IPv6 网络演进方案
企业网络逻辑架构全景图
数据中心网络:
按照业务服务范围,企业数据中心一般可划分为对外公众服务和企业内部应用;
对外公众服务的前置服务器一般部署在数据中心的 DMZ 区,通过互联网出口区连接外部用户;
内部应用主要涉及数据中心内部服务网络(如广域网出口区、业务区网络);
从业务改造角度可将数据中心划分为内部应用、DMZ 区(对外公众服务)、互联网出口以及 DC 内部服务网络,以此进行 IPv6 演进升级的迁移规划;
广域网络:
企业各地分支互联存在多种回传方案,如企业自建广域网、运营商 MPLS L2/L3 VPN、Internet 等方式;
企业广域网络 IPv6 演进主要考虑广域专网的升级策略;
园区网络:
办公园区可以大致划分为总部园区、分支园区两种类型,两类园区除了组网规模存在区别外,分支园区广域网络回传接入也可能存在多种方式,如企业自建广域网、运营商专线等,在 IPv6 演进升级设计时也需要针对性设计;
生产园区主要部署了大量的生产终端和生产系统,生产业务流大部分在本园区内闭环。生产园区的生产系统和现网生产终端生命周期长,必然在较长时间内网络需要同时满足 IPv4/IPv6 双栈业务的运行,以及需要考虑 IPv4 和 IPv6 的互通问题;
IPv6 网络演进一般性原则
企业网络向 IPv6 演进的目的是要在现有网络架构上构建 IPv6 能力,同时兼顾解决当前网络业务发展的问题。
从企业业务层面出发,IPv6 改造的基本要求是“在网络演进升级过程中,必须保障原 IPv4 业务的可持续性服务,并且演进后的网络安全等级不弱于原 IPv4 网络”;
从改造成本、技术先行性、改造影响范围维度考量,建议企业 IPv6 改造总体应遵循如下原则:
3)经济可行:应结合当前企业网络系统情况,从全局角度出发选择合适的 IPv6 升级演进方案,合理利旧,避免资产浪费;
1)平滑演进:IPv6 网络升级改造是基础协议的变更,网络演进过程应尽量确保现有用户无感知,现有业务迁移平滑;
4)架构调优:企业网络 IPv6 演进是企业系统管理架构整体刷新或者重构的机会,如企业地址的强管控、DNS 资源的统筹管理等;
2)面向未来:把握 IPv6 演进升级机会,构建先进的下一代企业 IPv6 网络系统架构,以充分支撑企业业务系统的长期发展以及稳定运行,避免网络再造、重复投资;
IPv4 和 IPv6 长期共存:企业业务大致可划分为互联网业务、DMZ 对外公众服务业务、企业自建业务系统,其中互联网业务和对外公众服务业务依赖外部网络应用和用户环境,需要 IPv4 和 IPv6 用户访问长期共存,企业网络的 IPv6 改造必须考虑该因素;
IPv6 网络整体迁移过程
企业 IPv6 网络演进整体迁移可分为三个阶段:
第一阶段:优先管道升级和互联网出口升级,包括:对外公众服务 DMZ 区升级、广域网升级、构建 IPv6 试验田等;
第二阶段:内部网络全面升级,业务访问优选 IPv6,包括:数据中心升级、办公园区网络改造、生产园区网络升级等;
第三阶段:内部应用访问切换 IPv6 通道,对外互联网访问按需保留 IPv4 能力;
IPv6 网络整体迁移原则是:数据中心先行,其次广域网络,园区按需改造;
第一阶段:数据中心公共服务和测试区双栈;广域网 Underlay IPv4 单栈,Overlay 双栈;园区网试点园区双栈;
第二阶段:数据中心内部应用逐步双栈;园区网办公园区逐步双栈,生产园区双栈;
第三阶段:数据中心内部应用全面 IPv6 单栈;广域网 IPv6 Only;
IPv6 网络演进技术方案
数据中心网络:
互联网接入区的改造方案包括:NAT64,IVI 和双栈改造。推荐采用双栈方案,直接提供 IPv6 地址和业务能力;
NAT64 受限于会话表规格,资源消耗大,随着 IPv6 终端增加,NAT64 会成为 IPv6 业务发展性能瓶颈。因此 NAT64 只适用于初期快速开通 IPv6 对外服务,不推荐作为目标方案;
IVI 的 IPv6 地址结构受限,不满足 IPv6 地址规划原则,不适于大规模部署,不推荐;
内网资源池的改造方案主要是双栈,包括:VXLAN Underlay IPv4 + Overlay 双栈和 VXLAN Underlay IPv6 + Overlay 双栈;
可通过 VXLAN Underlay IPv4 + Overlay 双栈用于初期双栈改造,快速提供 IPv6 业务承载能力;
新建数据中心或已有数据中心网络改造可改造为 VXLAN Underlay IPv6 + Overlay 双栈方式,逐步演进到 IPv6 Only 网络;
广域网络:
广域网 IPv6 改造方案主要包括:双栈,6VPE,IPv6+ 等;
对于没有 VPN 部署的网络,可采用 Native IPv4 和 Native IPv6 双栈转发;后续随着业务 SLA 提升,如按需调优、智能运维等诉求逐步向 IPv6+ 演进,以提供更高的业务保障和体验能力。最终演进到 IPv6 Only 网络;
对于采用 VPN 隔离业务的网络,推荐直接演进到 IPv6+,为各园区、数据中心之间的互联提供 IPv6+ 承载;
园区网络:
园区 IPv6 改造方案主要包括:双栈,VXLAN Underlay IPv4 + Overlay 双栈,VXLAN Underlay IPv6 + Overlay 双栈等;
对于不需要 VPN 的园区专网,推荐采用双栈方式提供 IPv6 业务,并逐步向 IPv6+ 演进以实现 SDN、业务快速上云、按需调优、智能运维等高阶场景,并最终演进到 IPv6 Only 网络;
对于需要 VPN 隔离的网络,推荐 VXLAN Underlay IPv4 + Overlay 双栈以快速开通 IPv6 业务和实现 SDN,并逐步向 IPv6+ 演进,最终演进到 IPv6 Only 网络;
数据中心网络 IPv6 演进概述
演进策略
互联网区(推荐采用新建方式):
互联网接入区:双栈;
互联网资源池:新建 Fabric,VXLAN Underlay IPv6 + Overlay 双栈;
内网资源池:
现网改造:VXLAN Underlay IPv4 + Overlay 双栈;
新建 Fabric:VXLAN Underlay IPv6 + Overlay 双栈;
运管区:
现网改造:双栈;
其他区域(广域网接入区&核心):
现网改造或新建:双栈;
数据中心网络架构:
数据中心网络中内网资源池和互联网资源池通过部署 VXLAN 构建 Fabric 资源池;
数据中心业务主要涉及对外公众服务和企业内部应用,一般对外公众服务系统部署在数据中心的 DMZ 区,若需面向 IPv6 用户提供服务,可优先完成 DMZ 区对外公众服务的 IPv6 升级,升级范围涉及 DMZ 区所在的互联出口、DMZ 区网络以及相应的公众服务系统,整体演进策略推荐采用双栈方案,满足外部互联网 IPv4、IPv6 用户对公众服务的访问;
AS:Access Switch,接入层交换机
DS:Distribution Switch,分布式交换机,本文对应传统网络的汇聚层交换机
IPS:Intrusion Prevention System,入侵防御系统
Anti-DDoS:Anti Distributed Denial of Service,防御分布式拒绝服务
数据中心互联网接入区 IPv6 改造
新建 IPv6 互联网接入区
互联网接入区改造,通常选择新建 IPv6 互联网接入区;
方案一:互联网接入区出口 NAT64 方案;
方案二:互联网接入区双栈改造;
方案三:新建 IPv6 互联网接入区;
出口线路新建:
为避免生产事故,通常选择新建 IPv6 线路;
IPv6 互联网接入区对可以通过静态路由或 EBGP4+ 与运营商对接,支持 IPv6 用户接入;
互联网区演进策略:
方案一:互联网接入区出口 NAT64 方案。若现阶段数据中心内的业务暂不改造,仍保持为 IPv4 单栈形式,出于其他因素需要快速提供 IPv6 服务,可考虑使用 NAT64 方案,即数据中心内 DMZ 的 IPv4 服务器通过 NAT64 网关对外临时提供 IPv4/IPv6 双栈服务;
方案二:互联网接入区和 DMZ 区双栈改造。如果互联网区(含 DMZ 区)对 IPv6 支持程度良好,设备尚有较长的生命周期,建议考虑利旧,可采用在现有的互联网接入区和 DMZ 区基础上全面启用双栈部署方案,低成本完成改造;
方案三:新建互联网接入区和 DMZ 区方案。IPv6 网络改造如利旧现有设备,可能会涉及设备的软、硬件版本升级或者部分硬件替换,对现有 IPv4 业务存在一定的影响。为保证企业 DMZ 业务连续性,确保对现网 IPv4 业务零影响,可采用新建单栈 IPv6 互联网接入区和 DMZ 区,IPv4 和 IPv6 用户分别通过不同的互联网接入区接入访问 IPv4 DMZ 区或者 IPv6 DMZ 区;
出口路由选择:
单一出口的互联网接入:优选静态路由;
多地多出口的互联网接入:优选 BGP 路由,为保证负载均衡和可靠性,可通过 BGP 路由属性控制选路;
数据中心内网资源池 IPv6 改造
适用场景:现网设备已接近生命周期或现网设备不支持部署 Underlay 或 Overlay IPv6 的场景;
总体策略:新建内网资源池,一步到位支持 VXLAN Underlay IPv6 + Overlay 双栈;
资源池 / 服务器新建:
为避免原 IPv4 服务升级产生事故和业务中断,通常是新建 IPv6 资源池 / 服务器;
若为传统数据中心,建议在新建资源池上同时做其他新技术改造,如 SDN;
广域网 IPv6 演进概述
广域网对业务主要起承载管道的作用,目前,业界已达成共识:很长时间 IPv4 和 IPv6 是共存的;
对于广域已部署 MPLS 的存量网络,推荐采用 6VPE 技术进行改造。只需要边缘节点升级或更换部分硬件,P 节点无需改造,IPv6 相当于引入新业务,对原来的维护冲击较小,适合存量网络向 IPv6 演进;
对于新建的网络可采用 SRv6 技术对广域网进行规划设计。SRv6 是 IPv6 时代网络 SDN 化的首选技术,SRv6 具备很高的可扩展性,更好的应用结合能力,更强的编程能力,可充分应对未来业务变化对网络的诉求,适合新建网络向 IPv6 演进;
IPv6+
IPv6 Only 一步到位,所有网络流量用 IPv6 承载;
IPv6+ 具备业务隔离能力;
双栈
要求所有三层设备均启用 IPv4/IPv6 双栈;
要求所有三层设备之间双栈路由均可达;
网络需维护两个协议栈,复杂性增加;
6VPE
要求边缘节点启用 IPv4/IPv6 双栈,边缘节点在原有 MP-IBGP 对等体基础上,使能对等体交换 VPNv6 路由信息的能力;
中间节点无需改造,部署 IPv4 单栈(MPLS);
广域承载网络 IPv6 演进策略 (新建)
适用场景:现网设备已接近生命周期或现网设备不支持 IPv6+ 的场景;
总体策略:采用 IPv6 单栈,基于 IPv6+ 技术实现 IPv4、IPv6 业务共同承载,逐步完成办公、生产、管理等业务由 IPv4 向 IPv6 迁移;
Step1:演进前准备工作;
地址申请:向地址管理单位或运营商申请满足企业需求的 IPv6 地址;
现网评估:包含网络基础设施、安全基础设施、业务支撑系统、业务应用等方面;
集成验证:设计并验证 IPv6+ 演进方案,输出可行性报告;
网络规划:制定 IPv6+ 建网规范和演进方案,支持企业平滑演进到 IPv6 only;
Step2:网络建设及业务割接;
网络建设:按照网络规划进行 IPv6+ 网络建设,部署 SRv6、网络切片、随流检测、SDN 等能力;
安全建设:安全设备需支持对 IPv6 协议的安全防护,通过网络设备与安全设备联动,使 IPv6 具有不弱于 IPv4 的安全防护能力;
测试验收:基于新建 IPv6 网络进行业务测试,满足业务 SLA、网络安全、管理运维要求;
业务割接:基于不同业务的要求,逐步完成业务从传统广域网向新建 IPv6 广域网的迁移;
Step3:割接完成拆除老网;
运维观察:业务完成从传统网络向 IPv6+ 网络迁移后,需设置观察期,观察业务运行状态;
老网拆除:业务运行无重大问题,方可拆除老网,完成广域网络 IPv6+ 演进;
广域承载网络 IPv6 演进策略 (升级)
适用场景:现网设备未到生命周期,可通过升级设备支持 IPv6+ 的场景;
总体策略:从边缘到核心、逐点升级替换;从简单到复杂,渐进式部署 IPv6+ 特性;从普通到重要,逐步进行业务割接;
Step1:演进前准备工作;
地址申请:向地址管理单位或运营商申请满足企业需求的 IPv6 地址;
现网评估:包含网络基础设施、安全基础设施、业务支撑系统、业务应用等方面;
集成验证:设计并验证 IPv6+ 演进方案,输出可行性报告;
网络规划:制定 IPv6+ 建网规范和演进方案,支持企业平滑演进到 IPv6 only;
Step2:边缘改造,使能基础 IPv6+ 能力;
边缘设备升级:边缘设备升级到具备 IPv6+ 能力,优先选择云、互联网出口、园区出口 PE 设备;
IPv6+ 基础能力部署:升级后的设备同时部署 SRv6 与传统 IP/MPLS,新设备与老设备之间采用 IP/MPLS 对接,新设备之间采用 SRv6。部署控制器进行全网统一管控;
IPv6 安全部署:针对已升级 IPv6 的业务,相关安全设备同步升级支持 IPv6 安全防护;
普通业务割接:选择部分普通业务通过 SRv6 承载,验证 IPv6+ 方案基础能力;
Step3:割接完成拆除老网;
核心设备升级:升级核心设备,全网支持 IPv6+;
IPv6+ 高阶能力部署:部署 SRv6、网络切片、随流检测、SDN、网安联动等高阶能力
业务割接:基于不同业务的要求,逐步完成业务从 IP/MPLS 向 IPv6+ 的迁移;
冗余配置删除:业务完成迁移后,设置观察期,观察业务运行状态。业务运行无问题后删除 IP/MPLS 冗余配置,完成广域网络 IPv6+ 演进;
SRv6 方案概述
对于新建的网络可采用 SRv6 技术对广域网进行规划设计。SRv6 是 IPv6 时代网络 SDN 化的首选技术,SRv6 具备很高的可扩展性,更好的应用结合能力,更强大的编程能力,可充分应对未来业务变化对网络的诉求,因此 SRv6 也成为可见范围内最佳的、通用的网络承载技术,适合新建网络向 IPv6 演进的场景;
SRv6 总体承载方案
针对不同业务场景,在 SRv6 的广域网承载方案中,可采用 Underlay 纯 IPv6,Overlay 通过 SRv6 技术承载二层业务、IPv4、IPv6 的业务的方式进行规划,这样的设计可以避免 IGP 同时维护 IPv4、IPv6 两套协议栈,降低设备协议维护压力;
在 Underlay 层面,通过部署如 IS-IS for IPv6、MP-BGP 等路由协议,发布如设备 Loopback 接口、SRv6 Locator 路由等基础路由,实现 IPv6 基础路由互通,为通过 SRv6 承载 Overlay 业务打造基础;
在 Overlay 层面,根据业务类型的不同,选择不同的 BGP 地址族,传递用户信息(IP/MAC 等);
Overlay 的业务部署建议:
二层业务:使用 SRv6 EVPN 作为承载协议,提供点到点、点到多点的连接模型。EVPN 相对于传统的 VSI(Virtual Switching Instance,虚拟交换实例)/PW(Pseudo Wire,伪线),具有简洁部署,高效带宽利用,快速收敛等优势,是 L2VPN 业务承载的最佳选择;
三层 IPv4 业务:可以使用 SRv6 L3VPN,也可以使用 SRv6 EVPN L3VPN,建议部署 SRv6 EVPN L3VPN;
三层 IPv6 业务:可以使用 SRv6 L3VPNv6,也可以使用 SRv6 EVPN L3VPNv6,建议部署 SRv6 EVPN L3VPNv6;
SRv6 方案:IGP & BGP 设计
IGP 设计:IGP 规划沿用现有网络设计即可,对现有 IPv4 网络无改变,无需重新设计。推荐使用 IS-IS 协议,并使能 IPv6 能力(即采用 IS-IS for IPv6);
BGP 设计:BGP 路由协议侧重于对路由的控制和发布。完成 IGP 部署之后,各 PE 节点之间还需要建立 BGP 邻居,用于后续通过不同的地址族发布业务路由;
IGP 域内需要发布各设备 Loopback 路由和 SRv6 Locator 路由,Loopback 路由用于网络管理或 BGP 邻居的建立,Locator 路由用于指导封装于 SRv6 隧道的数据流量在 IGP 域内转发;
BGP EPE(Egress Peer Engineering,出口对等体工程)主要应用在跨 AS 域场景下,AS 域之间 BGP Peer 的 SRv6 SID 分配;
SRv6 方案:三层 IPv6 业务 (1)
EVPN L3VPNv6 over SRv6 的关键实现步骤包括 SRv6 路径建立,VPN 路由互通,数据转发等;
业务建立过程(SRv6 BE)
PE 配置 SRv6 和 IPv6 VPN 实例,中间节点设备需要支持 IPv6;
PE2 发布 SRv6 Locator 路由给 PE1;
CE 到 PE 的路由信息交换。CE2 把本站点的 IPv6 路由发布给 PE2。CE 与 PE 之间可以使用静态路由、OSPFv3、IS-IS for IPv6 或 BGP4+;
PE2 从 CE2 学习到 VPN 路由信息后,存放到 VPN 实例 IPv6 路由表中。同时,转换成 IP Prefix Route(IP 前缀路由)形式的 EVPN 路由;
PE 之间路由发布。PE2 通过 BGP EVPN 邻居把 EVPN 路由发布给 PE1。Update 报文中还携带 RT 属性及 SRv6 VPN SID 属性;
PE1 接收 EVPN 路由。PE1 收到 EVPN 路由后,在下一跳可达并且通过 BGP 的入口策略的情况下,进行私网路由交叉、路由迭代 SRv6 路径、路由优选等动作,决定是否将该路由加入到 EVPN 实例 IPv6 路由表。VPN 路由下发的同时关联 SRv6 VPN SID;
PE 到 CE 的路由信息交换。CE1 有多种方式可以从 PE1 学习 VPN 路由,包括静态路由、OSPFv3、IS-IS for IPv6 和 BGP4+,与 CE2 到 PE2 的路由信息交换相同;
SRv6 方案:三层 IPv6 业务 (2)
EVPN L3VPNv6 over SRv6 的关键实现步骤包括 SRv6 路径建立,VPN 路由互通,数据转发等;
路由发布:
PE2 上配置 SRv6 的 Locator,生成 End SID;
PE2 通过 IGP 协议将 End SID 对应的 Locator 网段路由 2002:1::/64 发布给 PE1。PE1 学习该路由到自己的 IPv6 路由表;
PE2 在 Locator 范围内配置 VPN 实例的 End.DT6 SID 2002:1::D100,生成 Local SID 表;
PE2 收到 CE2 发布的私网 IPv6 路由后,PE2 将私网 IPv6 路由转换成 IP Prefix Route 形式的 EVPN 路由,通过 BGP EVPN 邻居关系发布给 PE1。此路由携带 SRv6 VPN SID 属性,也就是 VPN 实例的 End.DT6 SID 2002:1::D100;
PE1 接收到 EVPN 路由后,将其交叉到对应的 VPN 实例 IPv6 路由表,然后转换成普通 IPv6 路由,对 CE1 发布;
数据转发:
CE1 向 PE1 发送一个普通 IPv6 报文;
PE1 从绑定了 VPN 实例的接口上收到私网报文以后,查找对应 VPN 实例的 IPv6 路由转发表,匹配目的 IPv6 前缀,查找到关联的 SRv6 VPN SID 以及下一跳信息。然后直接使用 SRv6 VPN SID 2002:1::D100 作为目的地址封装成 IPv6 报文;
PE1 然后按照最长匹配原则,匹配到路由 2002:1::/64,按最短路径转发到 P 设备;
P 设备按照最长匹配原则,匹配到路由 2002:1::/64,按最短路径转发到 PE2;
PE2 使用 2002:1::D100 查找 My Local SID 表,匹配到 End.DT6 SID 对应的转发动作,将 IPv6 报文头去除,然后根据 End.DT6 SID 匹配 VPN 实例,查找 VPN 实例 IPv6 路由表进行转发;
说明:
End SID:用于标识网络中的某个 SRv6 目的节点;
VPN SID:用于标识不同的 VPN 业务;
End.DT6:解封装报文,在指定的 IPv6 路由表中进行查表转发;
园区网 IPv6 演进概述
园区网 IPv6 整体演进思路:
企业园区网络完成双栈网络改造后,满足园区内终端同时对 IPv4、IPv6 业务的访问诉求;
一般而言,存量网络改造需对现网设备 IPv6 支持能力进行评估,如不满足 IPv6 升级改造要求,需进行替换或者升级;
园区网络主要涉及大中型办公园区、小型分支办公园区以及工业生产园区,园区内互访业务主要存在三种场景:内部办公系统互访、访问互联网以及生产系统互访;
大中型传统办公园区双栈改造,原 IPv4 网络架构和网络配置保持不变,新增 IPv6 配置以及 IPv6 相关支撑系统;
大中型虚拟化园区场景依据现网设备能力不同,虚拟网络 VXLAN 的 IPv6 演进可采用 Underlay IPv4 + Overlay VXLAN 双栈方案;
小型办公园区网络升级 IPv4/IPv6 双栈,园区内部终端访问企业总部的业务需要通过广域网的双栈通道,考虑到小型园区的规模以及广域网线路租赁方案,可根据现网情况灵活选择:
对于使用单 Internet 回传场景,一般园区出口通过 IPsec 加密隧道,实现和企业内部网络连接,可采用:双栈流量 over IPsec6 方案,双栈流量 over IPsec4 方案,双栈流量 over GRE over IPsec6/4 方案;
对于仅租赁 MPLS VPN 专线回传场景,需要升级 MPLS VPN 专线支持 IPv4/IPv6 双栈连接,园区出口路由可通过 BGP、IGP 或者静态路由多种方式灵活对接运营商的 MPLS VPN 专线;
对于存在 MPLS VPN + Internet 专线多种回传方式场景,对 IPv4、IPv6 流量均可采用 SD-WAN 技术实现业务的灵活选路。在园区 WAN 链路不升级的情况下,IPv6 的业务流量可以通过 IPv4 GRE 封装后再通过 SD-WAN 传输;
传统园区网 IPv6 第一阶段演进策略
第一阶段演进策略:IPv6 和 SDN 并行演进,一次实现两个目标;
方案整体思路:新建支持 SDN 和 IPv6 网络虚拟化能力的核心,新核心连接园区出口网络。存量网络逐楼(汇聚 + 接入)进行改造连接新核心,改造楼栋采用 SDN 控制器进行自动部署;
演进步骤
部署控制器:数据中心中部署 SDN 控制器;
新建核心交换机:园区核心机房新建核心交换机,并与其他网络区域连接,连接关系与存量核心完全一致。同时建立与存量核心的临时链路,用于割接;
打通基础路由:在核心交换机以及互联设备上部署未来业务互通所需的基础路由配置;
逐楼改造:对一栋楼进行 IPv6 和 SDN 改造,楼栋汇聚交换机接入新核心交换机,该楼业务通过 SDN 下发。同时,在新核心交换机和互联设备上添加该栋楼的路由;
所有楼改造完成,整网完成向 IPv6 和 SDN 的演进;
方案优势:操作简单,节奏可控,对现网业务影响最小化;
大中型传统园区 IPv6 改造 (1)
大中型传统园区网络内部连接一般采用三层 IP 转发、二层 VLAN 隔离广播域,如三层存在隔离诉求可部署 ACL,对外涉及互联网访问对接以及企业内部 WAN 网络对接,园区内支撑系统涉及 AAA 认证服务器、DHCP 服务器等。大中型传统园区双栈改造,原 IPv4 网络架构和网络配置保持不变,新增 IPv6 配置以及 IPv6 相关支撑系统;
地址分配:
在考虑地址分配方案前,必须明确企业园区使用的地址类型与地址规划。大型企业集团用户规模和网络规模较大,具备独立申请 GUA PI 地址的资质,建议优选独立申请 GUA PI 地址,园区地址由集团统一申请,统一分配;
对于园区终端 IPv6 地址获取方式,主要有 DHCPv6、SLAAC 或者手工配置三种方案。一般有线终端获取方式可采用 DHCPv6 或者 SLAAC 方案。DHCPv6 方案如采用集中服务器方式,需逐步部署 DHCPv6 Relay,中继 DHCPv6 相关报文。因安卓终端应操作系统不支持 DHCPv6,故地址获取方式必须采用 SLAAC 方案;
GUA:Global Unicast Address,全球单播地址
PI:由地区互联网注册管理机构分配给企业的 IPv6 地址
大中型传统园区 IPv6 改造 (2)
内网互通:
园区内三层网络升级改造,网络支持 IPv4/IPv6 双栈通信。考虑企业园区网络的规模以及原 IPv4 网络的一般习惯,IGP 路由协议启用 OSPFv3,OSPFv3 区域设置与原 OSPFv2 保持一致,实现园区内三层路由互通;
企业园区内网与广域内网互通有多种方式,如可考虑采用静态缺省路由、IGP 或者 BGP 路由对接;
园区内网与广域对接方式选择,一般需基于园区出口设备能力、园区出口路径数量、园区出口流量等情况,灵活选择不同的对接方式。该场景与 IPv6 协议差异相关性不大,建议对接策略延续 IPv4 网络的方案;
外网对接:
如园区网络 IPv6 地址采用独立申请的 PI 地址,园区互联网单出口场景可采用外部静态路由方式对接、内部 IGP 发布缺省路由方式,运营商发布该园区的明细路由,园区内网配置缺省出口路由;
如涉及多出口场景,可考虑采用外部 BGP 对接、内部 IGP 发布缺省路由的方式,园区通过向内部发布缺省出口路由,实现内部业务报文可达出口路由器,出口路由器采用 BGP 对接互联网,实现最佳路径选择以及流量负载分担;
大中型虚拟化园区 IPv6 改造 (1)
目前部分大中型园区部署虚拟化网络方案(VXLAN),满足园区内网络一网多用、业务快速自动下发等诉求;
虚拟化园区网络的 IPv6 演进可以采用 VXLAN Underlay IPv4 + Overlay 双栈方案。企业园区内网络横向互访流量较少,虚拟网络 VXLAN 方案一般采用集中式网关方案,以下方案讨论也以集中式网关方案为主;
地址分配:
园区终端网络地址分配主要有三种方式 DHCPv6、SLAAC 以及手工配置。如采用自动化的 DHCPv6 或 SLAAC 方式,虚拟化网络设计方式与传统网络存在不同;
DHCPv6 地址分配方式,集中部署 DHCPv6 服务器,需要在 VXLAN 的集中式 IPv6 网关 VBDIF 上使能 DHCPv6 Relay,中继 DHCPv6 相关报文。因安卓终端应操作系统不支持 DHCPv6,故地址获取方式必须采用 SLAAC 方案;
采用 SLAAC 地址分配方式,需在集中式网关设备配置 RA 的相关参数,通过集中式网关向终端推送 RA,携带地址前缀、DNS 信息;
大中型虚拟化园区 IPv6 改造 (2)
VXLAN Underlay IPv4 + Overlay 双栈方案
当前企业园区网络如采用虚拟化方案,网络均为 VXLAN Underlay IPv4 + Overlay IPv4,升级网络支撑 IPv6 仅需要在 Overlay 层使能 IPv6,同时配置出口区双栈能力,升级改造难度较小;
业务转发:
园区 Overlay IPv6 设计与原 Overlay IPv4 类似,从接入到核心的 Underlay 部署配置不变,VXLAN 控制面采用 BGP EVPN,核心交换机配置为 RR。在集中式网关上使能 IPv6,并配置 VBDIF 的 IPv6 地址,确保 IPv6 二层互通;
接入侧 Edge 节点,可基于接口 VLAN,实现转发报文和 Overlay BD 的绑定,实现不同的终端分配到不同的网关区域。VXLAN 内所有报文三层转发均先将终端报文发布到集中式网关,横向流量、纵向流量均由网关统一转发;
网络出口区涉及的内网对接以及外网对接设计可参考传统园区网络方案;
地址分配:
园区终端网络地址分配主要有三种方式 DHCPv6、SLAAC 以及手工配置。如采用自动化的 DHCPv6 或 SLAAC 方式,虚拟化网络设计方式与传统网络存在不同;
DHCPv6 地址分配方式,集中部署 DHCPv6 服务器,需要在 VXLAN 的集中式 IPv6 网关 VBDIF 上使能 DHCPv6 Relay,中继 DHCPv6 相关报文。因安卓终端应操作系统不支持 DHCPv6,故地址获取方式必须采用 SLAAC 方案;
采用 SLAAC 地址分配方式,需在集中式网关设备配置 RA 的相关参数,通过集中式网关向终端推送 RA,携带地址前缀、DNS 信息;
大中型虚拟化园区 IPv6 改造 (2)
VXLAN Underlay IPv4 + Overlay 双栈方案
当前企业园区网络如采用虚拟化方案,网络均为 VXLAN Underlay IPv4 + Overlay IPv4,升级网络支撑 IPv6 仅需要在 Overlay 层使能 IPv6,同时配置出口区双栈能力,升级改造难度较小;
业务转发:
园区 Overlay IPv6 设计与原 Overlay IPv4 类似,从接入到核心的 Underlay 部署配置不变,VXLAN 控制面采用 BGP EVPN,核心交换机配置为 RR。在集中式网关上使能 IPv6,并配置 VBDIF 的 IPv6 地址,确保 IPv6 二层互通;
接入侧 Edge 节点,可基于接口 VLAN,实现转发报文和 Overlay BD 的绑定,实现不同的终端分配到不同的网关区域。VXLAN 内所有报文三层转发均先将终端报文发布到集中式网关,横向流量、纵向流量均由网关统一转发;
网络出口区涉及的内网对接以及外网对接设计可参考传统园区网络方案;
WLAN IPv6 接入
园区网络的 IPv6 演进升级涉及 WLAN 的改造,目前大中型单园区的 WLAN 网络通常采用 AC + FIT AP 的组网架构。WLAN 的 IPv6 升级改造主要需关注 AC 和 AP 之间的管理、无线终端接入的地址获取方式,其他 WLAN 设计不受 IPv6 升级改造影响;
如图所示,AC 旁挂在核心交换机上,AP 下挂在接入交换机上,AP 设置多个 SSID,可分别接入内部办公和访客终端的 IPv6 单栈用户,认证点在 AC 上;
无线终端接入方案:
核心交换机或者 AC 作为无线接入办公终端的网关,可采用 SLAAC 混合方案为终端配置 IPv6 地址,可考虑采用 802.1x 认证;
访客 SSID 配置不同的 VLAN,核心交换机或者 AC 作为无线接入的访客终端网关,采用 SLAAC 混合方案分配 IPv6 地址,推荐采用 Portal 认证;
AP 管理方案:
CAPWAP 隧道支持 IPv4 和 IPv6,但同一时间只能选择 IPv4 或者 IPv6 中的一种方式,即 AC 只能通过 IPv4 或 IPv6 中的一种方式管理 AP,默认为 IPv4;
AP 支持以 IPv4 或者 IPv6 方式上线,即 AP 仅可获取一个地址,AC 的地址采用手工配置方式,AC 可以配置 DHCPv6 或者 SLAAC 为 AP 分配地址;
说明:可以使用 capwap ipv6 enable 命令使能 CAPWAP 隧道 IPv6 功能;
其他相关配套系统 IPv6 改造 (1)
内部应用系统改造关键在于调整地址相关的模块;
应用系统 IPv6 改造主要在网络层相关部分
网络层的目的是实现两个端系统之间的数据透明传送,是应用系统间通信和联接的通道。应用程序通过套接字上联应用进程,下联网络协议栈,实现应用程序和网络协议接口的绑定;
应用系统 IPv6 改造一般性建议:
全面部署支持 IPv6 的 DNS 系统,DNS 上增加 AAAA 记录,所有业务系统采用域名的方式标识远端主机,不直接使用 IP 地址作为主机标识,排查应用是否能够正确解析 URL 的 AAAA 记录;
全面排查应用系统直接使用 IP 地址的地方,确保 IP 地址只作为地址使用,不将 IP 地址作为用户 ID、业务关键属性等使用,确保业务与 IP 地址类型无关;
排查 Socket(套接字)通信接口,由原来的面向 IPv4 的编程,转向支持 IPv4&IPv6 兼容的新的接口。采用面向 IPv6 的函数、宏及库,校验 IP 地址合法性的相关代码是否需要进行修改;
其他相关配套系统 IPv6 改造 (2)
网管系统
网管系统的管理面和控制面可继续沿用 IPv4 方案,全网改造后再进行 IPv6 改造;
iMaster NCE 当前下发 IPv6 业务等不需特殊 License,当前主流功能如用户管理,业务随行等都同时支持 IPv4 和 IPv6 业务;
DNS 服务
BIND 和 Microsoft 提供的 DNS 服务器是目前市场上主流的 DNS 服务器;
BIND9 开始支持 IPv6 地址解析,Microsoft 从 server 2003 版本开始支持 IPv6;
如客户当前使用的服务高于上述版本,只需要进行简单的配置,提供 IPv6 地址的解析;
注意:如涉及互联网域名解析,改造前需要确认上级 DNS 服务器提供 IPv6 能力;
门户网站 Web 系统
Web 服务器主要提供网上信息浏览服务,是互联网上应用最广泛的服务。目前常用的 Web 服务器软件有 Apache、Nginx 以及微软的 IIS 服务等;
Apache 自版本 2.0.11 以后提供对 IPv6 的支持;
Nginx 从 0.7.36 及以后的版本开始支持 IPv6;
微软 IIS 服务自 2003 年发布的 IIS6.0 以后就开始支持 IPv6;
如客户当前使用的服务高于上述版本,客户可以通过简单的配置操作,即可启用 IPv6 服务;
需确认门户前端实现中是否存在使用 IP 地址进行通信的代码设置,如存在需要修改为 URL 或绝对地址路径;
服务器操作系统
服务器常见的操作系统包括 Linux、Unix 和 Windows Server 等;
若操作系统不满足版本要求(支持 IPv6),则需要对操作系统进行升级;
数据库系统
常见的数据库系统对 IPv6 的支持度如下,如低于以下版本,则需要对数据库系统进行升级;
MySQL 5.7.17,Microsoft SQL Server 2016,Oracle Database 12.1.0.2.0,MariaDB 10.2.9,IBM DB2 10.5,FileMaker Pro 16.0.2.205,FileMaker Server 16.0.1.185,PostgreSQL 10,IBM Informix Dynamic Server (IDS) 11.5,Sybase OpenSwitch 15.1 等;
网管系统 IPv6 改造:
网管系统不面向用户,IP 地址需求数量不多,系统内部间通信时向 IPv6 演进的需求不强烈,因此可以仍保留 IPv4 地址不进行 IPv6 的改造;
网管系统其他方面改造:
能够实现各种 IPv6 地址类型的识别和管理;
支持 IPv6 中 DNS 解析监控功能;
支持对 IPv6 设备和双栈设备的性能、资源、故障等数据采集能力,满足对 IPv6 设备和双栈设备的性能管理、资源管理、故障管理及分析等功能;
支持对双栈设备的各种资源、性能、故障等数据与历史数据平滑关联;
应可以通过基于 IPv4 的 SNMP 访问相关设备 IPv6 MIB,通过 IPv6 MIB 获得 IPv6 配置和流量等相关信息;
服务器操作系统 IPv6 改造:
常见 Linux 系统开始支持 IPv6 的版本(均已默认安装 IPv6):
Fedora 13,Red Hat Enterprise Linux 6,Ubuntu 12.04,Oracle Solaris 10,SUSE Linux Enterprise Server 11 等;
Windows Server 支持 IPv6:
Windows 2003 Server 支持 IPv6,但是默认没有安装,需要手工安装相应的软件包;
Windows 2008 Server 及以后的服务器版本均已默认安装 IPv6;