解決方案

當前位置:首頁>解決方案

IPv6建設與改造方案

時間:2020-12-14   訪問量:246


IPv6圖片.jpg

1.   關于IPv6地址

IPv6地址可以表示為128位由0、1組成的字符串,為了便于計算機理解,將128位的二進制字符串表示為32位的十六進制字符串,為了便于理解,人們將其劃分為8組,組與組之間用 :隔開,每組4個字符(也就是16位)。

一個IPv6地址如果存在多個連續全0段,可將其中一個全0段使用“::”來表示,也就是說合法的IPv6地址中最多存在一個“::”

鑒于IPv6地址比較復雜,其掩碼表示使用/n (n=0-128),不存在IPv4中的255.X.X.X的這種表示方法。

IPv6地址由前綴+接口ID的形式組成。

1.1.  單播地址

鏈路本地地址:以FE80::/10 鏈路本地單播地址范圍。

唯一本地地址:這些地址也是不可在因特網路由的。唯一的本地地址設計用于替代場點本地地址,因此它們的功能幾乎與IPV4私有地址相同。FC00::/7 唯一本地單播地址范圍

全局單播地址公網地址,與IPV4中的單播地址相同。全局地址以2000::/3打頭。

1.2.  組播地址

與IPv4中一樣,目標地址為組播地址的分組被傳輸到該組播地址表示的所有接口。這種地址有時也被稱為一對多地址。IPv6組播地址很容易識別,FF00::/8是組播地址范圍。

1.3.  任意播地址

   任意播分組只被傳輸到一個接口,根據路由選擇距離確定的最近接口。這種地址的特殊之處在于,可將單個任意播地址分配給多個接口。這種地址被稱為“一對最近”地址。

任意播地址是每一個IPv6地址段的最后一個IPv6地址(類似IPv4地址中的廣播地址)

1.4.  特殊的IPv6地址

::(全0),相當于IPv4中的0.0.0.0

::1(環回地址),相當于IPv4地址127.0.0.1

::/0 表示全部路由(默認路由)

1.5.  IPv6地址和參數分配方式

IPv6支持無狀態地址分配方式、有狀態地址分配,其中有狀態地址分配又可細分為前綴分配、和地址分配。網絡參數(DNS、NTP等)僅支持有狀態分配方式

1.6.  國內運營商的IPv6地址范圍

電信是240e開頭的(240e::/20)

聯通是2408開頭的(2408:8000::/20)

移動是2409開頭的(2409:8000::/20)

2.   有關IPv6規劃要素

2.1.  網絡運行方式

目前絕大多數企業網絡都是IPv4單棧運行,考慮到IPv6的部署上線有兩種形式:

1.   純IPv6網絡建設

2.   IPv4-IPv6雙棧網絡建設

目前互聯網上的IPv6資源較少,主要集中在edu.cn域名上(教育網),非教育網的IPv6資源數量目前較少,以淘寶、京東、騰訊來說,也就是目前主頁具備IPv6訪問功能,次級或者更深層級的資源均以IPv4形 式存在。

建設實驗網絡、教育網網內新建可以選擇方案1;具有互聯網訪問需求,同時要具備IPv6站點訪問能力,則建議選擇方案2,就企業網來說普遍使用方案2。

2.2.  地址分割

充分評估現網的IPv4結構,對于管理地址、互聯地址、業務地址是否有需要置備對應的IPv6地址,管理地址采用/128的掩碼,互聯地址采用/126或/127的形式,業務地址結構則需要根據本機構的級別去設定。

/56,住宅和中小企業

/48,內容提供商和大企業

/64,服務提供商基礎設施

/64,接入技術無關的網絡

大于/64,無法按照/64規劃或者/64規劃出來的業務地址段并不夠實際使用此部分規劃需要額外注意一些事項見2.2章節。

另外是否有必要采用地址分割還依據不同客戶場景下,客戶所獲取到的IPv6地址前綴長度。

2.3.  客戶端獲取地址方式

IPv6支持的地址獲取方式包括,無狀態地址獲取和有狀態地址獲取,目前市面上絕大多數的終端也都支持這兩種地址分配方式。從兼容性上來說無狀態地址分配的方式是比較好的,從后續發展來說使用有狀態地址分配的方式更加高效和實用且較為容易被審計。所以實際環境中這兩者可根據不同的網絡環境選擇使用其中的一種或者兩種結合使用。

2.4.  路由規劃

普遍的IPv4網絡使用靜態路由、OSPF動態、ISIS動態(較少)、BGP動態,可選的是路由平滑過度,路由升級等策略。對于IPv4網絡結構簡單,建議還是以IPv6靜態路由為主,IPv4網絡較為復雜,且無需適用路由升級方案,有序網絡可以適用IPv6平滑過度方案。對于IPv4所支持的動態路由,IPv6基本也支持,只是配置細節不一樣。

2.5.  可靠性技術

絕大部分的企業網絡均會考慮網絡層的高可用如思科的VSS,HSRP、華為的Stack,CSS,VRRP+HRP、華三的IRF,Reduance組,單獨VRRP等。這些技術有些應用在內部、有些應用在出口,那么在IPV6部署上線的時候,則需要做對應的可靠性升級,且必需考慮,其實關鍵就是大部分可靠性技術還會涉及到二層表項的變動…

2.6.  關于IPv6的NAT

IPv4中不管是因為地址緊缺還是服務器映射帶來的安全問題,NAT幾乎是99.9%逃避不了的。而IPv6中,標準規范中并沒有NAT相關信息,導致目前大部分產品對以NPTv6(NAT66)支持是很不好的。其中大品牌是可以通過升級獲得(H3C、華為)、小品牌則需要重新購買。對于啟用NPTv6和不啟用NPTv6的網絡,其內部結構是不一樣的,則其規劃也不一樣。

3.   IPv6建設與改造關鍵

用戶從運營商獲得的IPv6地址情況,決定其出口設備的部署方式及設備類型,典型的方式有IPv6地址分配、前綴自動分配、前綴靜態分配等,每種分配方式在設備上所需要的配置是不一樣的,對設備的特性要求也不一樣。

網絡內的老舊設備是否支持IPv6的路由轉發、透明轉發,安全防護過濾,對于不支持的設備還需要進行升級或更換

IPv6網絡在部署完成后,用戶的地址及參數的獲取采用的方式,對于審計部分的要求,是否能夠滿足

IPv6網絡安全,解決了端到端的不完整性所帶來的問題就是端到端太透明,現有的安全設備是否能夠對網絡內外的IPv6流量提供足夠的安全支撐。

服務器區域的IPv6改造目前呈現3種情況,實現雙棧、保持IPv4單棧、外掛協議轉換裝置,這三種情況下,數量較少的服務器直接配置IPv6地址實現雙棧即可。比較重要的業務建議保持單棧。對于管理復雜,權限界限模糊,數量還較多的等不方便的操作的服務器,那么就可以使用IPv6轉換裝置,從網絡層進行協議轉換。額外對于HTTP的流量較為簡單,HTTPS流量的轉換則更加復雜與多變,還會影響性能,故對于HTTPS服務我們還是建議手動配置雙棧。

4.   IPv6網絡維護

IPv6網絡的維護和IPv4密切相關,IPv6的實施、使用也離不開IPv4,需要管理員在充分了解全網結構的前提下,對IPv6的前綴分布,路由聚合進行維護,終端部分則是IPv6地址 的分發與綁定,以便于后期的審計。IPv6網絡也會對IPv4網絡產生一些沖擊,這種情況從原理層是不可理解的,但是從各終端的協議棧選擇角度來說,確實是實際存在的,此時需要網絡管理員多學習IPv6相關知識。

安全策略上對于ICMPv6協議也應做一些適應性調整。

同時網絡管理員也應時刻注意IPv6相關的軟件補丁更新。畢竟IPv6從實用角度來說還是“新鮮事物”,后續的發展步伐會逐漸加快,我們的技能和軟件更新也要跟得上才行。

 

上一篇:網絡實名準入認證系統

下一篇:句容曙光國際大酒店無線網絡建設

發表評論:

評論記錄:

未查詢到任何數據!

在線咨詢

點擊這里給我發消息 售前咨詢專員

點擊這里給我發消息 售后服務專員

在線咨詢

服務通話

24小時服務咨詢

請輸入您的聯系電話,座機請加區號

服務通話

微信掃一掃

微信聯系
返回頂部
糖果派对