金融行业IPv6的改造转型之路探讨?

背景:为贯彻落实监管发文要求,加快推进基于IPv6的互联网在金融行业规模部署,促进互联网演进升级与金融领域的融合创新,为经济强国建设奠定坚实基础。 现状:数据中心软硬件基础设施大多支持双栈,但均为IPv4协议通讯,金融公司如已进行IPv6双栈支持,也仅通过外部互联网入口的负载均...显示全部

背景:为贯彻落实监管发文要求,加快推进基于IPv6的互联网在金融行业规模部署,促进互联网演进升级与金融领域的融合创新,为经济强国建设奠定坚实基础。
现状:数据中心软硬件基础设施大多支持双栈,但均为IPv4协议通讯,金融公司如已进行IPv6双栈支持,也仅通过外部互联网入口的负载均衡进行IPv6配置,数据中心内部仍为IPv4通讯。
遇到困难及探讨:
整个应用系统架构涉及面众多,如外部资源(CDN、域名)、硬件资源(安全设备、网络设备、服务器、存储设备、负载均衡、DNS等)、软件资源包(操作系统、数据库、中间件)以及应用本身等,此外大规模集群(IaaS云、容器云、大数据),如何既能循序渐进地进行IPv6改造又能在改造过程中保障应用服务的稳定性,特别是硬件设施网络设备的改造可能涉及多数据中心、多网络区域通讯,影响面很大。但是这块又非常重要,国家发文必须要要让金融企业做一些成果出来,但是大家的经验应该都不够,所以希望借着这个话题想引发大家对这个话题的探讨,同行可以谈谈自己的一些现状,经验,困难以及未来的规划等等都可以,献计献策为IPV6改造的转型之路添砖加瓦。

收起
参与26

查看其它 4 个回答黄江的回答

黄江黄江  技术支持 , 某银行

目前来说,主要是全局负载均衡与本地负载均衡厂家在进行配合与测试。

主要是分四个阶段进行
第一阶段:公网逐步改造,公网逐渐进行IPv6的替换,此时应用交付可以通过NATPT(NAT44/NAT64)可实现将IPv6向IPv4自动切换,首先AD上发布IPv6业务地址,用户内网不做改动,适应运营商骨干网的业务改造。
第二阶段:内网逐步改造,内网逐渐进行IPv6的替换,业务内网并存IPv4和IPv6服务器,此时应用交付可以通过NATPT(NAT44/NAT66)实现IPv4和IPv6的业务转换,可同时兼容内网双栈改造。方便用户将IPv4、IPv6业务逻辑分离,可看出IPv6的业务分布情况和客户端流量等,便于服务器审计
第三阶段:内网改造完成,内网业务系统全面切换到IPv6,此时应用交付可以通过NATPT(NAT46/NAT66)可兼容骨干网上未改造完成的IPv4业务。
第四阶段:内外网完全改造,内网完全完成IPv6的替换,此时应用交付可以通过NATPT(NAT66)实现最终改造完成。


改造方式主要是2种
改造方式一:在整个互联网出口边界最外侧进行改造,从运营商引入IPv6出口,增加网站域名对应IPv6地址的域名解析。在出口增加两台负载均衡做IPv6改造,将新增的IPv6线路连接到新增的负载均衡设备上,使用NAT-PT技术将访问业务系统的IPv6报文转换为IPv4报文,保证从负载均衡向内网业务系统方向出去的数据报文全部转换为IPv4的报文,实现的效果是负载均衡设备以上的网络运行IPv6和IPv4双栈,负载均衡以下的设备运行仅IPv4地址.
优点:改造实现简单,只需要出口网络设备和NAT设备(负载均衡)支持双协议栈即可,其他网络设备、安全设备以及业务系统无需调整。
缺点:1.端到端的安全性无法保证,在攻击溯源、流量审计等方面存在较大隐患,难以定位和具体封堵攻击源;
2.原有运行逻辑,业务流程,防护层次被打破,运行监控体系无法发挥效果。


改造方式二:从运营商引入IPv6出口,增加网站域名对应IPv6地址的域名解析。IPv6改造深入至业务边界,在业务负载均衡上配置IPv6虚地址(站点本地地址),在负载均衡设备上进行IPv6虚地址与IPv6实地址(全局单播地址)的一对一映射,在业务负载均衡上同时监听IPv4和IPv6的端口访问请求,通过业务负载均衡将IPv6访问请求转换为IPv4访问请求,发送给对应的业务系统。业务负载均衡设备及以上的网络运行IPv6和IPv4双栈,业务负载均衡设备及以下运行仅IPv4地址。

优点:1.改造实现难度适中,只需要业务负载均衡及以上设备支持双协议栈即可,其他网络设备及业务系统无需调整;

  1. 现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效;
  2. 能基本实现端到端的安全性法,在可以进行攻击溯源、流量审计,能够定位和具体封堵攻击源。
    缺点:1.改造难度较方式一略大;
    2.需要评估现网中网络、安全以及负载均衡设备对IPv6的支持情况和性能压力;
  3. 需要考虑外网安全设备针对IPv6网络安全防护情况,是否能够达到目前网络安全防护的要求。
银行 · 2019-10-21
浏览3618

回答者

黄江
技术支持某银行
擅长领域: 网络Overlay虚拟化

黄江 最近回答过的问题

回答状态

  • 发布时间:2019-10-21
  • 关注会员:7 人
  • 回答浏览:3618
  • X社区推广