電子政務外網對IPv6的需求
作為國家電子政務骨干網的電子政務網外網,承載各政府部門的多種業務,卻大量使用著私網地址和地址轉換技術。目前在電子政務外網內存在三類地址,第一類是公網地址,作為資源共享區和互聯網區的服務器地址,每個省分配1個公網B類地址,每個縣分配一個C類地址,遠不夠各地方政府使用;第二類是10網段地址,作為電子政務外網的私網地址使用,在電子政務外網內統一規劃,到互聯網需要進行地址轉換;第三類是各接入部門內部的局域網地址,一般是192網段,由各部門自行規劃,或根據縱向業務接入要求進行規劃,訪問資源共享區域需要進行地址轉換。可見即使在電子政務外網的辦公應用方面,都需要部署大量的設備提供地址轉換功能。
此外,作為我國電子政務的骨干網,將有越來越多的應用接入電子政務外網,一些復雜新業務的開展也受到IP地址的制約。比如應急指揮業務,涉及大量的監控、視頻會議、通信設備等終端,必然會占用大量的IP地址,我們不得不投入較大的人力、物力在如何有效的分配IP地址和進行地址轉換上。在環境與生態監測、交通控制等領域,使用傳感器協作地監控不同位置的物理或環境狀況,進行統一的分析或決策指示。比如地震監測、水文監測等,跨地域廣泛分布的傳感器網絡正在形成,這些設備同樣面臨IP地址的有效分配問題。
電子政務外網IPv4向IPv6過渡之路
電子政務外網目前運行的是IPv4業務,并采用MPLSVPN技術來隔離不同的業務,技術實現上較為復雜。考慮到IPv6規范制定尚不完善,IPv6技術應用并不成熟,在國內也只有IPv6實驗網絡,還沒有真正意義上的商用IPv6網絡出現,因此在電子政務外網不適宜建設大規模的IPv6網絡,可采取先試點,再推廣的方式進行。在國家電子政務外網和少數幾個部委、少數省電子政務外網先進行試點IPv6建設,試點單位的終端主機升級為IPv6/IPv4雙棧;逐步增加IPv6業務系統,先增加一部分IPv6/IPv4雙棧業務,既能支持新增IPv6終端主機的訪問,也支持未能升級的IPv4終端主機的訪問。試點網絡的建設應兼容IPv4和IPv6兩種協議,考慮到國家電子信息產業振興規劃強調推進下一代網絡(IPv6)的試驗和推廣,在政務外網上的網絡升級應采用更為先進的技術--雙棧技術實現,為后續建設純IPv6網絡進行技術積累。在技術設計上,先在共享資源區試點IPv6的IP地址分配、路由規劃等基本的IPv6技術,然后再試點IPv6MPLS VPN技術,將部分縱向VPN切換到IPv6網絡運行。
在電子政務外網上實現端到端的IPv6涉及到三個系統的升級,分別是業務系統、終端系統和網絡網絡。
業務系統(包括業務系統軟件及相應的數據庫、中間件):因為涉及到尋址,所以需要進行升級。以數字監控系統為例,就涉及監控終端、編解碼器等的IPv6地址升級,以及服務器端尋址方式的升級。目前我國僅在教育科研網進行了IPv6建設,業務應用多以游戲、視頻下載點播等校園應用為主,適合政務應用的IPv6資源和業務很少。因此在政務外網上可考慮逐步開發適合政務應用的IPv6業務,如公文交換、郵件系統等。
終端系統:如果操作系統是windowsVista及以上系統,默認支持IPv6并且可以支持DHCPv6,無需升級;如是Windows其他版本或其他操作系統,雖可以升級為支持IPv6,但升級后不能支持DHCPv6,因此建議操作系統采用windows Vista或以上系統。通過升級,使個人終端變成雙棧主機,即可以同時訪問IPv4資源和IPv6資源。
網絡系統:目前主要有兩種IPv4->IPv6的過渡技術。一種是隧道技術,即將IPv6協議封裝在IPv4報文中穿越IPv4網絡,適合為較少的互相獨立的IPv6網絡(或終端)提供聯通性。另一種是雙棧技術,網絡設備必須同時支持IPv4/IPv6協議棧,這種過渡方式能兼容目前IPv4和IPv6共存的現狀,同時又可以平滑的從IPv4升級到IPv6。
在電子政務外網可采用雙棧技術和隧道技術結合的方式,在骨干網和部分試驗局域網采用雙棧技術,在投資有限的單位局域網可采用隧道技術。
電子政務外網IPv6方案
電子政務外網IPv6骨干網絡建議分階段建設,先基于雙棧技術,建設基礎IPv6網絡,待技術積累成熟、網絡運行穩定后,再進行IPv6MPLSVPN的建設。電子政務外網基礎IPv6網絡建設可以考慮兩種建設模式,一是新建IPv6/IPv4雙棧網絡,二是現有IPv4網絡升級為雙棧。下面逐一加以介紹。
1)新建IPv6/IPv4雙棧網絡
新建IPv6/IPv4雙棧網絡可與現有IPv4骨干網規模相同,但鏈路帶寬略低,兩張骨干網同時運行。新建骨干網絡承載IPv4和IPv6協議,后續該新建網絡可作為IPv6骨干網專門承載IPv6協議。
可試點將共享資源區的業務逐步切換到IPv6,在電子政務外網IPv4網絡依舊承載縱向VPN和Internet業務,如圖1。
在新建雙轉網絡中,建立雙棧業務服務器,網絡中的所有雙棧設備均具有IPv4/IPv6兩種地址。由路由器鏈路層解析出接收到的數據包的數據段,拆開并檢查包頭。如果IPv4/IPv6包頭中的第一個字段,即IP包的版本號是4,該包就由IPv4的協議棧來處理;如果版本號是6,則由IPv6的協議棧處理。
雙棧路由器可通過雙棧主機的目的訪問地址尋徑路由到IPv4資源或IPv6資源,如圖2。如果雙棧主機訪問縱向VPN或Internet,雙棧主機將其歸屬到IPv4網絡,按照原IPv4網絡的方式轉發報文;如果雙棧主機訪問IPv6地址,則雙棧主機將在雙棧網絡尋址資源。
因為服務器資源為雙棧,網絡中沒有升級雙棧的IPv4主機可以通過IPv4協議訪問該雙棧資源,如圖3。
電子政務外網IPv6路由協議規劃可采用類似IPv4網絡的方式,包括域間路由協議(EGP)和域內路由協議(IGP)。對于EGP,采用IPv6BGP。IPv6EBGP用于廣域骨干網進行互聯,IPv6IBGP用于承載城域網(AS)內部的用戶路由和MPLS VPN的建立。IGP在廣域骨干網和中央城域網中主要承載網絡設備間的互聯路由,采用OSPF v3協議實現。在省級電子政務外網可采取同樣的規劃方式規劃省電子政務外網路由。如圖4。
電子政務外網新建雙棧網絡的地址分配需全網統一規劃,并與網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。需規劃IPv4和IPv6兩種地址,網絡設備轉發IPv4報文,路由尋址需要IPv4地址,IPv6路由協議OSPFv3中的ROUTERID等也需IPv4地址,同時需要在雙棧設備上配置IPv6地址供IPv6協議尋址。由于IPv6地址長度是128位,比IPv4地址復雜的多,如何分配和管理IPv6地址就成為一個重要問題。IPv6協議本身支持自動進行地址配置來降低網絡管理難度,但由于采用DHCPv6方式式分配地址可以讓網絡管理員知道哪些設備連接到網絡上,以及他們的IP地址,更有利于維護網絡的安全性,因此新建雙棧網絡的IPv6地址分配建議采用DHCPv6方式。
另一種方式是將現有IPv4網絡直接升級為IPv6/IPv4雙棧網絡,這樣可以節省鏈路費用,但是需充分考慮新增IPv6業務是否會影響現有IPv4業務的風險。
在網絡中采用逐步將共享資源業務從IPv4切換到IPv6/IPv4雙棧的方式,其他業務仍然采用IPv4協議。如圖5。
雙棧主機訪問雙棧資源時通過IPv6協議,訪問IPv4資源時通過IPv4協議。IPv4主機訪問所有資源均可通過IPv4協議。如圖6。
路由規劃采用與新建雙棧網絡相同,IP地址規劃同樣采用DHCPv6方式,在雙棧設備上新增IPv6地址。
3)IPv6MPLSVPN實現
考慮到MPLSVPN技術在現有電子政務外網的應用,可在實現IPv6/IPv4雙棧網絡試點后,進一步試點IPv6MPLSVPN技術。無論是新建雙棧網絡方案還是現網升級方案,采用技術相同。可試點少數部委開啟縱向VPN,通過MPLS VPN技術進行不同業務間的隔離。可考慮通過在雙棧PE設備上啟用6VPE技術,建立IPv6的MPLS VPN連接。6VPE(IPv6 VPN Provider Edge)可為電子政務外網IPv6用戶提供BGP MPLS VPN服務,通過VPN技術實現不同IPv6業務間的邏輯隔離。6VPE技術使用MP-BGP承載VPN-IPv6路由信息,在為IPv6網絡提供VPN服務的同時也可以在其它接口或子接口上為普通的IPv4用戶提供MPLS
VPN業務,即在6VPE有可能同時存在IPv6 VRF和IPv4 VRF。在6VPE技術中用戶網絡(CE)采用的地址族也可以是IPv4也可以是IPv6,骨干網同樣可以是IPv4網絡也可以是IPv6網絡。在電子政務外網的下一代網絡建設中,建議在初期先采用PE升級為6VPE設備,在骨干網絡仍采用IPv4傳輸路由標簽的方式。如圖7。
結語
雖然關于IPv6的實踐已經多年,但IPv6的標準并沒有完全制定完成,標準化進程還在繼續。電子政務外網的IPv6建設過程一定是長期而復雜的,而它的成功實現對我國實踐IPv6技術、參與國際/內IPv6標準的制定,都將具有非常重要的意義。H3C作為Cernet2的主要承建廠商,積累了大量的IPv6建設經驗,將協助政府各級部門實現IPv6在電子政務外網領域更廣泛的應用。