二、建设规划与规模部署思路IPv4 和 IPv6 协议并不兼容,二者在 IP 地址格式 、网络架构、 DNS 解析过程、终端行为、主机系统、存量业务应用等层面不能直接通信,因此在其长期共存、阶段过渡、规模升级的过程中,应当充分考量网络和业务场景适应、技术风险控制、投资合理性及投资保护等方面因素,并遵循以下原则执行 IPv4 到 IPv6 的技术演进及规模部署 :1、以不影响“现有 IPv4 存量业务”为前提由于国
5、内 IPv6 推广略有滞后,从 IT 基础设施的建设到运维经验的积累均需要时间和过程的积累。为避免由于 IPv6 建设过程中对 IPv4 存量业务造成影响,影响用户体验, IPv6 建设的相关设备与应用建议独立部署,不与 IPv4 共用基础架构。2、遵循 343 号文 “ 三步走 ” 的实施路径要求 初期阶段:至 2019 年底,实现门户网站支持 IPv6 连接访问。 规模推广阶段:至 2020 年底,面向公众服务的互联网应用系统支持 IPv6 连接访问,并具备与 IPv6 改造前同等的业务连续性保障能力。 持续建设阶段:2021 年起,在做好面向公众服务的互联网应用系统 IPv6 改造基础上
6、,持续推进 IPv6 规模部署,逐步构建高速率、广普及、全覆盖、智能化的下一代互联网。3、以合理可控的成本渐进式改造部署以较为合理的技术改造成本进行路线选型和规划,有效保护已有的投资,避免全网设备更替、业务重构;4、把控运维管理风险IPv6 的引入必然会对传统网络的可视化运营、自动化维护、安全管理带来新的挑战,规模升级 IPv6 要经历一个逐步成熟完善的过程,一方面需要确保可控可管的安全运维机制同步建立,另一方面尽可能降低共存演进时期场景复杂度带来的运维风险;5、按步骤引入 IPv6 适配新业务部署 IPv6 在保障支持现有用户业务的前提下,应逐步丰富 IPv6 建设与规模部署经验,带动存量设
7、备和应用的加速演进,不断提升网络的承载能力和服务水平,促进创新网络安全保障手段,实现下一代互联网各环节平滑演进升级。根据以上原则并结合中小银行现有 IT 基础架构,整体规划了以下建设技术思路:在初期规划时选择新建单独 IPv6 接入区的方式实现业务发布。IPv6 接入区中通过智能 DNS 实现 AAAA 记录的发布以及流量的智能调度。在满足当前业务需求的前提下,为 2020 年实现更高的 IPv6 业务连续性提供架构保障。通过本地负载均衡 LTM 实现 IPv6 业务的发布和改造初期的应用适配。整体建设上将 IPv6 区域以灰度发布的思路进行部署, 对于业务最关键的价值是 IPv6 区域的故障
8、完全不影响原 IPv4 区域业务的安全稳定运行。初期规划 既保证了 成本的合理可控,又为后续渐进式改造部署提供了灵活性及可拓展性。DNS智能引导的必要性IPv6 规模建设初期,全国范围内实现运营商互通的骨干交换节点数量有限。运营商之间通信可能通过较长的路径到达数据中心,跨运营商通信的业务延迟将会对用户体验带来影响。因此在 DNS 解析层面需要实现智能的流量引导。其中最基本的原则是根据 LDNS 所属的运营商做智能的判断,返回给 LDNS 相同运营商的业务地址。DNS 设备在选型时需要考虑设备自身 IPv6 地址库的完整性、可自定义性和可更新性。在此基础上,还需要对运营商线路进行实时有效的监控,
9、并可通过 DNS 设备反应出线路的故障,实现线路故障时平滑切换到其他 IPv6 或 IPv4 线路。初期 IPv6 上线过程中,可能存在没有申请全部运营商线路的情况,为了保证客户体验需 DNS 设备通过动态 RTT 监测,选择 RTT 最优的线路返回业务地址。总之,智能 DNS 作为流量引导的“大脑”,通过合理的算法组合确保终端用户能够以最优的路径访问到数据中心。改造初期应用层适配初期 IPv6 改造中重点需要考虑的应用层问题是客户端地址溯源和外链天窗的适配。IPv6 地址转换成 IPv4 地址后,对于 C/S 架构的应用可以将客户端真实地址插入到 TCP Option 中,后端程序需要开发相
10、应的模块对 TCP Option 中的真实地址进行提取。对于 B/S 架构的应用,可以将客户端真实地址插入到 X-Forward-For 头中,后端程序针对相应的插入位置进行提取即可。如果后端程序提取 IPv6 地址存在困难,也可通过应用交付设备将地址转换前后的对应列表以日志的方式输出到外部日志平台。IPv6 改造过程中的应用天窗问题关乎客户体验,也是不可忽视的一个环节。此问题可通过应用交付设备上的可编程功能功能来完美的实现适配,遵循的基本原则是将外链替换为数据中心自身的地址,通过应用交付设备代理客户端访问外链地址。在实际改造中会碰到一些负载的外链,例如多层 js 嵌套的外部链接,需要对 js
11、 进行分析后进行相应的适配。通过外链天窗的适配,可以保证终端客户无感知的切换到 IPv6 服务。三、下一步建设目标IPv6 建设及规模部署将会是一个长期渐进的过程,根据 343 号文件要求,至 2020 年底,面向公众服务的中小银行互联网应用系统支持 IPv6 连接访问,并具备与 IPv6 改造前同等的业务连续性保障能力。针对 IPv6 长期建设的目标需要从纵向应用建设、横向多中心建设、自动化部署、运维可视化及 IPv6 信息安全几个方面进行规划。从整体架构扩展的角度看,纵向应用建设是将 IPv6 改造从接入区逐渐纵向推进到 DMZ 区以及应用区,实现 IPv4 和 IPv6 业务区的独立部署
12、。初期实践过程中会包括新增应用和已经完成 IPv6 改造的应用。原有只支持 IPv4 的应用仍在原有应用区部署和运行。协议栈之间的彼此通讯通过应用交付设备来实现,最终实现单一中心内双协议栈的并行运行。横向多中心建设是指在单中心双协议栈运行稳定后,通过在同城中心部署相同的架构实现双中心双协议栈的应用双活。整体双活架构通过智能 DNS 进行调度,之前 IPv4 双活和 IPv6 运营经验可以帮助在双中心双协议栈双活建设中提供经验。进一步确保双协议栈下业务的高可用性。由于 IPv6 地址长度的增加,人工配置和管理 IPv6 地址的挑战将会非常大,自动化部署在 IPv6 环境中变得必不可少。在 IPv
13、6 未来的自动化部署中可遵循以下流程实现配置的自动化和管理的标准化: IPv6 地址统一管理,统一规划 通过工单系统实现自动的 IPv6 地址申请 通过自动化平台自动配置 IPv6 地址到对应的网络设备、服务器或应用交付设备 业务发布通过自动化脚本实现 通过 DNS API 进行自动域名添加,实现域名与 IPv6 地址自动对应,便于管理运维可视化展示平台可以体现未来双中心双协议栈的运营情况。双中心双协议栈运营情况下,通过对设备告警,设备状态以及业务数据进行收集,实现对告警基线,安全基线和业务基线的评估,从而根据这些基线实现基于大数据的智能运维。针对运维可视化部分可以通过对所有设备实现统一的纳管
14、和告警以及状态的收集实现运维大数据分析,实现智能告警和智能运维。通过 DNS 设备调度日志的收取,形成双中心和双协议栈的运营数据的展示;通过应用数据的收集,形成业务基线和安全基线,从而实现业务大数据的分和展现。针对 IPv6 网络安全方面,坚持建设与安全并举,实现网络、应用、安全的协同,将 IPv6 改造与运维保障、网络安全工作同步规划、同步建设、同步运行,稳步推进 IPv6 规模部署。除了在访问控制、入侵检测防御、流量分析清洗、 WEB 安全防护方面保障 IPv6 网络安全防护能力外,同时还要不断跟踪 IPv6 安全现状,并借鉴先进同业做法,完善针对 IPv6 的网络安全和应用安全防范措施,提高安全应急演练。四、结语IPv6 是关乎国家战略的一项任重而道远的任务,在规模部署过程中我们要做到稳步前行逐渐推广。在实现 IPv6 业务发布的同时又不能够影响到现有 IPv4 业务的稳定性,而且在双协议栈运行的场景下要保证客户访问的体验,更要保护业务的安全。双中心双协议栈运行场景下,自动化和可视化将变为不可或缺的两个关键条件,在 IPv6 整体建设中也需要重点考虑。