从IPv4过渡到IPv6 电子政务外网建设方案
扫描二维码
随时随地手机看文章
作为国家电子政务骨干网的电子政务网外网,承载各政府部门的多种业务,却大量使用着私网地址和地址转换技术。目前在电子政务外网内存在三类地址,第一类是公网地址,作为资源共享区和互联网区的服务器地址,每个省分配1个公网B类地址,每个县分配一个C类地址,远不够各地方政府使用;第二类是10网段地址,作为电子政务外网的私网地址使用,在电子政务外网内统一规划,到互联网需要进行地址转换;第三类是各接入部门内部的局域网地址,一般是192网段,由各部门自行规划,或根据纵向业务接入要求进行规划,访问资源共享区域需要进行地址转换。可见即使在电子政务外网的办公应用方面,都需要部署大量的设备提供地址转换功能。
此外,作为我国电子政务的骨干网,将有越来越多的应用接入电子政务外网,一些复杂新业务的开展也受到IP地址的制约。比如应急指挥业务,涉及大量的监控、视频会议、通信设备等终端,必然会占用大量的IP地址,我们不得不投入较大的人力、物力在如何有效的分配IP地址和进行地址转换上。在环境与生态监测、交通控制等领域,使用传感器协作地监控不同位置的物理或环境状况,进行统一的分析或决策指示。比如地震监测、水文监测等,跨地域广泛分布的传感器网络正在形成,这些设备同样面临IP地址的有效分配问题。
电子政务外网IPv4向IPv6过渡之路
电子政务外网目前运行的是IPv4业务,并采用MPLS VPN技术来隔离不同的业务,技术实现上较为复杂。考虑到IPv6规范制定尚不完善,IPv6技术应用并不成熟,在国内也只有IPv6实验网络,还没有真正意义上的商用IPv6网络出现,因此在电子政务外网不适宜建设大规模的IPv6网络,可采取先试点,再推广的方式进行。在国家电子政务外网和少数几个部委、少数省电子政务外网先进行试点IPv6建设,试点单位的终端主机升级为IPv6/IPv4双栈;逐步增加IPv6业务系统,先增加一部分IPv6/ IPv4双栈业务,既能支持新增IPv6终端主机的访问,也支持未能升级的IPv4终端主机的访问。试点网络的建设应兼容IPv4和IPv6两种协议,考虑到国家电子信息产业振兴规划强调推进下一代网络(IPv6)的试验和推广,在政务外网上的网络升级应采用更为先进的技术--双栈技术实现,为后续建设纯IPv6网络进行技术积累。在技术设计上,先在共享资源区试点IPv6的IP地址分配、路由规划等基本的IPv6技术,然后再试点IPv6 MPLS VPN技术,将部分纵向VPN切换到IPv6网络运行。
在电子政务外网上实现端到端的IPv6涉及到三个系统的升级,分别是业务系统、终端系统和网络网络。
业务系统(包括业务系统软件及相应的数据库、中间件):因为涉及到寻址,所以需要进行升级。以数字监控系统为例,就涉及监控终端、编解码器等的IPv6地址升级,以及服务器端寻址方式的升级。目前我国仅在教育科研网进行了IPv6建设,业务应用多以游戏、视频下载点播等校园应用为主,适合政务应用的IPv6资源和业务很少。因此在政务外网上可考虑逐步开发适合政务应用的IPv6业务,如公文交换、邮件系统等。
终端系统:如果操作系统是windows Vista及以上系统,默认支持IPv6并且可以支持DHCP v6,无需升级;如是Windows其他版本或其他操作系统,虽可以升级为支持IPv6,但升级后不能支持DHCP v6,因此建议操作系统采用windows Vista或以上系统。通过升级,使个人终端变成双栈主机,即可以同时访问IPv4资源和IPv6资源。
网络系统:目前主要有两种IPv4->IPv6的过渡技术。一种是隧道技术,即将IPv6协议封装在IPv4报文中穿越IPv4网络,适合为较少的互相独立的IPv6网络(或终端)提供联通性。另一种是双栈技术,网络设备必须同时支持IPv4/IPv6协议栈,这种过渡方式能兼容目前IPv4和IPv6共存的现状,同时又可以平滑的从IPv4升级到IPv6.
在电子政务外网可采用双栈技术和隧道技术结合的方式,在骨干网和部分试验局域网采用双栈技术,在投资有限的单位局域网可采用隧道技术。
电子政务外网IPv6方案
电子政务外网IPv6骨干网络建议分阶段建设,先基于双栈技术,建设基础IPv6网络,待技术积累成熟、网络运行稳定后,再进行IPv6 MPLS VPN的建设。电子政务外网基础IPv6网络建设可以考虑两种建设模式,一是新建IPv6/IPv4双栈网络,二是现有IPv4网络升级为双栈。下面逐一加以介绍。
1)新建IPv6/IPv4双栈网络
新建IPv6/IPv4双栈网络可与现有IPv4骨干网规模相同,但链路带宽略低,两张骨干网同时运行。新建骨干网络承载IPv4和IPv6协议,后续该新建网络可作为IPv6骨干网专门承载IPv6协议。
可试点将共享资源区的业务逐步切换到IPv6,在电子政务外网IPv4网络依旧承载纵向VPN和Internet业务,如图1.
图1 IPv4网络、IPv6/IPv4双栈网络业务规划
在新建双转网络中,建立双栈业务服务器,网络中的所有双栈设备均具有IPv4/IPv6两种地址。由路由器链路层解析出接收到的数据包的数据段,拆开并检查包头。如果IPv4/IPv6包头中的第一个字段,即IP包的版本号是4,该包就由IPv4的协议栈来处理;如果版本号是6,则由IPv6的协议栈处理。
双栈路由器可通过双栈主机的目的访问地址寻径路由到IPv4资源或IPv6资源,如图2.如果双栈主机访问纵向VPN或Internet,双栈主机将其归属到IPv4网络,按照原IPv4网络的方式转发报文;如果双栈主机访问IPv6地址,则双栈主机将在双栈网络寻址资源。
图2 双栈主机访问方式
因为服务器资源为双栈,网络中没有升级双栈的IPv4主机可以通过IPv4协议访问该双栈资源,如图3.
图3 IPv4主机访问方式
电子政务外网IPv6路由协议规划可采用类似IPv4网络的方式,包括域间路由协议(EGP)和域内路由协议(IGP)。对于EGP,采用IPv6 BGP.IPv6 EBGP用于广域骨干网进行互联,IPv6 IBGP用于承载城域网(AS)内部的用户路由和MPLS VPN的建立。IGP在广域骨干网和中央城域网中主要承载网络设备间的互联路由,采用OSPF v3协议实现。在省级电子政务外网可采取同样的规划方式规划省电子政务外网路由。如图4.
图4 IPv6路由规划
电子政务外网新建双栈网络的地址分配需全网统一规划,并与网络层次规划、路由协议规划、流量规划等结合起来考虑。需规划IPv4和IPv6两种地址,网络设备转发IPv4报文,路由寻址需要IPv4地址,IPv6路由协议OSPFv3中的ROUTER ID等也需IPv4地址,同时需要在双栈设备上配置IPv6地址供IPv6协议寻址。由于IPv6地址长度是128位,比IPv4地址复杂的多,如何分配和管理IPv6地址就成为一个重要问题。IPv6协议本身支持自动进行地址配置来降低网络管理难度,但由于采用DHCP v6方式式分配地址可以让网络管理员知道哪些设备连接到网络上,以及他们的IP地址,更有利于维护网络的安全性,因此新建双栈网络的IPv6地址分配建议采用DHCP v6方式。
2)现有IPv4网络升级为双栈
另一种方式是将现有IPv4网络直接升级为IPv6/IPv4双栈网络,这样可以节省链路费用,但是需充分考虑新增IPv6业务是否会影响现有IPv4业务的风险。
在网络中采用逐步将共享资源业务从IPv4切换到IPv6/IPv4双栈的方式,其他业务仍然采用IPv4协议。如图5.
图5 IPv6/IPv4网络承载业务
双栈主机访问双栈资源时通过IPv6协议,访问IPv4资源时通过IPv4协议。IPv4主机访问所有资源均可通过IPv4协议。如图6.
图6 IPv4主机、双栈主机访问方式
路由规划采用与新建双栈网络相同,IP地址规划同样采用DHCP v6方式,在双栈设备上新增IPv6地址。
3)IPv6 MPLS VPN实现
考虑到MPLS VPN技术在现有电子政务外网的应用,可在实现IPv6/IPv4双栈网络试点后,进一步试点IPv6 MPLS VPN技术。无论是新建双栈网络方案还是现网升级方案,采用技术相同。可试点少数部委开启纵向VPN,通过MPLS VPN技术进行不同业务间的隔离。可考虑通过在双栈PE设备上启用6VPE技术,建立IPv6的MPLS VPN连接。6VPE(IPv6 VPN Provider Edge)可为电子政务外网IPv6用户提供BGP MPLS VPN服务,通过VPN技术实现不同IPv6业务间的逻辑隔离。6VPE技术使用MP-BGP承载VPN-IPv6路由信息,在为IPv6网络提供VPN服务的同时也可以在其它接口或子接口上为普通的IPv4用户提供MPLS VPN业务,即在6VPE有可能同时存在IPv6 VRF和IPv4 VRF.在6VPE技术中用户网络(CE)采用的地址族也可以是IPv4也可以是IPv6,骨干网同样可以是IPv4网络也可以是IPv6网络。在电子政务外网的下一代网络建设中,建议在初期先采用PE升级为6VPE设备,在骨干网络仍采用IPv4传输路由标签的方式。如图7.
图7 IPv6/IPv4双栈网络 MPLS VPN拓扑
结语:虽然关于IPv6的实践已经多年,但IPv6的标准并没有完全制定完成,标准化进程还在继续。电子政务外网的IPv6建设过程一定是长期而复杂的,而它的成功实现对我国实践IPv6技术、参与国际/内IPv6标准的制定,都将具有非常重要的意义。
下载文档
