IPv6 架构方向确立及部署安排

江苏省联社通过搭建仿生环境进行模拟测试，以及通过对现网环境和设备的梳理和整体评估，最终选用双栈模式进行IPV6 改造。一方面可以满足可见源地址 的需求，另一方面积累 IPv6 环境下的运维经验，为最终纯 IPv6 环境实施做好相关技术储备。江苏省联社依照的部署实践，对地址规划、网络架构、安全管理、运维 监控、系统和应用支持等 5 个方面进行了相关安排。

1.地址规划。为便于记忆，将IPv6地址8小段地址分别定义，用各个段对应不同意义，这样划分使IPv6地址整体有规律性，在出现报警时，能根据地址所携带的信息快速定位。

2.网络架构。在此次IPv6建设中，遵循高可靠性原则，采用双运营商接入模式，由电信和移动两条IPV6线路在主、备机房同时接入。当单运营商或者单机房出现异常的时候，可以自动切换至另一运营商的互联网线路，实现IPv6广域网链路主备切换。该网络架构极大提高了互联网区域的健壮性和业务的连续性。

3.安全管理。IPv6改造要求不弱于现网IPv4环境中的安全防护。江苏省联社通及时采购支持双栈模式的高性能防火墙，同时对支持IPv6的安全设备继续予以保留。

4.运维监控。门户网站IPv6投产后，运维系统已支持IPv6日志收集。但考虑到互联网业务开展大规模IPv6部署之后，人工运维监控方式将无法应对。江苏省联社已经开始调研IPv6的运维需求，以实现IPv6地址管理，网络变更和故障分析。

5.系统和应用支持。江苏省联社采用OpenStack云平台+KVM虚拟化+SDS软件定义存储的云技术方向。经过测试，云平台可以进行IPv6/IPv4双栈协议配置，启用IPv6协议不会对现有IPv4传输产生影响。本次改造是云平台首次启用IPv6地址，并且与IPv4地址共存。

IPv6部署总结

目前江苏省联社IPv6门户网站已成功部署，初步完成《实施意见》中2019年的实施目标。但是在部署的过程中，仍遇到很多问题。

1.IPv6流量井喷式爆发。江苏省联社现有设备是IPv6和IPv4同时对外提供服务，设备性能消耗较多。随着流量增加，部分设备可能存在性能瓶颈，需要持续对相关设备容量进行关注。此外，随着运营商IPv6建设的推进，未来IPv6带宽需求可能会出现井喷式发展，因此在新设备采购和网络规划时要提前做好网络性能预判。

2.应用程序改造复杂。江苏省联社面向公众的业务广泛，除了已经完成改造的门户网站和邮箱系统外，还有网银网站、手机银行、收银宝等业务系统。如果在2020年底前针对所有的应用完成IPv6双栈改造，梳理难度较大，客户体验优化的要求较高，如何保证IPv6/IPv4共存时间内客户的使用体验，也是后期在应用改造中需要关注的问题。

3.网络和安全运维难度增加。IPv4整体的安全运维技术成熟，防护能力强，而IPv6的安全防护如访问控制功能、入侵检测防御功能、流量分析清洗功能、应用防护功能等都有待实现，同时IPv6地址管理、网络监控、安全态势感知等也需要重新部署。IPv6和5G的发展意味着高带宽时代的来临，网络流量攻击成本降低，且攻击流量更大、更易获取。现有网络安全架构是否能适应IPv6和5G时代的带来的新型挑战也有待关注。