銀行業(yè)IPv6演進(jìn)方案

楊帥

摘要：本文簡(jiǎn)要分析了IPv6對(duì)數(shù)字化建設(shè)的驅(qū)動(dòng)，以銀行業(yè)互聯(lián)網(wǎng)業(yè)務(wù)為例，提出從IPv4到IPv6演進(jìn)的三種方案并做分析研究。

[關(guān)鍵詞]NATIPv6IPv4

1IPv6對(duì)數(shù)字化建設(shè)的驅(qū)動(dòng)

1.1增強(qiáng)互聯(lián)網(wǎng)服務(wù)能力

IPv4面臨地址嚴(yán)重匱乏、服務(wù)質(zhì)量難以保障等制約互聯(lián)網(wǎng)持續(xù)發(fā)展的問(wèn)題，成為構(gòu)建數(shù)字化基礎(chǔ)設(shè)施的短板，IPv6能夠提供充足的地址空間，是下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議，能夠提供更強(qiáng)大的互聯(lián)網(wǎng)服務(wù)能力。同時(shí)，IPv6簡(jiǎn)單的報(bào)文頭部，層次化的編址，大大提高了路由效率，降低了對(duì)于設(shè)備的要求。

1.2促進(jìn)數(shù)字應(yīng)用創(chuàng)新

IPv6能夠提供更廣泛的互聯(lián)網(wǎng)和物聯(lián)網(wǎng)連接，支持移動(dòng)特性，實(shí)現(xiàn)萬(wàn)物互聯(lián)，打造數(shù)字化基礎(chǔ)設(shè)施，促進(jìn)物聯(lián)網(wǎng)、AI等新領(lǐng)域的創(chuàng)新。

1.3提升網(wǎng)絡(luò)安全能力

支持端到端的安全防護(hù)（IPv6協(xié)議定義中包含IPsec標(biāo)準(zhǔn)），同時(shí)，IPv6為解決網(wǎng)絡(luò)安全問(wèn)題提供了新平臺(tái)和新思路（真實(shí)源地址認(rèn)證技術(shù)、根域名服務(wù)器等），不斷完善的網(wǎng)絡(luò)安全保障體系，將為數(shù)字化應(yīng)用提供更安全可信的網(wǎng)絡(luò)空間環(huán)境。

2銀行業(yè)互聯(lián)網(wǎng)業(yè)務(wù)后臺(tái)網(wǎng)絡(luò)架構(gòu)現(xiàn)狀分析

如圖1所示，銀行業(yè)網(wǎng)絡(luò)架構(gòu)對(duì)針對(duì)互聯(lián)網(wǎng)業(yè)務(wù)可抽象為幾個(gè)區(qū)域：Internet接入?yún)^(qū)、DMZ區(qū)、核心交換區(qū)、對(duì)外生產(chǎn)區(qū)及其他區(qū)域。

Internet接入?yún)^(qū)：作為網(wǎng)絡(luò)邊界連接企業(yè)與Internet，部署多個(gè)路由器與運(yùn)營(yíng)商用戶(hù)端設(shè)備相連，實(shí)現(xiàn)內(nèi)外通信，面向公眾提供服務(wù)。

DMZ區(qū)：與其他兩個(gè)區(qū)域通過(guò)防火墻隔離，實(shí)現(xiàn)對(duì)外提供服務(wù)的安全性。內(nèi)部部署交換機(jī)、負(fù)載均衡設(shè)備（F5）、應(yīng)用服務(wù)器集群、Web服務(wù)器集群，所有站點(diǎn)部署DNS承擔(dān)域名解析。

核心交換區(qū)：實(shí)現(xiàn)對(duì)外生產(chǎn)區(qū)、工作區(qū)、安全區(qū)、開(kāi)發(fā)測(cè)試區(qū)的隔離，并提供高速轉(zhuǎn)發(fā)功能。

對(duì)外生產(chǎn)區(qū)：主要提供門(mén)戶(hù)、網(wǎng)銀等業(yè)務(wù)的應(yīng)用處理，部署數(shù)據(jù)庫(kù)服務(wù)器、核心賬務(wù)系統(tǒng)等。

其他區(qū)域（工作區(qū)、安全區(qū)、開(kāi)發(fā)測(cè)試區(qū)）;主要用于企業(yè)內(nèi)部辦公、安全設(shè)備管理、軟件開(kāi)發(fā)測(cè)試等。

用戶(hù)訪問(wèn)銀行Web網(wǎng)站并進(jìn)行網(wǎng)銀等業(yè)務(wù)操作可以分為前端和后端兩個(gè)部分。前端：從Internet接入?yún)^(qū)到DMZ區(qū)中Web服務(wù)器部分。用戶(hù)通過(guò)國(guó)際互聯(lián)網(wǎng)訪問(wèn)Web服務(wù)器，用戶(hù)HTTPS連接和Session在Web層終結(jié)。后端：Web服務(wù)器與對(duì)外生產(chǎn)區(qū)中的各應(yīng)用服務(wù)器建立連接，進(jìn)行相關(guān)應(yīng)用和數(shù)據(jù)訪問(wèn)。3IPv6改造方案

由于銀行機(jī)構(gòu)承載著重要的社會(huì)服務(wù)職能，本著安全穩(wěn)定的原則，應(yīng)遵循兩個(gè)不變：總體架構(gòu)不變、訪問(wèn)流程不變。具體的改造設(shè)計(jì)三個(gè)主要方面：DNS改造、網(wǎng)絡(luò)/安全改造、網(wǎng)站應(yīng)用改造。

3.1方案一：新建IPv6DMZ區(qū)

前端的Internet接入?yún)^(qū)和DMZ區(qū)通過(guò)IPv6對(duì)外提供Web服務(wù)，通過(guò)IPv4和對(duì)外生產(chǎn)區(qū)數(shù)據(jù)拉通。改造后，網(wǎng)絡(luò)架構(gòu)如圖2所示。

新增IPv6Internet接入?yún)^(qū)：接入各運(yùn)營(yíng)商IPv6互聯(lián)網(wǎng)線路。

新增IPv6DMZ區(qū)：DMZ區(qū)的服務(wù)器集群提供IPv6Web服務(wù)。本區(qū)域內(nèi)所有設(shè)備基于IPv6的路由協(xié)議完成互聯(lián)互通。Internet邊界防火墻等安全設(shè)備對(duì)IPv6流量進(jìn)行相關(guān)安全防護(hù)。應(yīng)用服務(wù)器、Web服務(wù)器等通過(guò)IPv6協(xié)議接入到DMZ區(qū)交換機(jī)，通過(guò)IPv4協(xié)議接入到核心交換區(qū)。在所有web站點(diǎn)部署DNSv6，并部署鏈路負(fù)載均衡設(shè)備確保來(lái)回路徑一致。

核心交換區(qū)、對(duì)外生產(chǎn)區(qū)：仍通過(guò)IPv4提供業(yè)務(wù)的應(yīng)用處理。

3.2方案二：新增IPv6服務(wù)器集群

改造升級(jí)前端網(wǎng)絡(luò)支持雙棧，IPv4服務(wù)器集群和新建IPv6服務(wù)器集群復(fù)用一張雙棧網(wǎng)絡(luò)。改造后，網(wǎng)絡(luò)架構(gòu)如圖3所示。

原Internet接入?yún)^(qū)：同時(shí)接入各運(yùn)營(yíng)商IPv4/IPv6Internet線路。

原DMZ區(qū)：新增IPv6服務(wù)器集群，提供IPv6Web服務(wù)。DMZ交換機(jī)等網(wǎng)絡(luò)設(shè)備通過(guò)雙棧方式互聯(lián)互通。Internet邊界防火墻等安全設(shè)備對(duì)IPv4/IPv6流量進(jìn)行相關(guān)安全防護(hù)。應(yīng)用服務(wù)器、Web服務(wù)器通過(guò)雙棧路由協(xié)議接入到DMZ區(qū)交換機(jī)，通過(guò)IPv4協(xié)議接入到核心交換區(qū)。在所有web站點(diǎn)同時(shí)部署DNS及DNSv6，根據(jù)原IP智能解析并返回IPv4或IPv6地址。負(fù)載均衡設(shè)備通過(guò)雙棧網(wǎng)絡(luò)承載相應(yīng)服務(wù)，根據(jù)源IP地址將業(yè)務(wù)轉(zhuǎn)到IPv4/IPv6服務(wù)器池中最優(yōu)的web服務(wù)器。

核心交換區(qū)、對(duì)外生產(chǎn)區(qū)：仍通過(guò)IPv4提供業(yè)務(wù)的應(yīng)用處理。

3.3方案三：原服務(wù)器集群開(kāi)啟雙棧

改造升級(jí)前端網(wǎng)絡(luò)和服務(wù)器集群支持IPv4/IPv6雙棧服務(wù)。改造后，網(wǎng)絡(luò)架構(gòu)如圖4

原Internet接入?yún)^(qū)：同時(shí)接入各運(yùn)營(yíng)商IPv4/IPv6Internet線路

原DMZ區(qū)：DMZ區(qū)的服務(wù)器集群同時(shí)提供IPv4和IPv6服務(wù)。DMZ交換機(jī)等網(wǎng)絡(luò)設(shè)備通過(guò)雙棧方式互聯(lián)互通。Internet邊界防火墻邊界防火墻等安全設(shè)備對(duì)IPv4/IPv6流量進(jìn)行相關(guān)安全防護(hù)。Web服務(wù)器、門(mén)戶(hù)Web服務(wù)器等通過(guò)雙棧路由協(xié)議接入到DMZ區(qū)交換機(jī)，通過(guò)IPv4協(xié)議接入到核心交換區(qū)。在所有Web站點(diǎn)同時(shí)部署DNS及DNSv6，根據(jù)原IP智能解析并返回IPv4或IPv6webIP地址。負(fù)載均衡設(shè)備通過(guò)雙棧網(wǎng)絡(luò)承載相應(yīng)服務(wù)，并作為服務(wù)器的網(wǎng)關(guān)，根據(jù)源IP地址將業(yè)務(wù)轉(zhuǎn)到server池中最優(yōu)的Web服務(wù)器。

核心交換區(qū)、對(duì)外生產(chǎn)區(qū)：仍通過(guò)IPv4提供網(wǎng)絡(luò)、業(yè)務(wù)的處理。

4方案對(duì)比

上述三種改造方案的對(duì)比見(jiàn)表1。

5結(jié)束語(yǔ)

本文探討了IPv6在數(shù)字化建設(shè)領(lǐng)域的優(yōu)勢(shì)，通過(guò)分析銀行業(yè)典型網(wǎng)絡(luò)架構(gòu)，提出三種IPv4到IPv6的演進(jìn)方案，為廣大行業(yè)提供了參考。

參考文獻(xiàn)

[1]王毅，黃愛(ài)明?；贗Pv4和IPv6雙協(xié)議企業(yè)網(wǎng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2011，20（09）：189-192.

[2]新華三集團(tuán)，銀行網(wǎng)銀雙活系統(tǒng)部署實(shí)踐，http：//www.h3c.com/cn/d-201307/790134_30008_0.htm[N]，2013.

[3]許佳偉.基于校園網(wǎng)環(huán)境下IPv6過(guò)渡解決方案的設(shè)計(jì)與實(shí)現(xiàn)[D].華中科技大學(xué)，2011.