银行业IPv6演进方案

杨帅

摘要：本文简要分析了IPv6对数字化建设的驱动，以银行业互联网业务为例，提出从IPv4到IPv6演进的三种方案并做分析研究。

[关键词]NATIPv6IPv4

1IPv6对数字化建设的驱动

1.1增强互联网服务能力

IPv4面临地址严重匮乏、服务质量难以保障等制约互联网持续发展的问题，成为构建数字化基础设施的短板，IPv6能够提供充足的地址空间，是下一代互联网的基础协议，能够提供更强大的互联网服务能力。同时，IPv6简单的报文头部，层次化的编址，大大提高了路由效率，降低了对于设备的要求。

1.2促进数字应用创新

IPv6能够提供更广泛的互联网和物联网连接，支持移动特性，实现万物互联，打造数字化基础设施，促进物联网、AI等新领域的创新。

1.3提升网络安全能力

支持端到端的安全防护（IPv6协议定义中包含IPsec标准），同时，IPv6为解决网络安全问题提供了新平台和新思路（真实源地址认证技术、根域名服务器等），不断完善的网络安全保障体系，将为数字化应用提供更安全可信的网络空间环境。

2银行业互联网业务后台网络架构现状分析

如图1所示，银行业网络架构对针对互联网业务可抽象为几个区域：Internet接入区、DMZ区、核心交换区、对外生产区及其他区域。

Internet接入区：作为网络边界连接企业与Internet，部署多个路由器与运营商用户端设备相连，实现内外通信，面向公众提供服务。

DMZ区：与其他两个区域通过防火墙隔离，实现对外提供服务的安全性。内部部署交换机、负载均衡设备（F5）、应用服务器集群、Web服务器集群，所有站点部署DNS承担域名解析。

核心交换区：实现对外生产区、工作区、安全区、开发测试区的隔离，并提供高速转发功能。

对外生产区：主要提供门户、网银等业务的应用处理，部署数据库服务器、核心账务系统等。

其他区域（工作区、安全区、开发测试区）;主要用于企业内部办公、安全设备管理、软件开发测试等。

用户访问银行Web网站并进行网银等业务操作可以分为前端和后端两个部分。前端：从Internet接入区到DMZ区中Web服务器部分。用户通过国际互联网访问Web服务器，用户HTTPS连接和Session在Web层终结。后端：Web服务器与对外生产区中的各应用服务器建立连接，进行相关应用和数据访问。3IPv6改造方案

由于银行机构承载着重要的社会服务职能，本着安全稳定的原则，应遵循两个不变：总体架构不变、访问流程不变。具体的改造设计三个主要方面：DNS改造、网络/安全改造、网站应用改造。

3.1方案一：新建IPv6DMZ区

前端的Internet接入区和DMZ区通过IPv6对外提供Web服务，通过IPv4和对外生产区数据拉通。改造后，网络架构如图2所示。

新增IPv6Internet接入区：接入各运营商IPv6互联网线路。

新增IPv6DMZ区：DMZ区的服务器集群提供IPv6Web服务。本区域内所有设备基于IPv6的路由协议完成互联互通。Internet边界防火墙等安全设备对IPv6流量进行相关安全防护。应用服务器、Web服务器等通过IPv6协议接入到DMZ区交换机，通过IPv4协议接入到核心交换区。在所有web站点部署DNSv6，并部署链路负载均衡设备确保来回路徑一致。

核心交换区、对外生产区：仍通过IPv4提供业务的应用处理。

3.2方案二：新增IPv6服务器集群

改造升级前端网络支持双栈，IPv4服务器集群和新建IPv6服务器集群复用一张双栈网络。改造后，网络架构如图3所示。

原Internet接入区：同时接入各运营商IPv4/IPv6Internet线路。

原DMZ区：新增IPv6服务器集群，提供IPv6Web服务。DMZ交换机等网络设备通过双栈方式互联互通。Internet边界防火墙等安全设备对IPv4/IPv6流量进行相关安全防护。应用服务器、Web服务器通过双栈路由协议接入到DMZ区交换机，通过IPv4协议接入到核心交换区。在所有web站点同时部署DNS及DNSv6，根据原IP智能解析并返回IPv4或IPv6地址。负载均衡设备通过双栈网络承载相应服务，根据源IP地址将业务转到IPv4/IPv6服务器池中最优的web服务器。

核心交换区、对外生产区：仍通过IPv4提供业务的应用处理。

3.3方案三：原服务器集群开启双栈

改造升级前端网络和服务器集群支持IPv4/IPv6双栈服务。改造后，网络架构如图4

原Internet接入区：同时接入各运营商IPv4/IPv6Internet线路

原DMZ区：DMZ区的服务器集群同时提供IPv4和IPv6服务。DMZ交换机等网络设备通过双栈方式互联互通。Internet边界防火墙边界防火墙等安全设备对IPv4/IPv6流量进行相关安全防护。Web服务器、门户Web服务器等通过双栈路由协议接入到DMZ区交换机，通过IPv4协议接入到核心交换区。在所有Web站点同时部署DNS及DNSv6，根据原IP智能解析并返回IPv4或IPv6webIP地址。负载均衡设备通过双栈网络承载相应服务，并作为服务器的网关，根据源IP地址将业务转到server池中最优的Web服务器。

核心交换区、对外生产区：仍通过IPv4提供网络、业务的处理。

4方案对比

上述三种改造方案的对比见表1。

5结束语

本文探讨了IPv6在数字化建设领域的优势，通过分析银行业典型网络架构，提出三种IPv4到IPv6的演进方案，为广大行业提供了参考。

参考文献

[1]王毅，黄爱明。基于IPv4和IPv6双协议企业网的研究与实现[J].计算机系统应用，2011，20（09）：189-192.

[2]新华三集团，银行网银双活系统部署实践，http：//www.h3c.com/cn/d-201307/790134_30008_0.htm[N]，2013.

[3]许佳伟.基于校园网环境下IPv6过渡解决方案的设计与实现[D].华中科技大学，2011.