Scott+Hogg

企業(yè)全面采用IPv6的分步實施方法

IPv6自從90年代后期被開發(fā)出來之后，一直備受人們的重視，現(xiàn)在已經(jīng)實施的企業(yè)被認(rèn)為是早期的大多數(shù)——這意味著該技術(shù)正在被廣泛采用，因此如果您還沒有開始，那就需要考慮開始規(guī)劃部署IPv6了。

沿著這條道路的第一步是做好自己的功課。企業(yè)可以利用很多已經(jīng)公開的資源來規(guī)劃他們的IPv6部署，而本文最后列出了一些非常有價值的資源的鏈接。

但是，為了幫助您開始，這里介紹了一些鼓勵企業(yè)在制定其部署計劃時使用的最佳實踐。

組建您的IPv6部門

您應(yīng)組建一個跨職能部門來領(lǐng)導(dǎo)IPv6的規(guī)劃和部署。該部門的成員來自網(wǎng)絡(luò)、安全、系統(tǒng)、應(yīng)用、桌面和服務(wù)等部門，還有業(yè)務(wù)部門和相關(guān)管理人員，這樣才能確保成功的進行合作。

資產(chǎn)清單和評估

您可以選擇把企業(yè)中所有IT資產(chǎn)的清單整合到一起，并評估是否有足夠的IPv6能力來繼續(xù)推進。對于大多數(shù)企業(yè)來說，好消息是他們已經(jīng)等到了現(xiàn)在——幾乎所有的路由器、交換機、防火墻、操作系統(tǒng)、應(yīng)用程序和其他系統(tǒng)都具有強大的IPv6功能。

展開IPv6培訓(xùn)

大多數(shù)企業(yè)的IT員工并沒有花太多時間學(xué)習(xí)IPv6，也沒有將其與他們熟悉的IPv4協(xié)議進行比較。當(dāng)相關(guān)部門的員工開始學(xué)習(xí)IPv6時，他們經(jīng)常問一些相同的基本問題。盡管多年來一直有優(yōu)秀的IPv6培訓(xùn)材料，但很多IT部門都可以使用一個不錯的IPv6教程來幫助他們?nèi)腴T。隨著IPv6項目的推進，任何額外的培訓(xùn)都會有回報。

IPv6規(guī)劃與設(shè)計

一旦部門經(jīng)過了培訓(xùn)，并知道環(huán)境中有什么，他們就可以針對部署建立詳細(xì)的技術(shù)計劃。這一整體設(shè)計會考慮到您環(huán)境的方方面面，以及您的企業(yè)將從IPv6實施中獲得的業(yè)務(wù)優(yōu)勢。該計劃應(yīng)遵循互聯(lián)網(wǎng)的內(nèi)部部署方法。

IPv6尋址計劃

在這一點上，IT部門應(yīng)了解IPv6地址格式，并準(zhǔn)備制定IPv6尋址計劃。第一步是確定您的企業(yè)可能需要的全球IPv6前綴的長度，可以采用IPv6地址規(guī)劃工具來幫助完成這個過程。然后，您可以向您的區(qū)域互聯(lián)網(wǎng)注冊機構(gòu)（RIR）請求分配IPv6地址，然后繼續(xù)制定詳細(xì)的前綴計劃，因為這是您企業(yè)的第一個IPv6計劃，最好借助于一本優(yōu)秀的IPv6尋址書中的經(jīng)驗，并考慮使用IPv6 IP地址管理（IPAM）工具來協(xié)助完成十六進制數(shù)學(xué)計算工作。

IPv6概念驗證（PoC）

如果您的企業(yè)有測試配置的實驗室，那么可以在那里完善配置腳本。使用您自己的IPv6內(nèi)部實驗室雖然是一種很好的學(xué)習(xí)方法，但可能還不夠，您可能需要一個PoC測試平臺來準(zhǔn)備實施。

在互聯(lián)網(wǎng)邊界部署IPv6

到目前為止，這一階段所有的準(zhǔn)備工作都為您的企業(yè)開始對網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全系統(tǒng)、服務(wù)和最終用戶設(shè)備的配置更改進行整合奠定了基礎(chǔ)。進入部署階段后，對于那些已經(jīng)計劃到這一點的團隊而言，很多事情會非常有趣。

正如IETF建議的那樣，IPv6部署應(yīng)該從企業(yè)環(huán)境的外部區(qū)域開始，通過這一環(huán)境，企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)。之所以在互聯(lián)網(wǎng)邊界開始部署，是因為企業(yè)網(wǎng)絡(luò)的這個區(qū)域運行著最現(xiàn)代的系統(tǒng)和軟件，因此更有可能被很好地記錄和理解。互聯(lián)網(wǎng)邊界只是整個企業(yè)的一小部分，在這里部署是應(yīng)用敏捷方法和在戰(zhàn)術(shù)上快速部署IPv6的有效途徑。

在您公司網(wǎng)站上使用IPv6的一種簡單而快速的方法是直接打電話給您的好鄰居內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），讓他們幫助您的公開網(wǎng)站啟用IPv6。這在面向公眾的網(wǎng)站上實現(xiàn)了IPv6，但并沒有在您自己的網(wǎng)絡(luò)中實現(xiàn)IPv6。真正的目標(biāo)是在上游互聯(lián)網(wǎng)鏈路上啟用IPv6，然后通過互聯(lián)網(wǎng)邊界將IPv6引入。下面是在邊界完成IPv6全面部署的步驟：

· 從您的RIR那里獲得您的全球IPv6地址。

· 聯(lián)系您的上游ISP，讓他們在您的鏈路上啟用IPv6。

· 在路由器上配置這些IPv6地址，并測試與ISP的連接。

· 配置您路由器和ISP之間的邊界網(wǎng)關(guān)巡檢（BGP）來通告您的全球IPv6前綴。

· 將全球IPv6地址放在防火墻接口上，在防火墻中配置IPv6靜態(tài)路由。

· 在外圍設(shè)備和服務(wù)器上配置IPv6地址，從DNS服務(wù)器開始。

· 測試DNS服務(wù)器和防火墻之間的IPv6連接。

· 在防火墻中添加允許規(guī)則，實現(xiàn)IPv6的入站DNS，然后通過在IPv6上執(zhí)行查找，從互聯(lián)網(wǎng)上進行測試。

· 開始啟用其他外圍服務(wù)，例如Web和電子郵件服務(wù)器，以便實現(xiàn)IPv6訪問，并驗證互聯(lián)網(wǎng)的可達(dá)性。

· 在您的公共授權(quán)DNS中配置IPv6 AAAA和PTR記錄，以便實現(xiàn)IPv6的可達(dá)性。

· 把IPv6添加到負(fù)載平衡器或者應(yīng)用程序交付控制器后面的面向公眾的系統(tǒng)中。

在核心網(wǎng)絡(luò)上部署IPv6

還記得上世紀(jì)50年代的科幻電影《Blob》，它是怎樣慢慢地吸收路上的所有東西的嗎？在您企業(yè)網(wǎng)絡(luò)上，IPv6將以同樣的方式前進。當(dāng)您在整個企業(yè)骨干網(wǎng)上添加IPv6連接時，IPv6將一次部署一個3層跳轉(zhuǎn)，從互聯(lián)網(wǎng)邊界向內(nèi)工作，最終擴展到整個企業(yè)核心網(wǎng)絡(luò)。IPv6部署應(yīng)連續(xù)進行，因為IPv6連接中的空白會導(dǎo)致端到端轉(zhuǎn)發(fā)問題。

下圖中，IPv4部署在所有的藍(lán)色鏈接上，而紅色路徑上部署的IPv6并不是最優(yōu)的。這將導(dǎo)致很高的端到端延遲。因此，您還需要確保在核心網(wǎng)絡(luò)上巧妙地部署了IPv6。

在核心和廣域網(wǎng)（WAN）的IPv6部署期間，網(wǎng)絡(luò)部門可以借助他們的IPv4路由協(xié)議知識，這些協(xié)議本身也支持IPv6。他們可以在核心網(wǎng)絡(luò)上使用OSPFv3、EIGRP、IS-IS，甚至BGP來部署IPv6。在部署IPv6時，最好使用與IPv4相同的路由協(xié)議——因為網(wǎng)絡(luò)工程師已經(jīng)很熟悉這一協(xié)議了。endprint

盡管IPv6是一個完全獨立于IPv4的協(xié)議，您也要避免在工作日配置IPv6；最好的做法是首先要在更改配置的時間上獲得批準(zhǔn)，以避免影響您的工作網(wǎng)絡(luò)。

當(dāng)您在企業(yè)廣域網(wǎng)中遷移IPv6時，不斷變化的企業(yè)廣域網(wǎng)體系結(jié)構(gòu)將會有所幫助。隨著越來越多的企業(yè)通過混合或者直接互聯(lián)網(wǎng)連接來部署軟件定義的廣域網(wǎng)解決方案，企業(yè)的IPv6尋址策略將會受到影響。能夠直接訪問互聯(lián)網(wǎng)的分支機構(gòu)將從服務(wù)提供商那里分配IPv6地址。您可以選擇為分支機構(gòu)/部門/遠(yuǎn)程辦公室使用提供商的地址空間，也可以選擇使用企業(yè)從RIR分配的全球IPv6地址空間。

在接入網(wǎng)上啟用IPv6

在某些情況下，IPv6運行的比IPv4更快，并有利于最終用戶體驗。例如，IPv6連接不受網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）滯后的影響，比如TCP/UDP頭校驗和重新計算等。

今天，企業(yè)最終用戶在使用他們的移動設(shè)備時不知不覺地占用了本地IPv6互聯(lián)網(wǎng)資源，而像Facebook這樣的內(nèi)容提供商更喜歡IPv6。因此，企業(yè)IPv6部署的下一步是在接入網(wǎng)的第一跳路由器上啟用IPv6。由于最終用戶移動設(shè)備中有“快樂眼球”（RFC 6555）算法，其連接將選擇性能最好的IP版本。

就局域網(wǎng)上的主機數(shù)量而言，您不必?fù)?dān)心在局域網(wǎng)上是否有足夠的IPv6地址空間進行分配。無論端節(jié)點的數(shù)量如何，您只需為每個接入網(wǎng)絡(luò)分配一個/64位前綴即可。一旦這些路由器（3層接口）配置了IPv6地址，路由器將開始發(fā)送ICMPv6路由器通告（RA）消息。這些消息將通知接入網(wǎng)上的所有節(jié)點，IPv6現(xiàn)在已經(jīng)激活，它們應(yīng)設(shè)置自己的IPv6地址，并使用這個路由器來連接上游連接。您還可以利用現(xiàn)有的DHCP服務(wù)器在您的企業(yè)中提供DHCPv6服務(wù)，以幫助管理地址分配。

您也希望在無線和有線接入網(wǎng)上啟用IPv6。當(dāng)您使用802.11ac部署現(xiàn)代無線設(shè)備時，表明您已經(jīng)擁有了支持企業(yè)級IPv6的現(xiàn)代WAP和無線控制器。

到純IPv6的最后一步

此時，您將運行一個雙協(xié)議環(huán)境。重要的是要記住，雙協(xié)議并不是最終目的；純IPv6才是最終目標(biāo)。原因是企業(yè)更愿意在單一協(xié)議環(huán)境下工作。運營雙協(xié)議環(huán)境會增加管理成本，因為很多任務(wù)要執(zhí)行兩次，一次是為了IPv4，另一次是為了IPv6。因此，運行純IPv6環(huán)境的效率更高。到達(dá)這一階段的時間越早，IPv4對您的限制就越少。

Scott Hogg是“全球技術(shù)資源”的首席技術(shù)官。

原文網(wǎng)址：

http：//www.networkworld.com/article/3235805/lan-wan/ipv6-deployment-guide.htmlendprint