基于IPv6的海油企业网络建设探究

李硕

摘 要：建设基于IPv6的下一代互联网络将成为海油企业网络发展中的关键一步。在企业网络建设中，关于网络安全、服务质量和地址可扩展性等方面，IPv6相较于IPv4的优势明显，如何实现IT基础架构从IPv4到IPv6的平稳过渡转化成为了企业网络研究的重点。文章结合某海油企业的网络现状，探讨了IPv6改造的难点与挑战，给出了IPv6改造实施方案，分析了方案中应用的过渡技术。

关键词：IPv4;IPv6;网络改造;过渡技术

1 背景

目前，海油企业的信息化建设经过长期的发展，逐步形成了一套完善的网络体系，该体系是以各应用系统为核心，以服务器为基础，以网络为支撑的大型信息系统。虽然在海油企业中基于IPv4的网络目前运行良好，能够满足用户的各类需求，但是随着信息技术的迅猛发展，特别是5G技术、人工智能、物联网等新技术的应用与推广，用户的需求将会呈现多样化发展。当前的这套网络体系不论从可扩展性还是从安全性上来说，都显得有些捉襟见肘，具体表现为以下几个方面：

（1）随着用户对移动办公和BYOD的需求日益强烈，海油企业中各种对外的应用系统将不断部署、测试、认证和上线运行，但是可用的公网IP地址已是稀缺资源，因此公网IP地址短缺的问题将愈演愈烈。

（2）企业内网IP地址随着无线、虚拟化的不断应用，数量急剧消减。在海油企业内部，部署无线内网有很多隐患，除了安全性降低之外，内网终端接入的爆发式增长导致企业内网IP地址资源的消耗过快。

（3）IPv4地址转换技术为现阶段海油企业提供了大量内部网络IPv4地址资源，同时也提供了天然的外内网的界限，但是该机制破坏了计算机间的透明性，仿造的IPv4地址泛滥，大量有针对性的网络安全事件频发，造成一定安全隐患。

（4）海油企业内部对一些实时数据或多媒体数据的传输要求有一定的服务质量保证，然而网络中IPv4协议提供的是无连接、不可靠、点对点的分组传送服务，采用“尽力投递”（best-effort）的传输机制，因此无法保证一些关键业务的服务质量（QoS）。

上述问题难以通过改进IPv4协议版本来解决，而基于IPv6的新一代互联网络相较于现在的海油企业网络具有更大、更快、更安全、更及时、更方便和更可控的特征。“更大”指IPv6协议为网络空间提供了巨大的IP地址资源;“更快”指IPv6协议采用全新报头结构，可以承载更多数据内容，提高了路由器的转发速率;“更安全”指IPSec作为IPv6的绑定安全机制，一定程度上保障了OSI网络层级的安全;“更及时”指IPv6加强了组播支持以及通过在数据报头中添加流标记和业务级别极大地改善QoS[1];“更方便”指可提供无处不在的移动和无线通信应用;“更可控”指IPv6支持有状态和无状态两种自动配置技术，典型代表分别对应DHCPv6和RADVD，两者结合的配置使得网络的管控效果更加明显。

2 IPv6网络改造建设的难点与挑战

切实推进IPv6的网络改造建设将是海油企业未来几年的一项重要工作。但是考虑到海油企业中业务应用系统与基础设施规模庞大，改造升级工作将面临巨大挑战，主要难点与挑战来自以下3个方面。

2.1 实施改造涉及面广

海油企业的IPv6网络改造需要经历一段漫长的过渡时期，改造涉及基础设施和应用系统两个部分。需改造的基础设施类型较多，包含但不限于计算机、服务器、DNS、联网办公设备、路由交换机、负载均衡、安全防护设备等，改造后的基础设施需支持双栈协议。对于应用系统部分，需要評估系统中是否涉及IP协议相关的代码，同时还要梳理IP地址信息是否需要在交互过程中进行存储等。

2.2 网络安全防护形势复杂严峻

在海油企业的网络安全防护体系中，针对IPv6的安全防护案例与经验较少，因此推进网络建设改造过程中，任何一处的安全防护缺失都可能造成整体网络系统的漏洞，提前测试与评估安全防护体系能否防御基于IPv6的网络攻击势在必行。

2.3 技术支持处于发展初期

IPv6网络改造不断深入推进，但相应的技术支持与网络服务却还处于初级阶段。海油企业内IPv4向IPv6过渡期间，为保障网络稳定性和业务连续性，需要项目组保持适度的建设实施进度与发展节奏。

3 IPv6网络改造方案实施解析

面对IPv6改造的难点与挑战，本文结合海油企业内部的网络现状，设计了基于IPv6的网络改造基础方案，通过综合考虑终端用户、业务、安全、网络、成本等多种因素，按照“投资小、风险低、效果好”的目标，分阶段逐步完成对网络设备、计算机终端、服务器和应用系统等的IPv6升级改造工作，实现IPv4向IPv6的顺利过渡。

3.1 申请IPv6地址资源并合理地实施子网划分

企业需要向相关组织机构申请IPv6线路与地址资源，同时应及时向运营商了解针对IPv6网络的相应防护产品与服务。结合海油内网络环境的实际需要，一是在小型网络组织中，通过为子网编号，采用无层次化寻址方式;二是在多层次或跨区域的大型网络结构中，使用/64固定长度的前缀是绝大部分IPv6网络设备都支持的选择，剩余部分的子网划分与IPv4环境下模式相似。

3.2 调研网络设备并实施升级

在全面部署IPv6升级前，需要对企业内的网络设备如防火墙、流控网关、路由交换设备、无线AP等设备进行全面核查。针对不支持IPv6地址协议的设备，一是，可以实施IOS版本优化升级来处理，二是，提前申请采购支持IPv6的替代设备来进行更换，最终确保所有的网络设备支持双栈协议后启用IPv4/IPv6双栈协议。

3.3 对DHCP服务器实施升级

采用IPv6无状态地址配置方式，可以与以太网连接的网络终端自行配置IPv6地址，将其采用EUI-64位格式的48位MAC地址附加在路由器所广播的64位本地链路前缀后面，因此不需要DHCP服务器;如果采用基于状态的DHCPv6方式，DHCP服务器的操作系统需要升级至Windows Server 2008以上版本，升级完成后启用双栈协议，该服务器配置一个IPv4地址和IPv6地址，从而可以配置DHCPv4和DHCPv6服务器，该服务器可以同时支持IPv4和IPv6地址的分配。

3.4 对客户端实施升级

针对企业内众多的联网计算机，采用由点到面的方式推进IPv6的升级工作，用户依然以原有的方式访问IPv4资源，同时可以通过隧道技术访问部分IPv6资源。经过此阶段的改造建设，企业基础网络终端实现了对IPv4/IPv6双协议栈的全面支持。如果ISP还未全面支持IPv6，则需要建立IPv4隧道，将IPv6的数据报通过封装、隧道传输和拆封3个流程来实现对IPv6资源的访问。

3.5 对服务器实施IPv6升级改造

服务器的IPv6升级依然采用双栈模式，推进方式按照客户端升级的方式，可按照服务器的重要程度等级进行分类，按由低到高的顺序进行先测试后逐步推广升级。

3.6 对DNS服务器实施IPv6改造

DNS服务器的升级采用双栈模式，建议重新建立一套测试DNS系统供IPv6升级测试使用，改造主要包括在DNS服务器内增加一条域名所对应的AAAA记录，确保其能接收来自IPv4/IPv6的DNS访问请求。原DNS系统作为备用，测试无误后再将测试DNS转正。按RFC规定，双栈主机访问DNS时，优先使用IPv6访问IPv6的DNS服务器，且IPv6的DNS服务器响应中必须包括AAAA地址（即域名和IPv6地址的对应关系）。如果没有AAAA地址，则再使用Ipv4请求Ipv4的DNS服务器。

3.7 对应用系统实施IPv6改造

对于新建的应用系统，应提前考虑IPv6需求，推荐应用双栈技术、隧道技术，支持在IPv4与IPv6的网络环境中信息传输，实现最佳改造。对于已经上线的应用系统，首先应评估其IPv6的改造工作量，有些系统重建的工作量比IPv6改造的工作量要小，有些应用系统推荐采用地址转换技术，对现有网络配置改动小，投资成本较低，可支持后期逐渐演进到纯IPv6环境。应用系统的IPv6改造一般被放在最后来完成，因为需要考虑的因素多、准备的环节复杂，包括针对业务代码、数据库、中间件、开发语言等环节的IPv6测试与试用。

当关键应用系统、联网终端、网络设备都支持IPv6后，可以规划实施关闭基于IPv4的网络或协议栈，通过在IPv4与IPv6的网络之间部署NAT64（过渡网关）来实现IPv6节点对IPv4资源的访问与信息传递。

在业务连续性方面，推进IPv6应用系统部署的设计中，应进行长期规划，按照“机房备份+异地灾备”的策略进行建设，实现双栈接入后业务连续不间断;在安全防护方面，应提前准备转向资金用于安全设备升级换代，建立升级的网络安全防护体系，有效应对信息系统中基于IPv6协议的网络攻击（RHO攻击、分片攻击、洪水攻击等）。

4 过渡技术浅析

在网络改造期间，IPv4和IPv6共存于一个网络环境中，此共存过渡时期会产生所谓海洋和孤岛，即采用两种不同协议的网络并存，其中采用一种协议的网络需要穿越采用另外一种协议的网络进行通信或两种不同的网络间相互通信[2]。双栈、隧道和翻译3种过渡技术各有特点，相互辅助配合，共同实现过渡期间的信息交互。

（1）双协议栈技术是在网络节点上采用集成方式，同时支持IPv4和IPv6两种协议栈，主要对计算机终端、服务器、路由器等网络通信节点进行配置。支持双协议栈的节点收到数据包时拆开并检测，如果IPv4/IPv6中的第一个字段的版本是4，该报文就由IPv4栈来处理，若是6，该报文就由IPv6栈来处理[3]。该技术易于实现、互联互通性较好，但是双栈节点要同时运行两种协议，对整体网络资源的消耗大、负担重。

（2）隧道技术指在IPv4网络中出现一些采用IPv6协议的网络，这些网络之间有数据通信时需要跨越IPv4网络，将IPv6数据包封装在IPv4数据报中，通过IPv4网络进行传输。因为该技术中隧道具有透明性，在纯IPv6节点间的信息传输中隧道只展现物理通道的作用。

（3）NAT64是一种基于翻译的过渡技术，IPv6数据包通过IPv6网络传送至NAT64双栈路由器中，经过翻译模块将数据包中的目的地址与源地址进行翻译，之后经过SIIT翻译算法转换成IPv4数据包，转发到外部IPv4网络中，从而实现了IPv6终端对IPv4网络资源的单方面访问。

5 结语

IPv4向IPv6的迭代演进是Internet发展的必然趋势，也是中国参与全球互联网技术发展的重要契机，海油企业的网络建设应站在IPv6研究与应用的前沿。基于IPv6的网络建设是一項长期而复杂的工程，随着IPv6网络应用技术的不断发展，海油企业未来部署IPv6网络的难点不在技术领域而在于人，企业内各级领导与员工对IPv6的理解与支持是决定该项跨时代的网络改造项目成败的关键。IPv6时代未来可期，应尽早筹划、顺势而为。

[参考文献]

[1]倪红彪.基于IPv6的下一代网络技术与网络安全[J].信息安全与技术，2013（1）：26-28.

[2]任阳阳.IPv6技术在抗冰防灾中的应用探索[J].贵州电力技术，2014（9）：54-55.

[3]周素青.基于GNS3的IPv6校园网络的组网设计与仿真实现[J].电脑知识与技术，2014（34）：8140-8142.

（编辑 何 琳）