■ 文/河北广播电视台：夏李良 王晓栋 董鹏程 马春娟

IPv6即互联网协议第六版作为网络强国建设的基础支持、网络技术演进的重要方向、是互联网今后发展的必然趋势。中共中央办公厅、国务院办公厅在2017年发布了《推进互联网协议第六版（IPv6）规模部署行动计划》，以习近平同志为核心的党中央将该计划作为推进IPv6规模部署的行动指南。几年来在各地区、各部门共同努力下，我国电信运营商推动IPv6规模部署取得显著进展，根据国家IPv6发展监测平台的统计数据显示，目前我国网络基础设施向IPv6的改造已全面完成，政务网、政府网、中央企业、中央媒体网站和各大门户网站在IPv6升级改造方面均已完成，2022年上半年IPv6互联网活跃用户数相较2019年上半年已增长了287%（数据对比如图1所示），截至2022年1月份，我国IPv6活跃用户数达6.44亿人，用户占比达63.71%。“十四五”时期将是网络数字化加快发展、建设数字中国和网络强国的重要战略机遇期，我国IPv6发展处于跨越拐点、攻坚克难的关键阶段，即面临巨大的发展机遇又存在诸多风险挑战。对省级重要新闻媒体网站和新闻客户端来说，应该尽快采取技术手段对系统进行IPv6升级，加以改造，更好地满足当前及未来IPv6技术对于新闻媒体行业的各种需求以及应用场景。

图1：我国2019至2022年（半年）IPv6互联网活跃用户数据

1.省级媒体行业的IPv6规模化部署现状

自2012年开始，我国电信运营商已经无法再获得成组的IPv4地址，IPv4地址池中地址已显现匮乏之势。近年来，新兴信息网络技术持续高速发展，如云计算、移动互联网、大数据、人工智能、物联网等对IP地址的需求量呈井喷式增长，然而电信运营商所持有的IPv4地址已基本消耗殆尽，为了应对IPv4地址匮乏的困境，不得不大量采取地址转换技术（NAT）。目前IPv4地址资源短缺已经成为制约我国数字经济发展的关键因素之一，为了应对IPv4地址短缺的危机，其根本性解决方案就是大规模部署IPv6，全面推进互联网基础设施及应用向IPv6升级演进。我国已于2017年进行了IPv6的工作部署，但当时由于过渡到IPv6的关键因素尚不成熟，导致2017年至2019年期间全国整体IPv6网络流量不大，在很多民生领域中尚未达到全覆盖。但是对于新闻媒体行业来说，该行业的特色是内容的生产以及视听服务这两大方面，同时这两方面对于增加IPv6用户数量以及促进网络流量发挥较为重要作用。

根据国家IPv6发展监测平台统计数据显示，网站应用IPv6支持率层面：中央部委、省级政府门户网站达92.04%；中央企业门户网站达90.38%；中央重点新闻媒体网站达100%；金融央企门户网站达95.65%；但TOP100互联网网站的支持率仅为63.04%。其中省级新闻媒体网站的IPv6访问支持率还不容乐观。综合来看，现阶段的IPv6还不能完全满足上网需求，与IPv4的体验仍然有不小的差距，尤其是实际使用流量方面，无论是城域网、移动核心网还是骨干直联点的流量占比仍然较低。在用户使用较多的APP应用中，仍有较大比例不支持IPv6，也极大限制了用户端IPv6的使用意愿。

2.升级建设路线选择

系统升级过程中应优先瞄准IPv6单栈目标，数据中心建议采用新建IPv6资源池进行改造，具备条件的应用优先采用IPv6单栈方案，IDN及CDN网络优先采用IPv6技术，网站和客户端采用IPv4/IPv6双栈方案，跟随网民及客户端应用的改造逐步向IPv6单栈演进。

IPv6网络接入技术的选型需要综合考虑，现有较成熟的技术方案主要有以下三种：

2.1 双协议栈技术（Dual Stack）。

双协议栈是指在终端设备或网络节点上同时安装IPv4和IPv6的协议栈，这样就实现了同时与IPv4或IPv6的网络节点的数据通信，双栈与传统单栈的协议传输对比如图2所示。

双协议栈技术是IPv4向IPv6过渡的一种有效为有效的技术。双协议栈具有多种应用支持和多种链路协议支持的特点，多种链路协议（如以太网）支持双协议栈、多种应用（如HTTP、HTTPS、DNS、FTP等）支持双协议栈，上层应用可选用TCP或UDP作为传输协议，并且在多数系统中会优先选择IPv6协议栈作为网络层协议。

图2：单栈与双栈传协议输对比

该种方案是网站进行IPv6升级改造建设中升级最为彻底的一种技术，各协议栈用户之间互通效果较好。但这种方案对站点运维技术要求较高，将会涉及到网络设备和服务器系统的升级，可能存在项目投资较大且改造周期较长的弊端，复杂度较高的系统需要进行长期的技术演进，对于于架构和业务相对简单的网站则可在短期内完成改造。

2.2 隧道技术（Tunnel）。

隧道技术是指将一种网络协议封装到另外一种网络协议中的技术。该技术用于实现分布于IPv4网络中孤立的IPv6网络之间的互连，或者分布在IPv6网络中的IPv4岛屿互连，如图3所示。隧道技术只需要边界节点实现双栈，并通过隧道将一个地址族的数据穿越另一种地址族网络。隧道技术有很多种，常见的有：GRE隧道、6to4隧道、ISATAP隧道、SPACE6、L2TP隧道等。

图3：隧道技术应用示意图

该技术的优势是现有网站系统不需要大范围调整，适合快速部署，只需要增加部署一台IPv6隧道服务器即可。不足之处是有些隧道技术需要在用户端安装相对应的IPv6隧道软件，普适性和便捷性都存在局限性，并且无法很好的解决“天窗”问题。该技术主要适用于C/S架构的应用环境，或者是在用户可以安装终端应用组件的场景，不适宜大规模部署。

2.3 转换技术（Translation）。

转换技术又称地址翻译技术，是在IPv6终端用户和IPv4网站之间，通过部署一套协议转换设备，协议转换设备将IPv6/IPv4之间地址和端口建立映射关系，从而实现对用户透明的IPv6和IPv4互访。该技术由SIIT技术和动态地址转换（NAT）技术结合和演进而来，SIIT提供IPv4和IPv6之间的一对一的映射转换，NAT-PT支持在SIT基础上实现多对一或多对多的地址转换。翻译技术的典型案例有IVI技术和NAT64技术，其中IVI技术是我国研发的具有自主知识产权的一种翻译技术，利用翻译技术进行改造的示意图如图4所示。

图4：利用翻译设备进行IPv6升级改方案图

该技术部署灵活，与系统物理位置无关，网站只需要在DNS上增加配置相应的AAAA解析记录即可。此外，还能够解决网站中由于引入外链等因素导致的“天窗”问题，相较其它技术具有更好的用户体验感。

系统升级方案应根据网站的规模、类型和自身特点，采用适合自身的IPv6升级改造策略。实际操作中应综合考虑网站规模、网站流量、技术支持、资金实力等因素。中小型网站日浏览量小于100万次量级，技术系统架构简单，技术维护相对容易，可采用一步到位升级双栈架构；中大型网站日浏览量超过500万次量级，技术系统庞大架构复杂，在资金有限的情况下可以考虑采取“两步走”策略，先期采用翻译技术，兼顾较老的系统且部署相对简单，同时新建项目采用双栈架构。

3.可能存在的风险与应对措施

IPv6规模化部署之后，地址空间巨大，理论上不会再有地址短缺困境，IPv6终端之间可以直接建立点到点的连接，无需地址转换。但IPv6作为网络层协议，并非绝对安全，仍然存在其他功能层所引发的攻击，其中部分IPv4存在的安全风险仍然被沿袭。在IPv4和IPv6并存的双栈配置过渡期内也可能存在潜在的安全风险：

1）双栈过渡期间，系统同时运行IPv4、IPv6两个逻辑网络，系统和设备的暴露面是原有的两倍，这也意味着安全网关、入侵防御等网络安全防护设备需同步配置双栈策略，形成策略管理复杂度加倍的局面，防护被穿透的机会加倍。

2）双栈过渡期间，IPv4/IPv6双协议栈会影响网络节点的处理性能，增加系统内各网络节点的数据处理转发负担和协议处理复杂度，网络节点的故障率风险相应增加。

3）IPv6协议特有漏洞。有关IPv6的安全漏洞在逐渐被爆出，虽然可被利用的漏洞数量还不算多，但仍然值得密切关注。应对与防范措施思路如下：

一是建立健全网站IPv6网络安全制度。网站主体要积极响应两办在“行动计划”中提出的“两并举三同步”原则，即发展与安全并举，同步推进网络安全系统规划、建设、运行。规范IPv6网络安全管理，亦需要制度先行，要在行业内建立信息共享机制，做好安全保护规划。建立健全过渡期内的监测预警制度、网络安全事件应急处置制度等。

二是加大资金支持力度，提升网络安全整体防护能力。2022年初国务院印发了《“十四五”数字经济发展规划》，规划中明确指出要突破制约数字经济发展的短板与瓶颈，加大对数字经济中薄弱环节的投入，建立推动数字经济发展的长效机制。媒体行业也应力争在“十四五”期间拓展多元投融资渠道，加大对数字产业升级的支持力度。

三是引进外部技术力量，构建私有云+公有云的整体防护体系。在规模化部署初期，可采用购买安全服务的方式化解网络安全风险，借助阿里云、腾讯云等的云防护能力，提升网站自身的安全实力。

四是不断提升自身技术队伍的网络安全防护实力水平。重视本系统网络安全人才队伍的培养，务必组建起自己的网络安全技术队伍。重点选拔培养网络安全标兵，以点带面地推动各项网络安全工作，逐步补齐网络安全人才缺口。

4.结束语

随着国家IPv6规模部署的持续推进，IPv6和IPv4用户数和流量对比将会迎来拐点，运营商移动网络IPv6流量占比预计在2023年将达到50%，IPv6将取代IPv4成为主流，因此网站数据中心要进行端到端IPv6改造。在数据中心向IPv6改造的过程中，需要遵循“网络先行，安全同步改造”、“目标IPv6单栈，兼容IPv4”、“高可用性，平滑演进”这三大原则。具体实施路径采用分阶段建设方案，先由纯IPv4网络过度到IPv6网络可达，即通过转换技术实现IPv4/IPv6协议转换，实现IPv6的网络访问可达，后期建设采用IPv4/IPv6双栈网络架构，双栈架构过渡期将会持续有较长时间，终极目标是最终实现淘汰IPv4网络过度为纯IPv6网络环境。建设方案主要涉及数据中心、网站、客户端、支撑系统、运维管理系统五个方面，整体遵循统一规划、因地制宜、分步实施、安全稳妥的原则，基础设施先行，终端和应用逐步改造。