孙晓东 李 潇 路 阳
(国网青海省电力公司信息通信公司)
随着“新基建”政策力度的不断升温,数字化、网络化、智能化是新一代信息技术的核心和各行各业发展方向,国家电网确立了运用“大云物移智链”等先进技术,建立面向未来的能源互联网企业,需进一步建设具备开放、高速、智能、互动、可信特征的下一代电网信息通信网络,实现信息通信从内部支撑电网业务为主,到“对内支撑业务,对外服务大众”并重的转变。电力物联网各个环节、各类设备必将越来越多地采用IP化的信息通信技术,物联网,大数据,人工智能等产业部署对IP地址有强烈的刚性需求,而IPv6是现阶段物联网基础协议的唯一选择。同时国家及各部委高度重视IPv6在中国的部署工作,频繁发文要求各相关单位贯彻落实。2017年11月26日,中共中央办公厅、国务院办公厅制定并印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,国家电网公司依据相关要求,结合电网实际认真贯彻落实,在2018年国网公司正式印发《信通技术〔2018〕143号》文件,明确了国家电网公司互联网协议第六版(IPv6)技术要求和演进路线,青海省公司依据相关要求,开展了信息网络IPv6改造试点,并于2019年初完成了部分信息外网IPv6改造,取得了一系列成果,积累了丰富的经验。同时,在改造过程中也遇到了一些问题,发现了部分网站升级过程中出现乱码、天窗甚至宕机,部分应用不可达。
为了解决此类问题,提高IPv6改造效率,我们提出了基于翻译技术的IPv4/IPv6协议转换平台作为过渡技术,以实现经济、高效、平滑地过渡到IPv6所面临的难题。
基于翻译技术的IPv4/IPv6协议转换平台工作原理有两个方面:一是地址映射,即通过统一的规则实现IPv4地址与IPv6地址地一一映射,以进行地址地翻译;另一个是协议翻译,即根据标准规定,实现IPv4/ICMP协议和IPv6/ICMP协议各字段的对译,同时更新TCP/UDP协议的相关字段,完成完整数据包翻译操作。
IPv4/IPv6协议转换平台部署场景如图1所示。
图1 部署场景图
部署DNS64域名解析服务器(逻辑)和IPv4/IPv6协议转换设备,并与两侧网关实现路由可达(前提条件)。DNS64提供双向地址解析能力,所有从IPv61主机发起的目标为IPv4地址的服务器、主机的访问请求,首先从DNS64获得目标为IPv4地址的映射IPv62地址,该IPv62地址Next Hop为协议转换设备接口地址,数据包统一经过协议转换设备后,源地址为IPv4地址(指定),并以此为源访问目标为IPv4地址的服务器、主机。完整过程如图2所示。
图2 协议交互完整过程
1)IPv6主机通过静态配置或DHCPv6选项得到IPv6地址、默认网关及DNS服务器地址信息。
2)IPv6主机向DNS64进行AAAA查询,DNS64是双栈设备,它存放了域名对应的v4地址和对应的v6地址,当它收到AAAA查询请求后,先向目标网络发送AAAA查询请求,如果AAAA记录不存在,再发送A查询请求,并将得到的A记录按照协议转换设备映射规则将其转换为AAAA记录,并返回给源IPv6主机。
3)该IPv6主机发送数据包,当到达协议转换设备后,转换为IPv4数据包。翻译后IPv4数据包路由到IPv4网络中,实现IPv6主机对IPv4主机地访问。
协议转换设备不需要通过DNS64来查找IPv4、IPv6的对应关系,而是能够通过一对一地映射直接找到对应地地址,大大减轻网关设备的负担和效率。同时,它也支持端到端地址透明性,可以进行增量化部署。IPv4用户能够访问新建的IPv6应用。主要采用的设备如下。
1)IPv4/IPv6智能转换平台是一套面向网络翻译和互通的平台级解决方案,主要用于网络协议IPv4和IPv6之间的转换和翻译,在TCP/IP分层模型中,主要针对网络层和传输层进行IP地址和端口的转换和翻译映射。该平台可用于实现IPv4终端用户访问公网IPv6资源,也可用于实现IPv6终端用户访问公网IPv4资源。
2)部署一套可视化网络管理系统,系统用于对IPv4/IPv6智能转换平台设备的配置管理、性能管理、日志管理和故障管理。网管系统根据运维人员或服务开通系统的指令,修改相应网元配置数据,从而实现业务的激活或关停。同时网管系统还负责网元设备运行状态的监测,发现异常情况,及时向运维人员告警。网管系统是该平台的重要组成部分,是平台系统正常运行的有效保障措施之一。
本项目IPv6升级改造的总的原则是互联网IPv6业务快速平滑升级,让互联网IPv6用户无感知访问;IPv6升级改造重点是青海电力互联网区,通过在省级数据中心增加IPv4/IPv6协议转换平台设备,让原有
通过部署互联网协议智能转换系统(服务端),实现青海电力公司互联网IPv6业务快速平滑升级,支持互联网IPv6用户无感知访问。青海电力公司互联网区网络拓扑如图3所示。
图3 互联网区网络拓扑
在图3的网络拓扑中,DMZ区域核心交换机I&II为IPv6单栈环境,防火墙I&II为两台IPv4/IPv6协议转换平台(服务端)设备启用ETCD+Keepalive技术组成A/S模式集群,通过设备Eth1接口上联DMZ区域核心交换机I&II的G2/1/1端口,通过设备Eth2接口下联防火墙I&II(逻辑),两台IPv4/IPv6协议转换平台(服务端)设备配置应用层翻译技术,实现内部IPv4业务系统对外提供IPv6访问服务。
IPv4单栈协议,IPv4/IPv6协议转换平台(服务端)串联在IPv4区域和IPv6区域之间,开启IPv6安全和溯源功能。互联网应用通过IPv4/IPv6智能转换平台(服务端)进行升级,支持IPv6用户访问时,对于网站现有的网络部署和程序代码架构无须任何修改。
由于IPv4过渡到IPv6是建设网络强国和网络发展的必然趋势,但是短期内,国家电网数据通信网络、终端设备、服务器、数据中心以及业务系统都无法做到全面支持IPv6,因此IPv6的过渡必将是一个循序渐进的长期过程。基于翻译技术的IPv6升级改造方案,是目前被国家权威部门认可的过渡机制首选的解决方案,可以做到网络平滑演进,业务质量不下降、改造工作量低、数据一致性和数据同步等特点,达到最大程度保护投资者利益。