蚌埠市政务外网IPV6改造方案设计

2021-08-03 06:48董超
电脑知识与技术 2021年17期

董超

摘要:随着政务部门网络系统的建设和发展,目前以IPv4技术为基础构建的网络系统逐渐暴露出许多问题和缺点,为满足下一代“互联网+”政务发展, 我市电子政务外网互联网区加快推进IPv6网络升级改造。根据安徽省经济信息中心印发的《关于推进国家电子政务外网互联网协议第六版(IPv6)改造工作的通知》文件要求,市级电子政务外网IPv6改造应全面支持政务部门IPV6门户网站部署,本文介绍了我市政务外网的IPV6改造方案。

关键词:政务外网;IPV6;双栈模式

中图分类号:TP311      文献标识码:A

文章编号:1009-3044(2021)17-0255-02

开放科学(资源服务)标识码(OSID):

1 建设目标和思路

我市计划采用IPv4\IPv6双栈模式设计改造方案,实现政务外网互联网区能够支撑部门IPV6业务部署为目标。完成市政务云数据中心互联网区IPv6的改造,IPv6地址分配,核心网络设备开启双栈协议,保证市级政务门户网站可以满足互联网上IPv6用户可以通过DNS6域名访问市政务云数据中心市政务外网互联网区部署的业务系统; 完成IPv6业务区域建设,包含防火墙、IPS、WAF、IPv6安全运维模块等一整套设备部署,并对市政务中心网络进行IPv6双栈改造,用户具备获取IPv4\IPv6地址的功能。具体建设思路如下:

1)网络和业务调研,收集政务网DMZ区设备现状和IPv6支持情况,统计不支持IPv6设备清单,并收集提供当前网络的用户数量、网络峰值流量等业务情况;

2)申请IPv6出口资源,使得网络出口链路支持IPv6;

3)优化现有网络架构,将相关业务进行平滑过渡割接。对现有较老旧和不支持IPv6设备进行替换升级,新购设备按照IPV6标准选型入网。对现有较老旧和不支持IPv6设备进行版本升级,升级后的设备满足IPv6标准,升级完成后的网络系统完全支持IPv4/IPv6双栈;

4)现有设备开启双栈,同时承载IPv4和IPv6互联网流量,互联网出口链路进行升级改造;

5)IPv6路由设计、路由策略、流量流向等与IPv4保持一致,业务承载方式与IPv4保持一致,双栈流量对现有的业务不产生影响;

实现自动化运维IT支撑系统、云管平台系统等应用的需求。

2 建设原则

1)统筹规划原则:在推进本次IPv6升级改造过程中,应着眼长远,统筹规划,确保投资的可持续性和技术路线的持续演进发展。

2)平滑过渡原则:在本次改造的过程中,需要保证各项服务的不间断性,既支撑IPv6应用部署及用户访问,又保证IPv4网络稳定安全运行。

3)安全保障原则:从IPv4向IPv6迁移改造需要关注IPv6引入的安全风险,做好相应安全防护策略和安全技术部署。

4)节约高效原则:在IPv6改造过程中,应充分利用已有各项基础设施,保护现有投资。

3 方案设计

3.1 整体方案

政务外网以IPv4网络为主,整个网络及业务应用还是处于IPv4阶段,业务采取IPv6逐步改造,因此很长时间内处于IPv4/IPv6网络共存的阶段。针对IPv6实际部署涉及范围广和具有技術复杂性的特点,在政务外网DMZ区IPv4向IPv6网络演进过程中,采用平滑过渡方式。

1) 针对电子政务外网全新建设的网络需求,按照IPv4/IPv6双协议栈进行规划和设计,使建设完成后的网络系统支持IPv4/IPv6双栈。

2) IPv6地址规划,分别为业务地址段和网络互联地址段。在IPv6地址的65-128掩码长度中标定设备标识和业务标识,部署方式参考IPv4部署模式(vlanif利旧、服务器网卡利旧)。

3) 网络设备:网络设备采用业界支持IPv4/IPv6双栈的主流设备,能够同时支持IPv4、IPv6的IP协议和路由协议。

4) 服务器:客户端、服务器的硬件和操作系统采用成熟的、能够支持IPv4/IPv6双协议栈的硬件和软件。

5)重要业务系统及应用在不影响业务系统运行的条件通过改造,支持IPv4/IPv6双协议栈。

6)对于调研后可以支持IPv6的现网设备,通过升级支持IPv4/IPv6双协议栈,升级后能够同时支持IPv4、IPv6路由和路由协议。针对个别老旧、完全不支持IPv6协议栈网络设备进行设备替换或版本升级,升级为支持IPv4/IPv6双栈协议及路由的网络设备。

7) 在IPv4/IPv6网络共存的阶段,原有IPv4用户访问IPv6应用,或IPv6用户访问IPv4应用需要采用翻译技术。

8)增加了支持IPv4/IPv6双栈技术的自动化运维IT支撑系统、云管平台等新型网络平台系统。

3.2 IPv4/v6双栈实施

政务外网互联网区网络的部署改造点主要包括:互联网出口层、负载均衡设备、防火墙等安全设备、WEB防火墙设备、核心交换机。

根据政务外网互联网区目前设备支持IPv6的情况和开启IPv6功能的现状,结合方案的思路,具体实施步骤如下:

1)设备替换和版本升级: IPv6改造前首先对不支持IPv6的设备进行替换和版本升级,采取双平面分步替换方式,替换过程不影响业务中断。(替换奇平面时将流量切换至偶平面,替换完成后切换回奇平面。偶平面替换步骤相同。);政务网络出口层升级方案; 互联网出口链路进行升级改造,开启双栈实现IPv4和IPv6互联网资源访问; 新增1条IPv6专线,接入负载均衡设备,实施IPv6协议开启,实现互联网路由协议互通;出口负载均衡设备和防火墙、WEB防火墙、IPS等外网安全设备实施IPv6协议开启,实现互联网路由协议互通; IPv6网络安全部署实施。

2)政务外网互联网区核心层升级改造方案:全网核心设备开启双栈,启用IGP协议;IPv6相关路由策略与IPv4保持一致;IPv6网络安全部署实施;IPv6相关DHCP等功能部署实施。

3)政务外网互联网区汇聚层及接入层升级改造方案:全网汇聚及接入设备开启双栈,启用IGP协议;IPv6相关路由策略与IPv4保持一致;IPv6网络安全部署实施;IPv6相关DHCP、DNS功能部署实施;IPv6安全防护;针对IPv6业务部署安全防护(设备登录防护ACL、CPU防护、攻击防护策略)加强IPv6网络的健壮性。

3.3 核心设备部署

核心交换机要求支持并开启双栈,运行IPv4/IPv6功能,为用户同时分配IPv4地址和IPv6地址,提供IPv4/IPv6双栈接入能力,同时承载IPv4和IPv6业务流量。对于不支持IPv6的设备,应逐步替换设备,割接业务;对软件版本未支持IPv6的,应先通过软件升级支持IPv6;对已支持IPv6的设备,应启动IPv6功能。 用戶侧基于现有模式提供双栈接入。对于支持IPv6的终端,终端分配IPv4公有地址和IPv6地址;对于不支持IPv6的终端,终端只分配IPv4公有地址。 核心交换机配置内容包括基本配置和路由协议配置两个方面。

1) 基本配置:全局模型下开启IPv6协议栈,同时运行IPv4/IPv6功能;配置设备LOOPBACK接口的IPv6地址;上行三层接口开启IPv6,并配置IPv6地址;下行三层接口开启IPv6功能支持DHCPv6;配置IPv4地址、IPv6地址以及IPv6 PD前缀池;运行DHCP/DHCPv6,为用户分配IPv4地址和IPv6地址。

2)路由协议配置:全局运行IGP路由协议, 在设备的LOOPBACK接口以及三层上连接口启用OSPFv3;原来运行ISIS协议的设备,同时运行ISIS/ISISv6,开启多拓扑功能;配置BGP路由协议,与两台政务外网核心之间建立iBGP4+邻居关系,与核心路由器设备之间运行iBGP4+,交互IPv4和IPv6用户路由信息。

3)电子政务IPv6地址规划。用户地址选择:考虑到统一地址规划,提高可管理性,建议使用GUA,需要在边界路由器对这些路由进行过滤;设备互联地址选择:仅应用于两个设备之间的链路(Point-to-PointLink);使用/64-prefix,RFC4291、RFC5375 、RFC3627等多个RFC均作为推荐首选局域网前缀长度选择(PrefixLength),推荐使用/64前缀长度;管理地址:使用loopback/128前缀长度。

4)IPv6地址分配。主机地址可使用静态配置或自动配置,静态配置类似于IPv4,主机地址、掩码、域名系统(DNS)服务器和缺省网关址通过人工方式定义,自动配置为无状态DHCPv6主机使用SLAAC获取地址前缀和默认网关,通过DHCPv6来获取其它参数,如DNS服务器、TFTP服务器、WINS等。基于状态的DHCPv6—主机使用DHCP获取IPv6地址。主机与DHCPv6服务器不在相同网络时,需要在网关处部署DHCPv6 Relay。

5)VLAN划分:在双栈场景下,IPv6与IPv4共用相同的VLAN划分,由于IPv6是网络层协议,对VLAN的规划可以使用与原有IPv4VLAN相同的规划,建议尽量保持IPv4与IPv6使用相同的VLAN规划。

3.4 IPv6安全管理改造方案

为应对 IPv6 全面改造及 IPv4到IPv6 过渡期间面临的各类安全风险,构建积极的安全防御体系,按照“安全三同步”原则,将安全防护措施贯穿于 IPv6 规划、建设、运行阶段, 并分层实现协议安全、安全设备、业务安全和安全管理,在每个安全层采用多种管控技术手段,实现全流程端到端安全。

结束语:本次蚌埠市政务外网IPv6改造工程最大化利用现有设备,尽可能减少对现有系统的改动,保证业务连续性,保障安全性, 新增设备与原网络设备无缝对接并统一纳管,同时IPv4/IPv6双栈升级改造不影响原有安全防护体系,不影响互联网用户原有访问使用体验。

参考文献:

[1] 杨灏.浅析电子政务外网中的IPv6升级改造[J].中国信息化,2020(4):79-80.

[2] 姚娟,闻琛阳.门户网站IPv6改造的技术路线选择[J].通信电源技术,2019,36(2):197-198.

[3] 陈吉宁.广西电子政务外网IPv6网络平台设计[J].广西科学院学报,2014,30(1):21-23,31.

[4] 何黎明,梅洪.省级电子政务外网互联网区IPv6改造研究[J].江西通信科技,2019(1):4-7.

[5] 钱福利.浅析IPv6网络的安全风险与应对措施[J].网络安全技术与应用,2019(7):25-26.

【通联编辑:梁书】