目录
银行IPv6 建设规划与规模部署方案 (1)
一、背景 (3)
二、建设规划与规模部署思路 (4)
微冻技术
三、下一步建设目标 (7)
四、结语 (8)
【摘要】本文根据《中国人民银行中国银保监会中国证监会关于金融行业贯彻〈推进互联网协议第六版( IPv6 )规模部署行动计划〉的实施意见》银发〔 2018 〕 343 号文件的要求,在充分调研与交流的基础上,结合中小银行信息系统 IT 基础架构情况,初步形成了中小银行 IPv6 建设规划与规模部署思路,即为了切实贯彻落实国家战略部署及行业监管要求,同时更好的支撑与保障银行业务发展,以“总体规划,分步实施,稳步推进”为总体思路,以实现双中心、双协议栈应用双活部署为总体目标,同时实现双协议栈的自动化控制及可视化监控。 一、背景
IP 地址是互联网的重要基础资源。众所周知,全球 IPv4 (互联网协议第四版)地址总库早在 2011 年已经分配完毕,目前我国 IPv4 地址规模基本维持自 2011 年的 3.4 亿左右不变,人均仅 0.42 个。根据 APNIC 统计我国在用 IPv4 地址已经攀升至总地址量的 90% 。详见图 1 所示。 防伪胶带
图 1
互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全球经济格局、利益格局和安全格局,加快推进 IPv6 规模部署,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。而现有 IPv4 地址资源与我国互联网发展需求严重不匹配,对我国“ 互联网+” 、 5G 、工业互联网、物联网、云计算、大数据、人工智能等信息化战略部署和实施造成严重制约。为保障国家战略部署, 2017 年 11 月中共中央办公厅、国务院办公厅联合发文《推进互联网协议第六版 (IPv6) 规模部署行动
计划》,明确了实施路线图和规模部署目标。从通信运营商、 CDN 内容分发服务商等基础服务端入手,开始全面推广 IPv6 建设,为全国范围全行业实现 IPv6 接入提供了基础支撑。从统计数据可以看到,无论是从实际分配 IPv6 地址数量还是从 IPv6 活跃用户数,从2017 年开始均有了显著增长。详见图 2 。
图 2
燃料乙醇2019 年 1 月 10 日,中国人民银行、银保监会、证监会联合发布《关于金融行业贯彻 < 推进互联网协议第六版( IPv6 )规模部署行动计划 > 的实施意见》,进一步明确了未来金融行业 IPv6 建设与规模部署的行动目标。
二、建设规划与规模部署思路
IPv4 和 IPv6 协议并不兼容,二者在 IP 地址格式、网络架构、 DNS 解析过程、终端行为、主机系统、存量业务应用等层面不能直接通信,因此在其长期共存、阶段过渡、规模升级的过程中,应当充分考量网络和业务场景适应、技术风险控制、投资合理性及投资保护等方面因素,并遵循以下原则执行 IPv4 到 IPv6 的技术演进及规模部署 :
1、以不影响“现有 IPv4 存量业务”为前提
由于国内 IPv6 推广略有滞后,从 IT 基础设施的建设到运维经验的积累均需要时间和过程的积累。为避免由于 IPv6 建设过程中对 IPv4 存量业务造成影响,影响用户体验, IPv6 建设的相关设备与应用
建议独立部署,不与 IPv4 共用基础架构。omap4460
2、遵循 343 号文“ 三步走” 的实施路径要求
•初期阶段:至 2019 年底,实现门户网站支持 IPv6 连接访问。
•规模推广阶段:至 2020 年底,面向公众服务的互联网应用系统支持 IPv6 连接访问,并具备与 IPv6 改造前同等的业务连续性保障能力。
•持续建设阶段:2021 年起,在做好面向公众服务的互联网应用系统 IPv6 改造基础上,持续推进 IPv6 规模部署,逐步构建高速率、广普及、全覆盖、智能化的下一代互联网。
3、以合理可控的成本渐进式改造部署
以较为合理的技术改造成本进行路线选型和规划,有效保护已有的投资,避免全网设备更替、业务重构;
4、把控运维管理风险
室外隔音墙IPv6 的引入必然会对传统网络的可视化运营、自动化维护、安全管理带来新的挑战,规模升级 IPv6
要经历一个逐步成熟完善的过程,一方面需要确保可控可管的安全运维机制同步建立,另一方面尽可能降低共存演进时期场景复杂度带来的运维风险;
5、按步骤引入 IPv6 适配新业务
部署 IPv6 在保障支持现有用户业务的前提下,应逐步丰富 IPv6 建设与规模部署经验,带动存量设备和应用的加速演进,不断提升网络的承载能力和服务水平,促进创新网络安全保障手段,实现下一代互联网各环节平滑演进升级。
根据以上原则并结合中小银行现有 IT 基础架构,整体规划了以下建设技术思路:
在初期规划时选择新建单独 IPv6 接入区的方式实现业务发布。IPv6 接入区中通过智能DNS 实现 AAAA 记录的发布以及流量的智能调度。在满足当前业务需求的前提下,为2020 年实现更高的 IPv6 业务连续性提供架构保障。通过本地负载均衡 LTM 实现 IPv6 业务的发布和改造初期的应用适配。整体建设上将 IPv6 区域以灰度发布的思路进行部署,对于业务最关键的价值是 IPv6 区域的故障完全不影响原 IPv4 区域业务的安全稳定运行。初期规划既保证了成本的合理可控,又为后续渐进式改造部署提供了灵活性及可拓展性。
DNS 智能引导的必要性
IPv6 规模建设初期,全国范围内实现运营商互通的骨干交换节点数量有限。运营商之间通信可能通过较长的路径到达数据中心,跨运营商通信的业务延迟将会对用户体验带来影响。因此在 DNS 解析层面需要实现智能的流量引导。其中最基本的原则是根据 LDNS 所属的运营商做智能的判断,返回给 LDNS 相同运营商的业务地址。DNS 设备在选型时需要考虑设备自身 IPv6 地址库的完整性、可自定义性和可更新性。在此基础上,还需要对运营商线路进行实时有效的监控,并可通过 DNS 设备反应出线路的故障,实现线路故障时平滑切换到其他 IPv6 或 IPv4 线路。初期 IPv6 上线过程中,可能存在没有申请全部运营商线路的情况,为了保证客户体验需 DNS 设备通过动态 RTT 监测,选择 RTT 最优的线路返回业务地址。总之,智能 DNS 作为流量引导的“大脑”,通过合理的算法组合确保终端用户能够以最优的路径访问到数据中心。
改造初期应用层适配
二次沉淀池初期 IPv6 改造中重点需要考虑的应用层问题是客户端地址溯源和外链天窗的适配。IPv6 地址转换成 IPv4 地址后,对于 C/S 架构的应用可以将客户端真实地址插入到 TCP Option 中,后端程序需要开发相应的模块对 TCP Option 中的真实地址进行提取。对于 B/S 架构的应用,可以将客户端真实地址插入到 X-Forward-For 头中,后端程序针对相应的插入位置进行提取即可。如果后端程序提取 IPv6 地址存在困难,也可通过应用交付设备将地址转换前后的对应列表以日志的方式输出到外部日志平台。
IPv6 改造过程中的应用天窗问题关乎客户体验,也是不可忽视的一个环节。此问题可通过应用交付设备上的可编程功能功能来完美的实现适配,遵循的基本原则是将外链替换为数据中心自身的地址,通过应用交付设备代理客户端访问外链地址。在实际改造中会碰到一些负载的外链,例如多层 js 嵌套的外部链接,需要对 js 进行分析后进行相应的适配。通过外链天窗的适配,可以保证终端客户无感知的切换到 IPv6 服务。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议