（91917部隊）

0 引言

在“新基建”提速背景下，5G、云計算、工業(yè)互聯(lián)網(wǎng)的繁榮發(fā)展，網(wǎng)絡(luò)向海量聯(lián)接、智能聯(lián)接、高質(zhì)量聯(lián)接升級，聯(lián)接產(chǎn)業(yè)的發(fā)展對IP 地址資源提出了新的要求。而我國基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施能力已全面就緒，具備全國范圍服務(wù)能力，并開啟IPv6承載服務(wù)，移動和固定終端已經(jīng)全面支持IPv6。根據(jù)IPv6監(jiān)測數(shù)據(jù)，IPv6網(wǎng)絡(luò)質(zhì)量與IPv4基本趨同。國家層面大力推進IPv6的規(guī)模部署，從“十三五”規(guī)劃、中共中央辦公廳、國務(wù)院都發(fā)文大力推進IPv6規(guī)模部署，這也就意味著IPv6的時代已經(jīng)到來，企業(yè)網(wǎng)IPv6升級改造已經(jīng)刻不容緩。

1 網(wǎng)絡(luò)IPv6 技術(shù)進展

IPv6（Internet Protocol Version 6，互聯(lián)網(wǎng)協(xié)議第6版），是IETF 設(shè)計的用于替代IPv4的下一代IP 協(xié)議，IPv6的地址長度為128位，是IPv4地址長度的4倍，號稱可以為全世界的每一粒沙子編上一個地址。IPv6網(wǎng)絡(luò)改造涉及的各個技術(shù)方面都已經(jīng)準(zhǔn)備就緒。

1.1 基礎(chǔ)設(shè)施

目前，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的路由器、交換機都已經(jīng)支持IPv6，主流的終端的計算機、手機、筆記本也都支持IPv6?，F(xiàn)網(wǎng)中網(wǎng)絡(luò)設(shè)備往往都沒有啟用IPv6的相關(guān)功能，如果啟用將會占用設(shè)備中更多的資源，需要考慮設(shè)備的資源如CPU 能力、內(nèi)存、ACL 數(shù)目、硬件轉(zhuǎn)發(fā)表項、ARP/ND 表項等是否足以啟用IPv6。

1.2 地址分配

IPv6地址數(shù)量龐大，可以為網(wǎng)內(nèi)的每臺主機都提供公網(wǎng)地址，不再推薦使用私網(wǎng)地址和NAT。一是靜態(tài)配置：手工配置IPv6 地址，若前綴變化，修改終端地址工作量很大，主要用于互聯(lián)地址或設(shè)備地址等；二是DHCPv6通過部署DHCPv6 Server，可以對終端訪問行為進行管控；三是網(wǎng)關(guān)無狀態(tài)自動分配：網(wǎng)關(guān)周期通告自己的前綴，終端根據(jù)收到的前綴和自己MAC 地址生成IPv6地址，適用于物聯(lián)終端。

1.3 路由協(xié)議

IPv4網(wǎng)絡(luò)復(fù)雜，路由表條目繁多，為解決路由表龐大的問題，IPv6設(shè)計之初就對路由策略進行革新，有些是在原協(xié)議上進行擴展，有些則完全是新的版本。IPv4中主用的路由協(xié)議在IPv6中都有對應(yīng)的協(xié)議：與RIP 對應(yīng)的RIPng，與OSPF 對應(yīng)的OSPFv3，以及與IS-IS 的IS-ISv6，與BGP 對應(yīng)的BGP4+。

1.4 網(wǎng)絡(luò)安全

IPv6 網(wǎng)絡(luò)安全通過繼承和發(fā)展現(xiàn)有IPv4 安全技術(shù)和規(guī)范，并針對IPv6的特性制定專門的安全策略。相對于傳統(tǒng)的IPv4網(wǎng)絡(luò)，IPv6在設(shè)計之初就考慮了各種應(yīng)用安全，IPv6 協(xié)議中默認集成了IPSec（Internet Protocol Security），鄰居發(fā)現(xiàn)協(xié)議（NDP）以及IPv6地址的惟一性等。此外，IPv4和IPv6有很多安全問題的原理和特征沒有發(fā)生變化，如竊聽攻擊、中間人攻擊、泛洪攻擊等，傳統(tǒng)的安全策略控制和防火墻等手段在IPv6下依然非常重要。

2 I Pv6 網(wǎng)絡(luò)的優(yōu)勢

IPv6 作為IPv4 的替代者，目的在于解決IPv4 面臨的地址枯竭和路由表膨脹問題。與IPv4相比，IPv6具有以下優(yōu)點：一是海量IP 地址，全球IPv4地址即將耗盡，未來移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等需要大量地址支持。二是高效轉(zhuǎn)發(fā)，增強的鄰居發(fā)現(xiàn)機制，路由聚合功能，優(yōu)化的分片效率，靈活的擴展報文頭，有效解決路由表膨脹問題。三是敏捷接入，無需DHCP，即插即用，方便快捷，為工業(yè)互聯(lián)網(wǎng)提供基石。四是端到端安全，端到端IPSec 加密，在IP 層提供報文的機密性、完整性、IP 報文源地址認證以及有限的抗重播攻擊能力。五是流的控制，報文頭新增流標(biāo)簽實現(xiàn)對流的標(biāo)識，無須打開數(shù)據(jù)包即可識別流。此外，便于溯源，所有終端采用全球惟一IP 標(biāo)識并被記錄，可對網(wǎng)絡(luò)不法犯罪活動做到有效監(jiān)控打擊。

IPv6不僅是協(xié)議的升級、網(wǎng)路的改造，更是網(wǎng)絡(luò)變革的契機，是打造更高質(zhì)量的下一代互聯(lián)網(wǎng)的好時機。

3 網(wǎng)絡(luò)IPv6 升級改造方案

IPv6建設(shè)通常有兩種方式：一是升級現(xiàn)有網(wǎng)絡(luò)：由于全網(wǎng)設(shè)備升級面臨投資大、網(wǎng)絡(luò)重新規(guī)劃、業(yè)務(wù)整合等問題?？梢酝ㄟ^改造核心或者部分區(qū)域，快速允許用戶訪問IPv6資源。目前，大部分企業(yè)和機構(gòu)通過改造互聯(lián)網(wǎng)接入?yún)^(qū)或DMZ 區(qū)，建設(shè)IPv6門戶網(wǎng)站。二是新建IPv6網(wǎng)絡(luò)，選取支持雙棧的交換機設(shè)備，按照現(xiàn)有網(wǎng)絡(luò)建設(shè)模式，重新建設(shè)IPv6全業(yè)務(wù)平臺?？梢酝ㄟ^新建小型試驗網(wǎng)，逐步進行系統(tǒng)遷移，管理簡單，IPv4和IPv6的邏輯界面清晰。

3.1 升級/改造現(xiàn)有IPv4 網(wǎng)絡(luò)

（1）隧道方案。ISATAP 和6to4 都是目前比較流行的自動建立隧道的過渡技術(shù)，通過將IPv6封裝在IPv4中傳送，連接被IPv4隔絕的IPv6孤島，此種改造范圍小。如果現(xiàn)網(wǎng)中IPv6客戶端數(shù)量較小且分布不集中，可以通過此種隧道技術(shù)實現(xiàn)訪問IPv6資源。

圖1 升級/改造現(xiàn)有IPv4

（2）雙棧方案。雙棧技術(shù)需要網(wǎng)絡(luò)、安全及應(yīng)用系統(tǒng)同時運行IPv6/IPv4 兩套協(xié)議，配置管理較為復(fù)雜。如果現(xiàn)網(wǎng)中存在IPv6客戶端相對集中的節(jié)點，可以在匯聚層使用雙棧交換機，通過雙棧交換機上聯(lián)至雙棧核心交換機。這樣的組網(wǎng)也具有更好的可擴展性。

圖2 雙棧方案

（3）地址轉(zhuǎn)換技術(shù)。地址轉(zhuǎn)換是在IPv4/IPv6 網(wǎng)絡(luò)節(jié)點之間部署一個協(xié)議轉(zhuǎn)換設(shè)備，以實現(xiàn)透明的IPv6和IPv4 互訪問，改動小，但和業(yè)務(wù)強耦合，性能是瓶頸。一是有狀態(tài)NAT64。典型場景是：內(nèi)部IPv6主機訪問外部IPv4服務(wù)器。地址轉(zhuǎn)換是自動的，轉(zhuǎn)換可以多對一的（多個IPv6地址轉(zhuǎn)換為一個IPv4地址）。二是無狀態(tài)NAT64。典型場景是：IPv4 服務(wù)器通過NAT64發(fā)布IPv6地址，允許外部IPv6主機訪問此服務(wù)器。這在門戶網(wǎng)站中經(jīng)常使用。

3.2 新建IPv6 網(wǎng)絡(luò)

現(xiàn)網(wǎng)升級改造，對現(xiàn)有設(shè)備的承載壓力和資源都要求較高、系統(tǒng)管理復(fù)雜。對于規(guī)模比較大的網(wǎng)絡(luò)，建議采用新建IPv6實驗區(qū)，再逐步擴大IPv6的范圍，實現(xiàn)IPv6網(wǎng)絡(luò)建設(shè)。新建方案對原有IPv4業(yè)務(wù)沒有影響，兩張物理網(wǎng)絡(luò)，單點設(shè)備壓力小，IPv4/ IPv6運維界面清晰，運維難度適中。一是互聯(lián)網(wǎng)接入?yún)^(qū)：接入各運營商IPv6 Internet 線路，部署IPv6路由協(xié)議。二是DMZ 區(qū)：服務(wù)器配置雙棧，通過IPv6對外發(fā)布應(yīng)用，通過IPv4 與數(shù)據(jù)區(qū)進行數(shù)據(jù)交互。三是核心交換區(qū)：交換機配置雙棧路由協(xié)議，提供IPv6和IPv4的路由。此外，終端接入?yún)^(qū)：通過DNSv6 為終端進行IPv6 域名解析，通過DHCPv6位終端分配IPv6地址。

圖3 地址轉(zhuǎn)換方案

圖4 新建IPv6網(wǎng)絡(luò)