XXXXIPv6升级改造方案 v1.docx
- 文档编号:10219304
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:21
- 大小:1.10MB
XXXXIPv6升级改造方案 v1.docx
《XXXXIPv6升级改造方案 v1.docx》由会员分享,可在线阅读,更多相关《XXXXIPv6升级改造方案 v1.docx(21页珍藏版)》请在冰豆网上搜索。
XXXXIPv6升级改造方案v1
XXXXIPV6设计方案
20XX年XX月
一、项目背景
XXXX
学校目前已经建成一套较为完整的传统三层网络系统,随着校园建设规模得扩大及信息化建设的不断发展,取得相应成绩但在发展中也存在些许问题。
本次方案设计将立足当前,着眼未来,采用“以需求为导向,以应用促发展,统一规划,资源共享”的思路,针对学校全网实现IP地址双栈进行升级改造,网络、数据中心、安全等方面进行整体考虑,统一规划,建设一个以学院业务为核心,技术先进、扩展性强、高稳定、高性能的全网双栈网络,以满足教学办公、学生学习、上网及生活需要。
现网网络拓扑:
网络拓扑
针对此次全网双栈资源改造,结合对XXXX整体信息化建设做过完整了解后,发现具体有如下几个难题:
1.1地址管理挑战
中国互联网络信息中心的最新数据显示,中国7.51亿互联网用户仅有3.38亿个IPv4地址,人均0.45个,IPv4地址池耗尽危机带来一系列互联网安全与监管隐患。
因此,分配与管理IPv6地址是网络改造中的重要环节。
目前XXXX网络地址多采用无状态自动配置方式,该方式支持所有终端、配置简单,但也存在以下问题:
1、路由器上的IPV4、IPV6需部分手动配置,工作量大;2、终端通过无状态自动配置获得的IP地址会频繁变化,导致无法进行策略规划、无法进行终端溯源、难以管理。
1.2应用建设挑战
网站应用IPv6升级目的是使原来仅支持用户通过IPv4协议访问并获取服务的网站经过技术升级或者改造后,能够支持用户通过IPv6协议访问并获取服务。
在IPv6升级改造过程中面临一些挑战。
应用系统自身改造周期和成本
应用系统升级至支持IPv4/v6双栈协议需从操作系统、WebServer和应用自身三方面进行建设;老版本操作系统多数不支持IPv6,需安装补丁或直接升级;WebServer例如Apache、IIS等也需要单独配置使其支持IPv6;应用系统自身,由于IPv4和IPv6的程序代码不完全一样,所以网站应用的双栈化基本上都需要重写代码,对网页中的以下内容进行修改:
把网页中以IPv4地址直接写入的文件URL或链接URL更换成域名;把网页代码中存在无法处理IPv6地址的程序或函数更换成同时支持IPv4和IPv6的函数和程序;把程序中存储IP地址的数据空间(IPv4为32位)更换为同时支持IPv4(32位)和IPv6(128位)的变量结构、数据库结构或API。
此外,当网页包含其它网站内容的链接(外链),即使采取双栈技术路线,全面升级网络和修改程序,但被引用的其它网站未升级,IPv6用户访问该网站时会出现响应缓慢,部分内容无法显示,部分功能无法使用等情况。
该问题被称为“天窗”问题。
大型网站往往互相引用,或者存在多个栏目,单方面的升级改造不可避免地存在。
代码工作量不同网站应用工作量不等,差别较大,不可控。
兼容访问
由于整个IPv6升级改造是个持续的过程,因此,升级改造过程中,既要保证原有IPv4部分的访问不能中断,同时,要支持IPv6的访问流量。
域名支持挑战
WEB应用系统进行IPv6改造后,必须配合DNS域名发布才能实现IPv6访问。
目前DNS均可支持AAAA记录发布,但对于使用CDN发布的大型网站,由于无法直接将域名拆分为A记录和AAAA记录进行解析,因此无法实现IPv6资源的发布。
1.3认证审计挑战
缺乏IPv6认证
园区网中现有认证体系均只适用于IPv4网络,针对IPv6终端目前缺乏有效的出入网认证机制。
随着IPv6的推广和普及,无认证机制会导致内网资源存在极大的被攻击隐患,因此建立有效的IPv6认证机制是IPv6全面升级的必要条件。
难以审计溯源
由于安卓系统不支持有状态的IPv6地址分配方式,而无状态的IPv6地址分配方式导致地址频繁变化不可控,因此难以溯源;同时由于IPv6审计系统不完备,IPv6终端访问网络的各类日志分散存储在各系统中,未进行数据统一存储及管理,缺少IPv6用户访问数据模型,无法将各类日志有效整合,当发生网络安全事故时,难以排查定位,无法满足《网络安全法》要求。
1.4安全防护挑战
原有网站IPv4的相关防护比较充足,但是一旦开启IPv6支持,等于开启了另一扇大门,将网站暴露在外。
基于IPv4的相关防护措施是否能够同时支持基于IPv6的访问,或者需要同时建设IPv6的安全防护措施,同样会带来建设周期和成本问题。
1.5网络管理挑战
在IPv6网络改造的过程中,v6设备的占比会大大提升,而也会因部分老旧设备不支持v6的配置,导致网络中v4和v6设备共存。
现存IT资源监控平台仅支持v4设备的监控,对于升级改造过程中出现的v6设备无法进行监控,不能兼容v4和v6设备共存的监控需求。
二、IPv6升级改造目标
2.1升级改造原则
v必须同时支持IPv4、IPv6双栈网络;
v终端必须可自动获取IPv4、IPv6地址,并可同时使用IPv4、IPv6协议访问网络资源;
v必须为IPv6终端提供入网/出网认证服务,支持定义多种认证策略;
v必须支持IPv6终端溯源;
v网站应用服务必须整体支持IPv6外网访问,要防止现有网站部分功能不可用;
v网站系统必须支持已有IPv4普遍服务管理要求,如:
“点击率统计(PageView)”、“基于IP地址的访问控制”等;
v网站应用服务应与原服务具有一样的等保级别和安全性,防止IPv6防火墙技术不完备带来的不利影响;
vIPv6升级过程必须对于用户无感知,避免影响用户正常工作;
vIPv6升级必须无缝支持Web技术发展未来趋势,如支持安全网页传输协议https,防止政府网站证书被劫持等;
vIPv6升级必须采用国际主流技术,符合IETF国际标准;
vIPv6升级应尽量降低系统的成本;
vIPv6升级应充分考虑可持续发展性和可管理性。
2.2升级改造目标
v实现终端可自动获取IPv4和IPv6地址,并可访问IPv4及IPv6网络资源;
vIPv6终端必须经过认证才能访问网络,可自定义认证策略;
v对于内部网站应用,需实现无论是IPv4用户还是IPv6用户均能够同时访问,并且网站应用对IPv4和IPv6的更新应保持同步;
v实现IPv6访问与原有IPv4访问的同样安全级别;
v实现IPv6与原有IPv4同样粒度的日志审计和终端溯源;
v对多厂家、多型号、v4/v6共存环境中网络设备,实现统一平台下的无差别监控;
v自动绘制v4/v6设备拓扑图,清晰展示v4/v6网络接口;
v对所有v6网络设备进行监控,及时发现设备异常,并生成告警推送;
三、IPv6升级改造方案
基于以上信息,我司提出了新的融合以上各种技术优点的IPv6升级改造方案,从基础网络设施、应用建设、认证审计、安全防护、网管系统五大方面进行升级改造。
IPv6升级改造部署方案
图IPv6升级改造部署拓扑图(大二层建设后)
本方案拟在原有网络基础上部署一套智能DHCP系统、两套反向代理系统(实现设备高可用)、两套智能DNS系统(实现设备高可用)、认证系统(利旧)进行原有授权数扩容、IT运维管理系统。
智能DHCP系统:
为终端自动分配有状态IPv6地址及IPv4地址,实现IPv4/v6地址的有效管理。
反向代理系统:
为网站及应用提供IPv6及IPv4双栈发布服务。
智能DNS系统:
提供v4/v6权威解析服务以及递归解析服务,支持自定义解析策略,同时提供多种适用于IPv6网络的特色功能,有效配合反向代理系统实现网站应用的IPv6发布。
认证系统:
为IPv4/IPv6终端提供准入/准出认证服务,并可联动NAS设备、DHCP系统实现无感知认证;同时可对接原有计费系统实现精准计费。
IT运维管理系统:
自动扫描发现IPv6网络设备并实时监控;自动发现在线IPv4/v6终端,提供终端查询工具可有效定位IPv6/v4终端位置及上联信息。
3.1基础网络设施升级
让终端正常获取IPv6地址是网络改造的第一步,IPV6方案改造中,网络基础设施能否同时承载IPV4及IPV6双地址是重中之重。
在改造前期,将学院所有信息化设备进行全部调研,将不符合IPV6改造要求中无法满足双栈协议的网络及安全设备进行替换或者升级,其中包括出口区域网络设备、核心区域网络设备、汇聚层网络设备、接入层设备、使能更好的完成全网双栈的平滑接入。
本方案在完成所有基础网络设备升级后,将部署DHCPv6系统及智能DHCP实现IPv6地址的智能分配与管理。
智能DHCP系统可为终端提供有状态的IPv6地址自动分配服务,为终端分配完整的IPv6地址,且地址在有效生命期内保持不变,避免了无状态配置中地址频繁更换的问题,为IPv6地址管理规划、策略应用、终端溯源提供基础。
并且,在分配IPv6地址的同时为终端提供DNS、地址有效时间等配置信息,增强可用性。
同时系统支持为路由器自动下发IPv6前缀,无需人工配置,路由器获得前缀后可自动为其下终端分配IPv6地址并自动加上路由,提高配置效率。
DNS服务器系统在分配IPv6地址的同时支持为终端下发IPv6DNS服务器,满足纯IPv6网络环境下的域名解析需求。
本方案中智能DNS系统为终端提供IPv4/IPv6资源的权威解析及递归解析服务,同时支持定义多种解析策略,并具备多种IPv6特性,满足双栈网络DNS解析需求。
系统支持发布A、AAAA、A6、CNAME、DNAME、HINFO、MX、NS、NAPTR、PTR、SRV、TXT、URL等常见记录类型,支持注册IPv6NS服务器。
对于支持IPv4/v6双栈的网站,可将域名拆分为A记录和AAAA记录进行解析,满足双栈解析需求。
3.1.1基础网络改造项
区域需进行改造项
位置区域
名称
作用
建议
备注
网络核心交换机
S12712(原网络设备)
整体网络流量数据处理的核心设备。
S12712设备在IP技术上支持IPV4及IPV6的双栈协议
前期了解调研后发现,S12712没有开通IPV6的授权。
需要重新购买。
汇聚层
网络设备(原网络设备)
区域流量的汇聚作用转发作用,同时做简单的数据处理。
汇聚层设备必须支持双栈协议(既支持IPV4也支持IPV6)。
现网汇聚层设备厂商成分复杂,需现场实地勘察,如果不支持需进行替换或购买授权。
接入层
网络设备(原网络设备)
提供对所有终端设备的端口互联,流量上传。
接入层设备必须支持双栈协议(既支持IPV4也支持IPV6)。
现网接入层设备厂商成分复杂,需现场实地勘察,如果不支持需进行替换或购买授权。
数据中心
数据中心网络交换机(原网络设备)
提供对数据中心所有设备的流量信息交互,同时也提供对外及对内业务访问。
为保证数据中心应用双栈资源的同时支持,数据中心交换机也需要支持双栈功能。
对前期数据中心网络交换机进行了解后发现,设备支持IPV6的功能。
3.2应用建设
图IPv6方案功能架构
本方案将通过架设一套支持v4/v6双栈的资源统一发布与管理系统(以下简称反代系统),将所有的IPv4网站通过该系统转化为IPv6对外发布或直接对外发布,使得终端即可通过IPv4也可IPv6访问网站。
首先:
物理层支持IPv4和IPv6双栈。
反代系统兼容IPv4和v6用户同时访问;并且,系统兼容同时对接仅支持v4、仅支持v6和支持双栈的网站应用。
其次:
网络层完成地址转换和翻译。
然后:
网络层可以实现IVI和NAT64支持的网络地址翻译,可以支持多种场景同时并发。
ØIPv4用户访问IPv4网站;
ØIPv4用户访问IPv6网站;
ØIPv6用户访问IPv4网站;
ØIPv6用户访问IPv6网站;
功能架构图
最终:
应用层实现智能安全代理、负载调度。
支持HTTP、HTTPS等协议,同时,可以实现将原http网站通过HTTPS的方式对外发布,提升网站安全性。
并实现对网站应用资源的统一管理。
针对HTTPS类型资源系统提供证书管理功能,支持系统内自建证书,并支持合并多条证书链生成完整证书。
同时系统可基于会话和负载均衡调度资源服务器,提升用户访问体验。
3.2.1域名支持
本方案中智能DNS系统为终端提供IPv4/IPv6资源的权威解析及递归解析服务,同时支持定义多种解析策略,并具备多种IPv6特性,满足双栈网络DNS解析需求。
3.2.2v4/v6权威发布
系统支持发布A、AAAA、A6、CNAME、DNAME、HINFO、MX、NS、NAPTR、PTR、SRV、TXT、URL等常见记录类型,支持注册IPv6NS服务器。
对于支持IPv4/v6双栈的网站,可将域名拆分为A记录和AAAA记录进行解析,满足双栈解析需求。
3.2.3v4/v6双CNAME
对于使用CDN发布的网站,由于无法直接将域名拆分为A记录和AAAA记录进行解析,因此无法发布网站的IPv6资源。
而网瑞达具备最新的专利技术,智能DNS系统支持将网站域名解析为IPv4、IPv6两个CNAME,IPv4CNAME指向原CDN节点实现IPv4访问,同时将IPv6资源使用反代服务器发布,将IPv6CNAME指向反代服务器实现IPv6访问。
3.3认证审计
本方案为终端提供基于WEBPortal的IPv4和IPv6统一认证;同时建立以账号为标识的网络行为审计模型,实现有效终端溯源和定位。
3.3.1v6/v4终端准入准出认证
本方案为IPv4/v6双栈网络终端提供准入/准出认证服务。
由LDAP统一管理用户账号;准入、准出、访客三套体系独立建设、有机联动;同时提供无感知认证模块,有效简化认证流程,提升用户体验。
图IPv4/v6统一认证
3.3.1.1准入认证
准入认证场景中,终端使用IPv4和IPv6双栈协议时只需一次认证即可同时放行。
将网络认证管理系统与NAS设备对接,准入认证中NAS设备一般为有线网接入设备、无线AC、大二层网络中BRAS设备等,当终端使用IPv4或IPv6访问内网资源时,NAS设备将其重定向至网络认证管理系统的Portal页面进行身份认证,Portal页面支持IPv4/v6双栈访问;认证通过后,认证系统将自动记录账号-IPv4或IPv6地址-终端MAC地址信息,并自动通知NAS设备,NAS设备根据终端MAC实现放行;当终端再次使用另一协议访问资源时,由于NAS设备白名单中已记录终端MAC,因此无需再次认证即可直接访问。
3.3.1.2准出认证
准出认证场景中,终端访问内网资源时无需认证,只有访问外网资源才需要认证。
准出认证中NAS设备一般为出口网关等;与准入认证不同,准出认证为跨三层认证,NAS设备根据终端IP放行,因此IPv4/v6双栈网络中终端若同时使用v4和v6访问网络需要进行两次认证。
认证过程如下:
当终端使用IPv4或IPv6访问外网资源时NAS设备将其重定向至portal模块进行身份认证;认证通过后,认证系统将自动记录账号-IPv4或IPv6地址-MAC信息,并自动通知NAS设备,NAS设备根据IPv4或IPv6地址放行。
当终端使用另一协议访问外网资源时,需要重复以上过程进行再次认证。
3.3.1.3准入准出一体化
将准入NAS设备与认证系统对接,并将认证系统与出口网关联动即可实现准入准出一体化认证。
对于纯IPv4网络,当终端认证通过后认证系统自动将账号-IP-MAC发送给NAS设备,同时将账号-IP信息发送给出口网关,NAS设备放行后终端可访问内网资源,出口网关放行后终端可访问外网资源;只需一次认证终端即可成功访问内外网资源,有效简化认证过程。
3.3.1.4无感知认证
本方案支持802.1x、NAS设备联动、DHCP联动三种无感知方式。
图DHCP无感知认证
针对双栈网络,由于dot1x和NAS设备联动方式均只支持二层网络,NAS设备可根据MAC放行终端,因此用户只需在首次访问(IPv4或IPv6均可)时进行一次认证,后续无论使用哪种协议都无需再次认证。
而DHCP联动方式由于支持二三层网络,当需实现准出认证或准入准出一体化认证时,由于NAS设备需要根据IP放行终端,因此终端首次访问IPv4和首次访问IPv6时分别需要进行一次认证;若只实现准入认证,则终端只需进行一次认证,即首次访问IPv4或IPv6时认证。
无感知认证方案让终端用户在接入网络或访问外网时只需一次认证(双栈网络中两次认证)绑定,后续自动登录,免去手动认证的麻烦,提升用户访问网络体验。
其中DHCP无感知认证可更精准识别终端,适用范围广,安全性高于NAS联动认证,是当前无感知方案的首选技术。
3.3.2认证审计改造项
区域需进行改造项
位置区域
名称
作用
建议
备注
数据中心
认证计费系统(原有设备)
网络认证系统,同时支持IPv4和IPv6双栈的802.1x、PPPoE、WebPortal等多种认证方式,支持无感知认证和访客认证,支持一键对接eduroam,支持将园区网账号和运营商账号进行绑定实现基于园区网的运营商代拨,提供完备的认证日志与数据分析功能。
提供用户管理与统一身份认证管理功能,提供LDAP、CAS、OAuth等统一身份认证接口。
设备为建设全网双栈的核心设备。
原设备为城市热点的认证计费系统,和厂商沟通后需进行IPV6授权的开通,使设备支持IPV4及IPV6。
可进行利旧使用。
3.4安全防护
在全网双栈设计当中网络设备的改造也是重中之重,特别是部署于主要节点当中的主干链路设备。
其中,基本主要有主干网出口防火墙、数据中心出口防火墙、上网行为管理等。
这些设备存在主要节点链路中,如果仅支持IPV4数据包那么IPV6数据包是设备无法识别的,从而抛弃数据流量。
此次方案中我们主要介绍数据中心业务资源的安全防护的具体实现方法。
本方案采用WAF机制防护IPv6WEB资源安全发布,支持基于全局规则和自定义规则,使用正则匹配方式有效过滤异常请求,以ModSecurity为基础,可对单个资源设置安全规则,自由配置与应用安全策略模板,实现SQL注入防护、XSS跨站攻击防护和DDos防御;同时可基于用户行为的入侵检测分析发现用户异常行为,生成动态黑名单,实时保护内网资源安全。
提供资源内容检测功能,实现网页防篡改。
图WEB资源安全保护
IPv6网站访问安全策略
1)对某些网站可以进行限速设置,以确保主要业务网站的带宽流量。
2)黑/白名单模板;可设定告警阈值,超过阈值则假如访问黑名单;可设定解锁时长,超过时长后自动解锁。
3.4.1网络安全防护整改及新增项
区域需进行改造项
位置区域
名称
作用
建议
备注
出口外联区
深信服防火强(IPV6新增)
处于整个网络的最外部边缘区域,既承担网络安全的重任,同时也要对流量、地址、路由实现处理和转发。
外联区主干链路出口防火墙必须支持IPV4及IPV6的双栈协议,如原先设备不满足,需进行整改和替换。
XXXX出口防火墙在前期网络建设中已经发现性能不能承载当前业务,且设备不支持IPV6功能。
此次方案设计中进行替换。
安全运维审计服务区
运维堡垒机(等保项目中新增)
加强运维管理安全性的作用。
安全运维堡垒机在此次方案设计中处于旁挂组网,对整体业务影响较小。
但为了后期运维人员既能够使用IPV4的地址设备运维也能够使用IPV6的地址运维,在此运维堡垒机建议选择具备双栈功能的设备。
运维堡垒机在前期网络安全等保建设方案中提出增加,同时在当初选型时也考虑到后期IPV6的改造。
该设备支持IPV4及IPV6。
安全运维审计服务区
日志审计(原有设备)
对全网设备日志做出收集和管理作用。
在全网双栈部署完毕后,所有设备中均会存在IPV4设备的一份日志及IPV6设备的日志。
所以在此处日志审计设备建议使用支持IPV4及IPV6设备。
前期日志审计设备在数据中心建设项目中已经使用,且设备支持双栈协议,可进行利旧。
安全运维审计服务区
数据库审计(原有设备)
对全网设备数据库做出收集和管理作用。
在全网双栈部署完毕后,所有设备中均会存在IPV4设备的一份数据库及IPV6设备的数据库。
所以此处日志审计设备建议使用支持IPV4及IPV6设备。
前期日志审计设备在数据中心建设项目中已经使用,且设备支持双栈协议,可进行利旧。
安全运维审计服务区
上网行为管理(原有设备)
提供对整体网络终端上网行为的管理和控制。
上网行为管理对整体IPV4终端及IPV6终端进行上网行为的管控,所以此设备须同时支持IPV4及IPV6功能。
前期日志审计设备在数据中心建设项目中已经使用,现已经查明此设备并不支持IPV6。
此设备后期建议替换。
不替换也可以但只能支持IPV4网络业务。
数据中心
山石网科出口防火墙(原设备)
处于整个数据中心的最外部边缘区域,既承担网络安全的重任,同时也要对流量、地址、路由实现处理和转发。
主干链路出口防火墙必须支持IPV4及IPV6的双栈协议,如原先设备不满足,需进行整改和替换。
经过核实原先设备支持双栈协议。
可进行利旧。
数据中心
入侵防御(等保项目中新增)
入侵防御系统(Intrusion-preventionsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
数据中心主干链路入侵防御系统必须支持IPV4及IPV6的双栈协议。
入侵防御系统在前期网络安全等保建设方案中提出增加,同时在当初选型时也考虑到后期IPV6的改造。
该设备支持IPV4及IPV6。
数据中心
Web防火墙
(等保项目中新增)
Web应用防火墙的具有以下四个方面的功能:
1.审计设备:
用来截获所有HTTP数据或者仅仅满足某些规则的会话。
2. 访问控制设备:
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
3.架构/网络设计工具:
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4.WEB应用加固工具:
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。
Web防火墙提供对数据中心业务系统的整体防护,在用户访问内部资源可能既存IPV4及IPV6的网络请求,所以此设备须支持IPV6功能。
Web防火墙在前期网络安全等保建设方案中提出增加,同时在当初选型时也考虑到后期IPV6的改造。
该设备支持IPV4及IPV6。
3.5网络管理
在IPv6网络改造的过程中,v6设备的占比会大大提升,而也会因部分老旧设备不支持v6的配置,导致网络中v4和v6设备共存。
为了确保在改造过程中能掌握全局,及时发现全局设备异常,能对全局的设备采用自动化配置提高改造效率,能通过关联信息及时定位故障,能清晰展现网络架构,需要将v6环境中的网络设备进行统一监控管理。
自动扫描IPv6IT资源
可自动对十大类IPv6IT资源进行7*24h的全面实时监控,包括有线设备、无线设备、安全设备、服务器、存储、动环设备、虚拟化资源、数据库、中间件和标准应用;支持上百种软硬件品牌。
在统一平台上监控全网网络设备的运行状态,集中告警,当异常发生时可及时发现并自动通知运维人员,实现主动运维,有效防止故障蔓延;同时为排查定位故障提供有力的数据支撑。
系统支持自动扫描IPv6资源,包括网络设备、服务器等,用户无需手动添加所有IT资源;只需在WEB页面添加一次扫描策略即可,高效便捷。
系统提供多种资源添加方式,包括单个添加,IPv6地址段扫描批量添加,批量导入和离线添加;支持通过ICMP、SNMP(v1,v2c,v3)、WMI等多种协议对资源进行自动扫描;并可自动发
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XXXXIPv6升级改造方案 v1 XXXXIPv6 升级 改造 方案