政务外网IPv6部署演进
IPv6是互联网升级演进的必然趋势、是网络技术创新的重要方向、是网络强国建设的基础支撑。“十四五”时期,我国将加快数字化发展,大力推进数字政府建设。为贯彻落实党中央决策部署,有效应对数字时代的业务挑战,需要加快政务外网向IPv6演进。本文旨在通过对政务外网建设思路和演进路径分析研究,为地方政务外网IPv6发展改造提供参考。
政务外网发展现状
目前,全国政务外网接入部门达40余万家,接入终端数达600余万台,承载应用包括公共服务、政务内部业务和基础服务等。全国一体化政务服务平台、全国信用信息共享交换平台、投资项目在线审批监管平台等重要跨部门应用均依托政务外网部署运行。如图1所示,国家电子政务外网由网络平台和部门电子政务外网构成,平台分为中央、省、市、县四级。网络平台分为公用网络区和互联网接入区。公用网络区提供跨部门业务互通功能;互联网接入区向互联网用户提供服务。
图1 电子政务外网基础网络架构
政务外网面临业务挑战
IPv4地址不足,制约政务业务发展
国家信息中心于2015年申请了64个B类IPv4公有地址,用于政务外网建设,划分网段后,地址空间利用率为30%左右,每个部门平均可使用的全局IP地址小于4个,IP地址量严重制约信息系统建设和数据共享,影响政务业务持续创新。
网络运营管理难度大
IPv4地址长度有限,可读性差,不能进行直观管理,致使管理难度加大;由于IPv4地址有限,出现私有地址采用,导致用户级管理难以实现;网络故障定位复杂度高,网络负载调整不便;带宽利用率低,影响业务体验并提高成本;基于IPv4的政务外网,缺乏对业务的差异化保障能力,工作量大且容易出错。
网络安全防护难度增大
首先是私有地址重复,安全监测和溯源难度大。对于政务公共业务,政务部门经过NAT(网络地址转换)后进入政务外网,或者各省流量经过NAT后进入中央级政务外网,由于多个用户共用一个IP地址,当安全监测平台监测到攻击后,并不能精准定位到具体主机进行取证。其次,公网地址错误私用,存在数据泄漏风险。当IPv4地址不足时,有些地方可能会把其他组织已申请但未启用或非私网的IP地址作为私有地址使用,一旦这些地址后续在公网重新启用,由于内网已经使用该地址,将导致内网用户根据私网路由无法正常访问公网启用的相应服务。
IPv6产业加速升级
IPv6发展现状
全球IPv6发展呈加速态势,产业链已经基本成熟。
在操作系统层面,移动终端、固定终端和信创终端都支持IPv6,如表1所示。当业务服务器具有双栈地址时优选IPv6,若IPv6地址不可达,根据《IPv6演进路线图和实施技术指南——政务外网》的要求,可以切换到IPv4,通过IPv4/IPv6翻译技术实现IPv4/IPv6双向互访,逐步过渡到IPv6单栈技术。
表1 主流操作系统IPv6支持情况
在网络/安全设备层面,主流路由器、交换机已支持IPv6,安全产品已具备基本IPv6防护能力、检测能力、审计能力和大数据分析能力,满足基本商用部署需求,如表2所示。
表2 主流网络/安全设备IPv6支持情况
在应用软件层面,根据官方数据整理得出,当前主流的数据库、中间件、程序开发软件和办公软件已具备了IPv6基础支撑能力。
在云平台层面,主流云平台已具备IPv6服务能力。
综上可知,主流的操作系统、网络/安全设备、应用软件、云平台已经具备IPv6能力,行业基础信息化设施已经具备向IPv6演进的条件。
“IPv6+”产业现状
“IPv6+”是基于IPv6下一代互联网的升级,如图2所示,包含两方面:一是由万物互联向万物智联的升级,二是由消费互联网向产业互联网的升级。
图2 IP网络代际规划
“IPv6+”包括:一是以SRv6分段路由、网络编程、网络切片、确定性转发、随流检测等为代表的网络技术体系的创新;二是以实时健康感知、网络故障主动发现、故障快速识别、网络智能自愈等为代表的智能运维体系的创新;三是以5GtoB、云间互联、用户上云等为代表的网络商业模式的创新。目前,我国已逐步迈入“IPv6+”商用部署阶段。多个运营商及行业用户已相继进行了部署。在数字政府领域,国内不少省市积极采用先进的“IPv6+”建网理念和网络架构来建设新一代电子政务外网。
政务外网IPv6应用实践
中央级政务外网IPv6双栈改造与部门应用试点
截至2020年底,中央城域网支持IPv4/IPv6双栈协议,对部分有互联网业务的部委接入设备进行了替换。审计署办公厅和国家电子政务外网管理中心在天津市和山东省联合开展第一批金审三期IPv6试点工作。具体来说,审计署本级、国家电子政务外网先行改造;同时选取山东审计厅和天津审计局、以及山东省和天津市电子政务外网作为IPv6试点,完成试点审计厅(局)IPv6网络建设以及应用的IPv6接入,完成试点省(市)电子政务外网IPv6升级改造,以及试点审计机关接入省(市)政务外网,并实现与审计署本级IPv6互联互通。
广东省政务外网IPv6+改造
秉承“全省一张网”的统筹规划思路,广东省在网络升级改造过程中采用先进的IPv6+技术,打造新一代电子政务外网。2021年初,广东省新一代电子政务外网正式上线。通过对IPv6+技术的应用,同时满足省级政务应用视频、数据一网承载的诉求,为推动政务网络集约化建设打下基础,有效解决原有电子政务网络业务开通慢、体验差、运维难等问题,为实现广东省政务服务“一网通办”、政府治理“一网统管”、政府运行“一网协同”提供了强有力的网络保障。
国家卫健委IPv6升级和IPv6单栈平滑演进
2018年8月,国家卫健委官方网站通过无状态IPv4/IPv6翻译技术进行了IPv6升级,成为国家第一批IPv6升级改造示范案例之一,为公众提供了稳定高效的IPv6访问服务。在引入IPv6访问后,国家卫健委实现了IPv4网站日志和无状态翻译设备的IPv6日志联合分析,设计完善的审计监管机制,并对形成的数据进行分析,包括但不限于分析IPv6用户的来源、分析访问行为、收集可能的攻击行为等,同时可以与其他来源的数据进行比对,帮助信息化部门更好地进行安全管理以及对系统进行访问优化。
在上述工作基础上,国家卫健委对整体业务系统和网络进行了向IPv6单栈平滑演进的整体规划,以无状态翻译技术为基础,使得IPv4和IPv6可以双向互联互通,帮助现有的IPv4网络和信息系统有计划地循序渐进升级到纯IPv6。该项工作符合国家关于单栈IPv6的发展规划,也为基于IPv6的医疗健康领域新应用提供了经验和基础。
第一阶段:国家卫健委门户支持IPv6连接访问。建设不低于现IPv4网络防护能力的安全防护体系。
第二阶段:国家卫健委面向公众服务的互联网应用全部支持IPv6连接访问。新建纯IPv6DMZ网络区(隔离区),用少量非关键业务做试点,通过无状态翻译技术对IPv4互联网用户提供服务,保证在IPv4/IPv6环境下,达到同等业务连续保障能力,满足规模推广阶段要求。考虑到现有的安全设备和入侵检测设备可能对IPv6支持并不理想,使用IPv6-IPv4-IPv6双重翻译技术,实现IPv4安全设备对IPv6流量的安全审计和安全防护,保护网络、系统和数据的安全。
第三阶段:国家卫健委在做好面向公众服务的互联网应用系统IPv6改造基础上,平滑稳步推进IPv6规模部署,包括网络、终端及业务应用系统逐步升级为纯IPv6,同时保证全球互联网IPv4的连接访问需求。
基于IPv6构建
下一代电子政务外网
政务外网IPv6演进思路
政务外网应采用统一规划、分级负责的模式建设,IPv6演进过程遵循应用驱动、规划先行、分级分域、保障安全的原则统筹推进。演进过程中必须保障业务的可持续性及网络安全性,实现“业务不断,安全不乱”。
各级政务外网IPv6演进需要政务云、网络平台、部门政务外网三方面协同发展,优先进行政务云互联网接入区改造;优先进行基础设施改造,打通政务外网IPv6访问通路,为IPv6应用上线奠定基础。
构建集约化、高品质、智安全的下一代电子政务外网
1.基于IPv6构建集约高效的政务基础设施
一方面统一承载,进行集约化建设,通过为全网业务系统的服务器、终端等分配唯一的IPv6地址,实现政务非涉密业务通过统一的政务云、政务外网来承载,实现政务资源的集约化。
另一方面数据大集中,提升政务业务效率,在每个服务器和终端具有唯一的IPv6地址后,实现扁平化的架构,不同层级的服务器和终端等可以直接通信,提升政务业务的处理效率。
2.通过IPv6+,实现高品质政务体验
一是网络切片保障重保业务质量,通过网络切片技术,为重保业务提供独立的带宽资源,在其他业务出现拥塞时,不影响重保业务的质量。
二是提高专线利用率,基于SRv6分段路由技术,实时采集整网链路的时延、丢包等质量信息,并自动进行优化,提升专线带宽利用率,降低运营成本。
三是随流检测提升管理运维效率,通过iFIT随流检测技术,实时检测业务的质量,结合APN6(IPv6应用感知网)技术,将视频会议等终端与网络深度协同,实现应用端到端可视和运维。
3.依托IPv6+安全优势,提供精准安全管控和溯源
全网终端具有唯一的IPv6地址,通过安全监测分析平台,实时检测网络威胁,精准溯源到终端位置,对异常终端进行阻断,杜绝异常外联及跨网攻击的发生;利用IPv6地址丰富的扩展字段,可以携带用户ID等信息,再通过用户ID等信息,对用户进行精准的认证和威胁防护。
参考文献(上下滑动查看全部内容)
[1]政务外网IPv6演进技术白皮书[EB/OL].国家电子政务外网管理中心办公室,2021.
[2]IPv6演进路线图和实施技术指南——政务外网[EB/OL].国家电子政务外网管理中心办公室,2021.
[3]关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知[EB/OL].中央网络安全和信息化委员会办公室,国家发展和改革委员会,工业和信息化部,2021.
[4]国务院办公厅关于加快推进政务服务“跨省通办”的指导意见[EB/OL].国务院办公厅,2020.
[5]“十四五”推进国家政务信息化规划[EB/OL].国家发展和改革委员会,2021.
作者:金梦然、周豪(国家信息中心)
投稿或合作,请联系:eduinfo@cernet.com
往期推荐
点击观看↓教育如何守正创新
欢迎分享、点赞、在看
积极留言还会有惊喜好礼哦~