IPv6部署指南

Scott+Hogg

企業全面采用IPv6的分步實施方法

IPv6自從90年代后期被開發出來之后，一直備受人們的重視，現在已經實施的企業被認為是早期的大多數——這意味著該技術正在被廣泛采用，因此如果您還沒有開始，那就需要考慮開始規劃部署IPv6了。

沿著這條道路的第一步是做好自己的功課。企業可以利用很多已經公開的資源來規劃他們的IPv6部署，而本文最后列出了一些非常有價值的資源的鏈接。

但是，為了幫助您開始，這里介紹了一些鼓勵企業在制定其部署計劃時使用的最佳實踐。

組建您的IPv6部門

您應組建一個跨職能部門來領導IPv6的規劃和部署。該部門的成員來自網絡、安全、系統、應用、桌面和服務等部門，還有業務部門和相關管理人員，這樣才能確保成功的進行合作。

資產清單和評估

您可以選擇把企業中所有IT資產的清單整合到一起，并評估是否有足夠的IPv6能力來繼續推進。對于大多數企業來說，好消息是他們已經等到了現在——幾乎所有的路由器、交換機、防火墻、操作系統、應用程序和其他系統都具有強大的IPv6功能。

展開IPv6培訓

大多數企業的IT員工并沒有花太多時間學習IPv6，也沒有將其與他們熟悉的IPv4協議進行比較。當相關部門的員工開始學習IPv6時，他們經常問一些相同的基本問題。盡管多年來一直有優秀的IPv6培訓材料，但很多IT部門都可以使用一個不錯的IPv6教程來幫助他們入門。隨著IPv6項目的推進，任何額外的培訓都會有回報。

IPv6規劃與設計

一旦部門經過了培訓，并知道環境中有什么，他們就可以針對部署建立詳細的技術計劃。這一整體設計會考慮到您環境的方方面面，以及您的企業將從IPv6實施中獲得的業務優勢。該計劃應遵循互聯網的內部部署方法。

IPv6尋址計劃

在這一點上，IT部門應了解IPv6地址格式，并準備制定IPv6尋址計劃。第一步是確定您的企業可能需要的全球IPv6前綴的長度，可以采用IPv6地址規劃工具來幫助完成這個過程。然后，您可以向您的區域互聯網注冊機構（RIR）請求分配IPv6地址，然后繼續制定詳細的前綴計劃，因為這是您企業的第一個IPv6計劃，最好借助于一本優秀的IPv6尋址書中的經驗，并考慮使用IPv6 IP地址管理（IPAM）工具來協助完成十六進制數學計算工作。

IPv6概念驗證（PoC）

如果您的企業有測試配置的實驗室，那么可以在那里完善配置腳本。使用您自己的IPv6內部實驗室雖然是一種很好的學習方法，但可能還不夠，您可能需要一個PoC測試平臺來準備實施。

在互聯網邊界部署IPv6

到目前為止，這一階段所有的準備工作都為您的企業開始對網絡設備、服務器、安全系統、服務和最終用戶設備的配置更改進行整合奠定了基礎。進入部署階段后，對于那些已經計劃到這一點的團隊而言，很多事情會非常有趣。

正如IETF建議的那樣，IPv6部署應該從企業環境的外部區域開始，通過這一環境，企業網絡連接到互聯網。之所以在互聯網邊界開始部署，是因為企業網絡的這個區域運行著最現代的系統和軟件，因此更有可能被很好地記錄和理解。互聯網邊界只是整個企業的一小部分，在這里部署是應用敏捷方法和在戰術上快速部署IPv6的有效途徑。

在您公司網站上使用IPv6的一種簡單而快速的方法是直接打電話給您的好鄰居內容分發網絡（CDN），讓他們幫助您的公開網站啟用IPv6。這在面向公眾的網站上實現了IPv6，但并沒有在您自己的網絡中實現IPv6。真正的目標是在上游互聯網鏈路上啟用IPv6，然后通過互聯網邊界將IPv6引入。下面是在邊界完成IPv6全面部署的步驟：

· 從您的RIR那里獲得您的全球IPv6地址。

· 聯系您的上游ISP，讓他們在您的鏈路上啟用IPv6。

· 在路由器上配置這些IPv6地址，并測試與ISP的連接。

· 配置您路由器和ISP之間的邊界網關巡檢（BGP）來通告您的全球IPv6前綴。

· 將全球IPv6地址放在防火墻接口上，在防火墻中配置IPv6靜態路由。

· 在外圍設備和服務器上配置IPv6地址，從DNS服務器開始。

· 測試DNS服務器和防火墻之間的IPv6連接。

· 在防火墻中添加允許規則，實現IPv6的入站DNS，然后通過在IPv6上執行查找，從互聯網上進行測試。

· 開始啟用其他外圍服務，例如Web和電子郵件服務器，以便實現IPv6訪問，并驗證互聯網的可達性。

· 在您的公共授權DNS中配置IPv6 AAAA和PTR記錄，以便實現IPv6的可達性。

· 把IPv6添加到負載平衡器或者應用程序交付控制器后面的面向公眾的系統中。

在核心網絡上部署IPv6

還記得上世紀50年代的科幻電影《Blob》，它是怎樣慢慢地吸收路上的所有東西的嗎？在您企業網絡上，IPv6將以同樣的方式前進。當您在整個企業骨干網上添加IPv6連接時，IPv6將一次部署一個3層跳轉，從互聯網邊界向內工作，最終擴展到整個企業核心網絡。IPv6部署應連續進行，因為IPv6連接中的空白會導致端到端轉發問題。

下圖中，IPv4部署在所有的藍色鏈接上，而紅色路徑上部署的IPv6并不是最優的。這將導致很高的端到端延遲。因此，您還需要確保在核心網絡上巧妙地部署了IPv6。

在核心和廣域網（WAN）的IPv6部署期間，網絡部門可以借助他們的IPv4路由協議知識，這些協議本身也支持IPv6。他們可以在核心網絡上使用OSPFv3、EIGRP、IS-IS，甚至BGP來部署IPv6。在部署IPv6時，最好使用與IPv4相同的路由協議——因為網絡工程師已經很熟悉這一協議了。endprint

盡管IPv6是一個完全獨立于IPv4的協議，您也要避免在工作日配置IPv6；最好的做法是首先要在更改配置的時間上獲得批準，以避免影響您的工作網絡。

當您在企業廣域網中遷移IPv6時，不斷變化的企業廣域網體系結構將會有所幫助。隨著越來越多的企業通過混合或者直接互聯網連接來部署軟件定義的廣域網解決方案，企業的IPv6尋址策略將會受到影響。能夠直接訪問互聯網的分支機構將從服務提供商那里分配IPv6地址。您可以選擇為分支機構/部門/遠程辦公室使用提供商的地址空間，也可以選擇使用企業從RIR分配的全球IPv6地址空間。

在接入網上啟用IPv6

在某些情況下，IPv6運行的比IPv4更快，并有利于最終用戶體驗。例如，IPv6連接不受網絡地址轉換（NAT）滯后的影響，比如TCP/UDP頭校驗和重新計算等。

今天，企業最終用戶在使用他們的移動設備時不知不覺地占用了本地IPv6互聯網資源，而像Facebook這樣的內容提供商更喜歡IPv6。因此，企業IPv6部署的下一步是在接入網的第一跳路由器上啟用IPv6。由于最終用戶移動設備中有“快樂眼球”（RFC 6555）算法，其連接將選擇性能最好的IP版本。

就局域網上的主機數量而言，您不必擔心在局域網上是否有足夠的IPv6地址空間進行分配。無論端節點的數量如何，您只需為每個接入網絡分配一個/64位前綴即可。一旦這些路由器（3層接口）配置了IPv6地址，路由器將開始發送ICMPv6路由器通告（RA）消息。這些消息將通知接入網上的所有節點，IPv6現在已經激活，它們應設置自己的IPv6地址，并使用這個路由器來連接上游連接。您還可以利用現有的DHCP服務器在您的企業中提供DHCPv6服務，以幫助管理地址分配。

您也希望在無線和有線接入網上啟用IPv6。當您使用802.11ac部署現代無線設備時，表明您已經擁有了支持企業級IPv6的現代WAP和無線控制器。

到純IPv6的最后一步

此時，您將運行一個雙協議環境。重要的是要記住，雙協議并不是最終目的；純IPv6才是最終目標。原因是企業更愿意在單一協議環境下工作。運營雙協議環境會增加管理成本，因為很多任務要執行兩次，一次是為了IPv4，另一次是為了IPv6。因此，運行純IPv6環境的效率更高。到達這一階段的時間越早，IPv4對您的限制就越少。

Scott Hogg是“全球技術資源”的首席技術官。

原文網址：

http：//www.networkworld.com/article/3235805/lan-wan/ipv6-deployment-guide.htmlendprint