對網絡IPv6 技術的運用及升級改造方案的思考

（91917部隊）

0 引言

在“新基建”提速背景下，5G、云計算、工業互聯網的繁榮發展，網絡向海量聯接、智能聯接、高質量聯接升級，聯接產業的發展對IP 地址資源提出了新的要求。而我國基礎電信企業網絡基礎設施能力已全面就緒，具備全國范圍服務能力，并開啟IPv6承載服務，移動和固定終端已經全面支持IPv6。根據IPv6監測數據，IPv6網絡質量與IPv4基本趨同。國家層面大力推進IPv6的規模部署，從“十三五”規劃、中共中央辦公廳、國務院都發文大力推進IPv6規模部署，這也就意味著IPv6的時代已經到來，企業網IPv6升級改造已經刻不容緩。

1 網絡IPv6 技術進展

IPv6（Internet Protocol Version 6，互聯網協議第6版），是IETF 設計的用于替代IPv4的下一代IP 協議，IPv6的地址長度為128位，是IPv4地址長度的4倍，號稱可以為全世界的每一粒沙子編上一個地址。IPv6網絡改造涉及的各個技術方面都已經準備就緒。

1.1 基礎設施

目前，網絡基礎設施的路由器、交換機都已經支持IPv6，主流的終端的計算機、手機、筆記本也都支持IPv6。現網中網絡設備往往都沒有啟用IPv6的相關功能，如果啟用將會占用設備中更多的資源，需要考慮設備的資源如CPU 能力、內存、ACL 數目、硬件轉發表項、ARP/ND 表項等是否足以啟用IPv6。

1.2 地址分配

IPv6地址數量龐大，可以為網內的每臺主機都提供公網地址，不再推薦使用私網地址和NAT。一是靜態配置：手工配置IPv6 地址，若前綴變化，修改終端地址工作量很大，主要用于互聯地址或設備地址等；二是DHCPv6通過部署DHCPv6 Server，可以對終端訪問行為進行管控；三是網關無狀態自動分配：網關周期通告自己的前綴，終端根據收到的前綴和自己MAC 地址生成IPv6地址，適用于物聯終端。

1.3 路由協議

IPv4網絡復雜，路由表條目繁多，為解決路由表龐大的問題，IPv6設計之初就對路由策略進行革新，有些是在原協議上進行擴展，有些則完全是新的版本。IPv4中主用的路由協議在IPv6中都有對應的協議：與RIP 對應的RIPng，與OSPF 對應的OSPFv3，以及與IS-IS 的IS-ISv6，與BGP 對應的BGP4+。

1.4 網絡安全

IPv6 網絡安全通過繼承和發展現有IPv4 安全技術和規范，并針對IPv6的特性制定專門的安全策略。相對于傳統的IPv4網絡，IPv6在設計之初就考慮了各種應用安全，IPv6 協議中默認集成了IPSec（Internet Protocol Security），鄰居發現協議（NDP）以及IPv6地址的惟一性等。此外，IPv4和IPv6有很多安全問題的原理和特征沒有發生變化，如竊聽攻擊、中間人攻擊、泛洪攻擊等，傳統的安全策略控制和防火墻等手段在IPv6下依然非常重要。

2 I Pv6 網絡的優勢

IPv6 作為IPv4 的替代者，目的在于解決IPv4 面臨的地址枯竭和路由表膨脹問題。與IPv4相比，IPv6具有以下優點：一是海量IP 地址，全球IPv4地址即將耗盡，未來移動互聯網、物聯網等需要大量地址支持。二是高效轉發，增強的鄰居發現機制，路由聚合功能，優化的分片效率，靈活的擴展報文頭，有效解決路由表膨脹問題。三是敏捷接入，無需DHCP，即插即用，方便快捷，為工業互聯網提供基石。四是端到端安全，端到端IPSec 加密，在IP 層提供報文的機密性、完整性、IP 報文源地址認證以及有限的抗重播攻擊能力。五是流的控制，報文頭新增流標簽實現對流的標識，無須打開數據包即可識別流。此外，便于溯源，所有終端采用全球惟一IP 標識并被記錄，可對網絡不法犯罪活動做到有效監控打擊。

IPv6不僅是協議的升級、網路的改造，更是網絡變革的契機，是打造更高質量的下一代互聯網的好時機。

3 網絡IPv6 升級改造方案

IPv6建設通常有兩種方式：一是升級現有網絡：由于全網設備升級面臨投資大、網絡重新規劃、業務整合等問題?？梢酝ㄟ^改造核心或者部分區域，快速允許用戶訪問IPv6資源。目前，大部分企業和機構通過改造互聯網接入區或DMZ 區，建設IPv6門戶網站。二是新建IPv6網絡，選取支持雙棧的交換機設備，按照現有網絡建設模式，重新建設IPv6全業務平臺?？梢酝ㄟ^新建小型試驗網，逐步進行系統遷移，管理簡單，IPv4和IPv6的邏輯界面清晰。

3.1 升級/改造現有IPv4 網絡

（1）隧道方案。ISATAP 和6to4 都是目前比較流行的自動建立隧道的過渡技術，通過將IPv6封裝在IPv4中傳送，連接被IPv4隔絕的IPv6孤島，此種改造范圍小。如果現網中IPv6客戶端數量較小且分布不集中，可以通過此種隧道技術實現訪問IPv6資源。

圖1 升級/改造現有IPv4

（2）雙棧方案。雙棧技術需要網絡、安全及應用系統同時運行IPv6/IPv4 兩套協議，配置管理較為復雜。如果現網中存在IPv6客戶端相對集中的節點，可以在匯聚層使用雙棧交換機，通過雙棧交換機上聯至雙棧核心交換機。這樣的組網也具有更好的可擴展性。

圖2 雙棧方案

（3）地址轉換技術。地址轉換是在IPv4/IPv6 網絡節點之間部署一個協議轉換設備，以實現透明的IPv6和IPv4 互訪問，改動小，但和業務強耦合，性能是瓶頸。一是有狀態NAT64。典型場景是：內部IPv6主機訪問外部IPv4服務器。地址轉換是自動的，轉換可以多對一的（多個IPv6地址轉換為一個IPv4地址）。二是無狀態NAT64。典型場景是：IPv4 服務器通過NAT64發布IPv6地址，允許外部IPv6主機訪問此服務器。這在門戶網站中經常使用。

3.2 新建IPv6 網絡

現網升級改造，對現有設備的承載壓力和資源都要求較高、系統管理復雜。對于規模比較大的網絡，建議采用新建IPv6實驗區，再逐步擴大IPv6的范圍，實現IPv6網絡建設。新建方案對原有IPv4業務沒有影響，兩張物理網絡，單點設備壓力小，IPv4/ IPv6運維界面清晰，運維難度適中。一是互聯網接入區：接入各運營商IPv6 Internet 線路，部署IPv6路由協議。二是DMZ 區：服務器配置雙棧，通過IPv6對外發布應用，通過IPv4 與數據區進行數據交互。三是核心交換區：交換機配置雙棧路由協議，提供IPv6和IPv4的路由。此外，終端接入區：通過DNSv6 為終端進行IPv6 域名解析，通過DHCPv6位終端分配IPv6地址。

圖3 地址轉換方案

圖4 新建IPv6網絡