设为首页加入收藏
欢迎光临广西创正信息!
广西北海市政府网站集约化IPv6升级解决方案
    发布时间: 2021-08-11 10:03    

    在2017年11月26日,中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》后,国务院国有资产监督管理委员会、工业和信息化部以及各省市积极响应,陆续发布了落实中办国办文件的具体举措,我国将进入IPv6发展的快车道,互联网的新时代和新产业将拉开序幕。

广西北海市政府网站集约化IPv6升级解决方案

1、需求背景

20171126日,中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》后,国务院国有资产监督管理委员会、工业和信息化部以及各省市积极响应,陆续发布了落实中办国办文件的具体举措,我国将进入IPv6发展的快车道,互联网的新时代和新产业将拉开序幕。

图 1 两办关于IPv6行动计划的发文

 两办的IPv6行动计划明确指出:抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,加强统筹谋划,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。


1.1   我国IPv6部署现状


IPv6具有巨大的地址空间,可为互联网提供2128IP地址,是解决IPv4地址短缺问题最好的方案。

IPv6推动落后国际水平。据APNIC Labs提供的数据,美国、法国、日本等发达国家的IPv6普及率已超20%。我国作为拥有世界上最多互联网用户的国家,IPv6普及率仅有0.38%,排名72。在国际上的普及率较低,面临较大挑战。

国内基础建设逐渐完善。在基础网络层面,主流运营商骨干网已启用IPv4IPv6双协议栈,部分城域网已开启双协议栈,网络整体向全面支持IPv6平滑演进。

互联网应用升级蓄势待发。海量互联网应用是IPv6推广和普及的关键。只有应用和网站支持IPv6协议,才会有真正的用户流量。2017年《推进互联网协议第六版(IPv6)规模部署行动计划》中明确提出用5-10年的时间,网络、应用、终端全面支持IPv6

图 2 IPv6国家战略

1.2   IPv6渐进面临的挑战


IPv4IPv6过渡是长期过程,IPv6升级必然要遵循和谐共处、平滑过渡的原则。网站IPv6升级关系到网络、终端、应用之间交互和安全各个方面,是一项长期、复杂的系统工程。

Ø  周期长

         IPv6升级过程中涉及到的组件繁多,如各类应用系统、网络设备、运营支撑系统等,导致IPv6的升级过程复杂,周期长。改造时间长达三至六个月不等,无法满足政府验收要求。

Ø  难度大

    当前网络应用大多都是基于IPv4协议,大量代码复杂老旧、编写不规范,外部接口众多,应用间耦合紧密及部署环境复杂等问题,导致IPv6改造难度大。

Ø  新安全问题引入

            IPv6应用属于新型应用,可能出现新型漏洞、新型攻击模式,面临新的威胁。IPv4IPv6共存时期,网络将同时面临IPv4IPv6的安全威胁。

Ø  运维困难

    大部分政府、企业自身技术能力较为薄弱,担心升级方案复杂,后期运维困难。

Ø  “天窗”问题

网站常常存在互相调用和共享资源的情况,在网页调用其他网站外链的情况下,会因引用网站并未完成IPv6升级,导致IPv6用户访问该网站时会出现响应缓慢,部分内容无法显示等情况,影响用户体验。                                                                                              


1.3   广西自治区和本市政府单位IPv6改造进展


 广西自治区人民政府在2018年发布《广西壮族自治区人民政府关于印发广西数字经济发展规划(20182025年)的通知》,在通知中提出了“加快IPv6和未来网络”部署的要求。通知中明确要求“率先开展政府网站和电子政务应用IPv6改造升级,快速形成示范带动作用。”2019年上半年,北海市委市政府响应自治区政府文件要求,在630日之前完成了北海市人民政府门户网站和北海下辖10个区县门户网站IPv6改造。按照自治区要求和本市规划,北海拟建设集约化平台,统筹集约全市政府机构网站,并在集约化平台完成各政府机构网站IPv6改造。


2      北海市政府网站架构调研总结


2.1   北海市政府网站IPv6升级改造域名组成


    2.1.1 网站域名现状


经调研,北海市三区一县政府网站主要基于如下5个二级域名建设:

beihai.gov.cn;②bhhc.gov.cn;③yinhai.gov.cn;④bhtsg.gov.cn;⑤hepu.gov.cn

其中三区一县政府的门户网站①www.beihai.gov.cn、②www.bhhc.gov.cn、③www.yinhai.gov.cn、④www.bhtsg.gov.cn、⑤www.hepu.gov.cn,为区政府要求的第一批需要改造建设的域名。此5个域名已经基于云平台完成IPv6升级改造,且已通过区政府的核验。


   2.1.2 升级改造任务


  此次IPv6网络升级改造任务主要为两点:1、将改造完的三区一县政府门户的云平台软件在市政府中心机房服务器上本地化部署;2、同时将北海市下属各局办单位的域名基于市政府中心机房本地化部署的软件平台统一集约化升级改造。北海市下属各局办单位的域名,共73个域名,如附件一。


2.2     北海市政府中心机房网络优化调整思路


  经过现场调研和技术研讨,同时结合市政府的现网络存在的问题,市政府中心机房网络优化调整主要有在两个位置,如下图所示:

                                                                                             


图 3 网络调整

             1)、核心交换机上联的H3C S8512交换机在网10余年且不支持IPv6协议,将移除,经过现场详细阅读H3C S8512交换机配置,其配置数据下沉到H3C S10500核心交换机。

        2)、门户网站服务器区上联的H3C Quidway S6506R汇聚交换机和H3C Quidway S5600接入交换机,在网10余年且不支持IPv6协议,替换为H3C S7500E/S5130系列交换机(支持IPv6)。优化调整后的网络拓扑如下:

图 4 调整后拓扑

 

 


3      广西北海政府网站集约化IPv6升级解决方案


3.1   业界IPv6渐进升级技术对比


第1章   

第2章   

第3章   

3.1   

3.1.1  隧道技术

        隧道技术通过将IPv4/IPv6协议数据包嵌套在IPv6/IPv4协议数据包中进行网络传递的技术。网站需要新增一个IPv6隧道服务器,应用系统本身基本不影响。隧道技术要求客户端必须安装软件客户端,还需考虑最大传输单元问题,扩展性较差,不适宜大规模部署,只适用于少数同协议类型网络孤岛之间的互联。无法解决“天窗”问题。

      隧道技术适用于C/S模式的业务应用环境下。政府类网站不适宜采用隧道模式改造。


3.1.2  双栈技术


双栈技术要求网络设备和服务器同时启用IPv4IPv6两种协议。

双栈技术对软硬件要求较高,升级改造过程中涉及到服务器、网络设备、应用软件升级,投资大、改造周期长。对于改造周期和资金充足,技术能力较强的单位,双栈改造不失为一种有效的方案。双栈技术不能完美解决 “天窗”问题。


3.1.3  翻译技术


原理是在IPv4IPv6双向通信过程中部署IPv4&IPv6双向翻译设备,完成IPv4&IPv6双向转译工作。业界主流翻译设备主要实现IPv4&IPv6之间IP地址和端口映射关联关系,以实现对用户终端IPv6/IPv4无缝互访。

翻译技术是当前主流的IPv6升级改造技术,其能有效解决IPv4IPv6兼容性问题。翻译技术部署周期短,符合大部分企业升级需求。目前国内企业采用NAT64IVISMART6等解决方案解决应用层互通问题。但业界主流翻译技术仅实现网络层协议转译,无法解决应用层外链导致的“天窗”问题


3.2   IPv6渐进升级方案平台架构


    通过部署集约化IPv6智能转译平台方式,网站获取IPv6访问支持。

    

3.2.1     市政府私有云方式部署IPv6转译服务平台


图 5 IPv6智能转译平台政府私有云部署(仅涉及网站服务区)


根据网络调研,拟对如下方面进行增改:

1)    联通专线新增IPv6地址和相关配置,保证内部网络可通过IPv6访问互联网。

2)    H3C S8512交换机在网十余年,已超出生命周期,不支持IPv6,引入单点故障风险,移除该设备。

3)    网站服务器区汇聚和接入交换机在网十余年,已超出生命周期,不支持IPv6,进行设备更新替换。

4)    新增IPv6转译平台,部署2X86服务器,IPv6智能转译平台实现IPv4IPv6的双向接入服务,接入网站服务器区汇聚/接入设备。

网络调整后,新拓扑信息如下:



图 6 北海市政府网络割接后拓扑(仅涉及网站服务区)

对于IPv4流量,现网已经完备、成熟的支持,本方案不影响IPv4流量。

Ø  IPv6用户访问,IPv6流量通过互联网IPv6路由到万物云联IPv6智能转译平台,随即转译平台以IPv4向源站发起请求;

Ø  源站收到IPv4请求后,以IPv4正常响应;

Ø  转译平台收到源站IPv4响应后,再将页面转换为IPv6,返还给IPv6用户。

Ø  在此过程中,转译平台以代理方式实现IPv4&IPv6的双向转译。

该接入方式简单,无需进行代码改造即可平滑升级,使门户网站应用支持IPv6。平台可智能感知并快速响应用户的访问需求,可提供额外七层安全防护(如WAF)。通过机器学习彻底解决“天窗”和多级外链问题。

该方式两周内可完成部署。

转译平台要求同时通过IPv4IPv6访问互联网,即:

Ø  网络出口具备IPv6专线接入。

Ø  每台服务器各配置1个IPv6地址,和1个IPv4地址,可以是私网或公网地址,但要求能够通过这2个地址访问到互联网。2台服务器则需要2个IPv6地址,2个IPv4地址。

Ø  转译平台到互联网出口防火墙IPv4和IPv6路由均被打通。在沿途三层设备新增IPv6地址(VLAN接口,物理接口或子接口等)和路由(静态,OSPFv3等)即可,同一个三层接口下可以同时配置IPv4和IPv6地址。


3.2.2     智能转译平台服务器配置参数


    服务器支持集群化部署,后期根据用户实际需求进行扩展。

    北海市政府集约化平台待改造网站(系统)数量70个左右,服务器推荐配置如下:

Ø  CPU:32核,单核≥2.2GHz

Ø  内存:64G

Ø  硬盘:600G SAS HDD + 2T HDD,增加硬盘空间可存储更大量日志

Ø  操作系统:CentOS 7.0以上版本

Ø  服务器数量:2台

 

3.3 机器学习&“天窗”


网站或者网站群经常存在互相调用和共享资源的情况。在网站调用其他网站外链的情况下,会因被引用网站不支持IPv6,导致IPv6用户访问该网站时会出现响应缓慢,部分内容无法显示等情况。

图 7  “天窗”问题

“天窗”问题产生原因说明:

图 8 “天窗”问题分析

a.  当用户访问公司域名时得到资源列表:

www.abc1.com;www.abc2.com;www.abc3.com;www.abc4.com

其中abc1、abc2 为公司自有域名,abc3、abc4为外链。

b.  已经由普通地址翻译设备或者双栈升级的域名abc1、abc2下的资源可以被用户直接获取。

c.  未经升级的外部链接abc3、abc4 仍为IPv4资源,访问异常。

万物云联IPv6升级解决方案在应用层翻译服务的基础上,通过机器学习自动分析网站包含的外部链接,并针对该类链接进行内容转译,彻底解决传统网络层翻译技术普遍存在的内容缺失问题。


3.4 日志&溯源&监控


本方案提供IPv6用户访问数据分析及日志服务,同时对IPv6流量进行记录、统计、溯源、监控。

用户通过IPv6用户访问日志数据采集和分析等功能,提升运维、运营效率。

l  IPv6用户访问数据统计

提供用户数据分析Portal。Portal由以下4部分组成:源站访问流量图、IPv6用户请求数、用户请求状态码以及运营商分布图。

l  日志服务

提供IPv6用户访问数据的查询及下载服务。日志服务包含6个模块:数据采集、日志传输、存储、数据统计分析、可视化平台及监控报警。日志中记录网站IPv6访客地址信息,便于溯源。

图 9 日志服务业务流程图

3.5   运维监控系统

 运维监控主要包括两个部分,源站可用性监控及IPv6转译可用性监控。监控平台将对访问流量进行可视化统计,方便运维人员查找问题,保证访问的可达率。当网站出现不可用问题时,及时触发告警知会对应负责人。

1 服务监控平台:

Ø  服务探测:检查IPv6应用服务的可用性,产生可用性报表。

Ø  数据收集:收集、保存和报表网络信息数据,并设定和触发报警门限值

Ø  问题报警:当应用服务出现问题时,及时上报相关人员。并记录分析问题原因。

2 流量监测平台

  通过监测IPv6网络流量,采集用户访问信息,作为反映网络设备当前性能的依据,助力详细、全面地掌握网络的状态。有助于统筹协调信息中心网络安全保障系统建设,提高网络安全态势感知,满足资源调度需求。


3.6 安全防护


  智能攻击防护模块能够根据用户的请求特征和发包特征等进行智能判别,区分正常请求和非正常请求,及时阻断恶意攻击行为,避免出现服务瘫痪等问题。

方案包含WAF防护功能,应用防火墙可对所有web请求的方法、内容等应用攻击特征匹配,采用机器学习分类算法,自动判断针对web服务的攻击类型,包括各种SQL注入,XSS注入等OWASP TOP10攻击类型,及其他各类恶意行为,自动阻断攻击行为。


3.7 IPv6访问标识


    方案提供明显IPv6访问标识,用以提示和标识IPv6终端用户。

    当IPv6用户访问首页时,系统会自动弹窗提醒用户是在使用IPv6协议访问网站。本功能无需源站改动。

 

图 12 升级完成后访问提示标识


 4      方案优势


第4章   

4.1  符合国标,全面支持IPv6


 改造方案符合中国人民共和国通信行业标准 YD/T 3118-2016 《网站IPv6支持度评测指标与测试方法》,依据国家标准逐条测试和验证网站IPv6支持度,并提供测试报告。网站使用本方案改造后可保证全面支持IPv6,通过国家和自治区标准的检测。


4.2  快速升级,平滑过渡


IPv6升级改造在2-3周内全面完成,用户无需大量操作;升级改造对原IPv4系统不造成影响,实现平滑过渡。


4.3  更高协议版本


通过IPv6升级改造,业务系统可实现支持HTTPS升级,增强网站安全性。升级后系统可支持HTTP2.0版本,提高用户体验。


4.4  IPv6安全防护


IPv6作为新一代的互联网协议,在网络引入IPv6的同时,难免引入新的、未知的安全风险。

智能攻击防护模块能够根据用户的请求特征和发包特征等进行智能判别,区分正常请求和非正常请求,及时阻断恶意攻击行为,避免出现服务瘫痪等问题。

平台包含WAF防护功能,并且应用防火墙可以针对所有的WEB请求的方法和内容等应用攻击特征匹配和机器学习分类算法,自动判断各类针对WEB服务的攻击类型,包括各种SQL注入,XSS注入等OWASP TOP10攻击类型,以及其他各类恶意行为,并自动阻断攻击行为。

平台还可对转译服务器存储数据做加密处理,增强安全防护。