IPv4地址不足早已成为共识，我国政府机构未雨绸缪，及早推动IPv6网络的建设。根据中国信息通信研究院《2019年IPv6网络安全白皮书》统计，截至2019年5月底，我国已分配IPv6地址用户数达12.07亿，我国IPv6地址储备量已跃居全球第一位。在此背景下，金融机构开展互联网应用系统的IPv6改造势在必行。

　　由于IPv6协议与IPv4协议并不兼容，所以不能够保证现有的IPv4软硬件基础设施一定能够兼容IPv6协议。在开展IPv6应用系统改造前，金融机构需要对现网生产运营的网络设备、安全设备进行排查，检查硬件平台、软件版本是否支持开启IPv6特性，以及设备的CPU、内存等指标是否满足IPV6运营的性能需求。微众银行在2019年一季度对所有的网络设备、服务器等硬件设施、操作系统、数据库、中间件等软件设施进行排查，保证了软硬件基础设施对IPv6的支持能力。

　　在确保了软硬件基础设施满足IPv6改造的情况下，对IPv6改造方案进行了充分调研和论证，确保选用的改造方案能够在保障系统安全稳定运行的前提下，实现网络、应用、安全的协同改造。

　　综合考虑到金融业务的特性，如部分业务的风控、反欺诈等策略需要记录客户端的线双协议栈的方案可以实现此要求。因此微众银行采用了IPv6/IPv4双协议栈的方式对数据中心部署的重要信息系统进行改造，同时对于部分部署在公有云的轻量级纯静态页面的网站，如宣传营销类页面，采用地址协议转换技术方案开展IPv6改造。

　　IPv6/IPv4双协议栈改造方案，可以实现客户端通过IPv6/IPv4骨干网络访问到应用系统发布至公网的IPv6服务和IPv4服务，且在IPv4/IPv6双栈连接的情况下，应用系统优先采用IPv6连接访问。

　　根据微众银行对IPv6/IPv4双协议栈改造技术的研究，双协议栈改造方案需涉及以下几个方面的改造。

　　第一，网络改造。网络架构改造是为了保证在现有的IPv4环境持续提供服务的基础上，进行IPv6双栈网络升级改造。微众银行的外联交换机（EX）通过私有自治域与云服务商的自治域建立BGP连接，可以通过云服务商将IPv6流量路由至我行应用系统IPv6地址，从而实现应用系统对外提供IPv6接入服务。且在此架构中，IPv6应用沿用了在IPv4环境中的安全防护措施，如DDoS防御、Web防火墙等。保证IPv6网络能够有效防范安全风险，拥有不低于IPv4网络的同等安全防护体系。

　　第二，应用改造。应用软件改造是指为了保证在现有系统正常提供服务的情况下，对应用系统进行改造，确保同一套软件系统可以同时支持互联网用户的双协议接入。具体改造的内容包括一下几方面。

　　客户端改造：客户端改造的重点要实现对客户端对所处网络环境的判定，从而实现与服务器的正常通信。在双栈协议的环境下，客户端要实现优先使用IPv6协议连接，同时也需要做好异常处理，如因运营商IPv6网络故障的情况下，要保证客户端快速切换至IPv4通道进行连接，向用户正常提供服务，避免极端情况下V6网络不稳定造成的对用户的影响。

　　域名解析：在当前的IPv4域名解析服务中，仅需要发布域名的A记录，即IPv4地址解析记录。而支持IPv6的应用则必须要发布域名的AAAA记录，即IPv6地址解析记录。我行的域名解析是采购了DNS服务商的域名解析服务，在确保服务商支持同时解析IPv6和IPv4地址的情况下即可满足域名解析需求。对于部分自购域名解析设备的机构，需要检查域名解析设备是否支持同时发布A记录和AAAA记录。

　　IPV6地址申请与分配：目前国内申请的IPV6地址，主要有三种：由电信运营商分配地址、由CNNIC分配地址、由云服务商分配地址。应用系统的公网IP可以通过电信运营商线路进行路由，向运营商申请静态IPV6地址，通常成本适中，接入方式成熟。机构也可以先向中国互联网络信息中心(CNNIC)申请自己的自治号，通过CNNIC申请IPv6地址后，再与各运营商进行动态BGP发布，这种情景一般适用网络规模较大，对出口流量有明确跨地域切换调度需求的场景，因涉及到跨运营商穿透带宽，成本较高。我行采用的是云服务商分配的BGPIPV6地址，机构与云服务商通过私有AS号建立BGP发布分配的IPv6地址，这种方式充分利用云服务商自身的BGP出口能力，通过云服务商IPv6骨干网络与运营商互联互通，按带宽用量支付实际出口带宽费用，架构灵活，且成本适中。因此，各机构采用何种方式申请IPv6地址，应结合网络架构及业务需求进行合理选择。

　　截至目前，微众银行已根据IPv6双栈协议改造的方案在数据中心开展网络架构改造。预计将在2020年一季度完成网络架构的改造，后续开展应用系统的双栈改造工作。

　　IPv6/IPv4地址协议转换技术的改造方案仅需要对网络接入层的设备进行改造，使其支持IPv6地址向IPv4地址的转换，将现有的应用直接面向IPv6客户端提供服务。

　　微众银行采用了腾讯云计算有限公司的TGW解决方案，可以将服务器的IPv4地址转换成IPv6地址，对互联网提供IPv6的访问接入。目前已在微粒贷营销等静态页面的网站中得到应用。

　　作为银行业机构，在开展IPv6改造的实施过程中，必须以“保障系统安全稳定运行”为前提，全面考虑改造工作涉及的各个方面及其影响，因此微众银行遵循递进式推进与增量式推进相结合的方式逐步落实IPv6改造工作。现将微众银行在实施IPv6改造过程中的一些经验和总结说明如下。

　　首先是领导重视，多部门协作。微众银行已认识到IPv6改造工作涉及到多个领域，因此在2019年一季度成立了IPv6改造专项工作组，由分管信息科技的行领导牵头，成员包含了网络、主机、架构、开发、运维、安全、合规等相关团队人员的IPv6改造工作组，并制定了IPv6改造工作计划。通过协调各部门同步开展IPv6改造的各项工作，才使得我行的各项改造工作顺利推进。

　　其次，综合评估，制定切合实际的方案。微众银行在选择IPv6改造方案过程中，对比了各个方案的优劣势，综合评估各个方案的可行性，虽然IPv6/IPv4双栈方案的成本较高，实施周期较长，但由于银行业系统的安全风控需要，最终还是选择了IPv6/IPv4双栈的解决方案用于重要信息系统的IPv6改造。同时也考虑到部分部署在公有云上的网站仅有静态页面，可以采用了IPv6/IPv4协议转换的方案对此类静态页面进行改造，以快速实现IPv6改造，支持IPv6客户端访问。

　　第三，灰度推广，实现应用的平稳过渡。微众银行的部分系统在实施IPv6改造过程中，为避免因外部网络原因导致IPv6应用出现故障，我们利用全局负载均衡（GSLB）的CNAME规则，实现了应用系统IPv6域名灰度推广的方案。先在网络质量好的部分省份和运营商进行灰度放量，以检验应用系统和IPv6网络的稳定性。再根据系统运行状态逐步实现全量的IPv6解析。从而有效控制了IPv6改造过程的风险，保障系统的安全稳定性。

　　目前微众银行已完成官网的IPv6改造，以及容灾数据中心IPv6/IPv4双栈网络专区的改造升级工作。通过在改造中不断总结经验，确保在2020年完成面向公众提供服务的互联网应用IPv6改造工作，为全面支持IPv6提供基础能力与实践经验。