IPv6建設與改造方案

2024-02-26

1.   關于IPv6地址

IPv6地址可(kě)以表示爲128位由0、1組成的(de)字符串，爲了(le)便于計算(suàn)機理(lǐ)解，将128位的(de)二進制字符串表示爲32位的(de)十六進制字符串，爲了(le)便于理(lǐ)解，人(rén)們将其劃分(fēn)爲8組，組與組之間用(yòng) ：隔開，每組4個(gè)字符（也(yě)就是16位）。

一個(gè)IPv6地址如果存在多(duō)個(gè)連續全0段，可(kě)将其中一個(gè)全0段使用(yòng)“::”來(lái)表示，也(yě)就是說合法的(de)IPv6地址中最多(duō)存在一個(gè)“::”

鑒于IPv6地址比較複雜(zá)，其掩碼表示使用(yòng)/n (n=0-128)，不存在IPv4中的(de)255.X.X.X的(de)這(zhè)種表示方法。

IPv6地址由前綴+接口ID的(de)形式組成。

1.1.  單播地址

鏈路本地地址：以FE80::/10 鏈路本地單播地址範圍。

唯一本地地址：這(zhè)些地址也(yě)是不可(kě)在因特網路由的(de)。唯一的(de)本地地址設計用(yòng)于替代場(chǎng)點本地地址，因此它們的(de)功能幾乎與IPV4私有地址相同。FC00::/7 唯一本地單播地址範圍

全局單播地址：公網地址，與IPV4中的(de)單播地址相同。全局地址以2000::/3打頭。

1.2.  組播地址

與IPv4中一樣，目标地址爲組播地址的(de)分(fēn)組被傳輸到該組播地址表示的(de)所有接口。這(zhè)種地址有時(shí)也(yě)被稱爲一對(duì)多(duō)地址。IPv6組播地址很容易識别，FF00::/8是組播地址範圍。

1.3.  任意播地址

   任意播分(fēn)組隻被傳輸到一個(gè)接口，根據路由選擇距離确定的(de)最近接口。這(zhè)種地址的(de)特殊之處在于，可(kě)将單個(gè)任意播地址分(fēn)配給多(duō)個(gè)接口。這(zhè)種地址被稱爲“一對(duì)最近”地址。

任意播地址是每一個(gè)IPv6地址段的(de)最後一個(gè)IPv6地址(類似IPv4地址中的(de)廣播地址)

1.4.  特殊的(de)IPv6地址

::（全0），相當于IPv4中的(de)0.0.0.0

::1（環回地址），相當于IPv4地址127.0.0.1

::/0 表示全部路由(默認路由)

1.5.  IPv6地址和(hé)參數分(fēn)配方式

IPv6支持無狀态地址分(fēn)配方式、有狀态地址分(fēn)配，其中有狀态地址分(fēn)配又可(kě)細分(fēn)爲前綴分(fēn)配、和(hé)地址分(fēn)配。網絡參數(DNS、NTP等)僅支持有狀态分(fēn)配方式

1.6.  國内運營商的(de)IPv6地址範圍

電信是240e開頭的(de)（240e::/20）

聯通(tōng)是2408開頭的(de)（2408:8000::/20）

移動是2409開頭的(de)（2409:8000::/20）

2.   有關IPv6規劃要素

2.1.  網絡運行方式

目前絕大(dà)多(duō)數企業網絡都是IPv4單棧運行，考慮到IPv6的(de)部署上線有兩種形式：

1.   純IPv6網絡建設

2.   IPv4-IPv6雙棧網絡建設

目前互聯網上的(de)IPv6資源較少，主要集中在edu.cn域名上（教育網），非教育網的(de)IPv6資源數量目前較少，以淘寶、京東、騰訊來(lái)說，也(yě)就是目前主頁具備IPv6訪問功能，次級或者更深層級的(de)資源均以IPv4形 式存在。

建設實驗網絡、教育網網内新建可(kě)以選擇方案1；具有互聯網訪問需求，同時(shí)要具備IPv6站點訪問能力，則建議(yì)選擇方案2，就企業網來(lái)說普遍使用(yòng)方案2。

2.2.  地址分(fēn)割

充分(fēn)評估現網的(de)IPv4結構，對(duì)于管理(lǐ)地址、互聯地址、業務地址是否有需要置備對(duì)應的(de)IPv6地址，管理(lǐ)地址采用(yòng)/128的(de)掩碼，互聯地址采用(yòng)/126或/127的(de)形式，業務地址結構則需要根據本機構的(de)級别去設定。

/56，住宅和(hé)中小企業

/48，内容提供商和(hé)大(dà)企業

/64，服務提供商基礎設施

/64，接入技術無關的(de)網絡

大(dà)于/64，無法按照(zhào)/64規劃或者/64規劃出來(lái)的(de)業務地址段并不夠實際使用(yòng)此部分(fēn)規劃需要額外注意一些事項見2.2章(zhāng)節。

另外是否有必要采用(yòng)地址分(fēn)割還(hái)依據不同客戶場(chǎng)景下(xià)，客戶所獲取到的(de)IPv6地址前綴長(cháng)度。

2.3.  客戶端獲取地址方式

IPv6支持的(de)地址獲取方式包括，無狀态地址獲取和(hé)有狀态地址獲取，目前市面上絕大(dà)多(duō)數的(de)終端也(yě)都支持這(zhè)兩種地址分(fēn)配方式。從兼容性上來(lái)說無狀态地址分(fēn)配的(de)方式是比較好的(de)，從後續發展來(lái)說使用(yòng)有狀态地址分(fēn)配的(de)方式更加高(gāo)效和(hé)實用(yòng)且較爲容易被審計。所以實際環境中這(zhè)兩者可(kě)根據不同的(de)網絡環境選擇使用(yòng)其中的(de)一種或者兩種結合使用(yòng)。

2.4.  路由規劃

普遍的(de)IPv4網絡使用(yòng)靜态路由、OSPF動态、ISIS動态(較少)、BGP動态，可(kě)選的(de)是路由平滑過度，路由升級等策略。對(duì)于IPv4網絡結構簡單，建議(yì)還(hái)是以IPv6靜态路由爲主，IPv4網絡較爲複雜(zá)，且無需适用(yòng)路由升級方案，有序網絡可(kě)以适用(yòng)IPv6平滑過度方案。對(duì)于IPv4所支持的(de)動态路由，IPv6基本也(yě)支持，隻是配置細節不一樣。

2.5.  可(kě)靠性技術

絕大(dà)部分(fēn)的(de)企業網絡均會考慮網絡層的(de)高(gāo)可(kě)用(yòng)如思科的(de)VSS,HSRP、華爲的(de)Stack,CSS,VRRP+HRP、華三的(de)IRF,Reduance組，單獨VRRP等。這(zhè)些技術有些應用(yòng)在内部、有些應用(yòng)在出口，那麽在IPV6部署上線的(de)時(shí)候，則需要做(zuò)對(duì)應的(de)可(kě)靠性升級，且必需考慮，其實關鍵就是大(dà)部分(fēn)可(kě)靠性技術還(hái)會涉及到二層表項的(de)變動…

2.6.  關于IPv6的(de)NAT

IPv4中不管是因爲地址緊缺還(hái)是服務器映射帶來(lái)的(de)安全問題，NAT幾乎是99.9%逃避不了(le)的(de)。而IPv6中，标準規範中并沒有NAT相關信息，導緻目前大(dà)部分(fēn)産品對(duì)以NPTv6(NAT66)支持是很不好的(de)。其中大(dà)品牌是可(kě)以通(tōng)過升級獲得(de)（H3C、華爲）、小品牌則需要重新購(gòu)買。對(duì)于啓用(yòng)NPTv6和(hé)不啓用(yòng)NPTv6的(de)網絡，其内部結構是不一樣的(de)，則其規劃也(yě)不一樣。

3.   IPv6建設與改造關鍵

用(yòng)戶從運營商獲得(de)的(de)IPv6地址情況，決定其出口設備的(de)部署方式及設備類型，典型的(de)方式有IPv6地址分(fēn)配、前綴自動分(fēn)配、前綴靜态分(fēn)配等，每種分(fēn)配方式在設備上所需要的(de)配置是不一樣的(de)，對(duì)設備的(de)特性要求也(yě)不一樣。

網絡内的(de)老舊(jiù)設備是否支持IPv6的(de)路由轉發、透明(míng)轉發，安全防護過濾，對(duì)于不支持的(de)設備還(hái)需要進行升級或更換

IPv6網絡在部署完成後，用(yòng)戶的(de)地址及參數的(de)獲取采用(yòng)的(de)方式，對(duì)于審計部分(fēn)的(de)要求，是否能夠滿足

IPv6網絡安全，解決了(le)端到端的(de)不完整性所帶來(lái)的(de)問題就是端到端太透明(míng)，現有的(de)安全設備是否能夠對(duì)網絡内外的(de)IPv6流量提供足夠的(de)安全支撐。

服務器區(qū)域的(de)IPv6改造目前呈現3種情況，實現雙棧、保持IPv4單棧、外挂協議(yì)轉換裝置，這(zhè)三種情況下(xià)，數量較少的(de)服務器直接配置IPv6地址實現雙棧即可(kě)。比較重要的(de)業務建議(yì)保持單棧。對(duì)于管理(lǐ)複雜(zá)，權限界限模糊，數量還(hái)較多(duō)的(de)等不方便的(de)操作的(de)服務器，那麽就可(kě)以使用(yòng)IPv6轉換裝置，從網絡層進行協議(yì)轉換。額外對(duì)于HTTP的(de)流量較爲簡單，HTTPS流量的(de)轉換則更加複雜(zá)與多(duō)變，還(hái)會影(yǐng)響性能，故對(duì)于HTTPS服務我們還(hái)是建議(yì)手動配置雙棧。

4.   IPv6網絡維護

IPv6網絡的(de)維護和(hé)IPv4密切相關，IPv6的(de)實施、使用(yòng)也(yě)離不開IPv4，需要管理(lǐ)員(yuán)在充分(fēn)了(le)解全網結構的(de)前提下(xià)，對(duì)IPv6的(de)前綴分(fēn)布，路由聚合進行維護，終端部分(fēn)則是IPv6地址 的(de)分(fēn)發與綁定，以便于後期的(de)審計。IPv6網絡也(yě)會對(duì)IPv4網絡産生一些沖擊，這(zhè)種情況從原理(lǐ)層是不可(kě)理(lǐ)解的(de)，但是從各終端的(de)協議(yì)棧選擇角度來(lái)說，确實是實際存在的(de)，此時(shí)需要網絡管理(lǐ)員(yuán)多(duō)學習(xí)IPv6相關知識。

安全策略上對(duì)于ICMPv6協議(yì)也(yě)應做(zuò)一些适應性調整。

同時(shí)網絡管理(lǐ)員(yuán)也(yě)應時(shí)刻注意IPv6相關的(de)軟件補丁更新。畢竟IPv6從實用(yòng)角度來(lái)說還(hái)是“新鮮事物(wù)”，後續的(de)發展步伐會逐漸加快(kuài)，我們的(de)技能和(hé)軟件更新也(yě)要跟得(de)上才行。