2019年1月,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布的《关于金融行业贯彻〈推进互联网协议第六版(IPv6)规模部署行动计划〉的实施意见》,提出初期试点、规模推广、持续建设三步走改造战略,指导金融行业IPv6规模部署工作稳步有序推进。IPv6改造是落实网络强国战略的重要组成部分,中国建设银行(以下简称“建行”)领导高度重视,成立专项工作推进组、落实资金和人才资源,在多部门协同下,超额完成监管要求。截至2020年底,不仅完成所有面向公众服务的互联网应用系统改造,非面向公众服务系统IPv6改造也全部完成,改造系统数量和域名规模位居金融行业前列。
1.2目标
IPv6改造不仅仅是网络协议的改变,而是涉及整体IT架构的重建,建行从基础架构、平台服务、应用系统、安全管控、统一运维五个维度统筹规划,推进IPv6改造,整体IT架构改造示意图如图1所示。
图1IPv6改造架构图
IPv6改造按照专项事项推进,改造目标如下:
2、完成基础架构改造,基础设施是IPv6改造的先行条件,需要优先完成改造,满足平台、应用等IPv6接入要求。
3、完成平台服务改造,完成云计算、大数据、人工智能等平台级服务改造,满足IPv6资源供给及服务调用。
5、完成统一运维改造,完成商业技术栈云管理平台和互联网技术栈云管理平台改造,满足商业技术栈系统、互联网技术栈租户的IPv6业务需求,提高互联网服务能力,增强客户粘性。
二、做法与经验
2.1选择双栈改造技术,基础设施一步到位
常用的IPv6改造技术有三种:双栈技术、隧道技术和翻译转换,为了更好地支持后续IPv6业务价值的发掘和利用,根据改造原则及策略,建行确定使用IPv6/IPv4双栈技术方案。IT基础设施所有软硬件设备均改造为双栈设备,同时处理IPv4和IPv6业务数据。
2.2制定合理的改造原则及策略,控制安全风险
IPv6改造遵循的原则:保障业务质量、确保过渡安全、选择通用技术、控制改造成本。
2.3统筹安排,推进IPv6整体规划设计
2.4总结经验,形成应用IPv6改造参考规范
为持续推进后期应用系统IPv6的改造,支持应用系统IPv4和IPv6的双栈运行能力,总结互联网系统改造经验,形成统一开发指导规范。
2.5投产管控,支持IPv6业务灰度发布
为有效控制IPv6投产风险,缩小故障影响范围,建行采用技术和计划两种手段进行安全管控,技术上通过智能DNS调优调度策略,针对重要系统、重要域名采用分地域、分省市、分运营商的灰度发布策略,计划上遵循测试、试点、推广三步走实现应用系统IPv6服务平滑释放。
2.6数据挖掘,发挥智能探针分析能力
建行通过智能探针针对互联网流量,通过域名、运营商、客户端类型等不同维度,持续统计分析监控,实时掌握互联网IPv6/IPv4流量占比和变化趋势,为后续其他应用部署提供流量模型和性能容量管理依据。
2.7提升客户体验,CDN服务支持IPv6
为持续提升建行面向公共服务的IPv6服务能力,提升客户访问体验,在阿里云等CDN厂商的大力支持下,实现客户端、边缘服务节点、源站全部支持IPv6,建行IPv6服务能力得到端到端保障。
三、成效与亮点
目前,建行已全面完成互联网IPv6改造与规模部署工作,正在全面推进企业内部网络和应用IPv6改造推广工作,主要成果如下:
建行所有互联网应用系统全部支持IPv6服务,改造系统近百个,涉及域名450多个,整体投产完成率100%,超额完成中国人民银行监管要求。在中国人民银行组织金融行业改造情况排名中位列总分第一名。
图2金融行业IPv6改造情况
完成运营商互联网接入线路与基础设施的IPv6改造,可同时承载IPv6/IPv4访问流量,实现线路、设备高可用。其中BGP互联网接入线路AS号和公网IP地址是向中国互联网络信息中心(CNNIC)申请建行专属AS号和IP地址,可实现公网IP地址自主控制、精细化流量调度。
完成建行云版本升级,支持IPv6互联网连接访问,具备IPv6承载能力。
完成IPv6高阶规划设计,以现状调研及需求分析为基础,结合IPv6在金融、互联网行业的部署案例,为建行IPv6网络改造提供全局性地址规划方案及网络演进方案。
四、总结
IPv6改造工作任重道远,在总行领导的高度重视下,在总分行、运营数据中心和建信金科各子公司支持协作下顺利完成,克服了诸多困难,在确保现有IPv4应用安全稳定运行的前提下,实现IPv6应用平稳上线。建行始终以落实国家战略为使命,始终坚持先试先行,不断积累经验,继续推进建行未来的IPv6部署,为下一代互联网在经济金融领域的发展和应用贡献自己的力量。