企業(yè)自主研究IPv6和SDN的攻關(guān)工作

一、引言

中國石油長慶油田分公司第九采油廠作為國內(nèi)石油行業(yè)的領(lǐng)軍企業(yè)，深知IPv6和SDN在提升企業(yè)網(wǎng)絡(luò)性能、安全性和管理效率方面的重要性。為了滿足企業(yè)日益增長的網(wǎng)絡(luò)需求，第九采油廠決定開展自主研究，攻克IPv6和SDN的難題，并將其應(yīng)用于實際網(wǎng)絡(luò)實施項目中。

二、IPv6技術(shù)概述

（一）IPv6基本概念

IPv6，全稱為互聯(lián)網(wǎng)協(xié)議第6版，是全球公認(rèn)的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。這一版本是由國際標(biāo)準(zhǔn)化組織IETF制定的，與IPv4相比，IPv6具有更大的地址空間，其地址數(shù)量號稱可以為全世界的每一粒沙子編上一個地址，有助于防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

（二）IPv6地址分配方式

無狀態(tài)自動配置允許設(shè)備自動從網(wǎng)絡(luò)上獲取IPv6地址，而不需要手動配置或中央服務(wù)器。在接口上啟用IPv6并分配地址前綴。設(shè)備將從鏈路上學(xué)習(xí)IPv6地址前綴，并自動配置其IPv6地址。在R2的例子中，通過無狀態(tài)自動配置，R2從R1的f0/0接口獲取了地址前綴2012：：，并將其用于配置自己的f1/0接口。當(dāng)R2的f1/0接口配置了無狀態(tài)自動配置default后，它沒有默認(rèn)路由。如果R2的f1/0接口配置了無狀態(tài)自動配置default，它將添加一個默認(rèn)路由，將R1的f0/0作為網(wǎng)關(guān)。DHCPv6是用于IPv6的動態(tài)主機配置協(xié)議，它允許設(shè)備從DHCP服務(wù)器自動獲取IPv6地址和其他網(wǎng)絡(luò)配置信息。DHCPv6本地地址池創(chuàng)建本地IPv6地址池。將本地地址池綁定到DHCP服務(wù)器。在接口上應(yīng)用DHCPv6服務(wù)器。設(shè)備將從DHCP服務(wù)器請求和獲取IPv6地址和其他網(wǎng)絡(luò)配置信息。

（三）IPv6路由選擇機制

靜態(tài)路由需要管理員手動配置，適合結(jié)構(gòu)簡單的IPv6網(wǎng)絡(luò)。在創(chuàng)建IPv6靜態(tài)路由時，管理員可以靈活地選擇指定出接口和下一跳，或者只指定其中之一。當(dāng)配置相同目的地址的多條靜態(tài)路由時，通過指定不同的優(yōu)先級可以實現(xiàn)負(fù)載分擔(dān)或備份功能。公網(wǎng)上配置IPv6靜態(tài)路由提供了用于在公網(wǎng)上配置IPv6靜態(tài)路由的命令格式。在VPN實例下配置IPv6靜態(tài)路由提供了在VPN實例下配置IPv6靜態(tài)路由的命令格式。如果未配置優(yōu)先級，靜態(tài)路由的默認(rèn)優(yōu)先級為60。通過將目的地址和前綴長度都配置為全0（：：/0），可以配置默認(rèn)路由。在undo命令中配置參數(shù)permanent時，只能取消IPv6靜態(tài)路由的永久發(fā)布，不能刪除IPv6靜態(tài)路由。某公司網(wǎng)絡(luò)部署了IPv6網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)測試，初期通過靜態(tài)路由實現(xiàn)IPv6網(wǎng)絡(luò)的互聯(lián)互通。

三、企業(yè)自主研究IPv6與SDN的現(xiàn)狀

（一）國內(nèi)企業(yè)SDN應(yīng)用現(xiàn)狀

新華三發(fā)布的AD-NET6.0具有六項重要功能，涵蓋了統(tǒng)一底盤實現(xiàn)云智原生、全域聚合實現(xiàn)業(yè)務(wù)協(xié)作、應(yīng)用洞察提升全棧透視、網(wǎng)隨意動推進(jìn)智能駕馭、復(fù)合孿生賦能服務(wù)優(yōu)化和自主架構(gòu)提供敏捷體驗。

（二）國內(nèi)企業(yè)IPv6應(yīng)用現(xiàn)狀

國內(nèi)IPv6活躍用戶數(shù)已達(dá)7.765億，IPv6用戶占比達(dá)到71.96%，IPv6用戶規(guī)模已位居世界前列。2023年我國移動網(wǎng)IPv6流量占比首次超過50%；固定網(wǎng)絡(luò)IPv6流量占比明顯提速，超過20%。所有重點網(wǎng)站應(yīng)用IPv6支持率都在80%以上。其中，金融央企門戶網(wǎng)站支持率最高，已達(dá)100%，其次是Top 100移動互聯(lián)網(wǎng)應(yīng)用達(dá)99%，雙一流大學(xué)網(wǎng)站、中央企業(yè)門戶網(wǎng)站、中央重點新聞媒體網(wǎng)站都達(dá)到90%以上。

（三）企業(yè)自主研究IPv6與SDN的需求

第九采油廠決定開展企業(yè)自主研究，探索IPv6與SDN在其業(yè)務(wù)運營中的實際應(yīng)用和需求。SDN作為一種新型的網(wǎng)絡(luò)架構(gòu)，其核心思想是將網(wǎng)絡(luò)的控制與數(shù)據(jù)層面分離，實現(xiàn)網(wǎng)絡(luò)流量的靈活控制。通過SDN，企業(yè)可以更加便捷地實現(xiàn)網(wǎng)絡(luò)的動態(tài)配置、流量優(yōu)化和管理，生產(chǎn)網(wǎng)與辦公網(wǎng)物理隔離，在廠級生產(chǎn)網(wǎng)和辦公網(wǎng)邊界部署隔離防火墻（Hillstone SG-6000-G3150），隔離防火墻上做靜態(tài)地址轉(zhuǎn)換實現(xiàn)辦公網(wǎng)訪問生產(chǎn)網(wǎng)服務(wù)器。隔離防火墻創(chuàng)建DMZ區(qū)域，使廠級生產(chǎn)服務(wù)器位于DMZ區(qū)域。其中生產(chǎn)網(wǎng)核心設(shè)備1臺，型號H3C S12504X；匯聚設(shè)備5臺，型號有H3C S12504X（1臺）、H3C S7502E（2臺）、Cisco C4507R（1臺）、H3C S5560（1臺）；接入層交換共157臺，設(shè)備類型有H3C S5130（74）、H3C S5110（56臺）、H3C S5500（1臺）、HW S5720S（5臺）、WS-C3560（2臺）、WSC2960-24-S（19臺）。

四、企業(yè)自主研究IPv6與SDN的關(guān)鍵技術(shù)優(yōu)化

（一）IPv6與SDN的集成技術(shù)

IPv6與SDN的集成首先需要實現(xiàn)網(wǎng)絡(luò)設(shè)備的SDN就緒。這涉及到對現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行軟件和硬件的升級，使其支持SDN協(xié)議和控制接口。隨后，通過SDN控制器實現(xiàn)對整個網(wǎng)絡(luò)的集中控制，在實施過程中，需充分考慮IPv6地址規(guī)劃、路由策略、網(wǎng)絡(luò)安全策略等因素，確保網(wǎng)絡(luò)的正常運行。本次項目開展生產(chǎn)網(wǎng)替換改造，具體情況如下：

增加IPv6支持，生產(chǎn)網(wǎng)改造為SDN網(wǎng)絡(luò)。

第九采油廠生產(chǎn)網(wǎng)核心替換一臺匯聚交換機S2Spine，新增一臺匯聚交換機S2，共兩臺匯聚交換機S2作為核心設(shè)備，作為生產(chǎn)網(wǎng)全網(wǎng)的核心和總出口，與外界互聯(lián)。

吳起和姬三聯(lián)匯聚站點根據(jù)匯聚和接入終端數(shù)量情況進(jìn)行設(shè)備替換，在吳四聯(lián)中心站3，薛岔調(diào)控中心，監(jiān)控室，姬三聯(lián)位置，共計更換4臺接入交換機S1，作為匯聚網(wǎng)關(guān)。接入設(shè)備根據(jù)設(shè)備年限進(jìn)行替換，各匯聚站點下接入二層接入設(shè)備，提供終端接入支持。

（二）IPv6網(wǎng)絡(luò)安全技術(shù)

對于外部威脅，部署了下一代防火墻（NGFW）來過濾和監(jiān)控進(jìn)入的數(shù)據(jù)流。NGFW具備深度包檢測功能，能夠識別并阻止惡意軟件的入侵。為了保護(hù)內(nèi)部網(wǎng)絡(luò)，采用了虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)。通過VPN，加密遠(yuǎn)程用戶訪問公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，確保數(shù)據(jù)的安全傳輸。

（三）IPv6性能優(yōu)化技術(shù)

針對IPv6的性能優(yōu)化，中國石油長慶油田分公司第九采油廠采取了多種策略。采用流量整形技術(shù)，對網(wǎng)絡(luò)流量進(jìn)行合理的調(diào)度和管理。實施了流量壓縮技術(shù)，對傳輸?shù)臄?shù)據(jù)進(jìn)行壓縮處理，減少數(shù)據(jù)包的體積，從而降低傳輸延遲。IPv6協(xié)議對報頭格式進(jìn)行了改進(jìn)，以減少路由器的處理時間。通過優(yōu)化IPv6報頭，降低了網(wǎng)絡(luò)傳輸延遲，提高了數(shù)據(jù)傳輸效率。IPv6引入了流標(biāo)簽字段，用于標(biāo)識相同數(shù)據(jù)流中的數(shù)據(jù)包。讓網(wǎng)絡(luò)能夠更好地支持QoS（服務(wù)質(zhì)量），確保關(guān)鍵業(yè)務(wù)流量得到優(yōu)先處理。IPv6原生支持IPsec（Internet Protocol Security），提供了網(wǎng)絡(luò)安全功能。第九采油廠利用這一特性，實現(xiàn)了端到端的安全通信，讓采油廠設(shè)備能夠在網(wǎng)絡(luò)中無縫漫游，提高了生產(chǎn)效率。

五、結(jié)語

項目對IPv6與SDN的關(guān)鍵技術(shù)進(jìn)行優(yōu)化和應(yīng)用，實現(xiàn)了自動化運維，解決了生產(chǎn)網(wǎng)絡(luò)覆蓋不全、地址空間資源不足等問題，企業(yè)在規(guī)劃和設(shè)計階段需要充分考慮IPv6和SDN的實施，制定明確的項目計劃和目標(biāo)，并與供應(yīng)商建立緊密的合作關(guān)系確保網(wǎng)絡(luò)穩(wěn)定運行，讓網(wǎng)絡(luò)故障事件得到排除。

作者單位：中國石油長慶油田第九采油廠科技信息部