基于四六桥双栈协议的IPv6部署与应用
——“邯郸广电网”IPv6的部署与应用

刘登超 杜晓鹏

邯郸新闻传媒中心 河北 邯郸 056002

引言

随着网络在全球的快速发展，基于互联网协议第四版（IPv4）的全球互联网面临前期规划不足、网络地址消耗殆尽、服务质量难以保证等制约性问题。IPv6能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用解决方案[1]。大力发展基于IPv6的下一代互联网，有助于显著提升我国互联网的承载能力和服务水平，更好融入国际互联网，共享全球发展成果，有力支撑经济社会发展，赢得未来发展主动权。

1 项目实施背景

广电总局科技司向各省广电局、总局直属各单位和中央广播电视总台办公厅印发了《广播电视媒体网站IPv6改造实施指南(2018)》(简称《实施指南》)，用于指导各有关单位顺利推进IPv6相关改造工作[2]。

到2018年末，制定IPv6顶层规划，强化重点广播电视媒体网站及应用IPv6服务能力，加快推进全国广播电视媒体网站改造。中央及省级以上广播电视媒体网站系统完成改造，全面支持IPv6访问。新建媒体网站系统、新上业务和应用全面支持IPv6。

到2020年末，全面推进广播电视媒体网站IPv6改造。所有地市级广播电视媒体网站系统完成改造，支持IPv6访问。

到2025年末，所有广播电视媒体网站相关各类系统及应用全面支持IPv6访问。

2 项目实施目标

IPv6改造完成后，保证邯郸广电网主域名（www.hdbs.cn）具备AAAA记录，并能够正确被解析，能通过IPv6协议被成功访问。

网站二级链接支持IPv6相关链接的域名具备AAAA记录，并能够正确被解析，能通过IPv6协议被成功访问。网站二级链接IPv6浓度指在网站能通过IPv6协议成功访问的二级链接占网站总的二级链接的比例（不包含网站外部链接），改造完成后保证二级链接IPv6浓度为100%。

网站三级链接指通过二级链接可点击访问的链接，网站三级链接支持IPv6指相关链接的域名具备AAAA记录，并能够正确被解析，能通过IPv6协议被成功访问。网站三级链接IPv6浓度指在网站能通过IPv6协议访问成功的三级链接占网站总的三级链接的比例（不包含网站外部链接），改造完成后保证三级链接IPv6浓度为100%。

3 网站及应用系统现状及需求分析

“邯郸广电网”建设于2017年，将传统广播电视与新媒体充分有效结合，依托邯郸联通云机房，采用“新闻+政务+服务”模式，打造全媒体“中央厨房”——“邯郸广电网”，实现了政务办事、新闻资讯、生活服务三大功能于一体。但由于当时的云系统，没有IPv6 的要求，该网站的全部服务和系统后台都运行在IPv4环境下，如果现在更改运行环境，意味着全部系统的淘汰与重新部署，不仅投资巨大，对于目前的资源也是一种巨大的浪费。

需要进行IPv6优化的域名有8个：http://www.hdbs.cn（主域名）、http://logs.hd.hdbs.cn（日志域名）、http://img.hd.hdbs.cn（图片域名）、http://live.hd.hdbs.cn（直播域名）、http://video.hd.hdbs.cn（视频域名）、http://res.hd.hdbs.cn（框架域名）、http://m.api.hd.hdbs.cn（接口域名）、http://m.hdbs.cn（手机站域名）。

4 邯郸广电网IPv6改造案例

网站若想完成IPv4/IPv6双协议栈的彻底改造将是一个长期而复杂的过程，因为双栈化彻底改造包括整个网站网络、应用系统以及支撑系统三部分改造内容，而工作量更大的部分是整个网站业务应用逻辑必须进行全部代码的重新梳理。面临改造周期长，投资大，风险高等问题。

针对IPv6部署情况，考虑以“资本集约化、风险可控化、业务平稳化”实现由IPv4向IPv6过渡；根据相关政策要求及技术对比，结合现状，采用了本地部署同时具备网络层和应用层转换能力的IPv6转换平台进行升级改造。

4.1 方案规划

根据网站及应用系统现状，结合国家政策等要求，推荐IPv6升级项目采用IPv6转换平台方式，如下部署模型：

图1 邯郸广电网IPv6四六桥转换系统拓扑图

该方案只需在网站和应用系统的授权DNS服务器上，为对应域名增加相应的AAAA记录，AAAA记录对应的IPv6地址部署在转换平台上，原网站和应用系统的网络部署和程序架构都不需要做任何修改。

当IPv6用户访问通过网站和应用系统时，客户端首先向DNS查询网站和应用系统所对应的IP地址，用户从网站授权DNS上获得相应的网站记录对应的IPv6地址。IPv6用户向解析回来的IPv6地址发出访问请求，该请求被路由到四六桥平台上，平台将IPv6访问请求转换为IPv4访问请求，并通过原有的IPv4安全体系规则过滤，到达内部应用系统。并把同步过来的信息直接反馈给用户，从而帮助网站和应用系统满足IPv6用户的访问需求，实现网站及应用双栈化的目的[3]。

IPv6转换服务平台同时支持网络层和应用层的协议转换，解决了其他转换产品只在网络层转换带来的外链和复杂应用无法访问的（“天窗”）问题，用户可以自行适配协议转换规则，可以支持所有原IPv4网站的业务。

5 邯郸广电网IPv6改造方案的优势和效果

5.1 方案优势

优点1：原IPv4网站不需要改造，不影响原有业务正常运行，快速实现IPv6 连接访，实现IPv6平稳升级，避免开发成本的浪费。

优点2：解决了其他转换产品只在网络层转换带来的外链和复杂应用无法访问的（“天窗”）问题。四六桥在网络层和应用层实现的转换，有效解决网站外部链接导致的内容缺失问题，满足工信部和网信办对IPv6改造浓度的要求。

优点3：不需要重新部署IPv6网络环境，不需要开通IPv6专线，综合费用低。

5.2 方案效果

5.2.1 IPv4/IPv6无缝对接。专用IPv6转换设备，融合应用层协议转换和网络层转换技术，同时从应用层和网络层对IPv4/IPv6协议进行转换，有效解决单网络层翻译技术普遍存在的内容缺失（天窗）问题，可以保证与原网站的内容一致性。同时能作为内容分发系统，提供网站加速和一定的安全防护，并可提供互联网综合业务服务，有效保护用户前期的软硬件投资，网站和应用无须更改现有系统结构和软硬件设施，实现IPv4与IPv6网络的无缝对接。

5.2.2 支持横向和纵向扩展。可有效解决多用户的高并发请求，并确保系统能安全稳定运行。

可根据业务的需要，灵活增加节点，在不影响现有业务的情况下，提升系统的处理能力。

5.2.3 支持高性能数据处理。能够有效解决协议转换对大规模数据处理的性能需求。可根据设备的硬件配置和需要，配置多个处理进程，以提升系统的数据吞吐能力。具有高效、稳定、可靠、可扩展等优点。

5.3 平台辅助模块的部署

5.3.1 安全模块。IPv6转换服务平台仅进行协议转换，实现原理上相当于一个管道，平台本身无开启端口，故IPv6转换服务平台无法成为攻击目标。并且，IPv6转换服务平台具有简单防火墙功能，启用不同的处理模块进行深度分析，区别恶意攻击数据和私有数据，同时限制恶意客户端访问的时间间隔和并发连接数，为后端门户网站、业务系统和App提供一定的网络安全防护，可以抵御局部CC网络攻击。

在域名安全方面，用户按照A记录的设置方法，使用固定域名解析技术添加同域名的AAAA记录，完成IPv6域名指向设置。不需要额外设置其他域名，特别是不需要设置有安全隐患的泛解析域名。

客户端经由IPv6协议发起http的请求到达IPv6转换服务平台，根据配置定义，经安全模块进行初步处理后，对请求地址进行解析，获取目标URL（统一资源定位符）。

经DNS解析后找到对应IPv4服务器的地址，网络转换层通过NAT技术处理内部链接，应用转换层使用通用ALG技术的转换规则并行处理外部链接。所有转换完毕后，最终数据返回客户端。

5.3.2 内容加速模块。内容加速模块在IPv6地址转换平台的基础上增加高速存储技术，实现智能数据压缩、缓存和负载分担，主要侧重点是缓存图片、视频等静态数据，提升数据响应速度，给用户更好的体验。对于业务应用系统或网站应用，通过对一些静态数据、视频或图片等元素的缓存，当有客户端再次访问这些数据时，不需再去原IPv4网站读取数据，可直接把缓存数据返回给终端，从而大大减轻源网站的业务压力。

6 平台功能汇总

表1 IPv6监测平台深度检测报告

7 结束语

对网站正常运行所需的8个子域名进行IPv6的解析工作，截至目前邯郸广电网的IPv6改造工作全部完成，所有链接均可在IPv6环境下打开，且IPv6的转换浓度为100%。

邯郸广电网IPv6改造工作的完成，为邯郸新闻传媒中心的融媒体发展奠定了坚实的第一步。我们要坚实走好融媒建设的每一步，加快推进我中心媒体深度融合、事业转型发展，开拓融媒建设新时代。