工業(yè)領域IPV6改造升級解決方案

紫光云引擎科技（蘇州）有限公司

網(wǎng)絡改造技術(shù)篇/前沿技術(shù)/其他

1 概述

隨著用戶的數(shù)據(jù)中心、廣域網(wǎng)、園區(qū)網(wǎng)絡的成功運行、改造完成，網(wǎng)絡建設規(guī)范也陸續(xù)完善起來。由于業(yè)務與用戶的迅猛增長，致使雙棧網(wǎng)絡還是隧道過渡，已經(jīng)不再是關(guān)注的重點。而如何能夠?qū)Pv6網(wǎng)絡建設成和IPv4網(wǎng)絡一樣安全、可管理、可運營成為對當前用戶網(wǎng)絡新的挑戰(zhàn)。

1.1 背景

當代中國，互聯(lián)網(wǎng)是關(guān)系國民經(jīng)濟和社會發(fā)展的重要基礎設施，深刻影響著全球經(jīng)濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家，在技術(shù)研發(fā)、網(wǎng)絡建設、應用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎和條件。抓住全球網(wǎng)絡信息技術(shù)加速創(chuàng)新變革、信息基礎設施快速演進升級的歷史機遇，加強統(tǒng)籌謀劃，加快推進IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡強國建設、加速國家信息化進程、助力經(jīng)濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。

1.2 實施目標

在部署IPv6之前，我們首先應該考慮IPv6部署的總體方案和策略，具體考慮因素如下：

首先考慮網(wǎng)絡設備對IPv6業(yè)務支持的廣度。比如IPv6的過渡技術(shù)有手工隧道方式，自動隧道方式，有基于MPLS VPN技術(shù)的6PE方式，有基于網(wǎng)絡地址轉(zhuǎn)換技術(shù)的，IPv6的單播路由協(xié)議有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的組播路由協(xié)議有PIM-DM，PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的業(yè)務種類越多越方便我們進行研究。

其次考慮網(wǎng)絡設備對IPv6業(yè)務支持的深度。IPv6首先應該部署在運營商網(wǎng)絡。這是因為在IPv6網(wǎng)絡里沒有私網(wǎng)地址概念（Site local 地址類型已經(jīng)被IPv6工作組取消），永遠不出現(xiàn)NAT（指類似IPv4私有地址訪問公有地址的方式）?，F(xiàn)階段IPv6網(wǎng)絡的復雜度應該大于IPv4的電信運營網(wǎng)絡，IPv4和IPv6混合組網(wǎng)的現(xiàn)象應該是當前的主旋律，也必定是一個長期演進的緩慢過程。

再次，廣泛使用的用戶終端設備及辦公軟件等對IPv6支持能力參差不齊。雖然移動終端系統(tǒng)（IOS、Android等）、固定終端系統(tǒng)（PC等）都標稱已經(jīng)支持了IPv6能力，如對于客戶端獲取IP地址的方式，IOS支持DHCPv6，但Android僅支持ND方式，支持和協(xié)議實現(xiàn)方式的不同給IPv6的部署和推廣帶來了超出預期的技術(shù)成本和改造難度。此外，基于IPv6的互聯(lián)網(wǎng)應用寥寥可數(shù)，眾多應用服務商并未找到合適的IPv6應用盈利方式，內(nèi)容和應用的缺失又反過來加劇了IPv6發(fā)展遲緩的問題。

最后考慮IPv6標準發(fā)展、完善的持續(xù)性。目前IPv6標準中仍有許多處于草案階段，即使已經(jīng)成為RFC標準的，以后仍有可能會進行協(xié)議擴充。

綜上所述，部署IPv6網(wǎng)絡的時候，應該采用平滑過渡的策略。首先完成IPv6基礎網(wǎng)絡承載能力建設的目標，為將來IPv6應用上線做好準備。其次根據(jù)現(xiàn)有用戶實際網(wǎng)絡及應用的實際部署情況，應用雙棧技術(shù)和過渡技術(shù)，在不影響現(xiàn)有IPv4主體拓撲結(jié)構(gòu)和網(wǎng)絡架構(gòu)的前提下，使得現(xiàn)網(wǎng)中需要部署IPv6網(wǎng)絡的地方能夠通過各種隧道和翻譯技術(shù)，過渡階段協(xié)議內(nèi)、協(xié)議間的應用互訪。

1.3 在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系架構(gòu)中的位置

工業(yè)領域IPV6升級/改造解決方案在下圖（圖1）：工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系架構(gòu)中處于工廠外部網(wǎng)絡（互聯(lián)網(wǎng)/移動網(wǎng)/專用網(wǎng)絡）這個位置，關(guān)聯(lián)關(guān)系為：7工廠云平臺（及管理軟件）與協(xié)作平臺，8智能產(chǎn)品與工廠。為企業(yè)上云提供網(wǎng)絡基礎支撐。

圖1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖

2 需求分析

2.1 互聯(lián)網(wǎng)演進升級的必然趨勢

基于互聯(lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)面臨網(wǎng)絡地址消耗殆盡、服務質(zhì)量難以保證等制約性問題，IPv6能夠提供充足的網(wǎng)絡地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網(wǎng)商業(yè)應用解決方案。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于顯著提升我國互聯(lián)網(wǎng)的承載能力和服務水平，更好融入國際互聯(lián)網(wǎng)，共享全球發(fā)展成果，有力支撐經(jīng)濟社會發(fā)展，贏得未來發(fā)展主動。

2.2 技術(shù)產(chǎn)業(yè)創(chuàng)新發(fā)展的重大契機

推進IPv6規(guī)模部署是互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)生態(tài)的一次全面升級，深刻影響著網(wǎng)絡信息技術(shù)、產(chǎn)業(yè)、應用的創(chuàng)新和變革。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于提升我國網(wǎng)絡信息技術(shù)自主創(chuàng)新能力和產(chǎn)業(yè)高端發(fā)展水平，高效支撐移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新興領域快速發(fā)展，不斷催生新技術(shù)新業(yè)態(tài)，促進網(wǎng)絡應用進一步繁榮，打造先進開放的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)生態(tài)。

2.3 網(wǎng)絡安全能力強化的迫切需要

加快IPv6規(guī)模應用為解決網(wǎng)絡安全問題提供了新平臺，為提高網(wǎng)絡安全管理效率和創(chuàng)新網(wǎng)絡安全機制提供了新思路。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于進一步創(chuàng)新網(wǎng)絡安全保障手段，不斷完善網(wǎng)絡安全保障體系，顯著增強網(wǎng)絡安全態(tài)勢感知和快速處置能力，大幅提升重要數(shù)據(jù)資源和個人信息安全保護水平，進一步增強互聯(lián)網(wǎng)的安全可信和綜合治理能力。

2.4 目前，以IPv4網(wǎng)絡為主的客戶，存在如下問題：

1)IP地址資源短缺，客戶地址不夠用

2)網(wǎng)絡地址轉(zhuǎn)換（NAT）導致端到端應用受限，客戶業(yè)務開展不靈活

3)服務質(zhì)量（QoS）上無法實現(xiàn)端到端部署，客戶關(guān)鍵業(yè)務沒有保障

面對運用IPV4網(wǎng)絡的客戶群體的痛點和升級改造的需要，IPv6作為下一代網(wǎng)絡的基礎以其明顯的技術(shù)優(yōu)勢從根源上解決了IPv4的問題，并增強了未來的擴展性。

3 解決方案

作為IPv4協(xié)議的替代，IPv6協(xié)議使用128位的地址結(jié)構(gòu)解決了IP地址不足的問題，同時對一些特性進行了優(yōu)化處理。出現(xiàn)于IPv4時代的組播技術(shù)，由于其有效解決了單點發(fā)送、多點接收的問題，實現(xiàn)了網(wǎng)絡中點到多點的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡帶寬、降低網(wǎng)絡負載，因此在IPv6中的應用得到了進一步的豐富和加強:

1）128位IPv6地址讓客戶的每臺設備都有全球可達地址，客戶不用為地址煩惱

2）IPv6報頭結(jié)構(gòu)優(yōu)化，處理效率提高，提升客戶整網(wǎng)性能

3）IPv6充分考慮了客戶現(xiàn)存IPv4現(xiàn)狀，可以實現(xiàn)平滑過渡，擴展性好，保護客戶投資

4）IPv6即插即用功能提供更方便的部署方法，簡化客戶網(wǎng)絡部署

5）IPv6流標簽能力讓QoS端到端部署可以實現(xiàn)，保障客戶的關(guān)鍵業(yè)務

6）IPv6內(nèi)置安全特性，保護客戶網(wǎng)絡

IPV6解決方案的整體設計主要包括：網(wǎng)站IPv6改造，DNS系統(tǒng)IPv6改造，服務器負載均衡IPv6改造，網(wǎng)站雙棧改造，企業(yè)分支點IPV6改造，傳統(tǒng)廣域網(wǎng)IPv6遷移方法，IPv6無線網(wǎng)部署等環(huán)節(jié)。

3.1 網(wǎng)站IPv6改造方案概述

圖2 網(wǎng)站IPV6改造方案架構(gòu)圖

1）雙棧：全部軟硬件設備同時運行IPv4 和IPv6 兩個協(xié)議棧，能夠同時處理IPv4和IPv6數(shù)據(jù)包，實現(xiàn)同時支持IPv6和IPv4訪問。

2）新建IPv6服務：不影響原有IPv4服務的情況下，新建IPv6服務平面對外提供IPv6服務。

3）地址族轉(zhuǎn)換：在IPv4網(wǎng)站外部，掛接一臺v4/v6地址族轉(zhuǎn)換設備，原有IPv4源站不需修改，把DNS域名解析AAAA記錄指向轉(zhuǎn)換設備配置的IPv6 地址；IPv6用戶訪問目標網(wǎng)站，經(jīng)DNS解析調(diào)度后轉(zhuǎn)向訪問轉(zhuǎn)換設備的IPv6 地址，轉(zhuǎn)換設備從IPv4 源站讀取數(shù)據(jù)，經(jīng)過協(xié)議轉(zhuǎn)換后發(fā)送數(shù)據(jù)給IPv6用戶。

3.2 DNS系統(tǒng)IPv6改造

1、DNS系統(tǒng)特點：（如圖3）

1）DNS系統(tǒng)提供主機名字和IP地址間的相互轉(zhuǎn)換。DNS采用C/S模式，DNS客戶端提出查詢請求，DNS服務器負責相應請求。

2）DNS系統(tǒng)是一個具有樹狀層次結(jié)構(gòu)的，聯(lián)機分布式數(shù)據(jù)庫系統(tǒng)。

圖3 DNS系統(tǒng)IPv6改造設計圖

2、DNS域名解析完整過程：（如圖4）

圖4 DNS域名解析

1）主機客戶端向本地域名服務器發(fā)起DNS解析請求。

2）本地域名服務器接收主機客戶端DNS解析請求，從本地數(shù)據(jù)庫查詢域名對應的IP地址。如果從本地數(shù)據(jù)庫中查詢到對應的IP地址，則將查詢結(jié)果返回給主機客戶端；如果無法從本地數(shù)據(jù)庫查詢到對應結(jié)果，則本地服務器必須查詢其他的DNS服務器（類似于根服務器，二級、三級域名服務器），直到得到確認的查詢結(jié)果返回主機客戶端。

3、域名發(fā)布IPv6改造：

添加AAAA記錄綁定域名。

1）在域名注冊服務提供商管理界面添加AAAA記錄，由域名注冊服務提供商對外通告域名解析IPv6地址。（如圖5）

圖5 域名發(fā)布IPV6改造

2）自建DNS服務器添加AAAA記錄，對外通告域名解析IPv6地址。

多ISP出口DNS部署（如圖6）

圖6 ISP出口DNS部署

如圖6顯示，部分網(wǎng)站出口會連接多家ISP線路。此種多ISP出口場景下，可使用鏈路負載均衡—Inbound LLB解決DNS解析問題。

圖7 鏈路負載均衡—Inbound LLB解決DNS解析問題

1）LLB作為DNS服務器對外提供DNS解析服務，針對不同運營商對外發(fā)布不同的服務IP。

2）LLB基于用戶源地址返回相應運營商服務地址。

3.3 服務器負載均衡IPv6改造

圖8 服務器負載均衡IPv6改造

1）Global IPv6轉(zhuǎn)換成其他Global IPv6：整個網(wǎng)站基礎架構(gòu)全部使用Global IPv6部署。其中一部分Global IPv6作為對外解析的服務IP，服務器集群使用非服務IP的其余Global IPv6地址。此場景下，服務器集群中任何一臺服務器均可通過Internet直接訪問。

2）Global IPv6轉(zhuǎn)換成ULA IPv6：網(wǎng)站使用Global IPv6作為對外解析的服務IP，服務器集群使用ULA IPv6進行部署。此場景下，ULA IPv6路由不會在公網(wǎng)上傳播。普通客戶使用Internet訪問web服務，只能通過負載均衡設備將Global IPv6轉(zhuǎn)換成ULA IPv6后才能進行訪問。

3.4 網(wǎng)站雙棧改造

1、評判規(guī)則：

1）網(wǎng)絡基礎架構(gòu)：拓撲結(jié)構(gòu)清晰，現(xiàn)網(wǎng)設備絕大部分支持雙棧。

2）客戶層面：能接受軟件代碼、中間件等IPv6適配改造的時限。

2、改造方案：

圖9 工網(wǎng)站雙棧改造方案圖

1）網(wǎng)絡基礎架構(gòu)：交換機、路由器使能雙棧。重點評估設備表項能力。若設備表項能力較低，建議替換升級設備。若全網(wǎng)設備表項能力均較低，建議新建IPv6網(wǎng)站。

2）服務器負載均衡：按客戶需求進行改造。如果客戶想要對外隱藏服務器集群IP，建議部署Global IPv6轉(zhuǎn)換成ULA IPv6服務器負載均衡。

3）DNS系統(tǒng)：添加AAAA記錄，對外發(fā)布IPv6解析地址。若存在多ISP出口，建議部署雙棧鏈路負載均衡。

4）應用基礎、業(yè)務代碼進行雙棧適配改造。

3.5 網(wǎng)站地址族轉(zhuǎn)換改造

1、評判規(guī)則：

客戶層面：資金預算緊張，希望以最小代價、最短時間內(nèi)完成網(wǎng)站IPv6改造。改造方案架構(gòu)圖：

圖10 網(wǎng)站地址族轉(zhuǎn)換改造

1）網(wǎng)絡基礎架構(gòu)：出口路由器使能雙棧，防火墻使能地址族轉(zhuǎn)換功能。

2）DNS系統(tǒng)：添加AAAA記錄，對外發(fā)布IPv6解析地址。若存在多ISP出口，建議部署雙棧鏈路負載均衡。

3.6 企業(yè)分支節(jié)點IPv6改造方法

企業(yè)分支與總部采用星型連接，各分支出口路由器通過N×E1專線的方式分別匯接至企業(yè)總部匯聚路由器。

若新建部分IPv6分支，為了實現(xiàn)與分支節(jié)點的IPv6連接，可將企業(yè)總部作為匯聚節(jié)點的路由器設備升級為雙棧。這樣，原有的IPv4分支與總部的連接保持不變，新建的IPv6分支節(jié)點出口設備采用雙棧路由器，可接入到總部的雙棧設備上。

原有的IPv4分支連接保持不變，新建的IPv6分支采用雙棧的方式接入，企業(yè)分支的出口設備與企業(yè)總部的匯聚節(jié)點設備間采用雙棧。

3.7 傳統(tǒng)廣域網(wǎng)IPv6遷移方法

1、評估現(xiàn)網(wǎng)基礎架構(gòu)：

? 轉(zhuǎn)發(fā)平面：純IPv4轉(zhuǎn)發(fā)？MPLS轉(zhuǎn)發(fā)？

? 雙棧支持度；

? 設備表項規(guī)格；

2、評估客戶需求：

? 是否有VPN需求；

? 是否為客戶重要生產(chǎn)網(wǎng)絡；

? 是否有流量可視、路徑優(yōu)選需求；

IPv6遷移策略：

新建IPv6廣域網(wǎng)：1）設備不支持雙棧；2）表項規(guī)格不滿足要求；3）承載重要生產(chǎn)網(wǎng)絡流量。

雙棧：1）設備支持雙棧；2）表項規(guī)格滿足要求。

6PE：1）MPLS轉(zhuǎn)發(fā)；2）PE支持雙棧；3）無VPN需求。

6VPE：1）MPLS轉(zhuǎn)發(fā)；2）PE支持雙棧；3）有VPN需求。

ADWAN：客戶有流量可視、路徑優(yōu)選需求。

3.8 IPv6無線網(wǎng)部署

圖11 IPV6無線網(wǎng)站部署

無線IPv6網(wǎng)應該具備的基本要求：

? 支持IPv6環(huán)境——有線網(wǎng)IPv6已經(jīng)是必須技術(shù)，無線網(wǎng)IPv6是必然趨勢。如果不支持IPv6勢必造成將來改造成本再投入。H3C通過部署AP與無線交換機互聯(lián)基于IPv6的隧道，支持IPv6環(huán)境下的無線組網(wǎng)需求；

? IPv6 ACL、IPv6組播——無線網(wǎng)實現(xiàn)IPv6，需要對用戶按照不同策略進行訪問控制；IPv6組播往往是園區(qū)IPv6業(yè)務的支撐技術(shù)；

? 支持ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6實現(xiàn)IPv6有線無線網(wǎng)的同等管理。

4 成功案例

新華三企業(yè)事業(yè)部中標賽爾下一代互聯(lián)網(wǎng)創(chuàng)新園項目(中關(guān)村壹號創(chuàng)新園工程)，拿下“兩辦”發(fā)文《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》以來首個IPv6商用項目，在新的IPv6領域占領制高點。

賽爾網(wǎng)絡擁有全球最大的IPv6活躍用戶群，也是我國下一代互聯(lián)網(wǎng)重大應用技術(shù)工程的核心承接者。賽爾旗下的下一代互聯(lián)網(wǎng)創(chuàng)新園，是由清華大學、北京市和賽爾網(wǎng)絡聯(lián)合組建的產(chǎn)業(yè)創(chuàng)新服務載體，擁有10.5萬平方米的辦公空間及配套設施，聚集國家下一代互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟等行業(yè)組織和測試認證機構(gòu)，多媒體、即時通信、瀏覽、搜索、視頻等內(nèi)容提供商，以及新產(chǎn)品、新應用及小微開發(fā)者，推動產(chǎn)業(yè)鏈上下游互動合作，構(gòu)建具有全球影響力的下一代互聯(lián)網(wǎng)產(chǎn)業(yè)集群，未來將成為全國乃至全球的下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新中心，也是IPv6商用領域的絕對制高點。

我司中標方案為IPv6雙棧園區(qū)網(wǎng)解決方案，包括F5000防火墻/ WX3024H/S75E/S6520EI/S5560/S5130等一系列IPv6有線無線設備，是2017年11月中辦國辦對IPv6推進表態(tài)發(fā)文以來，國內(nèi)首個落地的IPv6商用網(wǎng)絡，并服務于全球唯一的下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新產(chǎn)業(yè)園區(qū)。在不久的將來，全球IPv6領域的創(chuàng)新技術(shù)，將有相當比例來自新華三提供的IPv6開發(fā)測試環(huán)境，該項目在全球互聯(lián)網(wǎng)基礎技術(shù)創(chuàng)新領域的營銷價值無法估量。