观点 | “IPv6+”是金融数字化转型深化过程中的必然选择
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
华为技术有限公司
高级解决方案专家 赵刚
当前,推动IPv6的规模部署已成为建设网络强国的重要国家战略。“十四五”规划和2035年远景目标纲要强调全面推进IPv6商用部署。2021年中央网信办、国家发展改革委、工业和信息化部联合印发《关于加快推进IPv6规模部署和应用工作的通知》,进一步要求推动金融行业IPv6演进升级,深入推进金融机构广域网、分支机构网络、数据中心的IPv6改造。
国家的顶层设计对IPv6的部署进程影响很大。放眼全球,各国IPv6规模部署突飞猛进态势主要来自各国政府的影响,领先国家的政府表现出更强的政策力度、更广泛的政策覆盖,以及更频繁的政策更新。罗兰贝格针真对全球IPv6发展情况的调研表明了IPv6与经济影响的关系:“IPv6部署指数每增加10%,将推动国内生产总值增长约0.4%”。
在全球IPv6角力的背景下,我国IPv6规模部署已进入第三阶段。IPv6专家委员会主任邬贺铨院士指出,“IPv6+”是IPv6规模部署第三阶段的重要抓手。IPv6是下一代互联网升级的起点,“IPv6+”是下一代互联网体系的核心创新技术。
为什么“IPv6+”是下一代互联网体系核心创新技术?
2016年“雪人计划”在全球16个国家新增设了25台IPv6根服务器,为建立多边、民主、透明的国际互联网治理体系打下基础。同时IPv6+技术体系的创新是IPv6真正得到快速部署的根本原因。
1998年,第一篇IPv6协议规范RFC2460发布,IPv6发展前十几年一直不温不火。2013年业界专家提出了Segment Routing(简称SR)技术,SR提出之初是为了解决MPLS技术面临的问题,因为符合SDN技术演进的发展趋势,得到业界广泛认可。SR提出了控制平面和数据平面概念,其中数据平面有两种,基于MPLS数据平面的Segment Routing称为SR-MPLS;基于IPv6数据平面的Segment Routing称为SRv6。虽然在SR架构里就提及了SRv6,但是业界的焦点是SR-MPLS,SRv6并未引起波澜。
2017年3月由克拉伦斯,华为李振斌等人提出SRv6 Network Programming(简称SRv6 NP),将原有的SRv6升级为SRv6 NP,SRv6 NP将长度为128比特的Segment段(Segment ID,称为SID)划分为Locator、Function和Argument三部分。Locator是可以用来寻址的地址段,具有定位功能。Function和Argument可以类比计算机指令的两方面:内容操作指令和参数。Function就是要执行的操作指令,表达要执行的转发动作,Argument就是这个指令用到的参数。报文转发到指定的Locator后就执行Function指定的动作,如解封装,应用特定的SRv6 Policy等。
SRv6 NP融合了路由和MPLS的能力,提升了SRv6路由扩展头(SRH)的网络可编程能力。如果说2013年到2016年,IETF重点完成的是控制平面的SDN演进,那么从2017年SRv6 NP开始,重心转移到转发面SDN演进。因此2017年才普遍被认为是SRv6真正的元年,2017年后SRv6被各行业所接受,在全球展开了快速部署。
SRv6 NP的意义不仅仅在“IPv6+”标准体系的首批RFC标准,更在于以下3点。
■ 打破连接孤岛。MPLS跨域带来了连接的孤岛,SRv6打破了连接的孤岛,实现跨域,甚至省干、国干的快速部署。2018年Linux内核宣布支持SRv6,基于Linux内核的操作系统和创新终端天然就支持SRv6。SRv6技术理论上可以进一步打破“云-网-端”的连接孤岛,实现从终端一跳入云的SRv6端到端连接。
■ 网络感知应用。传统网络与应用解耦,基于SRv6技术可实现应用与网络的结合。可以把应用的信息、用户信息、SLA信息等带入网络,使得网络流量和应用结合起来,有更大的操作空间。
■ 推进IPv6体系发展和成熟。SRH的设计理念引入IPv6协议族后,促进了随流检测、分片(VPN+)、组播(BIERv6)等技术的快速发展,打开了ALL IPv6新的大门。“IPv6+”就是以这些创新技术为代表的网络技术体系创新。
所以,基于“IPv6+”技术体系,可以释放IPv6技术潜能和优势,进一步促进IPv6端到端贯通应用发展,深化行业融合应用,实现IPv6技术、产业、网络、终端、应用与安全协调并进,打造创新发展新优势。
“IPv6+”将给金融行业数据化转型带来哪些变化?
金融数据化转型已经从多点突破迈入深化发展阶段,“IPv6+”已在部分金融场景经过创新验证,发挥出重要的作用。
1.多地多活数据中心场景
金融行业信息安全和业务连续性要求高,监管单位对金融机构提出了明确的建设要求,数据中心建设要采用“两地三中心”以及具备“多活”的能力,部分大型银行已经进入多地多中心架构。基于“IPv6+”技术构建多中心多活容灾有如下优势。
● 通过基于IPv6的全局域名调度,配合双中心IPv6 SDN互联延伸网络架构,实现线路接入、前置资源、内网资源的多活容灾。多中心通过SRv6互联实现云网协同互通,简化部署。
● 多中心之间数据中心互联(DCI)网络,通过“IPv6+”的分片技术可实现金融业务的端到端资源隔离。同时网络智能流量调度将提升带宽利用率,每年节省百万~千万元专线租赁费用。
● 基于用户位置、线路带宽、业务质量、云资源负载等可进行灵活的资源调度,实现网随业动、网随云动。“IPv6+”业务保障能力可实现秒级业务切换,在增加AI提升预测能力的同时,可实现从故障驱动的被动运维转变为预测性主动运维。
2.海量终端的物联网场景
随着普惠金融服务类型的不断丰富,仓储物联网金融、货运物联网金融、公共服务物联网金融等创新模式金融服务的不断推出,对支撑这些业务的物联网平台而言,基于IPv6海量的地址空间可以满足万物互联的通信要求。“IPv6+”技术对物联网有如下优势。
● 充分利用IPv6的海量地址空间,为每个IOT设备分配全球唯一的IPv6地址,可以满足现在和将来万物互联的通信需求。
● 由于IPv6的海量地址空间,无需大规模部署NAT设备,可实现网络端到端溯源,降低安全隐患以及降低网络建设成本。
● “IPv6+”的应用识别能力可解决当前物联场景下网络层面业务识别、路径检测、路径选择问题,从而实现业务保障;进一步基于AI的学习,可进行物联终端业务流量行为分析,实现自动化物联IoT聚类、差异化服务保障、异常行为安全检测等方面的能力。
3.数字货币等创新应用场景
数字货币已经进入发展期,ICT的基础架构要配套数字人民币业务量和应用范围的增长和扩大,支撑平台变革如跨中心交易协同以及海外业务扩展等。“IPv6+”技术应用于数字货币有如下优势。
● 数字货币有跨中心交易协同业务的特点,如多地分布式账本,基于“IPv6+”的组播技术可以有效解决1:N链接问题,降低广域带宽,提升账本节点性能。
● 对于跨中心大数据量同步业务需要高性能、低时延环境。“IPv6+”低时延与时延控制技术,能够有效避免突发拥塞丢包和网络转发调度不确定时延,保障丢包以及时延在一个可控范围,提升跨中心交易协同业务的性能。
● 安全可靠是关键。IPv6协议引入报文扩展头、地址自动配置等新特性,在提高网络服务质量的同时,也引入组播通信、MTU路径发现等新特性,可有效应对广播风暴、分片攻击等部分网络安全风险。同时在国家标准方面,涵盖应用层、网络层、终端层等层次的IPv6网络安全体系框架也正在加速推出。总体来讲,在IPv6环境中,攻防双方正处于同一起跑线。
除了以上场景,“IPv6+”已经融入金融数字化转型的方方面面。随着“IPv6+”技术创新与融合应用研究的持续深入,场景适配会不断增强,“IPv6+”成果转化进程会更加顺畅。
金融系统如何在安全稳定运行的前提下完成IPv6演进?
IPv6的演进是在“IPv6+”创新并保证系统可靠性的前提下,向IPv6单栈过渡的过程。演进的总体目标是在深入推进IPv6规模部署和应用,从应用、系统、网络、终端、支撑平台五个层面形成全金融ICT底座,最大化发挥基于IPv6的业务价值网。IPv6演进的要点在实施顺序方面,规划先行、网络先行、新建系统先行、培训和技能培养先行,支撑配套同步展开;调研方面,应全面理清应用、系统、网络、终端、支撑系统等对IPv6的支持情况,对不支持的基础软硬件制定相应的版本升级或更新替换计划。
● 应用层面:需要制定新应用IPv6单栈开发规范(含IPv6数据标准),新开发应用采用IPv6单栈。存量IPV4/IPv6双栈及IPV4单栈应用逐步过渡到IPv6单栈,制定存量应用IPv6单栈改造规范,确保所有应用的开发与改造遵循统一的规则,避免开发及改造环节引入风险。应用除了自身功能外,多数存在外部链接功能,应用间关系复杂,且存在多层级应用串联关系。可以从规范化、体系化两个方面确保功能改造的完整性。对于应用之间存在强关联绑定关系,必须同时投产才能保证纯IPv6环境下业务的正常使用。
● 系统层面:根据下一代互联网国家工程中心、全球IPv6测试中心发布的《2018-2021全球IPv6支持度白皮书》表明应用软件涉及的主流数据库、程序开发软件和办公软件已具备了IPv6基础支撑能力。新部署数据库、中间件、操作系统可直接采用IPv6单栈; 存量数据库、中间件、操作系统逐步过渡到IPv6单栈。新部署IaaS、PaaS管理面直接采用IPv6单栈,新部署IaaS、PaaS业务面采用IPv4/IPv6双栈,逐步演进到IPv6单栈;存量IaaS、PaaS业务面及管理面逐步演进到IPv6单栈。
● 网络层面:IPv6可助力金融行业实现骨干网、网点接入网、园区网络和数据中心网络的目标架构统一。首先,基于端到端SRv6技术,可打破金融核心骨干网和金融泛在接入网的界限,构建广域一张网,可提供金融业务一跳入云能力;然后,逐步引入网络切片、随流检测、新型组播等技术,实现端到端应用SLA保障自动化;进一步,引入应用感知(APN6)+AI技术,构建金融行业数字孪生,海量数据网络预测和预防能力,实现应用驱动的网络、高度自治的网络。
● 终端层面:梳理各类客户端的行为机制,通过对典型的客户端访问应用流程进行梳理,理清双栈客户端行为机制,对其中各环节的运行机制进行仔细研究、测试,以支撑应用的开发部署和顺利投产以及投产后各类问题的排查和分析。参考RFC6555和RFC8305中Happy Eyeballs算法,实现对移动客户端互联网IPv4/IPv6服务质量的判断和自动选择机制,确保互联网应用的用户访问体验。
● 支撑层面:支撑层面包括DNS、CDN、安全、运维、ISP网络等。完成权威域名解析服务器的IPv6地址发布,实现权威域名系统可以同时通过IPv4和IPv6对外提供域名解析服务,具备完整的双栈域名授权体系;在应用正式向外发布服务前,需要完成安全系统、运维管理系统的配套改造,以确保IPv6的安全和运维管理能力不低于IPv4服务环境。
结 束 语
金融ICT基础设施IPv6的演进是一个巨大的系统性工程,在国家及“一行两会”政策支撑和引导下,IPv6产业发展到一定规模会逐渐转变为市场驱动。目前,金融IPv6商用已在全行业处于领先位置,截至2021年12月底,金融业门户网站及面向公众服务的互联网应用系统IPv6支持率分别达到96.57%和93.77%,六大行已完成SRv6骨干网部署。2022年,金融行业IPv6规模部署进入第三阶段“持续建设”的深水区,需要持续开展网络、应用、终端的IPv6升级改造工作。相信随着“产-学-研-用”全产业链的持续努力,“IPv6+”即将迎来高速发展期,并为金融数字化转型深化贡献力量。
华为十余名行业专家基于经验总结输出《金融ICT基础设施IPv6演进技术白皮书》,希望基于此白皮书,能够为金融行业IPv6技术演进提供一定的参考和建议。
扫码下载白皮书
往期精选:
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧