本文选自《金融电子化》2020年2月刊

文 / 泰山财产保险股份有限公司  张广远 刘刚

为贯彻落实《中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会关于金融行业贯彻<推进互联网协议第六版（IPv6）规模部署行动计划>的实施意见》和人民银行济南分行现场会议的有关要求，泰山财产保险公司高度重视，加强组织领导，逐级分解目标任务，强化部门间沟通协作，明确分工，监督具体措施落地。

改造方案技术选型

首先，改造评估。对公司现有的网络、安全、计算等基础设施进行评估，为后续的IPv6改造工作做准备。一是网络设备评估。公司主要使用思科和华为的网络设备，统计使用的设备型号，对比技术文档，确定公司的网络设备全部支持IPv6协议。二是安全设备评估。公司使用的安全设备有思科、华为、深信服等品牌的防火墙、VPN、上网行为管理等，多数安全设备需要进行版本升级来实现对IPv6的支持。为此重点评估DMZ区的深信服防火墙，由于深信服防火墙对NAT64转换后的安全防护有问题，确定DMZ区的下一代防火墙必须重新购置。三是计算资源评估。公司现在的服务器均未启用IPv6协议，只要网络支持IPv6协议后，操作系统可以随时启用IPv6协议。四是网站和应用系统评估。公司使用的数据库、中间件等都支持IPv6协议，只需要启用即可，主要是应用系统改造支持IPv6协议。2019年主要考虑公司门户网站改造工作，公司今年对门户网站进行改版，提出支持IPv6协议的要求。

其次，搭建测试环境。为保障IPv6改造工作的顺利推进，搭建IPv6测试环境，通过不断练习，提升技术人员的IPv6技术实力，模拟改造场景，提高改造成功率。一是申请联通IPv6的互联网线路，实现互联网对公司网络的IPv6访问支持。二是搭建IPv6互联网测试环境。模拟了NAT64转换，IPv4/v6双栈两种访问模式，并测试互联网IPv6环境对公司网站的访问效果及各项测试要求。

拟定改造方案

计划新建DMZ区服务器虚拟化，可以提供IPv4/v6双栈访问。DMZ区交换机支持IPv4/v6双栈，并已启用IPv6的协议支持。基于上述前提，我公司拟定了DMZ区改造支持IPv4和IPv6双协议栈访问的方案。

具体方案如下：新建IPv6网络平面。经过反复交流讨论，为保持公司IPv4网络的稳定，确定新建IPv6网络出口的方案。保证新增的IPv6网络不影响原有IPv4接入区域的业务访问；新购2台链路负载设备用于互联网边界的NAT64转换和多链路负载；新购2台下一代防火墙，集成IPS、防病毒、WAF等安全功能，起到不低于IPv4安全防护的作用；申请互联网IPv6专线接入。先开通联通IPv6互联网专线，用于测试和生产使用，后续根据需要再开通电信、移动IPv6专线。

改造实施

一是新建DMZ区IPv6互联网平面。搭建IPv6互联网出口，支持IPv6/IPv4双栈和NAT64访问，与现有的IPv4互联网平面同时对外提供服务，完成DMZ区的网络改造。二是网站IPv6访问改造。通过边界链路负载做NAT64，实现对现有IPv4环境下网站的IPv6访问。计划2020年1月份，DMZ区服务器化环境建设完成支持IPv6访问后，网站通过IPv6/IPv4双栈对外提供服务。三是公司门户网站域名解析。同时发布A记录和AAAA记录，满足互联网上的AAAA记录访问。四是公司门户网站域名内全部静态页面、动态页面、多媒体资源和应用插件等，均支持IPv6连接访问，天窗问题都已解决。五是把公司门户网站使用的IPv6地址到运营商处进行备案。

后续改造计划

计划2020年1月完成 DMZ 区服务器虚拟化建设，实现DMZ区的IPv4/v6双栈访问，公司门户网站迁移到新的服务器上部署，对互联网提供IPv4/v6双栈访问；建设支持IPv6的DNS和IPv6地址管理系统，解决IPv6地址管理和应用系统通过域名访问的问题；2020年逐步对DMZ区的应用进行改造，年底前实现公司所有互联网应用支持IPv6访问；根据互联网应用的改造进度，再开通电信、移动运营商的IPv6互联网专线，做到多链路智能负载。