根据国资委《关于做好互联网协议第六版(IPv6)部署应用有关工作的通知》和中国长江三峡集团有限公司(以下简称“三峡集团”)信息化建设要求,三峡集团需在2019年完成集团所属互联网站系统IPv6改造工作。
为顺利完成互联网站系统IPv6改造,三峡集团主要通过NAT64转换技术和逐步试点实现对外网站提供IPv6服务,同时将IPv6应用、网络、主机逐步迁移至纯IPv6网络中进行验证测试,为IPv6大规模部署积累经验。
改造过程中,需要向运营商申请IPv6地址、增加DNSv6服务、部署NAT64设备以及IPv6出口安全设备,从而实现IPv6主机通过IPv6网络安全访问企业web服务器的目的。
1.1背景
三峡集团互联网站系统采用中科汇联的easySite内容管理系统进行搭建,为了实现对外提供安全、稳定的网站IPv6服务,本次改造的主要内容包括网络改造、系统代码升级、系统部署、测试检验等工作。
1.2目标
通过对网络基础设施IPv6升级改造、网站系统IPv6软件升级,实现整个网络系统IPv6互联互通、网站系统IPv6应用可达、应用系统安全、稳定和高可用的目的。
2.做法与经验
2.1IPv6生产环境系统部署
根据系统IPv6改造需求,结合三峡集团网络系统设计及产品选型的标准,按照性能可靠、配置灵活、适应未来发展需要等原则,采用了星型结构、千兆以太网为主干的设计方案,该方案采用第三层交换式万兆以太网技术(Layer-3Switching)、虚网技术(VLAN)构建交换式高速网络平台。网络逻辑拓扑图如下:
改造前后的网络逻辑拓扑图
改造完成后,整体网络为双模方式,分为IPv4网络区域和IPv6网络区域,保持原有IPv4网络区域的网络架构和应用不变,建立新的IPv6试点网络区域,两个区域之间通过NAT64转换设备实现网络互通互访。
互联网站应用系统原来部署在IPv4网络区域,升级后调整至IPv6网络区域。
2.1.1新增IPv6出口链路
通过申请专线方式接入运营商IPv6网络,实现三峡集团网络IPv6互联网出口,为应用系统提供IPv6链路资源。
2.1.2升级DNS服务器支持IPv6
对现有DNS服务器进行IPv6升级改造,并对已注册的域名增加一条AAAA记录,满足在IPv6、IPv4环境下分别对不同类型记录的域名解析请求响应。
2.1.3部署NAT64转换设备
利用NAT64地址转换技术实现IPv6网络到IPv4网络的转换,满足IPv6地址访问请求。对NAT64设备与IPv6、IPv4网络互连的接口分别配置IPv6、IPv4地址,当目的IPv6地址匹配前缀时,数据正常转发并转换为IPv4地址。
2.1.4内网IPv6试点区域网络搭建
如拓扑图中IPv6区域所示,在试点区域配置IPv6交换机等网络设备,为新建IPv6试点区域提供IPv6网络环境,提供IPv6应用接入和终端接入,为全面IPv6升级做技术储备。
2.1.5试点终端访问互联网
企业IPv6公网链路部署并获取IPv6地址后,为IPv6终端分配IPv6地址,并将DNS设置为DNSv6服务器地址。IPv6终端通过DNSv6服务器获取需访问域名对应的IPv6地址,然后通过IPv6试点区域中网络设备转发至公网,完成终端对IPv6互联网资源的访问。
已有IPv4终端若需要访问IPv6互联网资源,可将其接入交换机(二层)与IPv6区域汇聚交换机互联,并在终端上配置IPv6地址,将终端IPv6网关设置为IPv6汇聚交换机地址完成内部互联,再为其配置DNSv6服务器地址实现访问IPv6互联网的需求。
2.1.6IPv6出口安全
升级到IPv6网络后,在IPv6网络与运营商链路互联的边界位置需要安全访问控制、防病毒、防攻击等安全防护措施,作为隔离企业内外网,进行访问控制的安全节点。
2.2互联网站系统改造
2.2.1代码改造
easySite产品在IPv6适配性改造中,针对代码和数据库两方面进行了升级。代码层针对IPv6的识别、理解、应用三个方面进行改造,数据库针对IPv6地址的存储进行改造,包括用户接入模块、系统管理、采编发模块、日志模块、留言板等模块及表的改造,使系统能够全面满足IPv6环境的部署要求。
2.2.2系统部署配置调整
为保障网站访问不中断,前期系统部署在原IPv4网络区域的生产环境中,采用NAT64设备,实现IPv6到IPv4的转换,后期在IPv6试点区域重新进行系统部署,增加了IPv6监听,为管理网站提供IPv6访问接口,另一方面在Apacheweb服务器配置IPv6地址,为网站提供IPv6访问。
3.成效与亮点
通过IPv6的升级改造,实现了三峡集团所属的25个网站IPv6可达,网站应用系统安全、稳定运行。