上海银行IPv6应用试点经验分享

上海银行信息技术部数据中心网络通讯部高级副经理 马永祥

上海银行于2018年8月率先完成IPv6应用部署试点，通过双栈接入改造的方式，完成了门户网站、个人网银等系统的IPv6发布。为推进上海地区金融行业基于IPv6的下一代互联网规模部署奠定基础。

IPv6改造难点与挑战

加快推进IPv6的规模部署已成为金融机构近3年的一项重要工作。但对于金融机构而言，其业务系统与基础设施规模庞大，改造工作将面临较大挑战，主要难点与挑战来自5个方面。

一是协议兼容性挑战。虽然IPv6和IPv4是功能相近的网络层协议，但由于协议之间差异较大，两个者并不能相互兼容或直接通讯，因此金融机构推进IPv6部署过程中，无法一蹴而就地实现协议升级换代，势必经历漫长的中间过渡阶段。期间无论是客户端和服务端的通讯，还是不同服务端之间的通讯，都应制定合适的过渡方案，以支撑应用系统的平滑改造。

二是协议改造涉及面全面较广。需考虑基础设施和应用软件两个部分。改造后的基础设施需同时支持IPv4及IPv6协议，以满足不同场景的互联互通需求。需改造的基础设施类型较多，包含但不限于服务器、域名解析设备、网络通讯设备、负载均衡、安全防护设备等。金融行业的基础设施升级，需制定详细的升级、更新换代策略，通常需经历方案制定及版本的评估、测试环境的验证、生产环境的逐步升级改造等一系列流程。

应用软件部分，需要评估软件中是否涉IP协议相关的代码，例如socket对象的调用，在定义socket对象时需指定IP协议的版本，因此应用系统可能需进行相应的代码改造。同时还需梳理IP地址信息是否需要交易过程中进行存储，例如在数据库中存储。由于IPv6地址的大小是IPv4地址的4倍，所需的存储空间存在差异，若应用系统需要对IP信息进行记录和存储，需对信息存储的全过程进行梳理，并做相应调整。

三是互联网安全攻防形势复杂严峻。目前金融行业的安全防护体系中，对于IPv6的关注度及支持度相对较弱，并且缺少相关防护案例与经验。各电信运营商提供网络安全防护服务，也需针对IPv6推广部署进行相应升级改造。因此各行业针对IPv6协议的安全防护能力尚处于建设和完善阶段。根据木桶短板理论，任何一类安全能力的缺失都会形成安全防护的漏洞，会对金融机构的安全体系留下隐患。因此推广前需充分评估现有安全防范体系是否能有效防御基于IPv6的网络攻击。

四是行业生态处于发展阶段。2017年起，我国IPv6协议部署进入快速推广期。互联网中IPv6用户群体会不断增多，但IPv6的服务能力、网络稳定性相较于IPv4仍需要逐步的完善和提升。金融行业推进IPv6应用部署，对外部配套资源的依赖度较大，因此宜保持适中的部署和发展节奏。同时需充分评估IPv6网络基础设施的稳定性、性能等因素，以降低改造工作对业务的影响。

解决问题的思路与措施

面对IPv6改造的难点与挑战，保障改造过程中业务系统平稳运行，上海银行采用以下解决思路。

一是制定改造方案，合理规划改造范围。IPv6改造的有NAT64和双栈改造两种方案，在技术上均可满足应用IPv6改造需要。对比两种解决方案，NAT64方案在地址转换后会增加IP地址溯源的复杂度，不利于后期的生产运行维护、问题排查、安全防护等要求。因此上海银行在IPv6改造方案上，选择了双栈改造的策略。

在明确使用双栈改造方案后，需评估改造范围，包含基础设施的改造范围和应用的改造范围。由于金融机构业务的复杂性，内部基础设施规模较大、架构复杂度较高，不宜开展大范围的协议改造，适合将双栈改造聚焦在局部范围内，既满足应用系统IPv6的发布需求，同时又降低改造工作对银行业务连续性的影响风险。上海银行基础设施遵循垂直分层、水平分区的原则，划分为多个安全区，应用系统也根据安全架构划分进行对应的部署。以个人网银系统为例，将WEB服务器部署于互联网接入区（DMZ区），并配套完善的安全防护措施，将APP服务器、DB服务器部署于互联网服务区，后台账务核心系统则位于安全等级更高的区域中。双栈改造的工作仅限定在互联网接入区，并对WEB服务器进行双栈改造，即互联网至个人网银WEB服务器的相关路径上提供IPv6、IPv4接入能力，WEB服务器至后台应用服务器保持不变，仍然采用IPv4进行互通。一方面应用及基础设施的改造量较小，有效控制改造风险，另一方面也可满足互联网应用系统快速实现IPv6部署要求，具有较好的扩展性和推广性。

二是梳理各组件IPv6协议的支持情况，并制定相应升级方案。根据规划，上海银行将双栈改造范围限定在互联网接入区中。该区域中设备类型包含：交换机、负载均衡器、DNS、GLSB、SSL卸载等基础硬件，又包含IPS、抗DDOS、防火墙、WAF等安全设备。需对该区域内所有设备进行双栈改造，逐一指定升级方案。其中大部分基础硬件对IPv6支持度比较成熟，部分设备可能需要通过软件升级来支持IPv6协议，少数老旧设备需进行硬件替换。

DNS、GSLB设备除了自身需要具备双栈接入能力外，还需具备AAAA记录发布能力。一方面要发布相关应用系统的AAAA记录，另一方面该类设备的NS记录也应有对应的AAAA记录。

应用系统改造方面，由于上海银行应用架构采用分层架构，且前置WEB层服务器不涉及业务逻辑代码，仅存储静态资源并负责流量转发，无需进行业务逻辑代码层面调整，因此也不会导致关联应用系统的同步改造。但个人网银系统在记录交易流水时，需在数据库中记录终端IP信息，因此需对端数据库中的IP地址字段大小进行调整，改造复杂度较低。

三是确保业务连续性能力、安全防护能力不低于原有水平。金融机构格外重视业务连续和安全防护能力建设，在推进IPv6部署中应确保两个能力不下降。上海银行采用“大同城、小异地”的建设策略，互联网应用系统IPv4服务能力均按照同城双活、异地应用级灾备的策略进行建设。在推进IPv6应用部署的高阶设计中，已经规划了远期方案，实现同等的业务连续性能力。在试点阶段，优先在同城副中心实现双栈接入，并计划通过3年的建设周期，全面实现IPv6的同城双活接入能力，并完成全量互联网应用的双活和双栈改造。在安全防护方面，划拨专项费用用于安全设备升级换代，确保互联网系统应对基于IPv6协议的攻击，同时还与运营商紧密沟通，及时了解针对IPv6专线的安全防护产品，并采购相应的防护服务。

四是加强跨行业的沟通协调。金融行业IPv6部署，除了完成自身基础设施和应用系统改造外，还依赖电信运营商提供IPv6的接入能力及技术支撑。因此与各大运营商及相关监管机构保持紧密沟通，对IPv6的部署工作尤为重要。上海银行在项目试点过程中，与人民银行上海分行、上海市通信管理局、上海电信、上海联通、上海移动组成联合项目组，共同开展方案评审、项目验收等工作。在配套政策、问题协调方面得到了大力支撑，也为试点项目顺利完成奠定了基础。

五是加强配套运维能力建设，提升客户体验感知能力。国内IPv6生态尚处于发展阶段，IPv6服务能力比较IPv4还有一定差距。IPv6应用上线之后，应关注外部环境变化对用户体验的影响。上海银行也在同步推进配套运维能力建设，包括但不限于监控能力、客户体验感知能力、自动化运维能力等。

IPv6推广部署的后续工作

根据一行两会联合发布的《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》工作要求，2019年上海银行将继续推进IPv6的推广工作，完成门户网站、个人网银等应用IPv6同城双活改造，并开展手机银行（移动APP应用）的IPv6部署试点。在未来的两年时间中，逐步推进其余互联网应用IPv6部署，全面完成所有面向公众的互联应用的IPv6改造工作。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。