广发银行采用NAT64和IPv6/IPv4双栈改造相结合的方式开展IPv6改造工作，通过向CNNIC申请IPv6地址、IPv6互联网线路与运营商使用BGP动态路由协议对接的方案，实现所有面向公众服务的互联网应用系统支持IPv6连接访问，提升了IPv6用户的访问体验，按监督管理要求顺利完成IPv6改造任务。

  根据中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会联合发布的《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施建议》（以下简称《实施意见》）的要求，广发银行作为银行业16家IPv6改造行业示范机构之一，须按监督管理要求稳步推进IPv6规模部署工作。

  2020年底前完成监督管理要求的IPv6改造规模部署工作，所有面向公众服务的互联网应用系统支持IPv6连接访问，至少完成一个互联网应用系统的双栈改造工作。确保IPv6规模部署实施过程中网络和系统安全稳定运行，对现网IPv4业务无影响。同时，结合IPv6下一代互联网的特点，提升广发银行互联网业务线上化、移动化的竞争优势。

  收到《实施意见》的通知后，广发银行格外的重视，立即成立以主管科技行领导为组长的IPv6规模部署领导小组，将IPv6改造工作纳入年度重点工作执行，提前编制IPv6改造预算资金，纳入年度财务预决算，落实资金保障，制定各项工作机制及计划，确保IPv6改造工作有序平稳推进。

  为更好推进IPv6改造工作，广发银行对各类软硬件基础设施和应用系统对IPv6协议的支持情况开展排查，根据排查评估结果制定软硬件的升级或替换计划，应用系统依据以下功能点开展排查评估。

  8）是否向行内及行外互联网应用提供SDK，提供的SDK是否与外部系统通讯

  IPv6规模部署工作周期较长，期间存在IPv4、IPv6/IPv4、IPv6三种场景共存的情况，涉及网络、系统、应用和安全等多技术领域，要选择合适技术实现IPv4到双栈、IPv6单栈的平滑过渡，既满足规模部署的要求，又降低IPv6改造工作对业务连续性的影响。

  IPv6改造演进技术有NAT64、双栈和隧道三种，其中NAT64和双栈在技术层面均可满足应用系统发布IPv6访问的需求。经综合评估，广发银行选用NAT64和双栈改造相结合的方式开展IPv6改造工作，大部分面向公众服务的互联网应用系统通过NAT64改造支持IPv6连接访问，其他互联网应用系统通过双栈改造支持IPv6连接访问。

  IPv6地址可以向三大运营商或CNNIC申请，若选择向CNNIC申请IPv6地址，须与运营商确认是否允许自带IPv6地址接入和采用BGP动态路由协议互连。

  由于向CNNIC申请IPv6地址的组网方案在相互连通、互联网线路切换等明显优于向运营商申请IPv6地址的组网方案。经广泛调研评估和详细论证，并与CNNIC及三大运营商沟通达成一致意见后，决定选用向CNNIC申请IPv6地址的组网方案。

  按照“分阶段、分网络域”的方式，广发银行制定了IPv6改造技术方案，整体架构及技术要点如图1所示。

  ✔新建互联网双栈接入区，向CNNIC申请IPv6地址和AS号，新增不同运营商的双栈互联网线路，与运营商采用BGP动态路由协议对接。

  ✔新增双栈WEB服务器，APP及DB服务器保持不变，双栈WEB服务器通过IPv4协议访问APP服务器。

  ✔NAT64模式下复用现有IPv4网络防火墙、WAF、IDS等网络安全设备，安全策略保持不变。

  ✔双栈DMZ区的网络安全设备参照IPv4 DMZ区配置IPv6安全策略。

  在NAT64的组网方案中，需着重关注IPv6地址的溯源问题。NAT64设备支持记录IPv6到IPv4的地址转换信息，并将IPv6源地址插入X-Forwarded-For字段，NAT64设备后端的IPv4网络安全设备和应用系统通过读取该字段信息进行安全管控及审计。

  广发银行于2020年11月完成IPv6改造第二阶段实施工作，改造完成至今，所有面向公众服务的互联网应用和IPv6网络安全稳定运行，其中B/S类应用IPv4和IPv6的访问流量占比约为5:1，移动APP类应用IPv4和IPv6的访问流量占比约为3:2。广发银行在金融行业IPv6发展监测平台上的总评分名列前茅。

  基于IPv4网络成熟技术，广发银行在IPv6改造上进行大胆创新尝试，采用向CNNIC申请IPv6地址，IPv6互联网线路与运营商通过BGP动态路由协议对接的技术方案，提高了IPv6互联网的可用性和访问质量。IPv6互联网线路故障切换时间较IPv4互联网线路故障切换时间由分钟级提升为秒级，不同运营商均有到广发银行IPv6地址段的最优路由，提升了IPv6用户访问广发银行互联网应用的体验，助力广发银行数字化转型。