1.项目背景

目前IPv4地址面临严重匮乏(2019已宣告IPv4地址全部分配完毕)、网络服务质量难以保障等问题,已严重制约互联网持续发展,IPv4也将成为构建数字化基础设施的短板,而IPv6能够提供充足的地址空间,是下一代互联网的基础协议,能够提供更强大的互联网服务能力。IPv6能够提供更广泛的互联网和物联网连接,实现万物互联,打造数字化基础设施,促进物联网、工业互联网、人工智能等新应用、新领域的创新。

2.项目建设目标

建设目标和任务主要包括IPv6多技术并存,分步骤实施,全面支持双栈和纯IPv6协议应用。多技术并存体现在该项目完成后,数据中心DMZ网络将同时存在IPv4和IPv6两套网络,对于存量不支持IPv6的老旧应用,将采用在公网出口IPv6 to IPv4的技术来实现IPv6移动客户端的访问,而内网保持IPv4网络。而对于新应用,则运行在DMZ纯IPv6网络环境中。

而对于数据中心广域网IPv6改造部分,采用的是成熟的6vPE技术方案,即MPLS 6vPE(RFC4659)借助成熟的BGP MPLS VPN技术,在IPv4骨干网上传输IPv6数据报文。

3.项目做法与经验

3.1.IPv6地址规划

3.1.1.集团IPv6地址规划概述

◇IPv6地址从第32位之后开始划分,总体划分三个地址类型空间,彼此独立,分别设计,包括平台地址、网络地址、用户地址。

◇地址空间划分需要根据现网实际情况,聚合性强的字段放在高位,每个分段从高位向低位分配,提高连续性。

◇集团数据中心网络管理人员负责IPv6地址的总体规划和分配。

◇IPv6地址按照地址空间类型、业务类型、区域,区域BU各分支4级层级分配,方便区域汇聚。

◇IPv6前缀:loopback地址/128,点到点链路/127,VRRP链路/124,平台和用户地址/64。

3.1.2.集团IPv6规划细则

1)前32位为运营商固定前缀,可分配IPv6地址从33位起始,可分配的前4位作为标识地址类型,如平台地址、网络地址、用户地址三大类。

2)后28位分别规划为,4位用于设备地址类型,8位标识网络层级或数据中心角色,16位标识为各利润中心或机房的业务地址。

3.2.互联网区IPv6方案与实施

软件硬平台分析

IPv6实施前期需充分对原互联网区软硬件平台分析,主要考虑防火墙、负载均衡以及路由交换设备的IPv6双栈协议兼容性问题(包括IPv6路由协议,如OSPFv3),以及网络设备启用双栈后性能容量问题。

路由协议及vlan规划

DMZ启用IPv6地址后,原二层配置均复用IPv4配置,如接口和VLAN配置。IPv6地址配置在原VLAN接口下并启用IPv6功能即可。纯路由模式下,从DMZ资源区到链路负载均衡之间拟采用IPv6静态路由方式。

◇项目实施概述

1)服务器网络配置:按IPv6地址规划,服务器配置双栈IP地址,即同时配置IPv4和IPv6地址。

2)IPv6二层与网关:需启用交换机IPv6功能,复用原vlan接口,配置IPv6网关及IPv6转发功能。

3)服务器应用负载功能:对于SLB业务只需要配置好对应IPv6接口地址,业务配置逻辑与IPv4一致。配置IPv6地址的应用负载策略后,可实现IPv6负载均衡功能。

4)路由或NAT功能:链路负载均衡均支持NAT和路由两种技术。即DMZ区服务器可使用IPv6地址直接路由与外网IPv6网络连接,也可使用IPv4地址通过NAT访问外部IPv6网络。

5)链路负载:入向LLB的配置类同V4 SLB,出向链路负载均衡的选路规则,采用主备方式。

6)安全防护:防火墙配置基于IPv6地址的安全策略防火墙和负载均衡均支持基于IPv6的访问控制列表(ACL),用于访问控制、NAT、以及选路策略等场景。

7)路由协议:DMZ服务器业务网关交换机、DMZ防火墙开启IPv6路由功能,可支持IPv6静态路由,以及OSPF V3动态路由协议。

8)应用软件:改造成能识别和处理128位的IPv6地址,基于IPv6地址的运算逻辑,适应IPv6地址长度。

9)接口程序:改造使用支持IPv6的编程模式或API。

3.3.互联网区IPv6改造及流量拓朴

互联网区IPv6流量示意图

●互联网应用

具备条件的Web服务升级为双栈

针对暂时不能升级为双栈的Web服务,由LLB上启用IPv6地址转换策略,将用于外部访问的IPv6虚地址转换为IPv4的实地址,实现业务系统正常访问。

Web通过IPv4和已有APP/DB通信

网络基础设施

互联网接入区和DMZ区的网络设备升级为双栈,IPS、WAF、FW、路由交换、LB均支持IPv6路由协议和IPv6安全策略。

应用基础设施

内部DNS服务器和DHCPv6双栈改造,添加AAAA记录,提供IPv4/IPv6 DNS解析服务和IPv6地址的DHCP服务。

IPv6网络安全

LLB实现IPv6的多出口链路负载均衡;

IPS实现IPv6应用识别、攻击防范等;

FW实现IPv6 Web与原有IPv4 APP/DB的访问控制;

WAF针对IPv6网页进行攻击防护;

LLB使能NAT64,实现IPv6外网用户访问未升级的IPv4网站应用的跨协议访问。

3.4.骨干网IPv6采用6vPE方案

设备改造

PE设备支持IPv6,P设备、RR可以不用支持IPv6。其中配置PE支持双栈,P设备只需配置支持IPv4。当以后IPv6普及成熟后,再在P设备上配置IPv6,将双栈网络改为完全的IPv6网络。

设计一致

与原有IPv4 MPLS VPN的业务设计一致,增加对6vPE的配置。路由、QoS、可靠性特性策略一致,相比原有网络,只是需要增加对IPv6协议的支持和IPv6流量的匹配。

流量分离

IPv6流量由双栈网络的IPv6平面承载,IPv4流量由双栈网络的IPv4平面承载。