省級(jí)新聞媒體網(wǎng)站IPv6升級(jí)建設(shè)思路

■ 文/河北廣播電視臺(tái)：夏李良 王曉棟 董鵬程 馬春娟

IPv6即互聯(lián)網(wǎng)協(xié)議第六版作為網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的基礎(chǔ)支持、網(wǎng)絡(luò)技術(shù)演進(jìn)的重要方向、是互聯(lián)網(wǎng)今后發(fā)展的必然趨勢(shì)。中共中央辦公廳、國(guó)務(wù)院辦公廳在2017年發(fā)布了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，以習(xí)近平同志為核心的黨中央將該計(jì)劃作為推進(jìn)IPv6規(guī)模部署的行動(dòng)指南。幾年來(lái)在各地區(qū)、各部門(mén)共同努力下，我國(guó)電信運(yùn)營(yíng)商推動(dòng)IPv6規(guī)模部署取得顯著進(jìn)展，根據(jù)國(guó)家IPv6發(fā)展監(jiān)測(cè)平臺(tái)的統(tǒng)計(jì)數(shù)據(jù)顯示，目前我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施向IPv6的改造已全面完成，政務(wù)網(wǎng)、政府網(wǎng)、中央企業(yè)、中央媒體網(wǎng)站和各大門(mén)戶(hù)網(wǎng)站在IPv6升級(jí)改造方面均已完成，2022年上半年IPv6互聯(lián)網(wǎng)活躍用戶(hù)數(shù)相較2019年上半年已增長(zhǎng)了287%（數(shù)據(jù)對(duì)比如圖1所示），截至2022年1月份，我國(guó)IPv6活躍用戶(hù)數(shù)達(dá)6.44億人，用戶(hù)占比達(dá)63.71%?！笆奈濉睍r(shí)期將是網(wǎng)絡(luò)數(shù)字化加快發(fā)展、建設(shè)數(shù)字中國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)的重要戰(zhàn)略機(jī)遇期，我國(guó)IPv6發(fā)展處于跨越拐點(diǎn)、攻堅(jiān)克難的關(guān)鍵階段，即面臨巨大的發(fā)展機(jī)遇又存在諸多風(fēng)險(xiǎn)挑戰(zhàn)。對(duì)省級(jí)重要新聞媒體網(wǎng)站和新聞客戶(hù)端來(lái)說(shuō)，應(yīng)該盡快采取技術(shù)手段對(duì)系統(tǒng)進(jìn)行IPv6升級(jí)，加以改造，更好地滿(mǎn)足當(dāng)前及未來(lái)IPv6技術(shù)對(duì)于新聞媒體行業(yè)的各種需求以及應(yīng)用場(chǎng)景。

圖1：我國(guó)2019至2022年（半年）IPv6互聯(lián)網(wǎng)活躍用戶(hù)數(shù)據(jù)

1.省級(jí)媒體行業(yè)的IPv6規(guī)?；渴瓞F(xiàn)狀

自2012年開(kāi)始，我國(guó)電信運(yùn)營(yíng)商已經(jīng)無(wú)法再獲得成組的IPv4地址，IPv4地址池中地址已顯現(xiàn)匱乏之勢(shì)。近年來(lái)，新興信息網(wǎng)絡(luò)技術(shù)持續(xù)高速發(fā)展，如云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等對(duì)IP地址的需求量呈井噴式增長(zhǎng)，然而電信運(yùn)營(yíng)商所持有的IPv4地址已基本消耗殆盡，為了應(yīng)對(duì)IPv4地址匱乏的困境，不得不大量采取地址轉(zhuǎn)換技術(shù)（NAT）。目前IPv4地址資源短缺已經(jīng)成為制約我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵因素之一，為了應(yīng)對(duì)IPv4地址短缺的危機(jī)，其根本性解決方案就是大規(guī)模部署IPv6，全面推進(jìn)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施及應(yīng)用向IPv6升級(jí)演進(jìn)。我國(guó)已于2017年進(jìn)行了IPv6的工作部署，但當(dāng)時(shí)由于過(guò)渡到IPv6的關(guān)鍵因素尚不成熟，導(dǎo)致2017年至2019年期間全國(guó)整體IPv6網(wǎng)絡(luò)流量不大，在很多民生領(lǐng)域中尚未達(dá)到全覆蓋。但是對(duì)于新聞媒體行業(yè)來(lái)說(shuō)，該行業(yè)的特色是內(nèi)容的生產(chǎn)以及視聽(tīng)服務(wù)這兩大方面，同時(shí)這兩方面對(duì)于增加IPv6用戶(hù)數(shù)量以及促進(jìn)網(wǎng)絡(luò)流量發(fā)揮較為重要作用。

根據(jù)國(guó)家IPv6發(fā)展監(jiān)測(cè)平臺(tái)統(tǒng)計(jì)數(shù)據(jù)顯示，網(wǎng)站應(yīng)用IPv6支持率層面：中央部委、省級(jí)政府門(mén)戶(hù)網(wǎng)站達(dá)92.04%；中央企業(yè)門(mén)戶(hù)網(wǎng)站達(dá)90.38%；中央重點(diǎn)新聞媒體網(wǎng)站達(dá)100%；金融央企門(mén)戶(hù)網(wǎng)站達(dá)95.65%；但TOP100互聯(lián)網(wǎng)網(wǎng)站的支持率僅為63.04%。其中省級(jí)新聞媒體網(wǎng)站的IPv6訪問(wèn)支持率還不容樂(lè)觀。綜合來(lái)看，現(xiàn)階段的IPv6還不能完全滿(mǎn)足上網(wǎng)需求，與IPv4的體驗(yàn)仍然有不小的差距，尤其是實(shí)際使用流量方面，無(wú)論是城域網(wǎng)、移動(dòng)核心網(wǎng)還是骨干直聯(lián)點(diǎn)的流量占比仍然較低。在用戶(hù)使用較多的APP應(yīng)用中，仍有較大比例不支持IPv6，也極大限制了用戶(hù)端IPv6的使用意愿。

2.升級(jí)建設(shè)路線選擇

系統(tǒng)升級(jí)過(guò)程中應(yīng)優(yōu)先瞄準(zhǔn)IPv6單棧目標(biāo)，數(shù)據(jù)中心建議采用新建IPv6資源池進(jìn)行改造，具備條件的應(yīng)用優(yōu)先采用IPv6單棧方案，IDN及CDN網(wǎng)絡(luò)優(yōu)先采用IPv6技術(shù)，網(wǎng)站和客戶(hù)端采用IPv4/IPv6雙棧方案，跟隨網(wǎng)民及客戶(hù)端應(yīng)用的改造逐步向IPv6單棧演進(jìn)。

IPv6網(wǎng)絡(luò)接入技術(shù)的選型需要綜合考慮，現(xiàn)有較成熟的技術(shù)方案主要有以下三種：

2.1 雙協(xié)議棧技術(shù)（Dual Stack）。

雙協(xié)議棧是指在終端設(shè)備或網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)安裝IPv4和IPv6的協(xié)議棧，這樣就實(shí)現(xiàn)了同時(shí)與IPv4或IPv6的網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)通信，雙棧與傳統(tǒng)單棧的協(xié)議傳輸對(duì)比如圖2所示。

雙協(xié)議棧技術(shù)是IPv4向IPv6過(guò)渡的一種有效為有效的技術(shù)。雙協(xié)議棧具有多種應(yīng)用支持和多種鏈路協(xié)議支持的特點(diǎn)，多種鏈路協(xié)議（如以太網(wǎng)）支持雙協(xié)議棧、多種應(yīng)用（如HTTP、HTTPS、DNS、FTP等）支持雙協(xié)議棧，上層應(yīng)用可選用TCP或UDP作為傳輸協(xié)議，并且在多數(shù)系統(tǒng)中會(huì)優(yōu)先選擇IPv6協(xié)議棧作為網(wǎng)絡(luò)層協(xié)議。

圖2：?jiǎn)螚Ｅc雙棧傳協(xié)議輸對(duì)比

該種方案是網(wǎng)站進(jìn)行IPv6升級(jí)改造建設(shè)中升級(jí)最為徹底的一種技術(shù)，各協(xié)議棧用戶(hù)之間互通效果較好。但這種方案對(duì)站點(diǎn)運(yùn)維技術(shù)要求較高，將會(huì)涉及到網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的升級(jí)，可能存在項(xiàng)目投資較大且改造周期較長(zhǎng)的弊端，復(fù)雜度較高的系統(tǒng)需要進(jìn)行長(zhǎng)期的技術(shù)演進(jìn)，對(duì)于于架構(gòu)和業(yè)務(wù)相對(duì)簡(jiǎn)單的網(wǎng)站則可在短期內(nèi)完成改造。

2.2 隧道技術(shù)（Tunnel）。

隧道技術(shù)是指將一種網(wǎng)絡(luò)協(xié)議封裝到另外一種網(wǎng)絡(luò)協(xié)議中的技術(shù)。該技術(shù)用于實(shí)現(xiàn)分布于IPv4網(wǎng)絡(luò)中孤立的IPv6網(wǎng)絡(luò)之間的互連，或者分布在IPv6網(wǎng)絡(luò)中的IPv4島嶼互連，如圖3所示。隧道技術(shù)只需要邊界節(jié)點(diǎn)實(shí)現(xiàn)雙棧，并通過(guò)隧道將一個(gè)地址族的數(shù)據(jù)穿越另一種地址族網(wǎng)絡(luò)。隧道技術(shù)有很多種，常見(jiàn)的有：GRE隧道、6to4隧道、ISATAP隧道、SPACE6、L2TP隧道等。

圖3：隧道技術(shù)應(yīng)用示意圖

該技術(shù)的優(yōu)勢(shì)是現(xiàn)有網(wǎng)站系統(tǒng)不需要大范圍調(diào)整，適合快速部署，只需要增加部署一臺(tái)IPv6隧道服務(wù)器即可。不足之處是有些隧道技術(shù)需要在用戶(hù)端安裝相對(duì)應(yīng)的IPv6隧道軟件，普適性和便捷性都存在局限性，并且無(wú)法很好的解決“天窗”問(wèn)題。該技術(shù)主要適用于C/S架構(gòu)的應(yīng)用環(huán)境，或者是在用戶(hù)可以安裝終端應(yīng)用組件的場(chǎng)景，不適宜大規(guī)模部署。

2.3 轉(zhuǎn)換技術(shù)（Translation）。

轉(zhuǎn)換技術(shù)又稱(chēng)地址翻譯技術(shù)，是在IPv6終端用戶(hù)和IPv4網(wǎng)站之間，通過(guò)部署一套協(xié)議轉(zhuǎn)換設(shè)備，協(xié)議轉(zhuǎn)換設(shè)備將IPv6/IPv4之間地址和端口建立映射關(guān)系，從而實(shí)現(xiàn)對(duì)用戶(hù)透明的IPv6和IPv4互訪。該技術(shù)由SIIT技術(shù)和動(dòng)態(tài)地址轉(zhuǎn)換（NAT）技術(shù)結(jié)合和演進(jìn)而來(lái)，SIIT提供IPv4和IPv6之間的一對(duì)一的映射轉(zhuǎn)換，NAT-PT支持在SIT基礎(chǔ)上實(shí)現(xiàn)多對(duì)一或多對(duì)多的地址轉(zhuǎn)換。翻譯技術(shù)的典型案例有IVI技術(shù)和NAT64技術(shù)，其中IVI技術(shù)是我國(guó)研發(fā)的具有自主知識(shí)產(chǎn)權(quán)的一種翻譯技術(shù)，利用翻譯技術(shù)進(jìn)行改造的示意圖如圖4所示。

圖4：利用翻譯設(shè)備進(jìn)行IPv6升級(jí)改方案圖

該技術(shù)部署靈活，與系統(tǒng)物理位置無(wú)關(guān)，網(wǎng)站只需要在DNS上增加配置相應(yīng)的AAAA解析記錄即可。此外，還能夠解決網(wǎng)站中由于引入外鏈等因素導(dǎo)致的“天窗”問(wèn)題，相較其它技術(shù)具有更好的用戶(hù)體驗(yàn)感。

系統(tǒng)升級(jí)方案應(yīng)根據(jù)網(wǎng)站的規(guī)模、類(lèi)型和自身特點(diǎn)，采用適合自身的IPv6升級(jí)改造策略。實(shí)際操作中應(yīng)綜合考慮網(wǎng)站規(guī)模、網(wǎng)站流量、技術(shù)支持、資金實(shí)力等因素。中小型網(wǎng)站日瀏覽量小于100萬(wàn)次量級(jí)，技術(shù)系統(tǒng)架構(gòu)簡(jiǎn)單，技術(shù)維護(hù)相對(duì)容易，可采用一步到位升級(jí)雙棧架構(gòu)；中大型網(wǎng)站日瀏覽量超過(guò)500萬(wàn)次量級(jí)，技術(shù)系統(tǒng)龐大架構(gòu)復(fù)雜，在資金有限的情況下可以考慮采取“兩步走”策略，先期采用翻譯技術(shù)，兼顧較老的系統(tǒng)且部署相對(duì)簡(jiǎn)單，同時(shí)新建項(xiàng)目采用雙棧架構(gòu)。

3.可能存在的風(fēng)險(xiǎn)與應(yīng)對(duì)措施

IPv6規(guī)?；渴鹬螅刂房臻g巨大，理論上不會(huì)再有地址短缺困境，IPv6終端之間可以直接建立點(diǎn)到點(diǎn)的連接，無(wú)需地址轉(zhuǎn)換。但I(xiàn)Pv6作為網(wǎng)絡(luò)層協(xié)議，并非絕對(duì)安全，仍然存在其他功能層所引發(fā)的攻擊，其中部分IPv4存在的安全風(fēng)險(xiǎn)仍然被沿襲。在IPv4和IPv6并存的雙棧配置過(guò)渡期內(nèi)也可能存在潛在的安全風(fēng)險(xiǎn)：

1）雙棧過(guò)渡期間，系統(tǒng)同時(shí)運(yùn)行IPv4、IPv6兩個(gè)邏輯網(wǎng)絡(luò)，系統(tǒng)和設(shè)備的暴露面是原有的兩倍，這也意味著安全網(wǎng)關(guān)、入侵防御等網(wǎng)絡(luò)安全防護(hù)設(shè)備需同步配置雙棧策略，形成策略管理復(fù)雜度加倍的局面，防護(hù)被穿透的機(jī)會(huì)加倍。

2）雙棧過(guò)渡期間，IPv4/IPv6雙協(xié)議棧會(huì)影響網(wǎng)絡(luò)節(jié)點(diǎn)的處理性能，增加系統(tǒng)內(nèi)各網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)處理轉(zhuǎn)發(fā)負(fù)擔(dān)和協(xié)議處理復(fù)雜度，網(wǎng)絡(luò)節(jié)點(diǎn)的故障率風(fēng)險(xiǎn)相應(yīng)增加。

3）IPv6協(xié)議特有漏洞。有關(guān)IPv6的安全漏洞在逐漸被爆出，雖然可被利用的漏洞數(shù)量還不算多，但仍然值得密切關(guān)注。應(yīng)對(duì)與防范措施思路如下：

一是建立健全網(wǎng)站IPv6網(wǎng)絡(luò)安全制度。網(wǎng)站主體要積極響應(yīng)兩辦在“行動(dòng)計(jì)劃”中提出的“兩并舉三同步”原則，即發(fā)展與安全并舉，同步推進(jìn)網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行。規(guī)范IPv6網(wǎng)絡(luò)安全管理，亦需要制度先行，要在行業(yè)內(nèi)建立信息共享機(jī)制，做好安全保護(hù)規(guī)劃。建立健全過(guò)渡期內(nèi)的監(jiān)測(cè)預(yù)警制度、網(wǎng)絡(luò)安全事件應(yīng)急處置制度等。

二是加大資金支持力度，提升網(wǎng)絡(luò)安全整體防護(hù)能力。2022年初國(guó)務(wù)院印發(fā)了《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》，規(guī)劃中明確指出要突破制約數(shù)字經(jīng)濟(jì)發(fā)展的短板與瓶頸，加大對(duì)數(shù)字經(jīng)濟(jì)中薄弱環(huán)節(jié)的投入，建立推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的長(zhǎng)效機(jī)制。媒體行業(yè)也應(yīng)力爭(zhēng)在“十四五”期間拓展多元投融資渠道，加大對(duì)數(shù)字產(chǎn)業(yè)升級(jí)的支持力度。

三是引進(jìn)外部技術(shù)力量，構(gòu)建私有云+公有云的整體防護(hù)體系。在規(guī)?；渴鸪跗?，可采用購(gòu)買(mǎi)安全服務(wù)的方式化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，借助阿里云、騰訊云等的云防護(hù)能力，提升網(wǎng)站自身的安全實(shí)力。

四是不斷提升自身技術(shù)隊(duì)伍的網(wǎng)絡(luò)安全防護(hù)實(shí)力水平。重視本系統(tǒng)網(wǎng)絡(luò)安全人才隊(duì)伍的培養(yǎng)，務(wù)必組建起自己的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍。重點(diǎn)選拔培養(yǎng)網(wǎng)絡(luò)安全標(biāo)兵，以點(diǎn)帶面地推動(dòng)各項(xiàng)網(wǎng)絡(luò)安全工作，逐步補(bǔ)齊網(wǎng)絡(luò)安全人才缺口。

4.結(jié)束語(yǔ)

隨著國(guó)家IPv6規(guī)模部署的持續(xù)推進(jìn)，IPv6和IPv4用戶(hù)數(shù)和流量對(duì)比將會(huì)迎來(lái)拐點(diǎn)，運(yùn)營(yíng)商移動(dòng)網(wǎng)絡(luò)IPv6流量占比預(yù)計(jì)在2023年將達(dá)到50%，IPv6將取代IPv4成為主流，因此網(wǎng)站數(shù)據(jù)中心要進(jìn)行端到端IPv6改造。在數(shù)據(jù)中心向IPv6改造的過(guò)程中，需要遵循“網(wǎng)絡(luò)先行，安全同步改造”、“目標(biāo)IPv6單棧，兼容IPv4”、“高可用性，平滑演進(jìn)”這三大原則。具體實(shí)施路徑采用分階段建設(shè)方案，先由純IPv4網(wǎng)絡(luò)過(guò)度到IPv6網(wǎng)絡(luò)可達(dá)，即通過(guò)轉(zhuǎn)換技術(shù)實(shí)現(xiàn)IPv4/IPv6協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)IPv6的網(wǎng)絡(luò)訪問(wèn)可達(dá)，后期建設(shè)采用IPv4/IPv6雙棧網(wǎng)絡(luò)架構(gòu)，雙棧架構(gòu)過(guò)渡期將會(huì)持續(xù)有較長(zhǎng)時(shí)間，終極目標(biāo)是最終實(shí)現(xiàn)淘汰IPv4網(wǎng)絡(luò)過(guò)度為純IPv6網(wǎng)絡(luò)環(huán)境。建設(shè)方案主要涉及數(shù)據(jù)中心、網(wǎng)站、客戶(hù)端、支撐系統(tǒng)、運(yùn)維管理系統(tǒng)五個(gè)方面，整體遵循統(tǒng)一規(guī)劃、因地制宜、分步實(shí)施、安全穩(wěn)妥的原則，基礎(chǔ)設(shè)施先行，終端和應(yīng)用逐步改造。