宫帅 李彬 柴吴军
摘 要:为贯彻落实中共中央办公厅、国务院办公厅《推进互联网协议第六版(IPv6)规模部署行动计划》有关部署,切实做好中央企业部署应用IPv6有关工作,国家电网有限公司(以下简称“国网公司”)根据国资委文件要求,积极开展门户网站和面向公众的在线服务窗口IPv6改造工作。文章以国网公司下属某省级公司信息网络为例,探讨在不改变现有网络结构的基础上,以应用负载均衡设备实现门户网站IPv6/IPv4协议的双栈访问。
关键词:互联网协议第6版;双栈;门户网站;应用负载均衡
国网公司数据通信网基于互联网协议第4版(Internet Protocol Version 4,IPv4)技术,互联网协议(Internet Protocol,IP)地址不足问题已经显现,部分发达下属省公司中IPv4地址已经枯竭,新增系统和新建节点多采用地址转换方式,应用私网地址缓解地址资源不足问题。这种解决方式将增加网络管理复杂性、降低网络综合性能,小规模部分补充使用时这些问题尚能接受,一旦大规模应用,将严重影响网络管理的效率和性能,危害通信安全,因此,不具有规模应用可能。国网公司开展门户网站和面向公众的在线服务窗口互联网协议第6版(Internet Protocol Version 6,IPv6)改造工作,符合国家主管部门要求,符合国网公司网络发展实际需要,符合国内外网络技术发展趋势,对国网公司未来信息化发展具有重要意义[1]。
1 网络现状
1.1 网络拓扑
某省电力公司信息外网出口网络拓扑如图1所示,某省公司(以下简称公司)信息外网按其功能划分为网络出口区、用户终端区、服务器区等3大区域。网络出口区是作为整个网络出口区域,通过在出口部署两台Radware负载均衡设备实现多运营商、多链路的流量负载与冗余。出口防火墙及UTM设备承担整体网络的安全防护作用,通过配置安全策略实现互联网对公司内网网络的安全访问。用户终端区网络作为公司办公终端的接入网络,通过部署行为管理和邮件阻断设备,实现对用户终端的访问行为和业务带宽进行安全控制。服务器区网络主要承载公司外网所有业务系统,通过在出口处部署Web应用防护系统(Web Application Firewall,WAF)设备,实现对Web应用的安全防护。
整体网络以两台华为S7706交换机作为汇聚点,各网络区域分别与汇聚点互联,实现区域之间的业务互访。两台汇聚点交换机与两台出口汇聚交换机、两台用户区核心交换机、两台服务器核心交换机之间运行OSPF V2,通过修改各链路COST值,实现主备路径选择。
1.2 系统拓扑
外网网站应用服务器采用多节点部署,通过业务负载均衡对外提供服务。两台负载均衡设备主备部署分别旁挂在服务器区接入交换机上。应用服务器同时接入服务器区接入交换机上。用户访问通过主机名访问外网网站系统,直接访问负载均衡地址,负载均衡地址收到请求后,根据负载均衡算法选择应用服务器。将数据请求进行源地址转换后,发送至应用服务器。应用服务器响应请求,并返回数据至负载均衡。负载均衡返回数据给用户[2]。
1.3 DNS解析
互联网IPv4用户向本地域名系统(Domain Name System,DNS)域名服务器发起针对公司外网网站的域名解析请求,本地域名服务器无相关记录,向国网公司根域名服务器发起请求;根域名服务器根据本地NS记录,向授权的公司二级域名服务器发起请求;公司域名服务器根据本地A记录,返回域名对应IPv4地址[3]。
2 改造思路
根据现有技术特点分析,共有4种方式可以实现门户网站的双栈访问,具体如下:
(1)外网出口设备地址转换。在外网出口网络地址转换(Network Address Translation,NAT)设备上启用IPv4与IPv6地址转换技术,在NAT设备配置内部IPv4地址与公网IPv6地址的映射关系,网络内部仍然采用IPv4部署模式。外部用户可通过公网IPv6地址访问公司业务,在NAT设备将访问业务系统的IPv6报文转换为IPv4报文。网络中只需在出口NAT设备支持双栈協议即可,其他网络设备、安全设备及业务系统无需调整。
(2)应用负载均衡设备地址转换。网络出口、核心、汇聚等网络及安全设备均运行双栈协议,在应用负载均衡上为需要实现IPv6部署的业务系统新增IPv6地址。用户IPv4和IPv6访问请求均先访问负载均衡设备,由负载均衡设备将访问请求转换为内部IPv4访问请求。负载均衡以下均运行IPv4,无需对业务系统进行调整,负载均衡以上运行双栈协议。该方案需对外网DNS进行调整,保证公网用户请求DNS服务器时可返回解析后的IPv6地址。
(3)新建IPv6网络专区。原IPv4网络架构不变,在出口防火墙下新建IPv6区域,新增独立的核心、汇聚、接入、负载均衡等支持双栈协议设备,将需要改造的业务系统迁移至该区域。
(4)全外网区域改造。网络出口、核心、汇聚等网络设备及安全设备均运行IPv6/IPv4双栈协议,负载均衡进行IPv6地址的虚地址和实地址映射,业务及DNS系统两套部署,支持IPv6和IPv4协议各一套[4]。
根据网络现状,结合现有资源情况,某省公司计划采用方式二进行外网门户网络的IPv6改造。改造后的某省电力公司信息外网出口网络拓扑如图2所示。
3 设计方案
3.1 总体架构
从运营商引入IPv6出口,增加网站域名对应IPv6地址的域名解析。IPv6改造深入至业务边界,在业务负载均衡上配置IPv6虚地址(站点本地地址),在NAT设备上进行IPv6虚地址与IPv6实地址(全局单播地址)的一对一映射,在业务负载均衡上同时监听IPv4和IPv6的端口访问请求,通过业务负载均衡将IPv6访问请求转换为IPv4访问请求,发送给对应的业务系统。业务负载均衡设备及以上的网络运行IPv6和IPv4双栈,业务负载均衡设备及以下运行仅IPv4地址。
3.2 拓扑设计
本方案设计无需改动公司现有外网网络架构,在原有网络架构的基础上完成以下工作:
(1)申請运营商IPv6接入及相应IPv6地址。
(2)申请外网网站对应IPv6域名。
(3)出口链路负载均衡、出口汇聚交换机、出口防火墙、UTM、外网汇聚点、WAF、服务器区防火墙、服务器区核心交换机、业务负载均衡等设备配置IPv4/IPv6双栈协议。
(4)出口汇聚交换机、外网汇聚点、服务器区防火墙部署OSPF V3动态路由协议。
3.3 系统设计
在应用负载均衡启用IPv4/IPv6双栈协议,新增外网网站IPv6 VS,同时,关联原IPv4 Pool。IPv6用户请求IPv6 DNS系统,查询对应的IPv6地址。IPv6 DNS根据记录响应用户请求,并返回对应负载均衡IPv6地址。用户主机直接访问负载均衡 IPv6地址,负载均衡地址收到请求后,进行IPv6-IPv4转换,发送IPv4数据包至应用服务器。应用服务器响应请求,并返回数据至负载均衡。负载均衡返回数据给用户。
IPv4用户请求IPv4 DNS系统,查询对应的IPv4地址。IPv4 DNS根据记录响应用户请求,并返回对应负载均衡 IPv4地址。用户主机直接访问负载均衡IPv4地址,负载均衡地址收到请求后,进行源地址转换,发送IPv4数据包至应用服务器;应用服务器响应请求,并返回数据至负载均衡;负载均衡返回数据给用户。
3.4 路由规划
外网出口负载均衡设备与运营商设备运行IPv6静态路由协议,实现路由交互。内部网络为保证其可靠性,规划两台出口汇聚交换机、两台汇聚点交换机、两台服务器区防火墙板卡之间运行OSPF V3动态路由协议,通过修改各链路COST值,实现主备路径选择。
3.5 地址规划
公司办公外网出口采用IPv6静态路由协议与运营商网络对接,按照国网公司IPv6地址整体规划,内部资源分为设备管理及互联、业务、办公等地址网段。其中,网段2405:6F00:E01A::/49为设备管理及互联,网段2405:6F00:E61A::/49为业务,网段2405:6F00:E69A::/49为办公,某省电力公司外网IPv6地址规划如表1所示。
4 结语
国网公司下属某省电力公司深入贯彻落实中办、国办印发的《推荐互联网协议第六版(IPv6)规模部署行动计划》要求,按照国资委具体工作部署,结合自身网络现状,开展外网门户网站IPv6改造工作。在不改变现有网络结构的基础上,以应用负载均衡设备实现门户网站IPv6/IPv4协议的双栈访问。此次工作不但充分利用现有设备降低整体费用,同时,为后续其他系统IPv6改造提供了宝贵的经验。
[参考文献]
[1]伍孝金.IPv6技术与应用[M].北京:清华大学出版社,2010.
[2]JOSEPH D.深入解析IPv6[M].3版.北京:人民邮电出版社,2016.
[3]张东亮,李渊,任黎科.IPv6技术[M].北京:清华大学出版社,2010.
[4]沈鑫剡,伍红兵,俞海英,等.IPv4网络和IPv6网络互联技术[J].中国新通信,2008(5):29-33.