一、業務需求

隨著互聯網的不斷發展，IPv4 地址資源逐漸枯竭，為了解決 IPv4 地址不足的問 題，IPv6 協議逐漸被廣泛應用。

國家政策對 IPv6 協議的推廣提出了具體要求。早期，國家主要考核網站 IPv6 升級，隨著國家相關政策的不斷推進，IPv6 規模部署不斷加深，其范圍更廣、規模 更大、程度更深、要求更高，已擴展到內部網絡、應用、終端層面。

為滿足企業內部網絡“IPv6 單棧為主，IPv4 過渡為輔”的技術路線，IPv4 和 IPv6 間協議轉換，提高企業 IPv6 網絡的覆蓋規模和部署效率，明陽 IPv4/IPv6 協議交換 平臺產品，實現企業網絡 IPv6 全網部署、IPv4/IPv6 協議互通需求。結合 NAT64、SIIT、 DNS64 等技術，解決新舊網絡并存場景下 IPv6 過渡需求，通過完善的 IPv4/IPv6 協 議轉換技術，企業可以逐步將自身網絡升級為 IPv6 規模部署。

二、產品概述

明陽 IPv4/IPv6 協議交換平臺，采用裸金屬容器架構，可充分發揮硬件極限性能， 具備更高的彈性、高可用性；目前已完整適配了國產化系統，通過了工信一所測試。

該平臺融合網絡層、傳輸層及應用層等多種協議交換技術，實現各類復雜應用系 統的轉換升級，同時提供模塊化的服務程序，確保各單位網站高分通過國家 IPv6 考 核，確保各單位內網深化部署 IPv6 單棧最大化。

三、互聯網網站升級方案

政企事業單位網絡與信息化系統經過多年使用與發展，其應用部署目前普遍較為 分散，大部分應用部署于統建數據中心，部分部署于下屬單位自建機房，部分部署于 公有云上。面對 IPv6 部署的問題，存在技術力量分散、網絡現狀復雜、時間緊迫、 投資預算較高等問題。按國家考核要求，如將上述應用全面徹底改造,將是一個長期 而復雜的過程。

基于上述網絡現狀與應用部署情況，平臺充分考慮 IPv4、IPv6 網絡安全性、IPv6 改造的演進性、規劃合理性、管理高效性等需求，采用協議交換、安全防護、應用監 測等技術相結合，以不影響原 IPv4 互聯網門戶網站對外提供的服務及網絡結構為部 署原則，實現政企事業單位門戶網站和面向公眾的在線服務窗口等 IPv4 網站或應用 升級支持 IPv6 用戶訪問。

根據網絡基礎設施、網站及應用現有條件和部署需求，選擇以下三類應用場景及 相關部署方案：

3.1 部署方式一：建設協議交換中心

網絡數據中心現有相關出口安全設備不支持 IPv6，則可通過部署獨立的協議交 換中心，實現互聯網應用 IPv6 升級。該協議交換中心可部署在運營商機房，也可部 署于客戶自有機房，只要翻譯平臺與需要翻譯的網站網絡可達，即可實現網站 IPv6 升級，如下圖所示：

如上圖，在運營商數據中心或客戶自有數據機房部署一套 IPv4/IPv6 協議交換平 臺（多臺集群），及配套的一體化下一代防火墻（內置 IPS、WAF、AV）、三層交換機， 實現客戶網站及互聯網業務的 IPv6 升級改造，使其具備 IPv6 訪問接入能力。部署方 案主要包括：

數據中心機房規劃協議交換區，根據設備數量確定機柜空間。

在網絡邊界新增一條雙棧專用線路，或在原 IPv4 鏈路升級支持雙棧，IPv6 地址 數據根據未來發布的應用數據確定，其中 IPv6 鏈路用于承載 IPv6 的業務網絡訪 問流量。使用 IPv4 鏈路去請求源站內容。

部署 IPv6 出口網絡與安全設備，主要包括下一代防火墻（內置 IPS、WAF）、三層 交換機，開啟 IPv6 路由協議，啟動這此安全設備上的網絡層（DDOS）與應用層安 全策略（SQL 注入、腳本攻擊等）。

在核心交換機部署 IPv4/IPv6 翻譯平臺設備多臺。上連安全設備后接入運營商鏈 路。

啟動源站安全設備上的網絡層與應用層針對會話的安全策略，對經翻譯平臺轉換 后的 IPv4 流程啟動定向策略，只阻斷安全威脅，不禁封翻譯平臺代理轉換的 IPv4 地址。

按照國家考核標準在 IPv4/IPv6 翻譯平臺逐一適配互聯網應用，實現客戶互聯網 應用升級支持 IPv6.

門戶網站 DNS 域名解析服務商（或用戶自建權威 DNS 服務器上）對需要升級的網 站添加對應的 AAAA 記錄，并將 AAAA 記錄指 IPv4/IPv6 翻譯平臺地址。

3.2 部署方式二：內網建設翻譯平臺

如客戶數據中心現有出口安全體系可通過配置升級支持 IPv6，則翻譯平臺可根 據內部網絡支持深度部署于防火墻 DMZ 區，或核心交換，或應用服務區交換機均可， 如下圖所示：

如上圖所示，該應用場景主要是在客戶自有數據機房部署一套 IPv4/IPv6 翻譯平 臺（多臺集群），實現客戶網站及互聯網業務的 IPv6 升級改造，使其具備 IPv6 訪問 接入能力。相關部署方案包括：

在客戶網數據中心機房規劃協議交換區，根據設備數量確定機柜空間。

在網絡邊界新增一條雙棧專用線路，或在原 IPv4 鏈路升級支持雙棧，IPv6 地址 數據根據未來發布的應用數據確定，其中 IPv6 鏈路用于承載 IPv6 的業務網絡訪 問流量。使用 IPv4 鏈路去請求源站內容。

升級客戶互聯網出口網絡與安全設備，根據客戶網實際情況，網絡與安全設備可能包括防火墻、IPS、IDS、WAF、路由、交換機等設備，需在這些設備上配置 IPv6 地址及相應的路由協議，并啟動安全設備上的網絡層與應用層安全策略（SQL 注 入、腳本攻擊等）。

在防火墻 DMZ 區，或核心交換，或應用服務區交換機部署 IPv4/IPv6 翻譯平臺設 備多臺。

啟動源站安全設備上的網絡層與應用層針對會話的安全策略，對經翻譯平臺轉換 后的 IPv4 流程啟動定向策略，只阻斷安全威脅，不禁封翻譯平臺代理轉換的 IPv4 地址。

按照國家考核標準在 IPv4/IPv6 翻譯平臺逐一適配互聯網應用，實現客戶互聯網 應用升級支持 IPv6。

門戶網站 DNS 域名解析服務商（或用戶自建權威 DNS 服務器上）對需要升級的網 站添加對應的 AAAA 記錄，并將 AAAA 記錄指 IPv4/IPv6 翻譯平臺地址。

3.3 部署方式三：邊界建設翻譯平臺

網絡數據中心現有相關出口安全設備不支持 IPv6，則可通過在客戶互聯網邊界 處部署獨立的協議交換區，即翻譯平臺上聯運營商 IPv6 網絡，下聯客戶 IPv4 網站， 實現互聯網應用 IPv6 升級。如下圖所示：

如上圖所示，該應用場景主要是在客戶自有數據機房互聯網邊界處部署一套 IPv4/IPv6 翻譯平臺（多臺集群），實現客戶網站及互聯網業務的 IPv6 升級改造，使 其具備 IPv6 訪問接入能力。相關部署方案包括：

在客戶網數據中心機房網絡邊界規劃協議交換區，根據設備數量確定機柜空間。

在網絡邊界新增一條雙棧專用線路，并且翻譯平臺上聯這條線路，IPv6 地址數據 根據未來發布的應用數據確定，IPv6 鏈路用于承載 IPv6 的業務網絡訪問流量。翻譯平臺下聯客戶原有 IPv4 網絡，該網絡與所升級的應用 IPv4 路由可達，使用 IPv4 鏈路去請求源站內容。

在客戶機房網絡邊界部署 IPv4/IPv6 翻譯平臺設備多臺。

啟動源站安全設備上的網絡層與應用層針對會話的安全策略，對經翻譯平臺轉換 后的 IPv4 流程啟動定向策略，只阻斷安全威脅，不禁封翻譯平臺代理轉換的 IPv4

地址。

按照國家考核標準在 IPv4/IPv6 翻譯平臺逐一適配互聯網應用，實現客戶互聯網 應用升級支持 IPv6。

門戶網站 DNS 域名解析服務商（或用戶自建權威 DNS 服務器上）對需要升級的網 站添加對應的 AAAA 記錄，并將 AAAA 記錄指 IPv4/IPv6 翻譯平臺地址。

四、內網 IPv6 深化部署方案

明陽 IPv4/IPv6 協議交換平臺充分參考國際相關 RFC 標準，并借鑒美國政府頒布 的 USGv6 最佳實踐規范，支持多種組合翻譯技術，以實現“IPv6 單棧部署，過渡支 撐”最佳技術路線。

具體的，支持多種網絡 層/傳輸層/應用層組合過渡技術，克服國外早期“隧道”技術、國內前期 “雙棧” 技術缺陷，建立“IPv6 單棧為主體、IPv4 過渡為輔助”的 IPv6 網絡基礎設施和應用 支撐體系，實現網絡 IPv6 單棧最大化的目標，緊扣國家 2030 年全面實現 IPv6 單棧 改造的目標。明陽 IPv4/IPv6 協議交換平臺可以解決下圖 IPv4/IPv6 新舊網絡并存 場景下，跨任何協議（無論是網絡層與應用層）IPv4/IPv6 協議互通。以實現“IPv6 單棧部署，過渡支撐”最佳技術路線。

五、產品優勢

5.1 不需改變網站源碼及網絡結構

網站若想完成 IPv4/IPv6 雙協議棧的徹底改造將是一個長期而復雜的過程，因為 雙棧化徹底改造包括整個網站網絡、應用系統以及支撐系統三部分改造內容，包括路 由器、交換、負載均衡、內容分發、防火墻、入侵檢測、應用、緩存、數據庫服務器 等設備升級改造，服務器操作系統、WEB 服務、中間件、數據庫等軟件的改造，支撐、 計費、運營等支撐系統的改造。而工作量更大的部分是整個網站業務應用邏輯必須進 行全部代碼的重新梳理。

“明陽 IPv4/IPv6 協議交換平臺”技術是 IPv4 向 IPv6 演進的關鍵技術之一，可 有效的解決 IPv4 網絡和 IPv6 網絡的內容互通問題，可幫助企業等在不修改現有網站 系統及網絡架構的情況下，通過外部部署，快速完成現有 IPv4 網站/應用向 IPv6 網 絡的遷移。只需給平臺提供 IPv6 地址及 IPv4 地址，該平臺即可對政企事業單位分散 的網站部署情況，目前互聯網應用主要存在四種部署場景，部署于本部數據中心；托 管于 IDC 數據中心；部署于自建機房，部署在公有云。“IPv4/IPv6 協議交換平臺” 只要與原 IPv4 網站域名可達，可訪問，即可完成批量，快速化的翻譯。

5.2 自動處理外鏈

當主網站包含其它網站內容的鏈接（外鏈），但被引用的其它網站未升級 IPv6， IPv6 用戶訪問該網站時還會出現響應緩慢，部分內容無法顯示，部分功能無法使用 等情況。該問題被稱為"天窗"問題。大型網站往往互相引用，或者存在多個欄目，單 方面的升級改造不可避免地存在"天窗"問題。翻譯平臺區別于傳統網絡層翻譯技術， 可深入報文應用層處理相關協議信息，有效解決網站外部鏈接導致的內容缺失（“天 窗”）問題，實現 IPv4 和 IPv6 的無縫對接。

5.3 可擴展性

采用成熟的硬件平臺，多核高性能處理器，大容量內存；支撐高性能安全業務無阻塞處理及轉發；內置模塊化軟件系統，支持多進程的調度，進程間運行空間隔離， 單個進程的異常不會影響系統其他部分，提高系統可靠性；平臺可以由 1 臺或多臺設 備組成，每臺設備完全等價，彼此自動發現和協同工作，在實現高可靠性的同時極大 提升了平臺的擴展能力。平臺把業務均勻分配到每個可用設備和網絡端口，當容量不 足時，可以在不中斷業務的前提下通過增加設備實現快速擴容，當出現故障時，可以 自動屏蔽故障點，并重新分配業務，從而實現設備的負載分擔和冗余備份。

5.4 全生命周期

過渡初期，可在短時間內快速，批量化完成翻譯，滿足考核要求，解決雙棧化升 級周期長，難度大的業務痛點。

過渡中期，IPv4 與 IPv6 需要并存很長時間，很多 IPv4 應用會出現難以升級， 無法升級，或無法找到原廠升級等眾多情況，即使使用雙棧技術，其引用或關聯的應 用沒升級，會出現部分功能無法使用，無法顯示，或天窗問題。若應用已升級支持 IPv6。翻譯平臺可追加建設加速平臺，也會為 IPv6 應用提供加速服務。

過渡后期，很多應用為開發便利，以單棧 IPv6 開發并發布，翻譯平臺可以將 IPv6 應用翻譯成 IPv4,為留存的 IPv4 用戶提供訪問服務。最后，很多無法升級的 IPv4 應 用，也可以長期使用翻譯平臺提供的翻譯服務。

5.5 先進的技術架構

區別于其它廠商，明陽產品采用先進的裸金屬容器架構(硬件服務器直接安裝云 原生系統，所有應用在容器內運行，發揮了硬件資源的極限性能)，精簡化、安全化 的底層操作系統為轉換服務提供了更多的性能資源，同時也減少系統的攻擊面和漏洞 風險。采用云原生集群架構，相對于傳統廠商的設備具有更好的彈性（根據負載，自 動創新服務實例）、可擴展性（隨時增加硬件資源）、高可用性（自動備份和恢復，負 載均衡），進一步提升了資源利用率、系統的可靠性、穩定性、安全性。

5.6 模塊化的服務程序

區別于其它廠商，明陽提供模塊化的服務程序（包括專業的工序、工具與運維服務），確保 IPv6 應用穩定運行。短期內，通過“域名梳理、鏈接指導、上線適配、自 檢評分、優化整改”等專業的工序及工具，有效提升網站 IPv6 支持深度；長期的， 利用監測工具為用戶提供原站鏈接優化指導、持續可用監測與報警、定期深度監測達 標報告等增值伴隨服務，確保應用全生命周期的穩定運行，并持續高分通過國家考核。

5.7 融合型翻譯技術

區別于其它廠商，明陽產品充分參考國際相關 RFC 標準，并借鑒美國政府頒布的 USGv6 最佳實踐規范 ，支持多種網絡層/傳輸層/應用層組合過渡技術，以實現“IPv6 單棧部署，過渡支撐”最佳技術路線。

5.8 復雜應用協議轉換

區別于其它廠商，明陽產品支持復雜視頻類應用協議的轉換升級，并有針對性的 提供適配開發服務，該場景適用于雪亮工程、平安城市等大規模視頻網 IPv6 的深化 部署。目前已在和平區建設了全國第一張純 IPv6 視頻網，具有一定的示范作用。

六、主要功能

明陽 IPv4/IPv6 協議交換平臺有效解決客戶三大業務需求，一是利用網站翻譯技 術快速實現網站 IPv6 升級，確保網站高分通過國家考核；二是利用應用層翻譯技術 實現各類復雜應用升級，滿足大型視頻專網新舊業務系統 IPv4/IPv6 互通需求。三是 利用混合型翻譯技術實現企業網 IPv6 升級，兼容存量 IPv4 網絡，達到內網深化部署 IPv6 單棧最大化的目標。主要功能如下：

提供網站 IPv6 升級服務：通過應用層翻譯技術，實現 IPv4 web 應用發布為 IPv6 支持，高分通過國家考核。

提供混合型翻譯技術：支持多種網絡層/傳輸層/應用層組合過渡技術，實現網絡 IPv6 單 棧最大化的目標。

提供網站外鏈翻譯服務：解決網站引入外鏈問題、IPv4 地址嵌套所導致的天窗問 題，支持對原站死鏈的智能優化（如 400 轉 200），支持可視化外鏈開關，保證純IPv6 用戶訪問網站內容與布局與 IPv4 一致，提高考核監測評分。

提供集群高可靠性強服務：平臺可以由 1 臺或多臺設備組成，每臺設備完全等價， 彼此自動發現和協同工作，在實現高可靠性的同時極大提升了平臺的擴展能力。

提供應用轉換適配服務：平臺主要功能采用軟件定義方式，其延展性更強，可以 根據不同的網絡類型及網絡安全需求，提供不同的軟件定義接口，支持多種 ALG 配置，可為客戶定制不同場景的應用轉換適配務。

提供內容加速服務：平臺對于頻繁訪問的靜態內容，直接進行熱點緩存，支持業 務應用系統或網站應用的靜態數據、視頻或圖片等元素直接緩存成純 IPv6，避免 同一個靜態內容重復 46 翻譯問題，提升平臺工作效率，給用戶終端更好的效果體 驗。

提供高可靠的連續服務：支持自動檢測源站狀態并同步 IPv6 業務發布服務，保證 雙棧客終端訪問的連續性。

提供快速改造服務：IPv4/IPv6 翻譯平臺能在設備到貨后一周內完成部署和調測， 快速完成各單位網站群的 IPv6 升級改造要求，達標國家考核要求，且 IPv6 改造 效果較好，能夠取得較好的 IPv6 發展監測報告靠前的排名，提升影響力。

提供精細化溯源審計功能：區別與網絡層翻譯技術，翻譯平臺溯源系統除五元組 外提供更深層次的精細化溯源，提供強大的溯源與訪問統計報表，支持域名匯總 報告及域名趨勢報告。

提供專業化的伴隨服務：包括原站鏈接優化指導、持續可用監測與報警、深度監 測達標報告，提高網站監測考核評分。

提供 HTTPS 卸載和 SSL 加速功能。通過將 HTTPS 功能卸載在平臺上，減少源站的 壓力和配置難度。

提供源應用負載均衡功能。通過負載減少源站的壓力，增加系統處理性能和冗余 度，系統支持網絡層和應用層的負載均衡。

七、支持服務

提供整機（硬件及軟件）3 年 7*24 小時免費人工、部件質保及內核軟件升級保障 服務。質保期內對所提供貨物實行免費包修、包換、包退、包維護保養；

提供 7*24 小時熱線支持服務，維修、維護人員保持通訊暢通立即響應。

定期對產品進行跟蹤調查，消除產品的早期故障隱患，保證平臺的可用率，針對 用戶提出的合理化變更需求，我司會積極配合開發響應；

提供三年的免費升級服務，軟件升級和增強版本可能包括新的功能和特征、對已 發現問題的修正及對新硬件平臺的支持。