行业实战 | 银行办公网IPv6改造实践

引言

在数字时代，万物互联是网络发展的方向，当前随着IPv6协议簇逐步取代IPv4成为支撑互联网运转的核心协议，网络整体由IPv4升级到IPv6是技术演进的必然趋势。IPv6协议作为IPv4协议的升级版，具有更大容量、更强延展性、更安全灵活敏捷等新特性，未来与互联网、物联网、云计算、大数据、人工智能等技术融合应用是支撑企业数字化转型发展的基础，金融机构响应国家和监管要求，稳步推进IPv6改造工作的开展。

PART01  G行IPv6改造历程

作为金融行业IPv6改造行业示范机构，G行积极响应相关政策要求，结合自身业务发展需求，规划制定了IPv6规模部署路线图。按照“政策引领、规划先行、分步演进、持续创新”的思路，分阶段、分步骤推进IPv6改造工作：2020年G行完成存量互联网应用系统的软硬件基础设施改造，实现面向公众提供服务应用系统IPv4／IPv6双栈改造；此后推进承载网SRv6改造，借助SRv6技术有效提升网络流量可视、动态调优、传输提速、故障毫秒级快速切换等能力；随后结合行内上云工程完成全栈云外网资源池建设,持续推动硬件基础设施改造升级、实现从互联网到Web服务器全路径IPv4／IPv6双栈改造；目前正在推进办公网IPv6改造，以内部办公网IPv6试点先行为起点，按“先办公、后业务，先试点、后推广”的方式，适时稳步推进内部网络双栈改造与系统适配。

PART02  G行办公网改造技术需求分析

G行总行办公环境分布在同城不同物理场所，各办公场地通过专线连接到城域网核心设备，当前整体运行IPv4单栈协议。经评估IPv6改造技术需求如下：

•网络层面：所有网络设备均需具备IPv6协议处理能力，支持IPv6安全策略、访问控制等功能，确保网络设备在双栈运行模式下性能不下降、业务转发不中断，策略可继承,其中防火墙需实现并支持双栈安全防护，满足行内安全合规要求；

•终端层面：G行办公终端包括统信UOS以及其他操作系统PC终端、网络打印机、视频会议终端、IP电话机等，均需进行IPv6网络连通性适配，支持IPv6地址自动获取、DNSv6解析，确保双栈环境下可以正常使用，保障办公业务连续性；

IPv6改造是一个系统性工程，需充分验证及评估整体环境适配的完整性并充分评估长久运行下的可能性风险。G行IPv6改造重点是结合办公网络结构、设备现状、终端类型，确保办公网网络设备与办公终端全面适配IPv6协议，建成IPv4/IPv6双栈运行、稳定可靠、安全可控、易于运维的现代化办公网络，支持G行金融基础设施的数字化改造。

PART03  G行办公网IPv6改造实践

（一）改造原则

•平滑过渡，业务优先：以IPv4/IPv6双栈部署为主，在不影响业务前提下进行改造，保障办公业务、应用系统、网络设备在改造期间稳定运行，避免单点故障与业务中断；

•统一规划，分步实施：按照先办公后业务分步推广实施，具体办公场地遵循核心、汇聚、接入、出口分层实施思路，统一地址规划、路由策略与安全策略，避免分段改造导致地址混乱、路由不通及管理割裂；

•安全同级，合规可控：IPv6网络安全防护能力不低于现有IPv4水平，同步完善防火墙、访问控制、日志审计等安全机制，实现IPv4/IPv6安全策略同源同效；

•兼容利旧，保护资产：充分利旧现有网络设备，优先通过软件升级支持IPv6协议，对于不支持IPv6的老旧设备逐步替换，避免重复建设与资源浪费；

•标准规范，易于扩展：严格遵守国家与行业IPv6技术标准，地址规划预留扩展空间，支持后续多业务终端、办公场地增加等场景扩容；

（二）改造实践

1.  整体架构

总行办公环境IPv6部署采用端到端全链路双栈部署，所有网络设备节点、用户PC终端须同时支持IPv4/IPv6双协议处理能力，独立维护两套地址空间、路由表、策略规则。上层应用须同时支持IPv4和IPv6协议，根据协议要求可以选用TCP或UDP作为传输层协议，但在选择网络层协议时会优先选择IPv6协议栈。

2.  地址规划与分配

G行整体地址规划采用全球单播地址，支持SLAAC无状态地址分配或DHCPv6有状态分配，结合总行办公环境情况，在满足可管理性和可扩展性的前提下合理规划各个办公场地前缀，做到统一管理、方便划分，清晰辨别IP网段位置及终端的具体位置，方便日常运维管理和安全策略部署，从而降低网络管理难度，提升整体安全性。

图1 IPv6地址规划

改造过程中G行充分利用现有平台进行IPv6有状态地址分配，网络交换机作为中继转发动态v6报文，实现终端IPv6地址“分配、配置、回收”全生命周期闭环管理，仅对于特殊终端如打印机、视频会议终端及其它不支持自动配置IPv6地址的设备，需通过手工完成IPv6地址配置。同时依托平台对IPv6地址进行可视化展示，以及多维度统计分析，包括网段的上下线环比统计、LPS（LeasesPerSecond/每秒租约处理能力）分配性能统计、租约信息统计以及网络使用率信息的统计等，提升IPv6的可观测性。

图2 平台地址分配

3.  路由与转发

在办公网IPv6路由设计方面，网络设备启用双栈运行IPv4与IPv6路由协议，双栈路由相互独立不做协议绑定，实现IPv4与IPv6流量分别转发。同时在汇聚交换机同一Vlan接口下开启IPv4/IPv6 虚拟路由冗余协议实现设备双机热备，开启IPv6 RA公告，控制网关、DNS、前缀下发。

4.  IPv6安全部署

•地址段采用分段+掩码聚合，办公终端、生产终端、开发测试终端、特殊终端网段独立，严格绑定资产与地址段；

•关闭终端SLAAC随机地址，优先使用动态v6分配，开启地址溯源与实名制绑定，便于审计定位；

•开启动态v6 Snooping、动态v6 Guard，信任端口仅放行合法动态v6服务器，阻断仿冒动态服务器、非法用户、报文等攻击，保障办公网络环境终端安全接入；

•接入层启用安全准入+IPv6 Mac认证，未认证终端机制禁止获取IPv6地址；

•防火墙升级支持全IPv6策略，默认拒绝所有入站，仅放开必要端口与服务，策略与IPv4同源同审；

•终端系统关闭不必要IPv6组件，启用系统防火墙，禁止私设IPv6代理与热点；

•严格变更管控，IPv6配置上线前必须做合规检查及评审，杜绝随意变更及非法策略。

PART04  办公网IPv6改造效果

G行总行办公网改造后实现了IPv4/IPv6双栈全覆盖，防火墙支持IPv6策略管控，办公终端通过动态v6实现IPv6地址自动获取，双协议栈相互独立转发互不影响。同时通过平台进行地址分配管理充分提高IPv6管理效率，满足合规与地址扩容需求的同时可有效降低运维成本。

图3 IPv6改造效果

改造完成后，经验证测试，终端联通性上能够实现IPv6链路全部100%畅通，终端IPv6 ping无丢包，ping延时小于2毫秒，DNS IPv6无解析失败，能够满足终端用户的日常办公需求；并发访问带宽吞吐与IPv4无显著差异，大文件传输体验一致；统信UOS 及其他操作系统PC终端运行正常，能够全部兼容IPv6协议，办公业务无适配故障，整体双栈运行稳定，满足设计要求。

结语

G行办公网IPv6协议改造已全面达到设计要求，实现无感切换、平稳运行，满足监管IPv6规模部署要求，提升网络扩展性与安全性，为G行数字化转型打下坚实基础。未来，G行网络运维人员将以IPv6为基础持续升级网络能力，深化IPv6+技术应用，推动应用深度适配，逐步提升IPv6流量占比，完善IPv6全生命周期安全体系建设，提升网络安全、业务体验与管理效率。