一种IPv6 园区网通用建设模型的研究与设计

彭治湘

（湖南广播电视大学，湖南网络工程职业学院，长沙410004）

0 引言

2017 年11 月，中共中央办公厅、国务院办公厅发布《推进IPv6 规模部署行动计划》，“行动计划”预计用5 到10 年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6 商业应用网络，实现下一代互联网在经济社会各领域深度融合应用，成为全球下一代互联网发展的重要主导力量[1]。截至2020 年1 月，我国IPv6 活跃用户数达2.7 亿，占互联网网民总数的31%，相比行动计划实施前，增长了近100 倍[2]。当前是我国IPv4 向IPv6 快速过渡和发展的关键时期，各类园区网络IPv6 部署与改造是全国IPv6建设的重要一环，本文简单阐述了IPv6 基础技术，着重研究了IPv6 园区网出口、园区内网、园区网安全、园区应用四个方面的IPv6 部署与过渡技术，最后设计了一种IPv6 园区网通用建设模型，为大中型企业、学校等IPv6 园区网部署提供参考。

1 IPv6基础

1.1 IPv6地址

IPv6 地址相较于IPv4 地址扩展到了128 比特，约有3.4×1038个地址。IPv6 地址首选格式将128 位地址分成8 段，每段16 位，每段被转换为一个16 进制数，并用冒号分隔，因此也称“冒号十六进制表示法”[3]，格式如下：2001:0302:0001:0000:0000:0000:0000:342F。

IPv6 地址分为三类：单播地址、组播地址和任播地址，值得注意的是IPv6 中没有广播地址，如图1 所示为IPv6 地址具体分类。

图1 IPv6地址分类

1.2 IPv6主要特性

IPv6 主要特性包括：①巨大的地址空间，约拥有3.4×1038 个地址；②高效的报文处理，IPv6 基本头部长度固定40 个字节，中间传输节点处理定长头部效率更高，加之IPv6 头部为64 位对齐，能更充分地利用设备64 位处理器；③更优的路由选择效率，IPv6 在设计、分配和使用过程中充分考虑了路由前缀汇聚，使得互联网骨干路由表大幅减小，路由选择效率更优；④精准的QoS 保障，IPv6 利用流标签有效区分数据流类型和优先级，提供精准的QoS 服务；⑤增强的安全机制，IPv6采用安全扩展头部，使得IPv6 节点都可以支持IPsec，有效保障数据的完整性和机密性；⑥移动IP 性能更优，IPv6 定义了特定扩展报头提升其移动性能，对IoT支持更好，积极推动万物互联[4-7]。

2 IPv6园区网部署与改造关键技术研究

2.1 IPv6园区网出口部署与改造技术

大中型园区网络一般为了保障出口网络高可靠性，会选择同时多家ISP 接入的方案，在向IPv6 过渡的相当长的一段时间内，出口必须同时支持IPv4 和IPv6并能够进行自动选路简化出口管理，提升出口利用效率。在IPv4 出口基础上接入IPv6 出口，一种方法是采用二层以太网混合接入，即园区二层接入ISP，此时同一链路上同时启用IPv4 和IPv6，在与IPv4 同一VLAN接口下配置ISP 分配的IPv6 全球单播地址；另一种方法三层接口独立接入，即分别针对不同的ISP 在出口设备上启用独立的三层接口接入IPv6 并配置ISP 分配的IPv6 全球单播地址。上述两种方法若需要在不增加出口设备的情况下部署，则要求出口设备支持IPv4和IPv6 双协议栈。

出口链路之间IPv4 和IPv6 进出双向流量负载均衡是园区网出口建设的重要内容，主要可以采用的方法有两种：其一，直接利用出口设备部署IPv4 和IPv6的动态路由和策略路由，该方法部署成本低，但是设备性能要求高，维护管理困难；其二，利用成熟的链路或应用交付产品（Application Delivery，AD）作为出口设备，AD 具备全球IP 地址库，支持四至七层负载算法，可以精准选对IPv4 和IPv6 链路、服务器，同时支持TCP 加速，提升用户访问速度，主流AD 厂商如深信服、F5、Radware。这种方法的缺点是需要新增AD 设备的成本开支。

2.2 IPv6园区内网部署与改造技术

（1）双协议栈技术

双协议栈技术是指在同一台网络设备上同时启用IPv4 和IPv6 协议栈。在园区网络内部要求所有三层转发节点必须要支持双协议栈技术才能实现IPv6 内网的部署，通常是园区汇聚层及其以上核心骨干设备需要进行双协议栈的改造升级[8]。双协议栈技术优点是部署简单，建设周期短，网络过渡平滑，缺点升级成本相对较高，IPv4 网络与IPv6 网络平行独立运行而无法互通。

（2）隧道技术

隧道技术即用一种协议报文封装另一种协议报文的通信技术。在IPv6 过渡初期，园区内部IPv4 网络处于主导地位，只有少量IPv6 资源之间需要互通，此时可以采用IPv6 over IPv4 隧道技术如：IPv6 in IPv4 GRE隧道、6to4 隧道、ISATAP 隧道，将分散在园区或分支机构的IPv6 资源进行互联，快速部署和整合内网IPv6 资源[9]；IPv6 过渡后期，IPv6 网络为主导，此时内网中少量IPv4 网络通过IPv4 over IPv6 隧道完成互联，最后平滑过渡纯IPv6 网络。隧道技术要求隧道两端设备具备双协议栈能力，隧道实现较为简单，但是隧道技术仍无法实现IPv4 网络与IPv6 网络互通。

（3）带协议转换的网络地址转换技术

NAT- PT（Network Address Translator- Protocol Translator）是指附带协议转换功能的网络地址转换，NAT 技术是IPv4 园区网出口常用技术，主要目的是实现IPv4 私网地址与公网地址及传输层端口转换，而NAT-PT 是完成IPv4 与IPv6 之间报文头部修改转换网络地址，使得IPv4 网络与IPv6 网络互通，结合应用层网关技术（Application Level Gateway，ALG）可以实现部分应用之间的互通[10]。NAT-PT 优点在于实现了IPv4 和IPv6 网络层面的互通，同时结合ALG 能够实现部分应用互通，缺点是NAT-PT 使得IPv6 端到端安全特性无法维持，对应用互访并不透明，需要针对不同应用对ALG 持续开发。

2.3 IPv6园区网安全技术架构

如图2 所示，从网络安全技术角度出发，IPv6 园区网络安全建设可以从接入安全、网络边缘安全、外联网与干线安全、应用安全、数据中心与云安全和运维管理安全六个方面规划设计。网络安全建设不能一蹴而就，也不能无的放矢，以国家安全法规与政策为指导，以安全架构为参考，统筹考虑园区网络规模、生产业务安全需求、安全支出预算、内部安全管理体系等逐步完善IPv6 园区网络安全体系。

2.4 IPv6园区网应用过渡技术

（1）反向代理技术

反向代理技术是指将用户访问请求集中引导至一台中间理服务器，再由该理服务器代替用户向后端真实提供服务的服务器发出请求，之后应中间理服务器将接收到的服务应答转发给用户，中间服务器对用户透明[11]。为保障中间代理服务器的可靠性和性能，可以在私有云环境下集群部署中间代理服务器并启用双栈功能，使得代理服务器集群不仅支持IPv4 和IPv6 用户访问，还同时可以访问后端真实的IPv4 和IPv6 应用服务，在过渡前期即使IPv4 应用没有进行双栈化或IPv6改造，只需在权威DNS 上同时创建相应服务域名的A记录和AAAA 记录并指向代理服务器的对应的IPv4或IPv6 地址，双栈终端与纯IPv4 或纯IPv6 终端均可以通过双栈代理服务器访问后端服务[12]。

图2 IPv6园区内网安全技术架构

实际应用中双栈反向代理技术可以采用主流的反向代理软件实现如：Nginx、Squid、Varnish、Apache TS 等自主开发实现，该方法是初始成本低，但是后期维护成本高，需要配备专门的IT 研发人员；另一种方法可以借助应用交付AD 产品提供的虚拟服务来完成反向代理功能，在AD 上创建好IPv4 和IPv6 虚拟服务（即双栈代理服务器功能），再创建后端应用服务资源池，资源池中可以加入真实提供服务的双栈服务器和纯IPv4或纯IPv6 服务器，最后将虚拟服务与资源池进行关联即可完成双栈反向代理的配置。

（2）SPACE6 技术

SPACE6（Service- Provider’s Application Cloudbased Engine for IPv6 Transition）即服务提供商应用基于云的IPv6 转换引擎技术。SPACE6 技术将网络层协议转换技术与应用层协议转换技术相融合，实现IPv4和IPv6 应用服务无缝对接，支持目前绝大多数应用服务，并且可以有效解决IPv6 天窗问题[13]，SPACE6 平台部署架构基本与双栈反向代理架构一致。

双栈反向代理技术优点是可以快速实现IPv4 应用向外提供IPv6 服务，不足之处在于其只能良好支持BS 类服务，对于CS 类应用暂时无法支持，IPv6 天窗问题（后端服务页面若存在未进行IPv6 改造的外部链接可能无法正常显示）需要结合额外技术才能解决，而SPACE6 技术可以有效弥补反向代理技术的不足。

3 IPv6园区网建设通用模型设计

图3 IPv6双栈反向代理技术架构图

如图4 所示，IPv6 园区网络建设大致可以分为互联网出口区域、核心交换区域、内网核心业务区域、内网终端接入区域、对外服务区域和运维管理区域六大区域。在IPv4 向IPv6 过渡改造过程中，建议根据不同区域、不同节点、不同业务、不同时期有计划地逐步完成IPv6 升级与部署。

互联网出口区域建议采用双栈技术改造，确保该区域内设备全部支持双栈服务，过渡后期通过软件升级可以平滑部署纯IPv6 服务；核心交换区域过渡前期核心层先做双栈改造，并部署IPv4 与IPv6 相关路由，汇聚层若只有高速二层交换业务可不做调整，过渡中期可以先将汇聚层双栈改造，并根据需要部署IPv4 与IPv6 汇聚层安全策略，过渡后期核心交换机区域设备均可以通过软件升级支持纯IPv6 网络；内网核心业务区域中NGFW、数据库审计、负载均衡先行完成双栈改造，对于内网核心业务通过部署SPACE6 平台提供IPv6 服务改造，逐步完成内网核心业务双栈升级；内网终端接入区域过渡前期接入交换机与AP 可以不做改造，只负责二层业务的接入，NGFW、AC（上网行为审计）、BRAS 与AC 需完成双栈改造，跟实际接入业务场景部署IPv4 与IPv6 用户认证，对于内网传统终端或者虚拟桌面，无论是Windows、Linux、Android、苹果系统等主流终端系统目前均可以支持双栈，因此内网接入区域处二层网络设备其他节点均可以在过渡前期就完成双栈化改造；对外服务区域过渡前期完成NGFW、WAF 等安全设备双栈改造，以提供IPv4 与IPv6 全面的安全防护，部署SPACE6 平台为门户网站、App、对外业务系统提供IPv6 访问入口；运维管理区域在改造过程中应根据业务发展需要同步完成改造，以便更好地支持园区网络与业务的管理。

图4 IPv6园区网建设通用模型

4 结语

本文简要介绍了IPv6 基础技术，并从园区网出口、园区内网、园区网安全、园区应用四个方面展开了IPv4 向IPv6 过渡关键技术的研究，最后设计了IPv6 园区网建设通用模型，为大中型园区网络IPv6 建设与改造提供参考。