干货丨电子政务外网部署IPv6实现与途径

IPv6作为下一代互联网协议，具有庞大的地址空间、更好的安全性和更高的性能等优点，在全球范围内得到了广泛的关注和推广。然而，IPv6的部署仍然面临着许多挑战，其中最大的挑战之一是IPv6和IPv4的互通性·由于IPv4地址资源的短缺，许多网络仍然在使用IPv4协议，因此IPv6和IPv4之间的互通问题变得尤为重要。为了解决IPv6和IPv4网络之间的互通，目前较为广泛使用的技术是NAT64。本文将介绍NAT64技术的原理、特点和应用，并探讨其在政务外网IPv6推广过程中的重要性和应用。

电子政务外网由广域骨干网与国家-自治区-市级-区县级城域网组成，内部按照业务特性划分互联网接入区、公共网络区、专用网络区三个安全域，各安全域间使用MPLS技术或分段路由技术做强逻辑隔离，各地城域网自行建设互联网出口，其中省市级城域网还建设本级城域网的数据中心面向政务外网用户提供服务。各级城域网遵循层次化设计的原则，采用“核心层-汇聚层-接入层”三层架构；乡镇村级政务外网采用“汇聚层-接入层”二层架构规划，其汇聚层设备与县级城域核心对接。自治区-市-县三级政务部门按照就近原则接入本级城域网，县级政务外网为其所辖的乡镇配发接入设备作为乡镇政务部门和村委的汇聚接入点。随着政务外网接入用户的增长，目前划分的IPV4地址即将使用殆尽，推广IPv6协议是满足日益增长的IP地址需求唯一途径，NAT64作为IPV4网络平滑过渡到IPv6网络的过渡技术更是其中的关键

图1：政务外网架构图

NAT64的主要技术特点与应用场景

NAT64技术可简化IPv6部署难度，其主要技术特点与应用场景包括：

1.NAT64技术是一种有状态的网络地址与协议转换技术，它解决了上一代协议转换技术（NAT-PT）的诸多缺陷，实现了IPv6包与IPv4包之间的互相转换，可以满足IPv6客户端与IPv4服务器之间基于TCP、UDP等协议的通信的要求

2.映射IPv6地址到IPv4地址:NAT64网关将IPv6地址映射到IPv4地址，从而实现IPv6和IPv4之间的互通。使IPv6主机能够与IPv4主机通信。

3.封装IPv6数据包到IPv4数据包中传输:NAT64网关将IPv6数据包发送到IPv4主机。当IPv4主机返回数据包时，NAT64网关会将IPv4地址转换为IPv6地址，并将数据包封装在一个IPv6数据包中发送到IPv6主机，这样，IPv6主机和IPv4主机就可以互相通信了。

4.支持IPv6和IPv4的双向通信。NAT64技术支持IPv6主机和IPv4主机之间的双向通信，从而实现了IPv6和IPv4的互通。

在政务外网部署IPv6的实现

1.循序渐进，逐步部署:IPv6部署是一个逐步推进的过程，因此需要依次从广域骨干核心、城域网核心、城域网汇聚到接入网络顺序逐步进行。如若不然，侧易发生IPv6或IPV4网络不连续的数据转发发生较为多次的包转换，导致NAT64设备的需求数大量增长，大幅度增加网络运维难度与运维成本，大幅增加IPv6的推广成本，并且影响实时性要求较高的业务应用的用户体验。在全面完成政务外网公共网络区与专用网络区的IPv6推广之后，可将NAT64设备作为出口转换设备转移到城域网的互联网出口部署。

2.统一规划IPv6地址:从IPV4过渡到IPv6的地址规划会面临地址长度、表示方法、配置差异等诸多区别，因此IPV6的地址规划对比IPV4也会有很大的差异，根据IP地址使用性质的差异，采用层次化划分的地址规划方案。纵向按照按照公共网络区、互联网区、专用网络区规划IPv6地址，横向根据城域网接入单位的性质、规模大小、业务性质规划IP地址，同性质省、市、县三级垂直管理单位尽可能维持较为相似的IPv6地址前缀，通过网络位标识IP地址的使用机构。在推广初期可使用较为保守的地址分配方案为网络中各机构分配地址段，并使各接入单位地址段之间不连续并做好地址预留，使地址分配与使用更为灵活和高效；在中期可使用预留的不连续地址段做好接入单位IPv6地址段的中期扩展；在IPv6推广部署后期可使用IP前缀替换的方式大幅扩充可用地址，使同一单位使用连续的地址段以便于管理。

3.确认硬件设备和应用程序的IPv6兼容性：在部署IPv6之前，需要确认网络、安全设备对IPv6地址兼容性。确保网络、安全设备和应用程序能够正确地处理IPv6数据包。目前部分网络设备由于操作系统陈旧，不支持IPv6协议栈，部分安全设备不具备对IPv6数据包的监测分析能力，或不具备IPv6包检测授权，长期可采用升级、替换设备的方式解决。如需进一步降低部署成本，可将安全设备转移到IPV4网络中部署，使用该种方式时会存在扩大安全边界的风险，不建议长期使用。

4、确认业务应用程序对IPv6的兼容性：部分业务应用在开发部署时，代码使用IP做业务绑定，在网络过渡到IPv6会存在因业务地址变更出现故障异常的情况，建议后续使用域名绑定。

5.妥善处理数据中心与IPv6地址的网络对接：政务外网数据中心内部的虚拟机与裸金属服务器使用私有IPV4地址，通过数据中心的出口设备做NAT发布业务在推广IPv6时候势必会存在IPV4地址与IPv6地址混用的情况。以往的做法是在使用隧道技术活使用IPV4与IPv6双栈技术配合DNS64技术发布业务，全网配置较为繁杂，建设与运维成本较高，并且主机IP地址直接暴露在数据中心外部，安全风险不可控。使用双栈方式时IPv6地址改造必须以租户为单位，业务过渡不平滑，业务数量较多的租户往往抗拒使用该方式，因此业务IPv6地址改造进度缓慢。

如使用NAT64技术，在数据中心出口设备以业务为单位做IP地址转换，颗粒度细，业务的过渡平滑，可大幅降低租户的抗拒心理。对于未完成IPv6地址改造的业务，可使用NAT64将IPV4地址转换IPv6地址；对于已经完成IPv6改造的业务，既可使用NAT64技术将数据中心内部IPv6地址转换为IPv6的业务发布地址，也可以利用IPv6的内生安全特性直接发布业务，业务灵活度更高，配置运维成本更低。在政务外网完成IPv6改造后还可将NAT64设备转移部署到互联网出口，用于政务外网对互联网发布业务。

6.建立IPv6测试环境：在部署IPv6之前，建立IPv6测试环境，充分测试测试和验证推广部署IPv6协议的业务应用在IPV4和IPv6混合环境的工作是否正常，以便于及早发现和解决IPv6部署中的问题。

7.注重网络运维与管理人员的教育与培训：需要网络规划人员具备全面网络相关的知识与实战经验，为了确保成功推广IPv6和NAT64，政务外网运维管理单位需要提供有关IPv6和NAT64的教育和培训资源。这可以帮助网络工程师、安全工程师、应用程序开发者和最终用户更好地理解和适应新的网络环境。

在推广IPv6时NAT64技术的局限性

1.在没有静态地址映射表项的情况下，不允许IPv4设备向IPv6设备发起会话请求。针对嵌入IPv4字面地址的协议（例如SIP和SDP、FTP、视频会议系统等）、需要客户端与服务器互相发起请求的业务应用类型都不能得到使用动态地址转换来实现，需要手工配置静态地址转换。在推广IPv6的过程中，可能需要结合使用多种转换技术如NAT64、DNS64、ALG（应用层网关）SIIT（无状态ICMP）、IVI（翻译网关）、DS-Lite、(Mapping Address and Port等，以解决不同的网络场景和需求。

2.对IPv6多播技术缺乏相应支持。目前所有的地址映射技术都不能支持IPV6多播，通常IPv6多播业务主要用于多媒体网络直播与视频会议类的实时流应用，在政务外网环境下暂时没有多媒体网络直播的业务应用场景，视频会议类的业务应用在政务外网的部署也并未使用多播技术。如后续业务的进一步发展，使用IPv6多播的业务应用部署在专用网络区，使用纯IPv6网络与公共网络区、互联网接入应用相互隔离，地址转换技术可解决该类应用在政务外网的部署。

结论

本文介绍了NAT64技术在IPv6部署中的重要性和作用。NAT64技术可以解决IPv6和IPv4之间的互通问题从而促进IPv6的推广和发展。在IPv6部署中，NAT64技术的应用非常广泛，可以为IPv6移动性、IPv6云服务等提供支持。未来，NAT64技术将继续发挥重要作用，推动IPv6的广泛应用和发展。

作者：广西壮族自治区信息中心韦冬