金融業(yè)IPv6改造之路“第二步”該如何走？

時(shí)間：2022-06-30 06:21:02 | 來源：建站知識

時(shí)間：2022-06-30 06:21:02 來源：建站知識

2020年,按照人民銀行、銀保監(jiān)會、證監(jiān)會于2019年發(fā)布的《關(guān)于金融行業(yè)貫徹落實(shí)<推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計(jì)劃>的實(shí)施意見》給出的“三步走”改造戰(zhàn)略,金融行業(yè)已步入IPv6改造的“第二步”規(guī)模推廣階段。2020年底,金融業(yè)機(jī)構(gòu)面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)需支持IPv6連接訪問,并具備與IPv6改造前同等的業(yè)務(wù)連續(xù)性保障能力,換言之,改造的主體由單純的門戶網(wǎng)站延展至整個面向公眾服務(wù)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)。

改造新階段,合規(guī)新要求

除改造主體的變化外,新階段的IPv6改造還將迎來更高標(biāo)準(zhǔn)、更嚴(yán)要求的監(jiān)管,具體合規(guī)要點(diǎn)如下:

1 、域名解析升級

很多域名服務(wù)商雖可配置AAAA記錄,但權(quán)威域名服務(wù)器不具備IPv6地址,不滿足2020年“第二步”IPv6改造要求。針對此點(diǎn),可用本地DNS服務(wù)器(如應(yīng)用交付控制器)進(jìn)行域名AAAA記錄解析,并為DNS服務(wù)器分配IPv6地址,即可滿足改造要求。

2 、高頁面支持率

“第二步”改造要求金融機(jī)構(gòu),去除外部鏈接后的二級鏈接,IPv6支持率需大于等于85%,網(wǎng)站三級鏈接IPv6支持率需大于等于80%。金融機(jī)構(gòu)應(yīng)用系統(tǒng)一般由多個業(yè)務(wù)模塊組成,其中部分業(yè)務(wù)模塊暫不支持IPv6訪問,針對該情況,可以直接在服務(wù)器端進(jìn)行IPv6改造,也可以使用應(yīng)用交付控制器進(jìn)行NAT64轉(zhuǎn)換代理訪問,滿足支持率要求。

3 、高可用

2019年許多金融業(yè)機(jī)構(gòu)僅部署了1條IPv6線路,存在單點(diǎn)故障隱患。2020年人民銀行明確要求金融業(yè)機(jī)構(gòu)必須具備多條支持IPv6訪問的線路,且對應(yīng)線路上的主要網(wǎng)絡(luò)設(shè)備需有備機(jī)。

4 、低時(shí)延

“第二步”改造要求金融業(yè)機(jī)構(gòu)連續(xù)15天,每隔1小時(shí)發(fā)起1次門戶網(wǎng)站/APP/Web應(yīng)用連接時(shí)延統(tǒng)計(jì),連接時(shí)延差閾值需小于75ms。IPv6網(wǎng)絡(luò)質(zhì)量各地區(qū)存在差異,用戶可用NPM等監(jiān)控軟件監(jiān)測自身網(wǎng)絡(luò)質(zhì)量,應(yīng)用交付智能DNS、壓縮緩存等技術(shù)可以有效降低網(wǎng)絡(luò)時(shí)延,提升用戶訪問體驗(yàn)。

IPv6 “ 第二步”的改造利器——新建網(wǎng)絡(luò)平面

2019年“第一步”初期階段僅要求門戶網(wǎng)站支持IPv6連接訪問,很多用戶選擇在前端部署NAT轉(zhuǎn)換設(shè)備來實(shí)現(xiàn)網(wǎng)站的IPv6改造并滿足監(jiān)管要求,但今年進(jìn)入“第二步”后,這種方式顯然已經(jīng)行不通。本階段改造,建議以新建IPv6網(wǎng)絡(luò)平面方式為主,原因有三點(diǎn):第一,面向公眾服務(wù)的應(yīng)用重要且訪問量大,通過新增平面可以有效避免同一設(shè)備因同時(shí)承載IPv4流量和IPv6流量而造成的性能瓶頸問題;第二,將IPv4和IPv6分流可實(shí)現(xiàn)故障隔離,出現(xiàn)問題時(shí)便于及時(shí)排查;第三,通過新建平面的方式能夠進(jìn)行后期IPv4向IPv6的平滑過渡,保障后續(xù)的改造和流量遷移?；谛陆ㄆ矫?主流的改造方式一般以如下三種為主:

1 、新建 IPv6 平面,改造至互聯(lián)網(wǎng)接入?yún)^(qū)

方案說明:

運(yùn)營商分別提供IPv4、IPv6接入,保持原有IPv4內(nèi)網(wǎng)網(wǎng)絡(luò)和應(yīng)用不變。

新增IPv6轉(zhuǎn)換設(shè)備,后端復(fù)用IPv4現(xiàn)有的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)。

新增平面增加網(wǎng)絡(luò)安全設(shè)備、DNS設(shè)備和IPv6轉(zhuǎn)換設(shè)備。

2 、新建 IPv6 平面,改造至互聯(lián)網(wǎng) DMZ 區(qū)

方案說明:

運(yùn)營商分別提供IPv4、IPv6接入,保持原有IPv4內(nèi)網(wǎng)網(wǎng)絡(luò)和應(yīng)用不變。

新增IPv6轉(zhuǎn)換設(shè)備,后端復(fù)用IPv4現(xiàn)有APP層及以下的應(yīng)用系統(tǒng),Web層系統(tǒng)進(jìn)行IPv6升級。

在IPv4平面新增NAT46設(shè)備,IPv6平面新增NAT64設(shè)備,實(shí)現(xiàn)跨平面的會話保持。

新增平面增加網(wǎng)絡(luò)安全設(shè)備、DNS設(shè)備和IPv6轉(zhuǎn)換設(shè)備。

3 、新建 IPv6 平面,改造至應(yīng)用內(nèi)網(wǎng)區(qū)

方案說明:

運(yùn)營商分別提供IPv4、IPv6接入,保持兩個不同的流量平面接入。

新增IPv6負(fù)載設(shè)備,分別對Web層和APP層IPv6應(yīng)用進(jìn)行服務(wù)器負(fù)載。

在IPv4平面新增NAT46設(shè)備,IPv6平面新增NAT64設(shè)備,實(shí)現(xiàn)跨平面的會話保持。

新增平面增加網(wǎng)絡(luò)安全設(shè)備、DNS設(shè)備和IPv6轉(zhuǎn)換設(shè)備。

IPv6 改造“新戰(zhàn)場”——云上應(yīng)用

深信服根據(jù)金融科技發(fā)展需要,結(jié)合多年行業(yè)實(shí)踐經(jīng)驗(yàn)積累,推出云上業(yè)務(wù)場景IPv6改造方案。

私有云應(yīng)用:

深信服應(yīng)用交付AD通過Route Domain和Partition技術(shù)虛擬出多個LB,與OpenStack云平臺對接后,每一個LB都能和一個OpenStack LB對應(yīng)。這些LB共享整個AD的整機(jī)資源和性能,虛擬出來的每一個LB都可以給云平臺租戶的業(yè)務(wù)系統(tǒng)進(jìn)行NAT64轉(zhuǎn)換從而完成IPv6改造。

公有云應(yīng)用:

深信服AD可以在KVM和VMware等虛擬化環(huán)境下使用,通過vAD鏡像模式部署、虛擬化版本vAD以及NAT64技術(shù)來實(shí)現(xiàn)IPv6改造。

PaaS應(yīng)用:

深信服AD作為獨(dú)立K8S集群外的節(jié)點(diǎn)(AD設(shè)備自身可配置高可用集群),經(jīng)同步后的AD可對K8S集群在Pod級別的南北向流量進(jìn)行負(fù)載均衡,通過NAT64來完成IPv6改造。

深信服解決方案助力金融業(yè) IPv6 改造合規(guī)前行、平滑演進(jìn)

作為IPv6改造的先行推動者,深信服再次推出基于新建IPv6平面的改造方案,且在安全溯源、可視化等層面具備差異化優(yōu)勢,助力用戶滿足新階段的合規(guī)要求。

實(shí)時(shí)溯源,滿足安全監(jiān)管要求

金融行業(yè)需“有效防范IPv6安全風(fēng)險(xiǎn)”,主要針對的就是溯源問題。當(dāng)使用NAT64/DNS64轉(zhuǎn)換設(shè)備時(shí),地址在轉(zhuǎn)換設(shè)備內(nèi)層僅顯示為一個IPv4地址,一旦發(fā)生安全問題,將無法追溯攻擊者。深信服AD設(shè)備能夠提供溯源問題解決方案,通過在HTTP層插入X-Forwarded-For字段或在TCP層插入TCP Option字段來滿足溯源需求。

IPv6 可視化,讓 IPv6 改造看得見

深信服基于政策要求,針對性推出IPv6可視化應(yīng)用,通過可視化界面,快速、直觀、準(zhǔn)確地獲知Web/APP應(yīng)用連接時(shí)延、應(yīng)用連接穩(wěn)定性、應(yīng)用兼容性是否滿足督查考核指標(biāo)要求。同時(shí)支持可視化報(bào)表的導(dǎo)出,方便用戶對業(yè)務(wù)的IPv6改造情況進(jìn)行匯報(bào)、展示。

金融行業(yè)用戶在IPv6改造之路上,可能還會遇到各種各樣的“坑”,應(yīng)該如何應(yīng)對?據(jù)了解,深信服在服務(wù)金融行業(yè)用戶的真實(shí)業(yè)務(wù)場景中,總結(jié)出了一系列在IPv6改造中需要特別注意的問題:如在網(wǎng)絡(luò)層面上,IPv6/IPv4跨平面會話保持、灰度發(fā)布、IPv6 DNS相關(guān)、IPv6地址增長帶來的記憶難度等;如在應(yīng)用層面,嵌在配置文件中的IP和嵌入?yún)f(xié)議的IP、使用底層網(wǎng)絡(luò)的API、使用小地址簇存儲容器等,并將這些需要規(guī)避的“坑”總結(jié)至《深信服金融行業(yè)IPv6建設(shè)白皮書》中,助力金融行業(yè)用戶的IPv6改造更順暢、更合規(guī),加速用戶的數(shù)字化轉(zhuǎn)型進(jìn)程。