中国农业银行依据《金融行业关于贯彻的实施意见》的规定，主动去履行作为国有大型商业银行所应承担的社会责任，逐步开展全行的 IPv6 部署工作。在 2019 年 12 月 19 日这一天，其域名开始正式对外提供 IPv6 服务，这一标志表明中国农业银行顺利完成了门户网站的 IPv6 改造工作，并且包含在门户网站中的 59 个总分行域名全都能够对外提供 IPv4 和 IPv6 服务。截至当前，门户网站系统的运行状态较为稳定，各项技术指标也都处于正常范围。在 2019 年 12 月 23 日到 29 日这段时间里，通过监控数据可以看出，在门户网站的访问流量中，IPv4 流量占总流量的 90%，IPv6 流量占总流量的 10%。并且，在人民银行金融行业 IPv6 发展监测平台的改造情况排行榜中，该门户网站处于较为靠前的位置。

IPv6改造过程

中国农业银行以 2018 年互联网应用改造试点为基础。2019 年 1 月启动了门户网站 IPv6 改造。改造过程包含确定实施范围这一部分。还包含制定技术方案这一部分。也包含系统改造及测试这一部分。以及包含系统上线这一部分。

一是确定实施的范围：依据“一行两会”的《实施意见》的相关要求，发布了《中国农业银行 IPv6 部署工作方案》，清晰地明确了全行的部署工作将按照四个阶段来开展。在 2019 年，这属于初期部署阶段，其工作内容为完成门户网站等系统的 IPv6 部署工作。

一是制定技术方案：IPv6 历经多年发展，然而由于 IPv6 协议在设计层面与 IPv4 协议不兼容，导致 IPv4 无法访问 IPv6 网络。所以，要让现有生产系统顺利升级到 IPv6 网络，这涵盖了系统、网络、安全等诸多方面的改造内容。对双栈技术、地址协议转换、隧道技术这三种 IPv4 - IPv6 过渡技术方案进行了分析。同时结合了全行的应用部署情况。最终确定门户网站将采用双栈技术来完成 IPv6 改造。

- 具体的测试内容包括业务功能方面、域名解析方面、单栈测试方面、双栈测试方面、安全防护方面以及运维监控方面等。

一是投产上线方面，为了保证在上线期间不会对 IPv4 业务造成影响，采用并行的方式来部署 IPv6 应用。二是在系统内部经过验证之后，分阶段逐步地发布 IPv6 服务。

IPv6改造技术方案

中国农业银行的门户网站进行 IPv6 改造，其技术方案涵盖了总体架构方面、应用改造方面以及配套设施建设方面的内容。

1.总体架构

农业银行门户网站采用双栈技术方案，主要有以下三点考虑：其一，IPv4-only 向 IPv6-only 的演进并非能一下子完成；其二，可以预料到，IPv4-only、IPv6-only 以及 IPv4/IPv6 这三种网络环境同时存在，是一个必然且漫长的过程；其三，这种并存的情况是一个必经的阶段，且会持续较长时间。二是在双栈模式下，所有节点都开启了双栈。这样一来，既能够以双栈模式为互联网中的 IPv4-only 用户提供服务，也能够为 IPv6-only 用户提供服务，还能够为 IPv4/IPv6 用户提供服务。同时，还能够兼顾系统之间的关联访问场景，适用范围较为广泛。三是双栈模式能够在不改变原有 IPv4 内网网络的情况下，新增专门的、独立的负载均衡设备以供 IPv6 接入。业务系统逐步从 IPv4 改造为支持双栈模式，并且独立部署以支持 IPv6 客户的访问。通过这种方式，保证了对原有 IPv4 业务不会产生任何影响，能够平滑地实现系统的改造。

IPv6改造技术改进过程中经过了两阶段演进：

阶段一：新建 IPv4/IPv6 环境，并且使其与 IPv4 并行。新建 IPv4/IPv6 网络，在外联接入区设备、外联应用区设备、应用服务器、操作系统、中间件等方面，全部采用双栈模式。同时，初步完成了应用双栈改造，使得其与原 IPv4 网络形成并行运行的状态，也就是 IPv4 业务承载在 IPv4 网络上，IPv6 业务承载在 IPv4/IPv6 网络上。

阶段二，新环境接管 IPv4 流量且双栈运行。要保障 IPv4 业务的可用性与安全性，在 IPv4/IPv6 网络运行平稳之后，完成 IPv4 网络与 IPv4/IPv6 网络的融合，从而实现全网全链路双栈，也就是让 IPv4 业务和 IPv6 业务统一承载在 IPv4/IPv6 网络上。此方案中，IPv4 网络承载单栈业务，IPv4/IPv6 网络也承载单栈业务。在风险处于可控状态时，成功地将 IPv4 和 IPv6 的兼容问题予以解决，并且平稳地实现了系统的 IPv6 改造。最终演进的总体架构呈现如所示的样子。

图  IPv6改造总体架构

2.应用改造

目前，农业银行的互联网应用按照开发平台来划分，主要有三类。一类是.NET应用，一类是 Java 应用，还有一类是 C 语言应用。在这些应用中，基于.NET 的应用和 Java 应用，主要是在 Web 容器（IIS、WAS）中运行，并且在其中对外提供 HTTP 服务。IP 协议在七层网络模型中处于网络层。网络层协议发生变化时，借助操作系统和 Web 容器的双栈支持，能够实现应用系统对网络层协议变化的屏蔽。.NET 和 Java 应用改造的重点主要集中于因 IPv6 地址格式变化而导致的地址处理规则以及地址空间等方面的应用层改造。如果应用系统要调用底层网络接口，那么就需要对应用系统进行适应性改造，使其能够支持 IPv4 和 IPv6。

应用系统改造工作具体包括：

首先是对 IP 地址进行处理。IPv6 地址是以冒号十六进制来表示的。128 位的地址会被冒号分割成 8 段，每一段都是 16 位。因为 IPv6 地址支持对前导零进行压缩，以及可以将连续的几段零压缩为双冒号这种标识形式，所以它的地址标识与 IPv4 地址有着较大的差别。要高度重视因 IP 地址结构形式变化而带来的应用改造工作。

其次是网络编程。使用底层网络接口编程时需注意，某些 API 对 IP 地址的调用方式，要避免缺少对 IPv6 的支持。

三是关于关联系统的访问。在关联系统访问方面，采用域名来代替直接使用 IP 地址进行硬编码；并且后台的关联系统需要完成针对 IPv6 地址特性处理的相关改造，以此来适应消费方的变化。

3.配套设施建设

在应用和网络改造方面，对于 IPv6 配套设施建设采用的标准与 IPv4 一致。在运维监控措施方面，完成了星云平台的监控，并且网络旁路监控也具备了对 IPv6 的支持；同时建立了面向 IPv6 基础架构领域的监控，涵盖网络流量、负载均衡会话、服务器负载等；安全设备也启用了对 IPv6 环境攻击流量的监控和防护。

门户网站IPv6改造经验

综上所述，农业银行门户网站IPv6改造经验如下。

一是加强对负载均衡配置信息的梳理及更新工作。在实施过程中我们发现，负载均衡配置信息里存在部分应用系统的信息不够完善的情况，并且无法找到系统的联系人，所以后续必须加强信息登记方面的工作；与此同时，对于负载均衡 F5 的子目录配置应用系统，要及时把下线的应用子目录清除掉，以防止给后续工作带来困扰。

一是同一个域名不适合加载过多的业务系统。若一个域名下的业务系统数量过多，会导致 IPv6 系统改造工作的难度提升，并且关联系统的风险较难进行控制，所以需要在日常业务系统使用域名时加强管控。

一是要注意确认改造系统所依赖的外购产品及组件对 IPv6 的支持情况。对于外购系统而言，要联系厂家正式确认其 IPv6 相关支持情况。对于密码键盘、中间件、安全控件等组件，同样需要联系厂家正式确认其 IPv6 相关支持情况。并且要留有足够的时间来搭建环境，以便对 IPv6 支持以及影响情况进行验证测试。

三是将支持 IPv6 纳入非功能需求架构管控当中。全力做好架构的宣传讲解工作，将支持 IPv6 纳入新建系统的非功能需求之内，依据制度使新系统达到 IPv6 部署工作的相关要求，防止在改造期间出现污染现象。

一是在正式发布前，对多系统共用域名的情况进行确认。二是在发布关联多个应用系统域名的 IPv6 服务时，要保证所有关联系统都已完成改造和内部验证。三是要确保没有新增不支持 IPv6 的系统。四是这样做是为了避免在发布后发现问题，从而导致全部关联系统回退。

六是为防范改造风险而充分开展内部验证。在正式发布互联网服务之前，借助配置本地解析域名 IPv6 地址这一方式，对应用展开充分的验证工作。若满足内网使用条件，建议在内网对相关互联网应用进行验证，通过让内部员工使用来发现并解决问题。

七是客户端的验证场景需涵盖单 IPv4、单 IPv6 和双栈环境。为确保提供的服务能最大程度满足用户使用，在验证测试时，要涵盖单 IPv4、单 IPv6 和双栈环境这三种客户端场景。具体做法是在客户端设备上禁用 IPv4 协议来验证单 IPv6 环境，禁用 IPv6 协议来验证单 IPv4 环境，默认情况为双栈环境。

往期精选：

（点击查看精彩内容）