(91917部队)
在“新基建”提速背景下,5G、云计算、工业互联网的繁荣发展,网络向海量联接、智能联接、高质量联接升级,联接产业的发展对IP 地址资源提出了新的要求。而我国基础电信企业网络基础设施能力已全面就绪,具备全国范围服务能力,并开启IPv6承载服务,移动和固定终端已经全面支持IPv6。根据IPv6监测数据,IPv6网络质量与IPv4基本趋同。国家层面大力推进IPv6的规模部署,从“十三五”规划、中共中央办公厅、国务院都发文大力推进IPv6规模部署,这也就意味着IPv6的时代已经到来,企业网IPv6升级改造已经刻不容缓。
IPv6(Internet Protocol Version 6,互联网协议第6版),是IETF 设计的用于替代IPv4的下一代IP 协议,IPv6的地址长度为128位,是IPv4地址长度的4倍,号称可以为全世界的每一粒沙子编上一个地址。IPv6网络改造涉及的各个技术方面都已经准备就绪。
目前,网络基础设施的路由器、交换机都已经支持IPv6,主流的终端的计算机、手机、笔记本也都支持IPv6。现网中网络设备往往都没有启用IPv6的相关功能,如果启用将会占用设备中更多的资源,需要考虑设备的资源如CPU 能力、内存、ACL 数目、硬件转发表项、ARP/ND 表项等是否足以启用IPv6。
IPv6地址数量庞大,可以为网内的每台主机都提供公网地址,不再推荐使用私网地址和NAT。一是静态配置:手工配置IPv6 地址,若前缀变化,修改终端地址工作量很大,主要用于互联地址或设备地址等;二是DHCPv6通过部署DHCPv6 Server,可以对终端访问行为进行管控;三是网关无状态自动分配:网关周期通告自己的前缀,终端根据收到的前缀和自己MAC 地址生成IPv6地址,适用于物联终端。
IPv4网络复杂,路由表条目繁多,为解决路由表庞大的问题,IPv6设计之初就对路由策略进行革新,有些是在原协议上进行扩展,有些则完全是新的版本。IPv4中主用的路由协议在IPv6中都有对应的协议:与RIP 对应的RIPng,与OSPF 对应的OSPFv3,以及与IS-IS 的IS-ISv6,与BGP 对应的BGP4+。
IPv6 网络安全通过继承和发展现有IPv4 安全技术和规范,并针对IPv6的特性制定专门的安全策略。相对于传统的IPv4网络,IPv6在设计之初就考虑了各种应用安全,IPv6 协议中默认集成了IPSec(Internet Protocol Security),邻居发现协议(NDP)以及IPv6地址的惟一性等。此外,IPv4和IPv6有很多安全问题的原理和特征没有发生变化,如窃听攻击、中间人攻击、泛洪攻击等,传统的安全策略控制和防火墙等手段在IPv6下依然非常重要。
IPv6 作为IPv4 的替代者,目的在于解决IPv4 面临的地址枯竭和路由表膨胀问题。与IPv4相比,IPv6具有以下优点:一是海量IP 地址,全球IPv4地址即将耗尽,未来移动互联网、物联网等需要大量地址支持。二是高效转发,增强的邻居发现机制,路由聚合功能,优化的分片效率,灵活的扩展报文头,有效解决路由表膨胀问题。三是敏捷接入,无需DHCP,即插即用,方便快捷,为工业互联网提供基石。四是端到端安全,端到端IPSec 加密,在IP 层提供报文的机密性、完整性、IP 报文源地址认证以及有限的抗重播攻击能力。五是流的控制,报文头新增流标签实现对流的标识,无须打开数据包即可识别流。此外,便于溯源,所有终端采用全球惟一IP 标识并被记录,可对网络不法犯罪活动做到有效监控打击。
IPv6不仅是协议的升级、网路的改造,更是网络变革的契机,是打造更高质量的下一代互联网的好时机。
IPv6建设通常有两种方式:一是升级现有网络:由于全网设备升级面临投资大、网络重新规划、业务整合等问题。可以通过改造核心或者部分区域,快速允许用户访问IPv6资源。目前,大部分企业和机构通过改造互联网接入区或DMZ 区,建设IPv6门户网站。二是新建IPv6网络,选取支持双栈的交换机设备,按照现有网络建设模式,重新建设IPv6全业务平台。可以通过新建小型试验网,逐步进行系统迁移,管理简单,IPv4和IPv6的逻辑界面清晰。
(1)隧道方案。ISATAP 和6to4 都是目前比较流行的自动建立隧道的过渡技术,通过将IPv6封装在IPv4中传送,连接被IPv4隔绝的IPv6孤岛,此种改造范围小。如果现网中IPv6客户端数量较小且分布不集中,可以通过此种隧道技术实现访问IPv6资源。
图1 升级/改造现有IPv4
(2)双栈方案。双栈技术需要网络、安全及应用系统同时运行IPv6/IPv4 两套协议,配置管理较为复杂。如果现网中存在IPv6客户端相对集中的节点,可以在汇聚层使用双栈交换机,通过双栈交换机上联至双栈核心交换机。这样的组网也具有更好的可扩展性。
图2 双栈方案
(3)地址转换技术。地址转换是在IPv4/IPv6 网络节点之间部署一个协议转换设备,以实现透明的IPv6和IPv4 互访问,改动小,但和业务强耦合,性能是瓶颈。一是有状态NAT64。典型场景是:内部IPv6主机访问外部IPv4服务器。地址转换是自动的,转换可以多对一的(多个IPv6地址转换为一个IPv4地址)。二是无状态NAT64。典型场景是:IPv4 服务器通过NAT64发布IPv6地址,允许外部IPv6主机访问此服务器。这在门户网站中经常使用。
现网升级改造,对现有设备的承载压力和资源都要求较高、系统管理复杂。对于规模比较大的网络,建议采用新建IPv6实验区,再逐步扩大IPv6的范围,实现IPv6网络建设。新建方案对原有IPv4业务没有影响,两张物理网络,单点设备压力小,IPv4/ IPv6运维界面清晰,运维难度适中。一是互联网接入区:接入各运营商IPv6 Internet 线路,部署IPv6路由协议。二是DMZ 区:服务器配置双栈,通过IPv6对外发布应用,通过IPv4 与数据区进行数据交互。三是核心交换区:交换机配置双栈路由协议,提供IPv6和IPv4的路由。此外,终端接入区:通过DNSv6 为终端进行IPv6 域名解析,通过DHCPv6位终端分配IPv6地址。
图3 地址转换方案
图4 新建IPv6网络