1. 背景 2019年1月,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布了《关于金融行业贯彻落实<推进互联网协议第六版(IPv6)规模部署行动计划>的实施意见》,指导金融行业IPv6规模部署工作稳步有序推进。工行在2017年开展IPv6的试点部署工作的基础上,迅速响应监管机构要求,于2019年2月成立了IPv6规模部署工程领导小组,在领导小组的统筹指挥和各实施单位的密切协同下,经过近两年的努力,于2020年10月完成全部IPv6规模部署工作,所有面向公众服务的互联网应用开启IPv6访问服务,全面完成了人民银行等监管机构的工作要求。 2. IPv6规模部署总体方案 IPv6工程实施在技术路线上通常可以选择采用简便易行的NAT64地址转换方式,也可选择彻底的IPv4/IPv6双栈技术。为了更好地支持后续IPv6业务价值的发掘和利用,工行确定所有互联网应用改造均采用一步到位的IPv4/IPv6双栈技术,主动探索双栈方案难点,为同业提供借鉴。 IPv6应用的双栈改造方案实施按照互联网接入环境、服务器区域基础设施、互联网应用、安全系统和运维管理系统五个维度并行推进,改造方案示意如图一。具体技术改造实施工作的落地,遵循“基础设施先行”、“同步启动业务应用改造”、“安全系统和运维管理系统配套”等几个原则。 l 基础设施先行 互联网应用对外发布双栈服务能力,依赖于数据中心基础设施及运营商基础设施的双栈支持能力。因此,数据中心内部的网络服务、网络接入、服务器承载等基础设施必须首先完成改造;同时,外部网络运营商(包括互联网提供商ISP、CDN运营商等)也必须配套完成双栈能力改造。 这部分基础设施是互联网客户访问银行业务的咽喉要道,改造风险大、周期长,属于整个工程初期阶段的核心工作。 l 同步启动业务应用改造 由于涉及到版本的开发、测试,需要按应用版本计划依次安排。因此,在关注基础设施改造的同时,应同步启动互联网应用改造的计划制定。 应用的改造主要关注两个方面的事项。一是,需要制定IPv4/IPv6双栈开发规范(含IPv6数据标准),细化应用改造技术方案,确保所有应用的改造遵循统一的规则,避免开发环节引入风险;二是,关注关联应用同步改造,避免改造过程带来运行隐患。 l 关注安全系统和运维管理系统的配套改造支持 在互联网应用正式向外发布双栈服务前,需要完成安全系统、运维管理系统的配套改造,通过指定专门技术部门牵头负责开展该项配套改造工作,以确保安全和运维管理能力不低于当前IPv4服务环境。 3.IPv6规模部署成效 2020年10月,工行全面完成互联网IPv6规模部署工作,主要包括: 一是完成所有面向公众服务的互联网应用的IPv6技术改造工作,实现应用同时通过IPv4和IPv6对外提供服务; 二是数据中心所有互联网接入环境可同时承载IPv4/IPv6访问流量,实现了接入环境冗余、可容灾切换; 三是同步新增引入三大运营商的IPv4/IPv6双栈BGP互联网接入线路,实现在路由层面自主控制公网IP的访问策略,在提高对整个互联网的参与度的同时,为精细化的流量调度提供技术支持和手段; 四是完成工行权威域名解析服务器的IPv6地址发布,实现权威域名系统可以同时通过IPv4和IPv6对外提供域名解析服务,具备了完整的双栈域名授权体系; 五是在服务器区域基础设施方面,局域网络设备、服务器操作系统全部启用IPv4/IPv6双协议栈运行,基础设施云平台等系统软件全面支持IPv4/IPv6; 六是完成各类安全及运维管理系统的适配改造工作,确保相关安全防护及运维管理水平不降低。 从实际运行情况看,互联网用户访问工行应用的全链路已支持IPv4/IPv6双栈运行,具备承载50G以上IPv4/IPv6访问流量的能力。根据工行对相关互联网应用访问情况的监控统计,门户网站、个人网上银行等PC端应用,IPv6访问流量占总流量约20%-30%;个人手机银行、企业手机银行等移动端应用IPv6访问流量占比约40%-50%,使用IPv6的公众用户占比正在逐步提升。 4. IPv6规模部署经验 IPv6规模部署牵涉面广、改造环节多,是一项复杂的系统工程。借助本次工程实施,工行通过对各环节各阶段工作进行总结,形成了如下九方面的经验。这些经验涵盖了互联网网络环境、银行数据中心基础设施管理、安全生产保障等多个方面。 4.1. 掌握外部IPv6大环境就绪程度,推动互联网环境IPv6支持能力提升 从“运营商IPv6骨干网络就绪情况”、“运营商互联网接入环境就绪情况”、“运营商IPv6地址规划情况”、“CDN节点对IPv6的支持程度以及CDN节点的性能容量”等方面进行持续的跟踪分析,掌握互联网基础环境就绪情况,针对其中存在的问题及时反馈和协调解决,从而不断完善互联网基础环境对IPv6的支持能力,更好的为互联网IPv6用户提供服务。 4.2. 实时分析和掌握互联网IPv6流量情况 以域名为维度,针对PC端和移动端的应用访问流量进行持续监控,通过流量统计情况实时掌握互联网IPv6流量占比,为后续其他应用部署提供流量模型和性能容量管理依据。 4.3. 研究掌握客户端IPv4/IPv6双栈行为机制 对各类客户端的行为机制进行深入研究,通过对典型的客户端访问应用的流程进行梳理,理清双栈客户端行为机制,对其中各环节的运行机制进行仔细研究、测试,以支撑应用的开发部署和顺利投产以及投产后各类问题的排查和分析。 4.4.研究掌握运营商LDNS服务器的IPv4/IPv6双栈行为机制 对三大主流运营商的LDNS双栈行为机制详细的调研和测试论证,同时结合应用实际部署情况,对权威域名服务器发布IPv6地址后的多种组合场景进行分析研究,为权威域名服务器IPv6地址顺利发布提供技术保障的同时确保互联网应用正常对外提供服务。 4.5.应用改造规范化/体系化,确保改造过程业务影响可控 应用(尤其是APP)除了自身功能外,多数存在外部链接功能,应用间关系复杂,且存在多层级应用串联关系。因此,可以从规范化、体系化两个方面确保功能改造的完整性。一是针对应用开发制定双栈开发规范,明确IPv6数据格式标准,要求增量互联网应用在开发时就要具备双栈支持能力;二是应用改造前,梳理应用之间的关联关系,从业务影响角度,分两类明确标识应用关联关系的紧密程度:对于应用之间存在强关联绑定关系,必须同时投产才能保证纯IPv6环境下业务的正常使用;对于应用之间仅有域名调用关系,可分期发版并争取同期投产业务以保证纯IPv6环境下的正常访问。 4.6.互联网域名管理系统化,确保改造进度可控 开发面向域名的网络资源管理视图,实现互联网应用资源的可视化管理,集中维护各应用的域名、开发和运维部门、IPv6投产计划、IPv6投产状态等多项详细信息,最终实现应用IPv6版本从开发、测试到投产的全流程跟踪管理。 4.7.通过“拓扑”定义实现分地区灰度投产双栈服务 IPv6作为新的技术,从内部到外部成熟度均有待检验。为了进一步控制风险,可以按照分地区逐步开放IPv6访问并推广到全国的策略制定完善的投产、应急及回退方案。 4.8. 通过技术手段确保应急实效 在应急处置方面,如果IPv6对外服务有问题,为了减少运营商域名解析缓存机制造成的影响,网络侧在对外关闭IPv6域名解析的同时隔离IPv6的服务地址,强制客户端切换到IPv4进行访问,解决互联网环境下部分LDNS缓存时间过长导致数据中心侧应急切换缓慢问题,确保应急实效控制在预设的“分钟级”区间。 4.9. 优化客户端双栈适配能力,提升用户访问体验 参考RFC6555和RFC8305中Happy Eyeballs算法,自行开发相关移动客户端构件,实现对移动客户端互联网IPv4/IPv6服务质量的判断和自动选择机制,确保互联网应用的用户访问体验。 5.下一步计划 在推动IPv6规模部署工作当中,工行以落实国家战略为使命,始终坚持先试先行,不断积累并分享改造经验,努力通过以点带面来扩大金融行业参与下一代互联网演进升级事业的工作成果。在推进IPv6规模部署专家委员会的指导下,我国数据通信产业界成立了“IPv6+技术创新工作组”,工行作为工作组参与主体之一,后续将依托IPv6规模部署成果,进一步加强基于“IPv6+”的技术标准体系建设,从网络路由协议、管理自动化、智能化、提高网络安全、开展新应用试验验证等各方面开展技术研究与创新应用,为下一代互联网在经济金融领域的发展与应用贡献力量。 |