IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

admin 2022年4月22日22:48:12安全闲碎评论22 views3487字阅读11分37秒阅读模式

请点击上面 IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】 一键关注!

内容来源:元易青年

IPv6网络演进一般性原则

企业网络向IPv6演进的目的是要在现有网络架构上构建IPv6能力,同时兼顾解决当前网络业务发展的问题。从企业业务层面出发,IPv6改造的基本要求是“在网络演进升级过程中,必须保障原IPv4业务的可持续性服务以及演进后的网络安全等级不弱于原IPv4网络”。

企业业务大致可划分为互联网业务、DMZ对外公众服务业务以及企业自建业务系统,其中互联网业务和对外公众服务业务依赖外部网络应用和用户环境,需要IPv4和IPv6用户访问长期共存,企业网络的IPv6改造必须考虑该因素。

从改造成本、技术先行性以及改造影响范围维度考量,建议企业IPv6改造总体应遵循如下原则:

  • 平滑演进:IPv6网络升级改造是基础协议的变更,网络演进过程应尽量确保现有用户无感知,现有业务迁移平滑。
  • 面向未来:把握IPv6演进升级机会,构建先进的下一代企业IPv6网络系统架构,以充分支撑企业业务系统的长期发展以及稳定运行,避免网络再造、重复投资。
  • 经济可行:应结合当前企业网络系统情况,从全局角度出发选择合适的IPv6升级演进方案,合理利旧,避免资产浪费。
  • 架构调优:企业网络IPv6演进是企业系统管理架构整体刷新或者重构的机会,如企业地址的强管控、DNS资源的统筹管理等。

企业网络逻辑架构全景图

IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

数据中心网络:

  • 按照业务服务范围,企业数据中心一般可划分为对外公众服务和企业内部应用。
  • 对外公众服务的前置服务器一般部署在数据中心的DMZ区,通过互联网出口区连接外部用户。
  • 内部应用主要涉及数据中心内部服务网络(如广域网出口区、业务区网络)。
  • 从业务改造角度可将数据中心划分为内部应用、DMZ区(对外公众服务)、互联网出口以及DC内部服务网络,以此进行IPv6演进升级的迁移规划。

广域网络:

  • 企业各地分支互联存在多种回传方案,如企业自建广域网、运营商MPLS L2/L3 VPN、Internet等方式。
  • 企业广域网络IPv6演进主要考虑广域专网的升级策略。

园区网络:

  • 办公园区可以大致划分为总部园区、分支园区两种类型,两类园区除了组网规模存在区别外,分支园区广域网络回传接入也可能存在多种方式,如企业自建广域网、运营商专线等,在IPv6演进升级设计时也需要针对性设计。

  • 生产园区主要部署了大量的生产终端和生产系统,生产业务流大部分在本园区内闭环。生产园区的生产系统和现网生产终端生命周期长,必然在较长时间内网络需要同时满足IPv4/IPv6双栈业务的运行,以及需要考虑IPv4和IPv6的互通问题。

IPv6网络整体迁移过程

企业IPv6网络演进整体迁移可分为三个阶段:

  • 第一阶段:优先管道升级和互联网出口升级,包括:对外公众服务DMZ区升级、广域网升级、构建IPv6试验田等。
  • 第二阶段:内部网络全面升级,业务访问优选IPv6,包括:数据中心升级、办公园区网络改造、生产园区网络升级等。
  • 第三阶段:内部应用访问切换IPv6通道,对外互联网访问按需保留IPv4能力。
IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

简单来说IPv6网络整体迁移原则是:数据中心先行,其次广域网络,园区按需改造。

  • 第一阶段:数据中心公共服务和测试区双栈;广域网Underlay IPv4单栈,Overlay双栈;园区网试点园区双栈。
  • 第二阶段:数据中心内部应用逐步双栈;园区网办公园区逐步双栈,生产园区双栈。
  • 第三阶段:数据中心内部应用全面IPv6单栈;广域网IPv6 Only。

IPv6网络演进技术方案

IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

数据中心网络:

  • 互联网接入区的改造方案包括:NAT64,IVI和双栈改造。推荐采用双栈方案,直接提供IPv6地址和业务能力。
  • NAT64受限于会话表规格,资源消耗大,随着IPv6终端增加,NAT64会成为IPv6业务发展性能瓶颈。因此NAT64只适用于初期快速开通IPv6对外服务,不推荐作为目标方案。
  • IVI的IPv6地址结构受限,不满足IPv6地址规划原则,不适于大规模部署,不推荐。
  • 内网资源池的改造方案主要是双栈,包括:VXLAN Underlay IPv4 + Overlay双栈和VXLAN Underlay IPv6 + Overlay双栈。
  • 可通过VXLAN Underlay IPv4 + Overlay双栈用于初期双栈改造,快速提供IPv6业务承载能力。
  • 新建数据中心或已有数据中心网络改造可改造为VXLAN Underlay IPv6 + Overlay双栈方式,逐步演进到IPv6 Only网络。

广域网络:

  • 广域网IPv6改造方案主要包括:双栈,6VPE,IPv6+等。
  • 对于没有VPN部署的网络,可采用Native IPv4和Native IPv6双栈转发;后续随着业务SLA提升,如按需调优、智能运维等诉求逐步向IPv6+演进,以提供更高的业务保障和体验能力。最终演进到IPv6 Only网络。
  • 对于采用VPN隔离业务的网络,推荐直接演进到IPv6+,为各园区、数据中心之间的互联提供IPv6+承载。

园区网络:

  • 园区IPv6改造方案主要包括:双栈,VXLAN Underlay IPv4 + Overlay双栈,VXLAN Underlay IPv6 + Overlay双栈等。
  • 对于不需要VPN的园区专网,推荐采用双栈方式提供IPv6业务,并逐步向IPv6+演进以实现SDN、业务快速上云、按需调优、智能运维等高阶场景,并最终演进到IPv6 Only网络。
  • 对于需要VPN隔离的网络,推荐VXLAN Underlay IPv4 + Overlay双栈以快速开通IPv6业务和实现SDN,并逐步向IPv6+演进,最终演进到IPv6 Only网络。

数据中心网络IPv6演进概述

IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

互联网区演进策略:

  • 方案一:互联网接入区出口NAT64方案。若现阶段数据中心内的业务暂不改造,仍保持为IPv4单栈形式,出于其他因素需要快速提供IPv6服务,可考虑使用NAT64方案,即数据中心内DMZ的IPv4服务器通过NAT64网关对外临时提供IPv4/IPv6双栈服务。
  • 方案二:互联网接入区和DMZ区双栈改造。如果互联网区(含DMZ区)对IPv6支持程度良好,设备尚有较长的生命周期,建议考虑利旧,可采用在现有的互联网接入区和DMZ区基础上全面启用双栈部署方案,低成本完成改造。
  • 方案三:新建互联网接入区和DMZ区方案。IPv6网络改造如利旧现有设备,可能会涉及设备的软、硬件版本升级或者部分硬件替换,对现有IPv4业务存在一定的影响。为保证企业DMZ业务连续性,确保对现网IPv4业务零影响,可采用新建单栈IPv6互联网接入区和DMZ区,IPv4和IPv6用户分别通过不同的互联网接入区接入访问IPv4 DMZ区或者IPv6 DMZ区。

出口路由选择:

  • 单一出口的互联网接入:优选静态路由。
  • 多地多出口的互联网接入:优选BGP路由,为保证负载均衡和可靠性,可通过BGP路由属性控制选路。

数据中心内网资源池IPv6改造

  • 适用场景:现网设备已接近生命周期或现网设备不支持部署Underlay或Overlay IPv6的场景。
  • 总体策略:新建内网资源池,一步到位支持VXLAN Underlay IPv6 + Overlay双栈。
IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

资源池/服务器新建:

  • 为避免原IPv4服务升级产生事故和业务中断,通常是新建IPv6资源池/服务器。
  • 若为传统数据中心,建议在新建资源池上同时做其他新技术改造,如SDN。

IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

▶️2022版 | 全国网络安全常用标准(下载)

欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

原文始发于微信公众号(天億网络安全):IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日22:48:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】 http://cn-sec.com/archives/934694.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: