從IPv4過渡到IPv6 電子政務(wù)外網(wǎng)建設(shè)方案
作為國家電子政務(wù)骨干網(wǎng)的電子政務(wù)網(wǎng)外網(wǎng),承載各政府部門的多種業(yè)務(wù),卻大量使用著私網(wǎng)地址和地址轉(zhuǎn)換技術(shù)。目前在電子政務(wù)外網(wǎng)內(nèi)存在三類地址,第一類是公網(wǎng)地址,作為資源共享區(qū)和互聯(lián)網(wǎng)區(qū)的服務(wù)器地址,每個省分配1個公網(wǎng)B類地址,每個縣分配一個C類地址,遠(yuǎn)不夠各地方政府使用;第二類是10網(wǎng)段地址,作為電子政務(wù)外網(wǎng)的私網(wǎng)地址使用,在電子政務(wù)外網(wǎng)內(nèi)統(tǒng)一規(guī)劃,到互聯(lián)網(wǎng)需要進(jìn)行地址轉(zhuǎn)換;第三類是各接入部門內(nèi)部的局域網(wǎng)地址,一般是192網(wǎng)段,由各部門自行規(guī)劃,或根據(jù)縱向業(yè)務(wù)接入要求進(jìn)行規(guī)劃,訪問資源共享區(qū)域需要進(jìn)行地址轉(zhuǎn)換??梢娂词乖陔娮诱?wù)外網(wǎng)的辦公應(yīng)用方面,都需要部署大量的設(shè)備提供地址轉(zhuǎn)換功能。
本文引用地址:http://cafeforensic.com/article/154820.htm此外,作為我國電子政務(wù)的骨干網(wǎng),將有越來越多的應(yīng)用接入電子政務(wù)外網(wǎng),一些復(fù)雜新業(yè)務(wù)的開展也受到IP地址的制約。比如應(yīng)急指揮業(yè)務(wù),涉及大量的監(jiān)控、視頻會議、通信設(shè)備等終端,必然會占用大量的IP地址,我們不得不投入較大的人力、物力在如何有效的分配IP地址和進(jìn)行地址轉(zhuǎn)換上。在環(huán)境與生態(tài)監(jiān)測、交通控制等領(lǐng)域,使用傳感器協(xié)作地監(jiān)控不同位置的物理或環(huán)境狀況,進(jìn)行統(tǒng)一的分析或決策指示。比如地震監(jiān)測、水文監(jiān)測等,跨地域廣泛分布的傳感器網(wǎng)絡(luò)正在形成,這些設(shè)備同樣面臨IP地址的有效分配問題。
電子政務(wù)外網(wǎng)目前運(yùn)行的是IPv4業(yè)務(wù),并采用MPLS VPN技術(shù)來隔離不同的業(yè)務(wù),技術(shù)實(shí)現(xiàn)上較為復(fù)雜。考慮到IPv6規(guī)范制定尚不完善,IPv6技術(shù)應(yīng)用并不成熟,在國內(nèi)也只有IPv6實(shí)驗(yàn)網(wǎng)絡(luò),還沒有真正意義上的商用IPv6網(wǎng)絡(luò)出現(xiàn),因此在電子政務(wù)外網(wǎng)不適宜建設(shè)大規(guī)模的IPv6網(wǎng)絡(luò),可采取先試點(diǎn),再推廣的方式進(jìn)行。在國家電子政務(wù)外網(wǎng)和少數(shù)幾個部委、少數(shù)省電子政務(wù)外網(wǎng)先進(jìn)行試點(diǎn)IPv6建設(shè),試點(diǎn)單位的終端主機(jī)升級為IPv6/IPv4雙棧;逐步增加IPv6業(yè)務(wù)系統(tǒng),先增加一部分IPv6/ IPv4雙棧業(yè)務(wù),既能支持新增IPv6終端主機(jī)的訪問,也支持未能升級的IPv4終端主機(jī)的訪問。試點(diǎn)網(wǎng)絡(luò)的建設(shè)應(yīng)兼容IPv4和IPv6兩種協(xié)議,考慮到國家電子信息產(chǎn)業(yè)振興規(guī)劃強(qiáng)調(diào)推進(jìn)下一代網(wǎng)絡(luò)(IPv6)的試驗(yàn)和推廣,在政務(wù)外網(wǎng)上的網(wǎng)絡(luò)升級應(yīng)采用更為先進(jìn)的技術(shù)--雙棧技術(shù)實(shí)現(xiàn),為后續(xù)建設(shè)純IPv6網(wǎng)絡(luò)進(jìn)行技術(shù)積累。在技術(shù)設(shè)計上,先在共享資源區(qū)試點(diǎn)IPv6的IP地址分配、路由規(guī)劃等基本的IPv6技術(shù),然后再試點(diǎn)IPv6 MPLS VPN技術(shù),將部分縱向VPN切換到IPv6網(wǎng)絡(luò)運(yùn)行。
在電子政務(wù)外網(wǎng)上實(shí)現(xiàn)端到端的IPv6涉及到三個系統(tǒng)的升級,分別是業(yè)務(wù)系統(tǒng)、終端系統(tǒng)和網(wǎng)絡(luò)網(wǎng)絡(luò)。
業(yè)務(wù)系統(tǒng)(包括業(yè)務(wù)系統(tǒng)軟件及相應(yīng)的數(shù)據(jù)庫、中間件):因?yàn)樯婕暗綄ぶ?,所以需要進(jìn)行升級。以數(shù)字監(jiān)控系統(tǒng)為例,就涉及監(jiān)控終端、編解碼器等的IPv6地址升級,以及服務(wù)器端尋址方式的升級。目前我國僅在教育科研網(wǎng)進(jìn)行了IPv6建設(shè),業(yè)務(wù)應(yīng)用多以游戲、視頻下載點(diǎn)播等校園應(yīng)用為主,適合政務(wù)應(yīng)用的IPv6資源和業(yè)務(wù)很少。因此在政務(wù)外網(wǎng)上可考慮逐步開發(fā)適合政務(wù)應(yīng)用的IPv6業(yè)務(wù),如公文交換、郵件系統(tǒng)等。
終端系統(tǒng):如果操作系統(tǒng)是windows Vista及以上系統(tǒng),默認(rèn)支持IPv6并且可以支持DHCP v6,無需升級;如是Windows其他版本或其他操作系統(tǒng),雖可以升級為支持IPv6,但升級后不能支持DHCP v6,因此建議操作系統(tǒng)采用windows Vista或以上系統(tǒng)。通過升級,使個人終端變成雙棧主機(jī),即可以同時訪問IPv4資源和IPv6資源。
網(wǎng)絡(luò)系統(tǒng):目前主要有兩種IPv4->IPv6的過渡技術(shù)。一種是隧道技術(shù),即將IPv6協(xié)議封裝在IPv4報文中穿越IPv4網(wǎng)絡(luò),適合為較少的互相獨(dú)立的IPv6網(wǎng)絡(luò)(或終端)提供聯(lián)通性。另一種是雙棧技術(shù),網(wǎng)絡(luò)設(shè)備必須同時支持IPv4/IPv6協(xié)議棧,這種過渡方式能兼容目前IPv4和IPv6共存的現(xiàn)狀,同時又可以平滑的從IPv4升級到IPv6.
在電子政務(wù)外網(wǎng)可采用雙棧技術(shù)和隧道技術(shù)結(jié)合的方式,在骨干網(wǎng)和部分試驗(yàn)局域網(wǎng)采用雙棧技術(shù),在投資有限的單位局域網(wǎng)可采用隧道技術(shù)。
電子政務(wù)外網(wǎng)IPv6方案
電子政務(wù)外網(wǎng)IPv6骨干網(wǎng)絡(luò)建議分階段建設(shè),先基于雙棧技術(shù),建設(shè)基礎(chǔ)IPv6網(wǎng)絡(luò),待技術(shù)積累成熟、網(wǎng)絡(luò)運(yùn)行穩(wěn)定后,再進(jìn)行IPv6 MPLS VPN的建設(shè)。電子政務(wù)外網(wǎng)基礎(chǔ)IPv6網(wǎng)絡(luò)建設(shè)可以考慮兩種建設(shè)模式,一是新建IPv6/IPv4雙棧網(wǎng)絡(luò),二是現(xiàn)有IPv4網(wǎng)絡(luò)升級為雙棧。下面逐一加以介紹。
1)新建IPv6/IPv4雙棧網(wǎng)絡(luò)
新建IPv6/IPv4雙棧網(wǎng)絡(luò)可與現(xiàn)有IPv4骨干網(wǎng)規(guī)模相同,但鏈路帶寬略低,兩張骨干網(wǎng)同時運(yùn)行。新建骨干網(wǎng)絡(luò)承載IPv4和IPv6協(xié)議,后續(xù)該新建網(wǎng)絡(luò)可作為IPv6骨干網(wǎng)專門承載IPv6協(xié)議。
可試點(diǎn)將共享資源區(qū)的業(yè)務(wù)逐步切換到IPv6,在電子政務(wù)外網(wǎng)IPv4網(wǎng)絡(luò)依舊承載縱向VPN和Internet業(yè)務(wù),如圖1.
圖1 IPv4網(wǎng)絡(luò)、IPv6/IPv4雙棧網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃
在新建雙轉(zhuǎn)網(wǎng)絡(luò)中,建立雙棧業(yè)務(wù)服務(wù)器,網(wǎng)絡(luò)中的所有雙棧設(shè)備均具有IPv4/IPv6兩種地址。由路由器鏈路層解析出接收到的數(shù)據(jù)包的數(shù)據(jù)段,拆開并檢查包頭。如果IPv4/IPv6包頭中的第一個字段,即IP包的版本號是4,該包就由IPv4的協(xié)議棧來處理;如果版本號是6,則由IPv6的協(xié)議棧處理。
雙棧路由器可通過雙棧主機(jī)的目的訪問地址尋徑路由到IPv4資源或IPv6資源,如圖2.如果雙棧主機(jī)訪問縱向VPN或Internet,雙棧主機(jī)將其歸屬到IPv4網(wǎng)絡(luò),按照原IPv4網(wǎng)絡(luò)的方式轉(zhuǎn)發(fā)報文;如果雙棧主機(jī)訪問IPv6地址,則雙棧主機(jī)將在雙棧網(wǎng)絡(luò)尋址資源。
評論