请点击上面 
一键关注!
IPv6网络演进一般性原则
企业网络向IPv6演进的目的是要在现有网络架构上构建IPv6能力,同时兼顾解决当前网络业务发展的问题。从企业业务层面出发,IPv6改造的基本要求是“在网络演进升级过程中,必须保障原IPv4业务的可持续性服务以及演进后的网络安全等级不弱于原IPv4网络”。
企业业务大致可划分为互联网业务、DMZ对外公众服务业务以及企业自建业务系统,其中互联网业务和对外公众服务业务依赖外部网络应用和用户环境,需要IPv4和IPv6用户访问长期共存,企业网络的IPv6改造必须考虑该因素。
从改造成本、技术先行性以及改造影响范围维度考量,建议企业IPv6改造总体应遵循如下原则:
-
平滑演进:IPv6网络升级改造是基础协议的变更,网络演进过程应尽量确保现有用户无感知,现有业务迁移平滑。 -
面向未来:把握IPv6演进升级机会,构建先进的下一代企业IPv6网络系统架构,以充分支撑企业业务系统的长期发展以及稳定运行,避免网络再造、重复投资。 -
经济可行:应结合当前企业网络系统情况,从全局角度出发选择合适的IPv6升级演进方案,合理利旧,避免资产浪费。 -
架构调优:企业网络IPv6演进是企业系统管理架构整体刷新或者重构的机会,如企业地址的强管控、DNS资源的统筹管理等。
企业网络逻辑架构全景图
数据中心网络:
-
按照业务服务范围,企业数据中心一般可划分为对外公众服务和企业内部应用。 -
对外公众服务的前置服务器一般部署在数据中心的DMZ区,通过互联网出口区连接外部用户。 -
内部应用主要涉及数据中心内部服务网络(如广域网出口区、业务区网络)。 -
从业务改造角度可将数据中心划分为内部应用、DMZ区(对外公众服务)、互联网出口以及DC内部服务网络,以此进行IPv6演进升级的迁移规划。
广域网络:
-
企业各地分支互联存在多种回传方案,如企业自建广域网、运营商MPLS L2/L3 VPN、Internet等方式。 -
企业广域网络IPv6演进主要考虑广域专网的升级策略。
园区网络:
-
办公园区可以大致划分为总部园区、分支园区两种类型,两类园区除了组网规模存在区别外,分支园区广域网络回传接入也可能存在多种方式,如企业自建广域网、运营商专线等,在IPv6演进升级设计时也需要针对性设计。
-
生产园区主要部署了大量的生产终端和生产系统,生产业务流大部分在本园区内闭环。生产园区的生产系统和现网生产终端生命周期长,必然在较长时间内网络需要同时满足IPv4/IPv6双栈业务的运行,以及需要考虑IPv4和IPv6的互通问题。
IPv6网络整体迁移过程
企业IPv6网络演进整体迁移可分为三个阶段:
-
第一阶段:优先管道升级和互联网出口升级,包括:对外公众服务DMZ区升级、广域网升级、构建IPv6试验田等。 -
第二阶段:内部网络全面升级,业务访问优选IPv6,包括:数据中心升级、办公园区网络改造、生产园区网络升级等。 -
第三阶段:内部应用访问切换IPv6通道,对外互联网访问按需保留IPv4能力。
简单来说IPv6网络整体迁移原则是:数据中心先行,其次广域网络,园区按需改造。
-
第一阶段:数据中心公共服务和测试区双栈;广域网Underlay IPv4单栈,Overlay双栈;园区网试点园区双栈。 -
第二阶段:数据中心内部应用逐步双栈;园区网办公园区逐步双栈,生产园区双栈。 -
第三阶段:数据中心内部应用全面IPv6单栈;广域网IPv6 Only。
IPv6网络演进技术方案
数据中心网络:
-
互联网接入区的改造方案包括:NAT64,IVI和双栈改造。推荐采用双栈方案,直接提供IPv6地址和业务能力。 -
NAT64受限于会话表规格,资源消耗大,随着IPv6终端增加,NAT64会成为IPv6业务发展性能瓶颈。因此NAT64只适用于初期快速开通IPv6对外服务,不推荐作为目标方案。 -
IVI的IPv6地址结构受限,不满足IPv6地址规划原则,不适于大规模部署,不推荐。 -
内网资源池的改造方案主要是双栈,包括:VXLAN Underlay IPv4 + Overlay双栈和VXLAN Underlay IPv6 + Overlay双栈。 -
可通过VXLAN Underlay IPv4 + Overlay双栈用于初期双栈改造,快速提供IPv6业务承载能力。 -
新建数据中心或已有数据中心网络改造可改造为VXLAN Underlay IPv6 + Overlay双栈方式,逐步演进到IPv6 Only网络。
广域网络:
-
广域网IPv6改造方案主要包括:双栈,6VPE,IPv6+等。 -
对于没有VPN部署的网络,可采用Native IPv4和Native IPv6双栈转发;后续随着业务SLA提升,如按需调优、智能运维等诉求逐步向IPv6+演进,以提供更高的业务保障和体验能力。最终演进到IPv6 Only网络。 -
对于采用VPN隔离业务的网络,推荐直接演进到IPv6+,为各园区、数据中心之间的互联提供IPv6+承载。
园区网络:
-
园区IPv6改造方案主要包括:双栈,VXLAN Underlay IPv4 + Overlay双栈,VXLAN Underlay IPv6 + Overlay双栈等。 -
对于不需要VPN的园区专网,推荐采用双栈方式提供IPv6业务,并逐步向IPv6+演进以实现SDN、业务快速上云、按需调优、智能运维等高阶场景,并最终演进到IPv6 Only网络。 -
对于需要VPN隔离的网络,推荐VXLAN Underlay IPv4 + Overlay双栈以快速开通IPv6业务和实现SDN,并逐步向IPv6+演进,最终演进到IPv6 Only网络。
数据中心网络IPv6演进概述
互联网区演进策略:
-
方案一:互联网接入区出口NAT64方案。若现阶段数据中心内的业务暂不改造,仍保持为IPv4单栈形式,出于其他因素需要快速提供IPv6服务,可考虑使用NAT64方案,即数据中心内DMZ的IPv4服务器通过NAT64网关对外临时提供IPv4/IPv6双栈服务。 -
方案二:互联网接入区和DMZ区双栈改造。如果互联网区(含DMZ区)对IPv6支持程度良好,设备尚有较长的生命周期,建议考虑利旧,可采用在现有的互联网接入区和DMZ区基础上全面启用双栈部署方案,低成本完成改造。 -
方案三:新建互联网接入区和DMZ区方案。IPv6网络改造如利旧现有设备,可能会涉及设备的软、硬件版本升级或者部分硬件替换,对现有IPv4业务存在一定的影响。为保证企业DMZ业务连续性,确保对现网IPv4业务零影响,可采用新建单栈IPv6互联网接入区和DMZ区,IPv4和IPv6用户分别通过不同的互联网接入区接入访问IPv4 DMZ区或者IPv6 DMZ区。
出口路由选择:
-
单一出口的互联网接入:优选静态路由。 -
多地多出口的互联网接入:优选BGP路由,为保证负载均衡和可靠性,可通过BGP路由属性控制选路。
数据中心内网资源池IPv6改造
-
适用场景:现网设备已接近生命周期或现网设备不支持部署Underlay或Overlay IPv6的场景。 -
总体策略:新建内网资源池,一步到位支持VXLAN Underlay IPv6 + Overlay双栈。
资源池/服务器新建:
-
为避免原IPv4服务升级产生事故和业务中断,通常是新建IPv6资源池/服务器。 -
若为传统数据中心,建议在新建资源池上同时做其他新技术改造,如SDN。
「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!
知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。
如何加入:扫描下方二维码,扫码付费即可加入。
加入知识星球的同学,请加我微信,拉您进VIP交流群!
原文始发于微信公众号(天億网络安全):IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论