一种基于全景画像的IPv6代际升迁部署方法研究

韩春晓 周希昱 陈琦 温圣军* 袁刚*

（1.国家市场监督管理总局信息中心 北京市 100820 2.北京连星科技有限公司 北京市 100043）

1 IPv6发展情况

基于互联网协议第四版（IPv4）的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题，IPv6 能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用解决方案[1]。自2017年起，政府加强主导推动IPv6 升级改造，2017年11月，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，在此背景下，以行政力量牵引IPv6 产业链各方按照政府制定的目标加速IPv6 发展。2021年7月，中央网信办、国家发展改革委、工业和信息化部等部门发布文件，明确了“十四五”时期深入推进 IPv6 规模部署和应用的主要目标，要求到 2025年末，网络、平台、应用、终端及各行业全面支持IPv6[2]，并强调推动电子政务公共平台IPv6 改造，深化政府网站及政务服务平台IPv6 改造。在《深入推进IPv6 规模部署和应用2021年工作安排》中，也明确要求开展省市两级政务外网IPv6 升级改造，推动国家政务服务平台、各地区省级政务服务平台、国务院各有关部门政务服务平台加快IPv6 改造，这对政府部门加快政务应用改造提出了新的紧迫要求。

目前各政府部门基本实现了在政府网站层面实施IPv6 升级，而对于其他政务服务应用的IPv6 规模部署及改造成果还未突出展现，随着近年来改革举措的不断深入，政务服务应用多样化，网络安全等基础设施、应用及终端等各环节存在各自建设、技术标准不统一等问题，如何全面了解IPv6 在各政务应用的规模部署及发展情况，提取出基于全景画像的IPv6 代际升迁部署方法，从而进行全生命周期管理，为政府部门落实国家战略、全面推进IPv6 规模部署奠定基础，值得我们思考和研究。

2 政府部门IPv6部署现状及问题

在全面推进政府数字化转型过程中，IPv6 是支撑数字基础设施的核心底座，在推动数字政府、智慧政务等方面可以发挥重要作用。政府机构特别是国家部委需要积极落实国家战略，推进IPv6 规模部署，发挥示范引领作用。当前，政府机构在推进IPv6 部署时往往以单一改造项目为主，缺乏通盘考虑，导致工作推进缓慢、成效不彰。IPv6 规模部署是一项系统工程，涉及面和影响面非常广泛，需要从工程全局视角充分调研网络现状，收集足够的IPv6 支持度信息，为后续制订顶层规划和实施策略打下坚实基础。具体主要面临以下痛点和难题[3]：

（1）无法精确掌握IPv6 支持现状，现网处于“黑箱”状态。政府部门网络规模庞大、承载业务多、设备类型复杂、厂商异构普遍、安全管控严格，缺少对全网IPv6 现状的精准定位和掌握。

（2）缺乏有效的IPv6 支持度权威检测和评估分析手段。虽然国家IPv6 发展监测平台制定并发布了权威IPv6 监测指标体系，但在具体实践中，还缺乏本部门的监测分析。

（3）IPv6 改造影响大、周期长，经常各自为战，难以总览全局，导致工作进展参差不齐，不利于全生命周期管理，影响业务发展。

（4）IPv6部署可能带来未知的安全风险，一方面来自IPv6本身、安全设备特点、策略配置等方面的风险，另一方面IPv4 向IPv6 的各类过渡技术目前缺乏成熟的防护经验，也存在一定的安全风险[4]。

（5）IPv6 规模部署标准不统一，目前国际、国内目前制定的IPv6 相关标准体系还没有完全成熟[5-6]，规范引导IPv6 部署和应用的国家标准体系缺乏，存在改造效果不达标，导致重复建设的风险。

综上所述，需要重点研究上述五方面问题的解决方法，选取政府部门某办公区域开展实践，从而不断完善和改进。

3 基于全景画像的IPv6代际升迁部署方法研究

3.1 现网“黑箱”问题

基于IP 地址的唯一性，针对现网“黑箱”问题，采用网络空间测绘方法，通过集中化的IP 地址管理系统，采用IP 作为全网唯一可信的标识，将异构网络中的所有IP 数据资产统一纳管，消除不同厂商和类型的差异性。以IP 地址为索引，通过探针进行广泛的探测扫描（支持SNMP/NMAP 等多种探测技术），绘制全网地图，形成包括网络设备、安全设备、终端设备、应用系统在内的全景拓扑图，彻底清除网络“黑箱”和“死角”。

3.2 监测评估问题

依托于国家IPv6 发展监测平台的权威IPv6 监测指标体系，通过采用IPv6 态势监测方法，全面监测网络设备、安全设备、终端、应用和运维支撑体系的IPv6 支持度、IPv6 配置情况、IPv6 网络可达性、IPv6 网络质量状况等，形成一套IPv6“指纹库”，分析评估不同阶段的IPv6 发展指数。

按照IPv6 代际升迁的发展演进路线，拓扑节点有如下五种IPv6 支持状态：

（1）未调研：暂未进行调研，不确定节点的IPv6 支持情况。

（2）不支持IPv6：经过调研，确认节点不支持IPv6。

（3）支持IPv6：经过调研，确认节点支持IPv6。

（4）IPv6 已配置：节点支持IPv6，并且已完成IPv6 配置。

（5）IPv6 可通达：节点有IPv6 配置，且IPv6 业务正常可通达。

基于IPv6“指纹库”，在政府部门全局网络地图上标识出节点的IPv6 支持情况，从而形成IPv6 支持度沙盘，实时反映当前IPv6部署进展。

3.3 全生命周期管理问题

IPv4 向IPv6 平滑升级演进是一项繁杂的系统工程，涉及影响面非常广，包括网络、业务、组织、流程等，需要对IPv6 平滑演进的整个生命周期进行全面的掌控，实现全流程诊断把关和跟踪监管，真正实现全景化展现、一键式定位、智能化协作。全生命周期管理方法依托于网络空间测绘和IPv6 态势监测，准确掌握每一个生命周期的IPv6 发展状态，并基于当前的情况的总结分析，给出下一阶段的工作要求和建议，实现从现状调研、规划设计、部署实施、评估评测四个周期的全流程监控管理。

3.4 安全风险问题

在IPv6 代际升迁部署过程中，需要将安全防护体系纳入全景画像的全过程，实现全面掌握安全防护策略配置、实时动态监测、安全设备的IPv6 支持和改造等情况。对安全风险的关注和预防，一是要持续完善并依托安全防护体系，二是加大设备安全改造能力，比如在防火墙、IDS 等通用安全设备功能、性能和安全性测试基础上，适应IPv6 改造安全需求，研究针对IPv6 的安全配置策略，进一步强化IPv6 防护[7]。

3.5 标准规范问题

完善标准政策支持是“十四五”时期贯彻落实国家推进规模部署和应用改造的重要工作之一。需要将标准规范贯穿于IPv6 代际升迁部署工程的全过程，结合政府部门IPv6 改造需求和应用实践，全面梳理IPv6 规模部署、IPv6 应用管理、IPv6 终端管理、IPv6 网络管理、IPv6 安全管理、IPv6 运维管理等相关规范，将其作为长期工程，基于全景画像，实现标准规范的整体管理及应用，并在实践中不断完善、推广。

4 基于全景画像的IPv6代际升迁部署方法实践

4.1 总体要求

选取某政府部门办公区作为试点区域，建设IPv6 代际升迁部署工程全景画像，通过构建全生命周期的IPv6 网络空间测绘平台和IPv6 态势监测平台，实现集中规划、监测和管理本地、云端和边缘等基础设施环境中的IPv6 数据资产，深度融合网络、安全、应用、终端、运维、用户、链路、标准的数据信息，实时监控全网数据资产的IPv6 支持状态，形成全流程可视化的IPv6 工程沙盘及全景画像，并基于动态监测和数据分析，客观、真实地反映当前试点区域的IPv6 发展情况。

4.2 总体设计

如图1 所示，IPv6 代际升迁部署工程全景画像创新性地融合云计算和容器技术构建基础平台，系统采用分层架构设计，整体分为三层：

图1：系统架构图

基础设施层主要包含底层的云平台环境、应用、网络、安全、终端、用户等，系统通过广泛部署的探针及第三方接口，对基础设施进行持续的监控和数据采集（如设备IPv6 支持度、在线终端数量、IPv6 地址使用率、安全告警日志等）。

平台层基于容器化部署的云平台架构，按照独立容器的模式实现不同的功能模块。其中，网络空间测绘通过IP 地址管理系统，对全网进行遍历扫描，绘制出完整、详细的拓扑结构图；IPv6 态势监测对拓扑节点进行IPv6 支持度评测分析，形成IPv6 支持度沙盘；全生命周期管理提供基于调研、设计、部署、评估的全流程监测和分析，从生命周期的角度支撑IPv6 代际升迁部署过程。

展示层对基础设施层和平台层生成的数据进行统计和分析，形成IPv6 代际升迁部署工程全景画像，以可视化的方式全景呈现应用、终端、网络、安全、运维的IPv6 支持状态及改造进展情况，为IPv6 规模部署提供客观、准确的数据支撑。

4.3 IPv6工程全景画像实践效果

IPv6 工程全景画像主要通过概览、应用、终端、网络、安全和运维六张可视化智能图景进行展现。

4.3.1 IPv6 工程概览图

如图2 所示，IPv6 工程全景画像概览是一张总览图，覆盖应用、终端、网络、安全、运维五个领域的IPv6 态势监测和IPv6 支持度数据统计。在IPv6 支持度沙盘上，采用五种不同颜色标识拓扑节点的IPv6 支持状态（即未调研、不支持IPv6、支持IPv6、IPv6 已配置、IPv6 可通达），并按照应用、终端、网络、安全、运维等五个领域，分别监测和统计各自的IPv6 支持度情况，通过全景一览图的方式，直观呈现IPv6 规模部署现状。

图2：IPv6 工程全景画像概览

4.3.2 IPv6 应用全景画像

如图3 所示为IPv6 应用全景画像，通过监测和采集IDC、云环境、服务器、中间件/数据库、各类业务应用的IPv6 升级改造情况，包括IPv6 网络连通性、IPv6 域名解析能力、首页可访问性、二三级链接支持度、外部链接支持度、IPv6 网络质量（域名解析时延、首页响应时延等）、页面内容一致性等，并根据各项检测指标结果形成整体的监测统计数据，以准确评估应用的IPv6 改造达标情况。

图3：IPv6 应用全景画像

4.3.3 IPv6 终端全景画像

如图4 所示为IPv6 终端全景画像，基于IP 数据资产管理系统，采用台账模式管理终端资产（包括资产名称、IPv4/IPv6 地址、MAC地址、资产类型、定位信息、业务名称、所属VLAN、负责人等）。监测终端资产的IPv6 支持度，跟踪终端资产的变化，实时呈现终端资产的IPv6 改造趋势。

图4：IPv6 终端全景画像

4.3.4 IPv6 网络全景画像

如图5 所示为IPv6 网络全景画像，采用标准SNMP 协议自动发现和纳管所有网络设备，并提供以网络设备为监测节点的全景网络拓扑图，按照五大类状态呈现节点的IPv6 改造支持情况。

图5：IPv6 网络全景画像

4.3.5 IPv6 安全全景画像

如图6 所示为IPv6 安全全景画像，以安全设备的网络拓扑图为基础，通过监测不同安全设备的IPv6 支持状态，并按照五大类进行分类统计和展示，呈现整体安全防护体系的IPv6改造进展情况。4.3.6 IPv6 运维全景画像

图6：IPv6 安全全景画像

如图7 所示为IPv6 运维全景画像，通过详细调研和采集运维支撑体系的IPv6 部署进展情况数据，如运维平台IPv6 支持率、运维人员IPv6 掌握程度、IPv6 运维制度等，直观展现运维体系的IPv6 发展现状。

图7：IPv6 运维全景画像

5 结束语

本文立足于政府部门IPv6 规模部署和应用的试点实践，解决政府部门在推进IPv6 过程中遇到的各种难题。本方法的亮点体现在三个方面，一是网络空间测绘，基于IP 扫描探测和IP 地址管理，实现IP 地址资源与网络设备、业务应用、组织机构和人员的融合关联。通过IP 索引，准确测绘出全网的资产、拓扑、流量和安全状态，将“网络黑箱”一览无余，形成全面覆盖、动态更新的网络空间地图。二是IPv6 工程态势监测，实现对全景网络地图中的节点（包括应用/终端/网络/安全/运维五类节点）进行自动化的监测和分析，评估其IPv6 的支持情况。基于客观、专业的数据分析，指导IPv6 规模部署工作。三是IPv6 代际升迁部署全生命周期管理，IPv6 工程全景画像提供对IPv6 发展情况的实时监测和动态呈现，展示代际升迁不同阶段的IPv6 部署进展，通过流程化的数据监测和分析，实现IPv6 全生命周期统一管理，支撑IPv6 规模部署和平滑演进。

通过本文中选取案例的实施，能够自动化监测和数据分析，全局可视化地呈现当前IPv6 部署情况，从生命周期的维度管理IPv6代际升迁过程，有效支撑了IPv6 规模部署工作。在后续不断实践完善过程中，将逐步从一个办公区向政府部门全局推广，进而向部委全系统中予以推广。