本文选自《金融电子化》2020年2月刊

文 / 齐商银行信息科技部  孙居忠 刘昕宇

为进一步落实山东省金融行业 IPv6 规模部署工作推进会议精神，齐商银行积极行动，周密部署，经过不断的探索和实践，于 2019 年 10 月 17 日成功完成门户网站 IPv6 升级改造，成为山东省内首批支持门户网站 IPv6 访问的城商行。

IPv6 规模部署实践

1. 高度重点关注，精心组织

IPv6 规模部署作为我国网络强国战略的重大实践，全行上下充分认识到落实该项工作的重大意义以及随之而来的金融科技领域的新机遇，行领导要求将该项工作作为大事、要事来抓，成立 IPv6 规模部署推进工作领导小组，分管科技副行长担任组长，CIO 担任副组长，科技、业务、宣传等部门选派精兵强将组建 IPv6 实施团队。

实施团队率先展开工作，一是积极开展外部环境调研。积极了解开展 IPv6 互联网涉及的外部环境（如 ：域名系统、运营商、终端、IP 地址申请及备案等）的调研，及时把握 IPv6 发展状况，确保 IPv6 实施的质量。二是加强基础设备功能评估。针对网络、系统、安全关键软硬件基础设施展开功能和性能测试，进一步摸清关键基础设施软硬件对 IPv6 支持程度，明确了软硬件升级的目标，并为后续的详细计划制定和部署实施奠定了坚实基础。三是搭建完善的测试环境。前期由于缺少 IPv6的实施建设经验，积极协调运营商，申请临时的互联网 IPv6 地址段，打通测试环境 IPv6 链路，为信息系统软件测试提供真实的 IPv6 环境。四是进行测试环境 IP地址总体规划。IP 地址贯穿整个业务上线流程，IPv6 相对 IPv4 地址从结构上发生了根本性的改变，长度也由原来的 32 位增加到 128 位，超级不便于记忆和维护，因此 IPv6 地址的规划设计在思考容量、可汇总、独立性方面之外，更重大的是要充分做到易标识、易识别，充分思考了运维的便利性，制定了测试环境的 IPv6 地址规划。

2. 统一规划，科学推进

IPv6 改造不仅仅是 IP 地址的变更，IPv6 相对 IPv4 虽有许多共通之处，但在技术细节、应用、运维方面又具备自身的独立性。虽然 IPv6 已出现许多年，技术本身也很成熟，但由于推广和实际实施、运维经验的缺乏，即使专业的网络运维人员，没有经过系统的学习、培训及实践，也很难对 IPv6 有较为深入的理解。

在缺乏企业级 IPv6 网络升级改造案例参考的情况下，信息科技部积极与各电信运营商、资深技术专家、大型网络厂商交流学习、分析论证，结合现有网络软硬件支持能力及人员技术水平，制定了与《实施意见》相匹配的 IPv6 规模部署“三步走”规划，总体思路是夯实基础、由易到难、平稳过渡。第一步尤为关键，由 IPv4 向IPv6 转换，由于 IP 协议的变化，IPv6 新的特性对原有 IPv4 网络的架构设计、运维管理、安全防护带来了不小的冲击，技术路线、管理方式都需要更新换代，充足的技术储备与素质过硬的技术人员将是推动 IPv6 规模部署工作的核心力量。内网网络由 IPv4 完全进化到 IPv6 将是一项长期的工作，是一个人力、物力、财力都需要持续投入的项目，在夯实基础的前提下，制定由易到难的技术升级计划、分批执行的预算计划有助于整体工作的分步实施。2019 年底前完成面向互联网关键基础软硬件的升级、三年内实现全网设备的 IPv6 支持、老旧系统分批完成升级改造、新系统原生支持 IPv6，从技术实现相对简单的门户网站到面向交易的网银、手机银行、积分商城，再到全行骨干网络分阶段完成改造升级，将是齐商银行未来IPv6 规模部署工作的整体规划。

3. 深入研究 , 明确路线

齐商银行组织科技骨干对 IPv6 技术改造进行了深入研究和探讨，与山东省城商行联盟、电信运营商、金融同业、IT解决方案提供商进行充分协商沟通，广泛听取各方面的意见。经过梳理，门户网站IPv6 升级改造的过渡技术路线主要有云代理访问、IPv4&IPv6 双栈和地址转换等三种技术。云代理方式主要通过租用电信运营商 IPv6 协议转换器实现 IPv6 用户对现有网站的访问，用户端只需要做好域名的 IPv6 地址备案工作即可，投入低，见效快，但对后续系统 IPv6 改造无借鉴意义。双栈方式是一种最直接 IPv6 升级改造方式，网站经过双栈升级后，既可以支持来自 IPv4 的用户访问，也可以支持来自 IPv6 的用户访问。但改造过程存在投入资金大、改造周期长问题，可能无法满足《实施意见》对系统改造上线的时间要求。NAT64 转换方式是借助协议转换设备完成 IPv4 和 IPv6 相互转换，实现网站系统对外提供 IPv6 接入服务，采用转换方式进行升级改造是既经济又快速的办法。综合思考以上因素，结合齐商银行实际情况，最终选择了 NAT64 转换和双栈并行两种技术路线，在 IPV6 规模部署的过渡阶段，优先利用 NAT64 技术进行地址协议转换，同步进行双栈并行测试和技术积累，搭建全新双栈基础架构，将现有网络逐步过渡到双栈网络环境。

4. 稳步推进，成功试点

2019 年 6 月 30 日完成三家运营商IPv6 专线接入调试 ；7 月初完成 IPv6 技术性测试 ；7 月底确认最终改造方案；8月15日完成门户网站IPv6地址备案工作；8 月底三家运营商完成生产环境 IP 地址80 端口开放；9 月 12 日完成网站 IPv6测试环境访问测试；9 月 26 日完成域名AAAA 记录添加工作；9 月 27 日网站系统发版，门户网站 IPv6 升级改造工作顺利完成。

问题总结和经验分享

1. 总结积累经验，不断完善部署方案

采用地址转换方式实施过程简单、经济，不需要采购更新硬件设备，即可达到预期目标。过渡时期为后续进一步实施应用系统更新改造赢得了时间和条件。由于对网站系统未作实质性改动，就实现了 IPv4、IPv6 用户同时访问，有效保障了原有系统、网站数据的安全性，又为后续核心系统和新应用系统双栈并行改造积累经验。同时深入掌握推进方案存在的不足，如过渡阶段门户网站能够面向互联网IPv4 和 IPv6 用户提供网站访问，双栈客户在访问门户网站的网银、直销银行、积分商城、外部网站链接等未完成 IPv6 改造的系统自动切换成 IPv4 地址访问，纯IPv6 环境用户无法访问上述应用系统。近期加快对上述问题的研究，制定合理的优化方案。

2. 深入研究学习，提高技术能力

建立完善的 IPv6 网 络 管 理 体 系。IPv6 规模部署工作推动了全行网络架构向以 IPv6 为基础的下一代网络转型，IPv6 带来大量技术优势的同时，也为网络运维、网络安全的管理带来了新的挑战。IPv4 向 IPv6 过 渡 阶 段， 从前期 以IPv4 为主、通过协议转换或双栈模式实现 IPv6 访问，到后期 IPv6 流量增多、利用隧道技术将 IPv4 与 IPv6 环境打通实现平滑迁移，最终完成纯 IPv6 组网，运维人员将在必定时间内同时维护两张网络。如何实现海量 IPv6 地址规划与管理、网络流量分析系统如何识别 IPv6 流量、网络安全监控平台如何防御针对 IPv6 协议的新型网络攻击等问题都将成为网络管理需要面对的严峻课题。下一步齐商银行将加强专业网络管理人才培养，增加与外部专家的学习交流，探索企业级 IPv6 网络管理思路，匹配 IPv6 规模部署工作进度，保障技术演进与运维安全管理同步提升。

3. 丰富测试场景，严守安全底线

受限于运营商 IPv6 接入改造较慢，IPv6 地址备案工作不规范等缘由，导致整个改造过程中耗费时间较长 ；NAT64技术测试与验证、搭建测试环境、应用功能测试等也耗费较长时间。面向用户测试阶段，应充分思考客户端操作系统条件，Windows 系统、Linux 系统、苹果 MAC系统、Android 系统、苹果 IOS 系统在双栈模式和 IPv6 only 模式下的实际访问效果都应得到充分验证。由于使用 NAT64实现网站 IPv6 访问，隐藏了客户真实地址，造成无法根据 IP 地址进行终端溯源，导致存在较大安全风险。通过地址转换设备在访问连接 x-fowrd 字段识别客户端真实 IPv6 地址，完成了 IPS、WAF、DDos 安全技术验证，进一步提高网站安全防护能力。

后续规模推广思路

1. 全面铺开，稳步推进

2020 年底前实现所有面向互联网应用的 IPv6 访问。根据《关于金融行业贯彻 < 推进 IPv6 规模部署行动计划 > 的实施意见》要求，2020 年底前齐商银行将实现所有面向公共访问的互联网应用系统的 IPv6 访问。随着前期门户网站改造的顺利实施，齐商银行面向互联网服务的网络设备、安全设备、操作系统等基础软硬件已全面支持 IPv6，影响后续网上银行、手机银行、积分商城等互联网应用对 IPv6 支持的主要因素将聚焦在数据库、中间件版本、应用软件识别客户端 IPv6地址等上层软件的 IPv6 兼容性问题。齐商银行将于近期完成上层软件 IPv6 兼容性评估，制定软件升级改造计划，形成IPv6 部署工作专项预算，按照全面升级改造、充分测试验证、平稳切换上线的工作思路，全力保障 2020 年前实现所有面向互联网应用的 IPv6 访问目标。

2. 深入研究，加快新架构与业务发展的融合

探索 IPv6 技术，推动业务创新。在网络强国战略的大力驱动下，我国率先推进 IPv6 大规模部署应用，有利于丰富和繁荣新型网络应用服务，促进移动互联网、物联网、工业互联网、第五代移动通信等新兴业务创新发展。齐商银行将顺应发展趋势， 在万物互联的 时代， 积极探索IPv6 为金融科技带来的新机遇，深入挖掘 IPv6 的潜力，为业务创新赋能。