明阳 IPv4/IPv6 协议交换平台产品白皮书

一、业务需求  

随着互联网的不断发展，IPv4 地址资源逐渐枯竭，为了解决 IPv4 地址不足的问 题，IPv6 协议逐渐被广泛应用。

国家政策对 IPv6 协议的推广提出了具体要求。早期，国家主要考核网站 IPv6 升级，随着国家相关政策的不断推进，IPv6 规模部署不断加深，其范围更广、规模 更大、程度更深、要求更高，已扩展到内部网络、应用、终端层面。

为满足企业内部网络“IPv6 单栈为主，IPv4 过渡为辅”的技术路线，IPv4 和 IPv6 间协议转换，提高企业 IPv6 网络的覆盖规模和部署效率，明阳 IPv4/IPv6 协议交换 平台产品，实现企业网络 IPv6 全网部署、IPv4/IPv6 协议互通需求。结合 NAT64、SIIT、 DNS64 等技术，解决新旧网络并存场景下 IPv6 过渡需求，通过完善的 IPv4/IPv6 协 议转换技术，企业可以逐步将自身网络升级为 IPv6 规模部署。 

二、产品概述  

明阳 IPv4/IPv6 协议交换平台，采用裸金属容器架构，可充分发挥硬件极限性能， 具备更高的弹性、高可用性；目前已完整适配了国产化系统，通过了工信一所测试。

该平台融合网络层、传输层及应用层等多种协议交换技术，实现各类复杂应用系 统的转换升级，同时提供模块化的服务程序，确保各单位网站高分通过国家 IPv6 考 核，确保各单位内网深化部署 IPv6 单栈最大化。

三、互联网网站升级方案  

政企事业单位网络与信息化系统经过多年使用与发展，其应用部署目前普遍较为 分散，大部分应用部署于统建数据中心，部分部署于下属单位自建机房，部分部署于 公有云上。面对 IPv6 部署的问题，存在技术力量分散、网络现状复杂、时间紧迫、 投资预算较高等问题。按国家考核要求，如将上述应用全面彻底改造,将是一个长期 而复杂的过程。

基于上述网络现状与应用部署情况，平台充分考虑 IPv4、IPv6 网络安全性、IPv6 改造的演进性、规划合理性、管理高效性等需求，采用协议交换、安全防护、应用监 测等技术相结合，以不影响原 IPv4 互联网门户网站对外提供的服务及网络结构为部 署原则，实现政企事业单位门户网站和面向公众的在线服务窗口等 IPv4 网站或应用 升级支持 IPv6 用户访问。 

根据网络基础设施、网站及应用现有条件和部署需求，选择以下三类应用场景及 相关部署方案： 

3.1 部署方式一：建设协议交换中心  

网络数据中心现有相关出口安全设备不支持 IPv6，则可通过部署独立的协议交 换中心，实现互联网应用 IPv6 升级。该协议交换中心可部署在运营商机房，也可部 署于客户自有机房，只要翻译平台与需要翻译的网站网络可达，即可实现网站 IPv6 升级，如下图所示：

如上图，在运营商数据中心或客户自有数据机房部署一套 IPv4/IPv6 协议交换平 台（多台集群），及配套的一体化下一代防火墙（内置 IPS、WAF、AV）、三层交换机， 实现客户网站及互联网业务的 IPv6 升级改造，使其具备 IPv6 访问接入能力。部署方 案主要包括：

数据中心机房规划协议交换区，根据设备数量确定机柜空间。

在网络边界新增一条双栈专用线路，或在原 IPv4 链路升级支持双栈，IPv6 地址 数据根据未来发布的应用数据确定，其中 IPv6 链路用于承载 IPv6 的业务网络访 问流量。使用 IPv4 链路去请求源站内容。 

部署 IPv6 出口网络与安全设备，主要包括下一代防火墙（内置 IPS、WAF）、三层 交换机，开启 IPv6 路由协议，启动这此安全设备上的网络层（DDOS）与应用层安 全策略（SQL 注入、脚本攻击等）。 

在核心交换机部署 IPv4/IPv6 翻译平台设备多台。上连安全设备后接入运营商链 路。

启动源站安全设备上的网络层与应用层针对会话的安全策略，对经翻译平台转换 后的 IPv4 流程启动定向策略，只阻断安全威胁，不禁封翻译平台代理转换的 IPv4 地址。

按照国家考核标准在 IPv4/IPv6 翻译平台逐一适配互联网应用，实现客户互联网 应用升级支持 IPv6. 

门户网站 DNS 域名解析服务商（或用户自建权威 DNS 服务器上）对需要升级的网 站添加对应的 AAAA 记录，并将 AAAA 记录指 IPv4/IPv6 翻译平台地址。

3.2 部署方式二：内网建设翻译平台 

 如客户数据中心现有出口安全体系可通过配置升级支持 IPv6，则翻译平台可根 据内部网络支持深度部署于防火墙 DMZ 区，或核心交换，或应用服务区交换机均可， 如下图所示：

如上图所示，该应用场景主要是在客户自有数据机房部署一套 IPv4/IPv6 翻译平 台（多台集群），实现客户网站及互联网业务的 IPv6 升级改造，使其具备 IPv6 访问 接入能力。相关部署方案包括：

在客户网数据中心机房规划协议交换区，根据设备数量确定机柜空间。 

在网络边界新增一条双栈专用线路，或在原 IPv4 链路升级支持双栈，IPv6 地址 数据根据未来发布的应用数据确定，其中 IPv6 链路用于承载 IPv6 的业务网络访 问流量。使用 IPv4 链路去请求源站内容。

升级客户互联网出口网络与安全设备，根据客户网实际情况，网络与安全设备可能包括防火墙、IPS、IDS、WAF、路由、交换机等设备，需在这些设备上配置 IPv6 地址及相应的路由协议，并启动安全设备上的网络层与应用层安全策略（SQL 注 入、脚本攻击等）。

在防火墙 DMZ 区，或核心交换，或应用服务区交换机部署 IPv4/IPv6 翻译平台设 备多台。

启动源站安全设备上的网络层与应用层针对会话的安全策略，对经翻译平台转换 后的 IPv4 流程启动定向策略，只阻断安全威胁，不禁封翻译平台代理转换的 IPv4 地址。

按照国家考核标准在 IPv4/IPv6 翻译平台逐一适配互联网应用，实现客户互联网 应用升级支持 IPv6。 

门户网站 DNS 域名解析服务商（或用户自建权威 DNS 服务器上）对需要升级的网 站添加对应的 AAAA 记录，并将 AAAA 记录指 IPv4/IPv6 翻译平台地址。

3.3 部署方式三：边界建设翻译平台  

网络数据中心现有相关出口安全设备不支持 IPv6，则可通过在客户互联网边界 处部署独立的协议交换区，即翻译平台上联运营商 IPv6 网络，下联客户 IPv4 网站， 实现互联网应用 IPv6 升级。如下图所示：

如上图所示，该应用场景主要是在客户自有数据机房互联网边界处部署一套 IPv4/IPv6 翻译平台（多台集群），实现客户网站及互联网业务的 IPv6 升级改造，使 其具备 IPv6 访问接入能力。相关部署方案包括： 

在客户网数据中心机房网络边界规划协议交换区，根据设备数量确定机柜空间。

在网络边界新增一条双栈专用线路，并且翻译平台上联这条线路，IPv6 地址数据 根据未来发布的应用数据确定，IPv6 链路用于承载 IPv6 的业务网络访问流量。翻译平台下联客户原有 IPv4 网络，该网络与所升级的应用 IPv4 路由可达，使用 IPv4 链路去请求源站内容。 

在客户机房网络边界部署 IPv4/IPv6 翻译平台设备多台。 

启动源站安全设备上的网络层与应用层针对会话的安全策略，对经翻译平台转换 后的 IPv4 流程启动定向策略，只阻断安全威胁，不禁封翻译平台代理转换的 IPv4

地址。

按照国家考核标准在 IPv4/IPv6 翻译平台逐一适配互联网应用，实现客户互联网 应用升级支持 IPv6。

门户网站 DNS 域名解析服务商（或用户自建权威 DNS 服务器上）对需要升级的网 站添加对应的 AAAA 记录，并将 AAAA 记录指 IPv4/IPv6 翻译平台地址。 

四、内网 IPv6 深化部署方案 

 明阳 IPv4/IPv6 协议交换平台充分参考国际相关 RFC 标准，并借鉴美国政府颁布 的 USGv6 最佳实践规范，支持多种组合翻译技术，以实现“IPv6 单栈部署，过渡支 撑”最佳技术路线。

具体的，支持多种网络 层/传输层/应用层组合过渡技术，克服国外早期“隧道”技术、国内前期 “双栈” 技术缺陷，建立“IPv6 单栈为主体、IPv4 过渡为辅助”的 IPv6 网络基础设施和应用 支撑体系，实现网络 IPv6 单栈最大化的目标，紧扣国家 2030 年全面实现 IPv6 单栈 改造的目标。明阳 IPv4/IPv6 协议交换平台可以解决下图 IPv4/IPv6 新旧网络并存 场景下，跨任何协议（无论是网络层与应用层）IPv4/IPv6 协议互通。以实现“IPv6 单栈部署，过渡支撑”最佳技术路线。

五、产品优势 

 5.1 不需改变网站源码及网络结构  

网站若想完成 IPv4/IPv6 双协议栈的彻底改造将是一个长期而复杂的过程，因为 双栈化彻底改造包括整个网站网络、应用系统以及支撑系统三部分改造内容，包括路 由器、交换、负载均衡、内容分发、防火墙、入侵检测、应用、缓存、数据库服务器 等设备升级改造，服务器操作系统、WEB 服务、中间件、数据库等软件的改造，支撑、 计费、运营等支撑系统的改造。而工作量更大的部分是整个网站业务应用逻辑必须进 行全部代码的重新梳理。

 “明阳 IPv4/IPv6 协议交换平台”技术是 IPv4 向 IPv6 演进的关键技术之一，可 有效的解决 IPv4 网络和 IPv6 网络的内容互通问题，可帮助企业等在不修改现有网站 系统及网络架构的情况下，通过外部部署，快速完成现有 IPv4 网站/应用向 IPv6 网 络的迁移。只需给平台提供 IPv6 地址及 IPv4 地址，该平台即可对政企事业单位分散 的网站部署情况，目前互联网应用主要存在四种部署场景，部署于本部数据中心；托 管于 IDC 数据中心；部署于自建机房，部署在公有云。“IPv4/IPv6 协议交换平台” 只要与原 IPv4 网站域名可达，可访问，即可完成批量，快速化的翻译。 

5.2 自动处理外链 

当主网站包含其它网站内容的链接（外链），但被引用的其它网站未升级 IPv6， IPv6 用户访问该网站时还会出现响应缓慢，部分内容无法显示，部分功能无法使用 等情况。该问题被称为"天窗"问题。大型网站往往互相引用，或者存在多个栏目，单 方面的升级改造不可避免地存在"天窗"问题。翻译平台区别于传统网络层翻译技术， 可深入报文应用层处理相关协议信息，有效解决网站外部链接导致的内容缺失（“天 窗”）问题，实现 IPv4 和 IPv6 的无缝对接。

5.3 可扩展性

采用成熟的硬件平台，多核高性能处理器，大容量内存；支撑高性能安全业务无阻塞处理及转发；内置模块化软件系统，支持多进程的调度，进程间运行空间隔离， 单个进程的异常不会影响系统其他部分，提高系统可靠性；平台可以由 1 台或多台设 备组成，每台设备完全等价，彼此自动发现和协同工作，在实现高可靠性的同时极大 提升了平台的扩展能力。平台把业务均匀分配到每个可用设备和网络端口，当容量不 足时，可以在不中断业务的前提下通过增加设备实现快速扩容，当出现故障时，可以 自动屏蔽故障点，并重新分配业务，从而实现设备的负载分担和冗余备份。

5.4 全生命周期 

过渡初期，可在短时间内快速，批量化完成翻译，满足考核要求，解决双栈化升 级周期长，难度大的业务痛点。

过渡中期，IPv4 与 IPv6 需要并存很长时间，很多 IPv4 应用会出现难以升级， 无法升级，或无法找到原厂升级等众多情况，即使使用双栈技术，其引用或关联的应 用没升级，会出现部分功能无法使用，无法显示，或天窗问题。若应用已升级支持 IPv6。翻译平台可追加建设加速平台，也会为 IPv6 应用提供加速服务。

过渡后期，很多应用为开发便利，以单栈 IPv6 开发并发布，翻译平台可以将 IPv6 应用翻译成 IPv4,为留存的 IPv4 用户提供访问服务。最后，很多无法升级的 IPv4 应 用，也可以长期使用翻译平台提供的翻译服务。

5.5 先进的技术架构  

区别于其它厂商，明阳产品采用先进的裸金属容器架构(硬件服务器直接安装云 原生系统，所有应用在容器内运行，发挥了硬件资源的极限性能)，精简化、安全化 的底层操作系统为转换服务提供了更多的性能资源，同时也减少系统的攻击面和漏洞 风险。采用云原生集群架构，相对于传统厂商的设备具有更好的弹性（根据负载，自 动创新服务实例）、可扩展性（随时增加硬件资源）、高可用性（自动备份和恢复，负 载均衡），进一步提升了资源利用率、系统的可靠性、稳定性、安全性。 

5.6 模块化的服务程序 

区别于其它厂商，明阳提供模块化的服务程序（包括专业的工序、工具与运维服务），确保 IPv6 应用稳定运行。短期内，通过“域名梳理、链接指导、上线适配、自 检评分、优化整改”等专业的工序及工具，有效提升网站 IPv6 支持深度；长期的， 利用监测工具为用户提供原站链接优化指导、持续可用监测与报警、定期深度监测达 标报告等增值伴随服务，确保应用全生命周期的稳定运行，并持续高分通过国家考核。 

5.7 融合型翻译技术 

 区别于其它厂商，明阳产品充分参考国际相关 RFC 标准，并借鉴美国政府颁布的 USGv6 最佳实践规范 ，支持多种网络层/传输层/应用层组合过渡技术，以实现“IPv6 单栈部署，过渡支撑”最佳技术路线。 

5.8 复杂应用协议转换 

区别于其它厂商，明阳产品支持复杂视频类应用协议的转换升级，并有针对性的 提供适配开发服务，该场景适用于雪亮工程、平安城市等大规模视频网 IPv6 的深化 部署。目前已在和平区建设了全国第一张纯 IPv6 视频网，具有一定的示范作用。 

六、主要功能  

明阳 IPv4/IPv6 协议交换平台有效解决客户三大业务需求，一是利用网站翻译技 术快速实现网站 IPv6 升级，确保网站高分通过国家考核；二是利用应用层翻译技术 实现各类复杂应用升级，满足大型视频专网新旧业务系统 IPv4/IPv6 互通需求。三是 利用混合型翻译技术实现企业网 IPv6 升级，兼容存量 IPv4 网络，达到内网深化部署 IPv6 单栈最大化的目标。主要功能如下： 

提供网站 IPv6 升级服务：通过应用层翻译技术，实现 IPv4 web 应用发布为 IPv6 支持，高分通过国家考核。 

提供混合型翻译技术：支持多种网络层/传输层/应用层组合过渡技术，实现网络 IPv6 单 栈最大化的目标。

提供网站外链翻译服务：解决网站引入外链问题、IPv4 地址嵌套所导致的天窗问 题，支持对原站死链的智能优化（如 400 转 200），支持可视化外链开关，保证纯IPv6 用户访问网站内容与布局与 IPv4 一致，提高考核监测评分。 

提供集群高可靠性强服务：平台可以由 1 台或多台设备组成，每台设备完全等价， 彼此自动发现和协同工作，在实现高可靠性的同时极大提升了平台的扩展能力。

提供应用转换适配服务：平台主要功能采用软件定义方式，其延展性更强，可以 根据不同的网络类型及网络安全需求，提供不同的软件定义接口，支持多种 ALG 配置，可为客户定制不同场景的应用转换适配务。 

提供内容加速服务：平台对于频繁访问的静态内容，直接进行热点缓存，支持业 务应用系统或网站应用的静态数据、视频或图片等元素直接缓存成纯 IPv6，避免 同一个静态内容重复 46 翻译问题，提升平台工作效率，给用户终端更好的效果体 验。 

提供高可靠的连续服务：支持自动检测源站状态并同步 IPv6 业务发布服务，保证 双栈客终端访问的连续性。 

提供快速改造服务：IPv4/IPv6 翻译平台能在设备到货后一周内完成部署和调测， 快速完成各单位网站群的 IPv6 升级改造要求，达标国家考核要求，且 IPv6 改造 效果较好，能够取得较好的 IPv6 发展监测报告靠前的排名，提升影响力。

提供精细化溯源审计功能：区别与网络层翻译技术，翻译平台溯源系统除五元组 外提供更深层次的精细化溯源，提供强大的溯源与访问统计报表，支持域名汇总 报告及域名趋势报告。 

提供专业化的伴随服务：包括原站链接优化指导、持续可用监测与报警、深度监 测达标报告，提高网站监测考核评分。

提供 HTTPS 卸载和 SSL 加速功能。通过将 HTTPS 功能卸载在平台上，减少源站的 压力和配置难度。

提供源应用负载均衡功能。通过负载减少源站的压力，增加系统处理性能和冗余 度，系统支持网络层和应用层的负载均衡。

七、支持服务 

提供整机（硬件及软件）3 年 7*24 小时免费人工、部件质保及内核软件升级保障 服务。质保期内对所提供货物实行免费包修、包换、包退、包维护保养；

提供 7*24 小时热线支持服务，维修、维护人员保持通讯畅通立即响应。

定期对产品进行跟踪调查，消除产品的早期故障隐患，保证平台的可用率，针对 用户提出的合理化变更需求，我司会积极配合开发响应；

提供三年的免费升级服务，软件升级和增强版本可能包括新的功能和特征、对已 发现问题的修正及对新硬件平台的支持。