轄內(nèi)村鎮(zhèn)銀行已于2019年至2020年分別完成對IPv6的硬件基礎(chǔ)設(shè)施、網(wǎng)站域名IPv6支持、申請IPv6鏈路等相關(guān)工作，并搭建IPv6測試平臺，目前已實現(xiàn)門戶網(wǎng)站IPv6的全面改造，完成部分應(yīng)用系統(tǒng)IPv6升級，改造項目均符合IPv6技術(shù)要求，當(dāng)前改造效果良好，但仍存在一些問題。村鎮(zhèn)銀行IPv6改造技術(shù)路線轄內(nèi)村鎮(zhèn)銀行在IPv6項目升級改造過程中，考慮其現(xiàn)有業(yè)務(wù)體量和核心信息系統(tǒng)整體結(jié)構(gòu)等情況，決定采用NAT64方式的IPv6改造方案。具體步驟如下：一是運營商添加上行IPv6網(wǎng)關(guān)；二是新購F5BIG-IPLTM設(shè)備，實現(xiàn)IPv6到IPv4的NAT64轉(zhuǎn)換，同時發(fā)布IPv4和IPv6的服務(wù)器到互聯(lián)網(wǎng)；三是新購F5BIG-IPDNS,實現(xiàn)IPv4的A記錄解析和IPv6的AAAA解析；四是復(fù)用現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備，所有網(wǎng)絡(luò)安全設(shè)備都需要支持IPv4與IPv6協(xié)議；五是從F5BIG-IPLTM以下均采用原有IPv4網(wǎng)絡(luò)設(shè)備；六是內(nèi)部網(wǎng)絡(luò)設(shè)備替換為全部支持IPv6功能的網(wǎng)絡(luò)設(shè)備。改造過程中因NAT64方案的技術(shù)特性，村鎮(zhèn)銀行對其整體網(wǎng)絡(luò)結(jié)構(gòu)改動較小，投入資金少，改造周期短，在較快時間內(nèi)完成IPv6改造部署上線。IPv6出口鏈路改造使用運營商ISP直接分配IPv6地址段的方式進行改造，其業(yè)務(wù)系統(tǒng)出口路由器使用IPv6地址段，其它網(wǎng)絡(luò)、應(yīng)用設(shè)備使用IPv4地址段。村鎮(zhèn)銀行IPv6改造建議為進一步提升村鎮(zhèn)銀行IPv6項目升級改造效果，有效落實《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》，統(tǒng)籌做好IPv6升級改造指導(dǎo)工作，在村鎮(zhèn)銀行IPv6改造過程中應(yīng)重點注意以下幾個方面。一是村鎮(zhèn)銀行要充分認(rèn)識IPv6項目建設(shè)改造的重要性，深刻領(lǐng)會IPv6建設(shè)是互聯(lián)網(wǎng)演進升級的必然趨勢，是網(wǎng)絡(luò)安全能力強化的迫切需要，是國家網(wǎng)絡(luò)安全戰(zhàn)略的重要基石。樹立科技創(chuàng)新推動業(yè)務(wù)的創(chuàng)新思想，提高IPv6工作的統(tǒng)一協(xié)調(diào)，加強改造工作的重視程度，完善改造升級技術(shù)方案和制定長遠的實施規(guī)劃,對IPv6改造過程中的重大問題進行統(tǒng)一的決策部署。二是村鎮(zhèn)銀行要全面制定掌控技術(shù)實施方案和改造路線，充分認(rèn)清第三方信息托管機構(gòu)僅是信息系統(tǒng)的托管方，在IPv6系統(tǒng)改造建設(shè)中不能完全依托托管機構(gòu)制定技術(shù)方案,應(yīng)從自身角度出發(fā)，充分摸清本機構(gòu)核心信息系統(tǒng)建設(shè)情況、網(wǎng)絡(luò)結(jié)構(gòu)和托管方信息建設(shè)架構(gòu)，并根據(jù)情況制定本機構(gòu)IPv6改造技術(shù)實施路線和改造方案；嚴(yán)格要求托管機構(gòu)按照IPv6改造技術(shù)方案實施，針對目前IPv6中NAT64改造方案缺陷，如：“天窗問題”和“溯源問題”等，采用成熟的技術(shù)手段予以解決，提高IPv6改造效率，實現(xiàn)全面掌控、持續(xù)推進。三是加強科技隊伍建設(shè)力度，重視科技人員技術(shù)培訓(xùn)，重點學(xué)習(xí)前沿技術(shù)應(yīng)用、網(wǎng)絡(luò)發(fā)展趨勢、網(wǎng)絡(luò)安全等內(nèi)容，加強IPv6改造工作中各項文件、規(guī)范的學(xué)習(xí)培訓(xùn)，對IPv6改造的重要意義、技術(shù)規(guī)范、總體要求和實施步驟重點學(xué)習(xí)，從多維度提升科技人員知識面，滿足當(dāng)前金融科技發(fā)展需要，安排專人負責(zé)信息科技工作，有效地充實科技力量，提高整體IPv6改造工作的效率。四是村鎮(zhèn)銀行IPv6改造方案中，要進一步升級改造現(xiàn)有網(wǎng)絡(luò)安全設(shè)施，提升感知、溯源、處置、防范能力，強化地址管理，建立地址申請、分配制度，強化針對IPv6特有攻擊的防范能力，重新規(guī)劃建設(shè)WEB應(yīng)用服務(wù)器、防火墻、入侵檢測防護等設(shè)備，預(yù)防IPv6協(xié)議攻擊特有的網(wǎng)絡(luò)安全風(fēng)險。五是村鎮(zhèn)銀行在IPv6升級改造過程中都應(yīng)進行業(yè)務(wù)系統(tǒng)全生命周期IPv6測試工作。在升級改造前，應(yīng)對業(yè)務(wù)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等進行IPv6支持程度測試，對支持程度不高的業(yè)務(wù)系統(tǒng)設(shè)備進行優(yōu)化升級。改造過程中，對改造內(nèi)容完成逐項測試，確保業(yè)務(wù)系統(tǒng)改造程度滿足IPv6改造各項標(biāo)準(zhǔn)。改造完成后，對改造業(yè)務(wù)系統(tǒng)所有功能進行IPv6訪問量、成功率、訪問對話時長、業(yè)務(wù)系統(tǒng)一致性等全面測試，測試用例應(yīng)準(zhǔn)確、全面、細致,滿足IPv6業(yè)務(wù)系統(tǒng)改造要求。IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)改造的幾點思考摘要：文章簡單分析了IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)及其通信網(wǎng)路方案的主要特點，并結(jié)合油田企業(yè)數(shù)字化與信息中心的實踐經(jīng)驗，從IPv6網(wǎng)絡(luò)的總體改造思路、細節(jié)改造設(shè)計、安全性方案設(shè)計這幾方面入手，對IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)改造要點內(nèi)容進行了著重說明，旨在更好緩解IPv4的IP地址短缺問題，實現(xiàn)IPv6與IPv4業(yè)務(wù)的兼容。關(guān)鍵詞：IPv6網(wǎng)絡(luò);IPv4網(wǎng)絡(luò);網(wǎng)絡(luò)改造;智慧油田引言：在當(dāng)前的智慧油田建設(shè)中，無論是地質(zhì)云、無人生產(chǎn)，還是智能生產(chǎn)決策、油藏仿真等業(yè)務(wù)，均對于物聯(lián)網(wǎng)的部署極為依賴，引入的物聯(lián)網(wǎng)終端數(shù)量大幅上升。基于這樣的情況，原有的IPv4網(wǎng)絡(luò)無法滿足現(xiàn)階段智慧油田的運行需要，難以應(yīng)對物聯(lián)網(wǎng)對IP地址近乎無盡的需求。此時，人們將目光逐步轉(zhuǎn)向IPv6油田通信網(wǎng)方案方面，旨在徹底解決IP地址短缺問題，并同時為智慧油田發(fā)展實現(xiàn)堅實基礎(chǔ)。一、IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)IPv6網(wǎng)絡(luò)為互聯(lián)網(wǎng)工程任務(wù)組所設(shè)計的用于替代現(xiàn)行版本IP協(xié)議（即IPv4網(wǎng)絡(luò)）的新一代協(xié)議，相比于IPv4網(wǎng)絡(luò)來說，IPv6網(wǎng)絡(luò)最為明顯的應(yīng)用優(yōu)勢為:與IPv4網(wǎng)絡(luò)所擁有的40億個地址相比，IPv6網(wǎng)絡(luò)這一新版本的互聯(lián)網(wǎng)協(xié)議能夠提供更多的地址，一般可以達到3409兆兆兆，能夠?qū)崿F(xiàn)對當(dāng)前互聯(lián)網(wǎng)現(xiàn)實需求的更好滿足，有效避免地址不充足的問題發(fā)生。一般來說，基于油田生產(chǎn)的IPv6通信網(wǎng)絡(luò)方案的特點主要集中在以下幾方面：第一，平滑過渡。在使用IPv6展開對局域網(wǎng)、城域/廣域網(wǎng)絡(luò)的改造過程中，不會對原本IPv4的業(yè)務(wù)提供造成負面影響。第二，安全堅固。IPv6網(wǎng)絡(luò)相比于IPv4網(wǎng)絡(luò)的功能性、穩(wěn)定性更為理想，可以達到對生產(chǎn)網(wǎng)絡(luò)中所有針對IPv4存在的安全威脅因素進行徹底解決的效果。第三，統(tǒng)一易管。對于IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)來說，其可以參考采油廠+作業(yè)區(qū)+井口編號的方式為的傳感器編寫地址，方便后續(xù)統(tǒng)一管理，并同時提升管理工作的直觀性。二、IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)改造要點內(nèi)容探究（一）IPv6網(wǎng)絡(luò)的總體改造思路當(dāng)前，受到人工智能技術(shù)成熟度持續(xù)提升的影響，其在油田建設(shè)中逐步得到應(yīng)用，促進數(shù)字化油田轉(zhuǎn)變?yōu)橹腔塾吞铩Ｍ瑫r，在大量物聯(lián)網(wǎng)終端加入網(wǎng)絡(luò)的大背景下，如果依舊沿用IPv4網(wǎng)絡(luò)，則會造成較為明顯的地址短缺問題發(fā)生，從而限制油田生產(chǎn)網(wǎng)絡(luò)的發(fā)展?；谶@樣的情況，部分油田企業(yè)在生產(chǎn)網(wǎng)絡(luò)部署方面引入NAT,以此實現(xiàn)對地址矛盾的暫時性緩解，但是這樣的處理方式也會同時帶來大量問題，具體如下：第一，NAT的加設(shè)促使原有網(wǎng)絡(luò)端到端的穩(wěn)定性連接結(jié)構(gòu)被破壞，直接使得對生產(chǎn)網(wǎng)絡(luò)各終端的直接性訪問與控制難度大幅增高。第二，NAT的引入進一步加劇現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性程度，造成難以實現(xiàn)對全網(wǎng)的統(tǒng)一管理問題發(fā)生概率上升。第三，NAT的設(shè)置促使部分網(wǎng)絡(luò)拓撲結(jié)構(gòu)被隱藏起來，因此潛在的安全隱患問題更為嚴(yán)重。在這樣的大背景下，利用IPv6網(wǎng)絡(luò)對油田通信網(wǎng)的構(gòu)建方案展開優(yōu)化升級受到更多關(guān)注。對于IPv6網(wǎng)絡(luò)而言，其主要使用了雙棧、隧道以及地址翻譯等技術(shù)，通過對生產(chǎn)網(wǎng)絡(luò)與指揮調(diào)度中心、數(shù)據(jù)中心以及城域/骨干網(wǎng)絡(luò)進行技術(shù)升級改造，同時利用IPv6網(wǎng)絡(luò)承載油氣田生產(chǎn)業(yè)務(wù)，能夠?qū)崿F(xiàn)對原有IPv4網(wǎng)絡(luò)地址不充足問題的有效處理，為智慧油FT1的實現(xiàn)提供支持。（二）IPv6網(wǎng)絡(luò)的細節(jié)改造設(shè)計.生產(chǎn)網(wǎng)絡(luò)與指揮調(diào)度中心改造部署對現(xiàn)行生產(chǎn)網(wǎng)絡(luò)中存在著的RTU、接入層、匯聚層、核心層等節(jié)點展升級處理，促使其轉(zhuǎn)化為支持IPv6的設(shè)備，并通過IPv6協(xié)議的使用，促使所有物聯(lián)網(wǎng)終端的數(shù)據(jù)迅速、全面?zhèn)鬟f至IPv6應(yīng)用平臺數(shù)據(jù)中心內(nèi)匯總。在調(diào)度中心內(nèi)，針對所有終端加設(shè)IPv6以及IPv4雙協(xié)議棧，在此基礎(chǔ)上，對所有網(wǎng)絡(luò)節(jié)點同時展開升級處理，引入可以支持IPv6以及IPv4雙棧的設(shè)備。依托這樣的改造方式，相關(guān)人員可以在數(shù)據(jù)中心生產(chǎn)業(yè)務(wù)平臺中的IPv6業(yè)務(wù)進行訪問的基礎(chǔ)上，能夠?qū)υ蠭Pv4辦公業(yè)務(wù)進行兼容。.數(shù)據(jù)中心改造部署依托分區(qū)域改造的模式展開對數(shù)據(jù)中心的優(yōu)化改造，劃分并搭建起無人值守生產(chǎn)、基于IPv6的地質(zhì)云、油藏仿真、視頻監(jiān)控等多個業(yè)務(wù)的服務(wù)器區(qū)域;在此基礎(chǔ)上，對接入層、匯聚層的節(jié)點展開升級處理，在其中引入IPv6設(shè)備。其中，對于核心層來說，在完成技術(shù)改造后該層可以支持IPv6以及IPv4雙協(xié)議棧，由此實現(xiàn)對各個生產(chǎn)駐地網(wǎng)絡(luò)上傳數(shù)據(jù)現(xiàn)實需求的切實滿足，同時為相關(guān)工作人員展開調(diào)度指揮網(wǎng)絡(luò)訪問操作的落實提供支持。需要注意的是，針對其他辦公等原有業(yè)務(wù)區(qū)域的網(wǎng)絡(luò)，不需要配套展開升級改造處理，因為依托IPv6的數(shù)據(jù)中心改造不會對原有業(yè)務(wù)的展開造成影響。.城域/骨干網(wǎng)絡(luò)的改造部署在展開城域/骨干網(wǎng)絡(luò)的改造過程中，可以選用的方式主要有三種，具體包括：第一，全網(wǎng)改造，這種改造部署方案一般在企業(yè)存在光纖資源的條件下引入,且需要保證預(yù)算充足。第二，MPLS邊緣層改造，這種改造部署方案的適用基本條件為現(xiàn)有網(wǎng)絡(luò)中完成了MPLS的部署，相比于全網(wǎng)改造方案有著更低的成本消耗。第三，不改造廣域網(wǎng)絡(luò)而使用60ver4隧道穿越廣域網(wǎng)，這種改造部署方案在租用運營商的網(wǎng)絡(luò)中更為適用，針對一些不方便展開廣域網(wǎng)改造的網(wǎng)絡(luò)也可以選用隧道穿越現(xiàn)網(wǎng)的方案。相比于全網(wǎng)改造以及MPLS邊緣層改造來說，隧道穿越現(xiàn)網(wǎng)改造所消耗的成本維持在最低水平。在進行這三種改造方案的選擇過程中，需要切實參考是否存在自有光纖資源、是否部署MPLS現(xiàn)網(wǎng)情況，以及預(yù)算和風(fēng)險承受能力這三方面內(nèi)容完成，選擇一種更為合適的方案，保證可以與IPv6業(yè)務(wù)互聯(lián)互通的基礎(chǔ)上，不會對原本IPv4業(yè)務(wù)的提供產(chǎn)生負面影響。（三）IPv6網(wǎng)絡(luò)的安全性方案設(shè)計為了確保改造后IPv6網(wǎng)絡(luò)的運行安全平穩(wěn)性，需要引入如下安全措施，具體有：第一，網(wǎng)絡(luò)病毒攻擊與入侵的抵御。在網(wǎng)絡(luò)出口區(qū)域加設(shè)防火墻，同時配套引入多樣性的網(wǎng)絡(luò)病毒防控措施。例如，在部分病毒的端口保持不變的前提下，通過利用ACL列表即可關(guān)閉傳播端口，從而達到避免病毒大范圍傳播擴散的效果，并以此為基礎(chǔ)構(gòu)建起更為理想、可靠、安全的網(wǎng)絡(luò)環(huán)境。第二，在網(wǎng)絡(luò)中設(shè)置安全口令。實踐中，應(yīng)當(dāng)盡量設(shè)置難度、復(fù)雜程度更高的安全口令，以此達到防范病毒在網(wǎng)絡(luò)內(nèi)惡意、大范圍傳播的效果。出于對切實發(fā)揮出安全口令實效性的考量，可以選用“用戶名+密碼”的形式提升口令的安全水平。在此基礎(chǔ)上，還應(yīng)當(dāng)定期組織對網(wǎng)絡(luò)安全口令的及時性更新。另外，需要對TELNET權(quán)限進行明確，依托ACL的使用，有效控制設(shè)備訪問權(quán)限，只允許擁有專門IP地址的TELNET接入系統(tǒng)網(wǎng)絡(luò)內(nèi)，以此達到降低網(wǎng)絡(luò)系統(tǒng)受到非法入侵問題發(fā)生概率的效果，促使IPv6網(wǎng)絡(luò)可以長時間維持在安全穩(wěn)定運行的水平下。第三，保證獲取唯一的IPv6網(wǎng)絡(luò)抵制。對于IPv6網(wǎng)絡(luò)而言，其地址空間保持在較大水平，所以可以實現(xiàn)網(wǎng)絡(luò)溯源。在企蕖網(wǎng)視域下，任意物聯(lián)網(wǎng)終端均可以獲取到唯一的IPv6地址，并綁定相關(guān)信息。在這樣的條件下，能夠?qū)崿F(xiàn)真實源地址的驗證，提升IPv6主機接入的穩(wěn)定程度;利用驗證接入層IPv6源地址的操作落實，有