作为下一代互联网协议，IPv6具有更好的可扩展性和兼容性。金融机构通过部署IPv6，可以为其未来的业务拓展和创新提供有力的技术支持。莱商银行高度重视IPv6规模部署工作，认真贯彻落实中央网信办、国家发展改革委、工业和信息化部联合印发《加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》文件精神，参照《金融业IPv6发展演进白皮书》文件建议，制定了以IPv4/IPv6的新一代网络架构演进路线，通过对新办公大楼核心网络项目的方案优化，顺利完成IPv6在数据中心内部部署和创新应用，IPv6改造已从互联网出口逐步延伸到数据中心内部，成为山东省内城商行首例IPv6在数据中心内部的部署和创新应用。

　　创新技术从研究孵化、标准完善到实践落地，需要大刀阔斧的魄力，更需要严谨而踏实的科学精神。为落实国家及监管机构对金融行业IPv6部署工作的要求，同时提升网络品质和服务水平，结合自身的需求审时度势，制定了网络架构演进的四个目标。一是采用SDN技术实现“Underlay IPv4+Overlay IPv6”双栈方案，实现双活数据中心SDN分区建设。二是实现办公区局域网双栈改造和IPv6安全策略配置。三是以乡村振兴业务管理、项目管理、带外监控等信创业务系统为突破口，进行双栈适配和投产。四是部署IPv6域名服务器，提供IPv6域名解析，实现IPv6的域名解析。

　　目前数据中心内部还是以IPv4网络为主，双栈改造要求数据中心网络具备全面支持IPv6能力（如图1）。同时为了保障业务高质量稳健发展和业务连续性目标，数据中心网络必须高可靠、高性能运行来支撑业务发展。莱商银行SDN网络分区采用Spine-leaf全三层网络架构，Overlay网络采用Vxlan技术构建，业务报文运行在VXLAN Overlay网络上，与物理承载网络解耦，可实现纯IPv4、IPv4/IPv6双栈和纯IPv6等组网方式。通过SDN控制器，配置网络设备支持IPv6路由转发，为应用系统IPv6改造提供网络基础。

　　SDN解决方案由控制器、分析器及网络设备组成，控制器上支持IPv6业务逻辑编排，实现端到端的自动化配置，支持ZTP零配置开局、路径探测、网络可达性校验，以及网络故障的恢复、隔离等运维功能（如图2）。分析器基于大数据平台，接收多种网络设备上报的数据，运用智能算法对网络数据进行分析，承载网络中的故障和运维隐患，并实现对网络故障的快速定位，呈现关键网络事件，为网络运维提供决策依据。

　　业务系统改造前确保操作系统支持IPv6，在服务器操作系统内核加载IPv6配置，在网卡配置文件中同时启用IPv4配置和IPv6配置、操作系统增加IPv6地址及默认网关，实现操作系统层面网络双栈。业务系统通过配置层面、数据层面、中间件进行IPv6地址的适配，同时监听IPv4和IPv6地址及端口，实现业务系统的双栈改造。

　　数据中心内部IPv6地址采用私网地址还是公网地址是项目部署前期深入探讨的问题。若采用私网地址访问互联网则需要进行NAT66地址转换，若采用公网地址则需要向运营机构申请地址空间，同时需要考虑公网地址必然带来的网络安全风险。莱商银行综合考虑后选择了IPv6私网地址空间，IPv6地址规划与当前IPv4网络设计吻合，将原IPv4VLAN信息、子网信息，物理位置信息等在IPv6子网ID中体现，采用从IPv4地址演化的方式分配IPv6地址，并将该IPv6地址配置到IPv4地址对应的接口上。IPv6地址划分遵循层次化、安全性、连续性、可扩展性原则。

　　（1）DNS服务双栈域名解析。系统中部署IPv6域名服务器，提供IPv6域名解析，实现双栈业务IPv6域名访问。基于双协议栈技术应用的DNS（域名服务域名系统）的主要功能是通过域名和IP地址的对应关系，帮助用户确定可访问的网络。由于DNS服务器中同时存在“A”记录和“AAAA”（或“A6”）记录，即IPv4的正向解析地址的资源记录是“A”记录，IPv6的正向解析地址的资源记录是“AAAA”（或“A6”）记录，用户进行访问IP地址时，节点既可以处理IPv4协议，也可以处理IPv6记录，DNS服务器将直接应答“A”记录还是“AAAA”记录，用户根据返回的可访问IP地址，访问对应的网络服务。设置IPv4和IPv6地址解析的优先级，IPv6业务系统优先返回IPv6地址。可实现IPv6改造的双栈应用系统和原IPv4应用系统通过IPv4通信，IPv6改造的应用系统之间通过IPv6通信，办公区IPv6客户端可通过IPv6直接访问IPv6改造的应用系统。

　　（2）网络系统安全设计。银行系统涉及大量的敏感信息和资金流动，因此安全性是网络改造首要考虑因素。IPv6双栈改造意味着银行系统需要同时支持IPv4和IPv6两种协议，这可能会引入新的安全漏洞和攻击面。为了确保银行系统的稳定运行和客户资金的安全，必须在改造过程中着重考虑安全性。

　　莱商银行SDN网络分区中网络设备、防火墙、全局负载均衡和服务器负载均衡等设备均为双栈模式组网，提供与IPv4同等级别的安全防护能力。在网络分区的区域边界均部署两台南北向防火墙（如图3），对区域内部的服务器资源进行安全防护。防火墙设备主要负责设置南北向业务访问控制策略，实现安全区域之间的隔离和控制。

　　在网络分区内Service Leaf部署两台东西向防火墙（如图4），对区域内部的服务器资源进行安全防护。防火墙设备主要负责设置东西向业务访问控制策略，实现安全区域之间的隔离和控制。

　　莱商银行成立IPv6改造工作领导小组，组织领导全行IPv6规模部署工作。领导小组负责监督升级改造工作的落实，定期向董事会和高级管理层汇报进展与风险，领导小组负责全行IPv6规模部署工作的日常组织、协调、调度与推进。组织科技骨干与山东省城市商业银行合作联盟有限公司、网络运营商、网络服务商、应用服务商成立协作团队，对IPv6技术改造工作进行了深入研究和探讨，对网络规划设计和业务系统双栈改造方案进行充分论证。

　　组织科技骨干对IPv6技术改造工作进行了深入研究和探讨，对网络规划设计和业务系统双栈改造方案进行充分论证。SDN分区网络投产前进行多场景多维度模拟测试，对故障切换场景进行连通性验证，对发现的问题逐一排查并修复。对不能立即修复的问题制定对应的措施。

　　比如设备开启IPv6双栈后，需要维护IPv4和IPv6两套资源，导致设备处理能力下降。莱商银行在SDN网络方案规划设计阶段，设计了交换机节点横向扩容、东西向防火墙板卡在线扩容、负载均衡和南北向防火墙在线集群扩容等多种扩容方案，实现网络容量在线扩容；在SDN网络方案验证阶段，开展双栈性能评估，SDN网络投产时预设100个VPC并实现互联互通，能支撑100个业务系统在SDN网络分区快速投产。

　　莱商银行在不增加额外投资的情况下，通过对数据中心核心网络建设项目的方案优化顺利实现全面支持IPv6。通过控制器实现网络配置自动下发，实现业务系统快速开通。通过SDN双栈实现了乡村振兴业务管理系统等信创系统IPv6网络改造，成为省内城商行首例IPv6在数据中心内部的部署和创新应用。

　　莱商银行通过数据中心IPv6网络建设项目，实现IPv6技术在数据中心内部“落地”。有效落实了中央网信办《关于印发深入推进IPv6规模部署和应用2023年工作安排的通知》（中网办通字〔2023〕15号）和《中国人民银行济南分行关于深入推进山东省金融业IPv6规模部署和创新应用工作的通知》（便函〔2023〕537号）等文件精神要求。

　　莱商银行在省内城商行中率先在数据中心建设SDN网络全面支持IPv6，并对业务系统进行了IPv6改造，起到良好的行业示范作用，积累了丰富经验。基于IPv6的应用范围和场景不断扩展，创新生态不断完善，有力推动了IPv6应用向广域网、数据中心等重点领域演进。

　　实现SDN区网络双栈能力，网络中交换机、防火墙、负载均衡等设备均支持IPv6组网，提供和IPv4组网同等的安全防护能力；办公局域网到SDN网络分区业务服务访问实现端到端的IPv6业务流量互访；完成信创业务系统IPv6服务能力改造，进一步推进IPv6在数据中心推广部署。

　　与时俱进，不断革新。莱商银行新一代SDN数据中心网络建设始终紧扣网络架构创新的蓝图手机全局代理ip，通过SDN（软件定义网络）技术的独特优势，重塑网络架构，提升网络的灵活性和可编程性，极大地提升了莱商银行网络的智慧化服务能力。

　　展望未来，通过SDN（软件定义网络）技术的独特优势，重塑网络架构，提升网络的灵活性和可编程性。SDN及IPv6技术将不断推动网络技术的进步和发展，基于SDN与IPv6的网络生态与业务应用必将愈发智能、愈发灵活、愈发普及。莱商银行将一如既往勇做技术创新的领航员，为推动IPv6的广泛部署与深度应用不遗余力地贡献力量。