IPv6网络演进解决方案.docx
网络IPv6演进方案 充分合理利用已申请的地址空间,提高地址的利用效率。IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、 路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相 对应,应该是自顶向下的一种规划。IPv6的地址规划时考虑三大类地址:1、公共服务器地址,如DNS, EMAIL, FTP等。2、网络设备互联地址和网络设备的LOOPBACK地址。根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6 网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6 MIB信息的获取和OSPFV3中ROUTER ID等均 要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址(仅需要网络设备互联地址和网络 设备的LOOPBACK地址)。3. 3.4 IPv6路由规划(根据具体情况修改)路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了 对IPv6的支持功能。从路由协议的应用范围来看,OSPFv3、RIPng和IS-ISv6适用 于自治域内部路由,为内部网关协议;BGP4+用来在自治域之间交换网络可达信 息,是外部网关协议。域内路由协议选择支持IPv6的内部网关协议有:RIPng、OSPFv3、IS-ISv6协议。从路由协议标准 化进程看,RIPng和OSPFV3协议已较为成熟,支持IPv6的IS-IS协议标准草案也 已经过多次讨论修改,标准正在形成之中,而且IS-ISV6已经在主流厂家的相关 设备得到支持。从协议的应用范围的角度,RIPng协议适用于小规模的网络,而 OSPF和IS-IS协议可用于较大规模的网络。对于大规模的IP网络,为了保证网络的可靠性和可扩展性,内部路由协议 (IGP)必须使用链路状态路由协议,只能在OSPF与IS-IS之间进行选择,下面 对两种路由协议进行简单的对比。目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFV2,能够支持 IPv6路由信息的OSPF版本称为OSPFV3,能够支持IPv6路由信息交换的ISIS路 由协议称为IS-ISv6o0SPFv3:OSPFV3与OSPFV2相比,虽然在机制和选路算法并没有本质的改变,但新增 了一些OSPFV2不具备的功能。OSPFV3只能用来交换IPv6路由信息,ISISV6可以 同时交换IPv4路由信息和IPv6路由信息。OSPF是基于IP层的协议,OSPF v3是为IPv6开发的一套链路状态路由协议。 大体与支持IPv4的OSPF v2版本相似。对比OSPF v2,在OSPF v3中有以下区别:虽然 OSPFv3 是为 IPv6 设计的,但是 OSPF 的 Router ID、Area ID 和 LSA Link State ID依然保持IPv4的32位的格式,而不是指定一个IPv6的地址。所以即使 运行OSPF v3也需要为路由器分配IPv4地址。协议的运行是按照每一条链路(Per-link)进行的,而不是按照每个子网进行 的 (per-subnet);把地址域从OSPF包和一些LSA数据包中去除掉,使得成为网络层协议独立 的路由协议:与0SPFv2不同,IPv6的地址不再出现在OSPF包中,而是会在链路状态更新 数据包中作为LSA的负载出现;Router-LSA和Network-LSA也不再包含网络地址,而只是简单的表示拓扑信 息;邻居路由器的识别将一直使用Router ID,而不是像OSPFv2 一样在某些使用 端口会将端口地址作为标识。Link-Local地址可以作为OSPF的转发地址。除了 Virtual link必须使用Global unicast地址或者使用Site-local地址。去掉了认证信息、。在OSPF v3中不再有认证方面的信息。如果需要加密,可 以使用IPv6中定义的IP Authentication Header来实现。3. 3.5基于真实IPv6源地址的用户标识和认证服务基于真实IPv6源地址的用户标识和认证服务即保证用户的IPv6地址的使用 必须是经过授权的,具体应用与场景相关,可分为路由转发流量和本地接入流量 的源地址验证。1、路由转发流量:XXX网络内转发,可采用OSPFV3或ISIS等,ISIS可以通过MD5加密,OSPF 可以使用IPSEC加密,保证IPv6路由来源的可靠性,然后通过URPF或ACL来检 查报文的源地址是否来源于正确的端口 o2、本地接入流量:此环境下和接入层组网、地址分配方式、接入设备密切相关。接入层典型的 组网由客户端(主机Host)、接入设备(NAS)、AAA服务器组成。地址分配包 括无状态地址分配(ND,以及扩展的SEND、Privacy Extensions) 有状态地址分 配(DHCP)、手工配置等,采用有状态分配地址,组网中要加入DHCP服务器。接入设备NAS有路由器、交换机、AC/AP等,对应的接入链路层包括ADSL、 Ethernets WiFi等,其上都可以直接承载IPv6数据报文。如果二层本身就可以隔 离或加密,则部署较简单,只需要在认证环节确保安全、然后将二层信息与IPv6 地址进行绑定即可,否则需要考虑后续的每报文的安全性处理。接入认证协议有802.1X、PPPoE、PORTAL、802.11i. WAPI等,可以将MAC地 址、端口与IPv6地址绑定,无线协议是共享端口的,可以将IPv6地址与二层传 输密钥绑定。绑定的过程,视地址分配方式而不同,手工配置只能静态绑定, ND/DHCP则可以动态绑定。对于ND协议,其安全性需要提高,可以采用类似 ARP的方案来补充:ND源抑制功能、ND防IP报文攻击功能、ND的主动确认、 源MAC地址固定的ND攻击检测、ND报文源MAC 一致性检查、ND报文限速、 授权 ND ND Detection> ND Proxy 等。目录概述31.1 项目背景概述3需求分析31.2 IPv6网络演进51.2.1 IPv6发展初期阶段51.2.2 IPv6与IPv4共存阶段51.2.3 IPv6主导阶段51.3 需要考虑的问题51.3.1 IPv6演进模式61.3.2 IPv6业务支持61.3.3 IPv6可管理性61.3.4 针对不同的网络环境进行建设6解决方案71.4 网络建设总体要求71.5 XXX用户网络划分71.6 方案说明71.6.1 组网思路8> IPv6用户的接入方式(根据具体情况修改)8> 业务实现分析(根据具体情况修改)81.6.2 广域网IPv6组网(根据具体情况修改)8>企业分支节点接入91.6.3 IPv6地址规划(根据具体情况修改)91.6.4 IPv6路由规划(根据具体情况修改)101.6.5 基于其实IPv6源地址的用户标识和认证服务12LI项目背景概述Internet的成功与发展促进了 IP网络的发展,不过IPv4地址已然耗尽, 下一代互联网使用IPv6技术已成为互联网发展的必然趋势。2011年2月3日, 全球互联网数字分配机构(IANA)正式宣布已无新的IPv4地址分配。而随着物联 网、移动互联网等新型应用的快速发展,将会需求大量的地址资源,这势必会对 我国互联网持续稳定的发展产生影响,因此解决IPv4地址短缺的问题迫在眉睫。从技术本质上讲,解决IPv4地址短缺,可以采用两种不同的技术路线,一 种是多级NAT(如NAT444)技术,另一种是IPv6技术,这两种技术是完全对立的。 从长远来看,NAT技术并不能从根本上解决地址短缺的问题,而且会增加网络结 构的复杂性。2017年11月26日,中办、国办联合印发了推进互联网协议第六版(IPv6) 规模部署的行动计划(以下简称计划)o从该计划可以看到,政府横 向要求政府机构、中央媒体、中央企业网站完成IPv6的升级改造,纵向从终端、 网络到典型应用整个垂直行业要求支持IPv6的演进。这充分反映了国家战略和 政府在此次IPv6规模部署行动的决心。为了满足XXX未来的网络信息系统的建设需要,减少新业务与应用的1T成 本,以及物联网及大数据在XXX业务方面的应用需求。IPv6网络的部署及演进 已是必然趋势,需提前做好相应的技术规划,未雨绸缪。2需求分析目前,在XXX的网络信息系统中,部分业务系统是通过IPV4 NAT技术实现XXX和XXX网络的互联互通,与互联网业务的访问也是通过NAT技术实现。拓扑 网络如下图:图2-1 *系统网络拓扑图NAT技术的使用,虽然能解决IPv4地址的紧缺和网络自治区域间的互联互 通,但也为网络的使用带来消极影响;NAT是一种救急措施而非最终解决方案。NAT网络的弊端如下: 破坏的IP的端到端模型,增加网络复杂性,提高网络运维成本地址和端口转换需要额外处理,影响网络性能,降低流媒体业务质量 保存连接状态,存在单点失效问题,降低了网络的可靠性 面临非NAT友好应用问题,某些新业务需升级NAT设备由于IPv4与IPv6协议的不兼容,引入IPv6技术关键在于即要保证原有 IPv4业务的应用,同时乂要考虑通过IPv6引入减轻IPv4地址不足所面临的压 力。因此产生了大量的IPv6演进方案,包括双栈技术、NAT444、DS-Litc、NAT64、 IVE 6t。4、4over6> 6RD、6PE等多种解决方案。具体采用哪种解决方案,需要 结合XXX网络信息系统的现有情况及今后的业务场景需求,选择对应的IPv6演 进策略。没有任何一个技术可以解决所有问题,需要具体问题具体分析。未来网络的最终模型必然是单栈IPv6网络已成为业界共识,因此在选择 IPv6演进方案时,更多的需要考虑所选择的技术架构是需要符合未来的发展趋 势,同时也可以避免多次升级所带来的各种问题。受限于应用系统或终端局限等 问题,不能在短时间内大规模升级到IPv6,且大量业务仍是基于IPv4的业务应 用,因此在未来一段时间内,网络中主要的应用还是基于IPv4的。为加快IPv6 的演进,需要加快引进IPv6业务的进度。目前,XXX网络在IPv6部署演进中主要会面临三大挑战:业务、终端与网络 边缘。由于网络边缘设备涉及到相对复杂的网络路由管理、安全、业务感知等功能, 且会存在一定数量现网设备不具备软件升级支持IPv6的能力,会面临替换的问 题,但相对来讲,在三大挑战中这是最容易解决的。对于终端和业务部分而言,终端因涉及到规模庞大、应用软件种类多、总体 成本高等原因,是IPv6网络演进的主要困难。没有创新的应用也就难以为IPv6 特色业务的开发和规模提供有效平台,整个IPv6演进就难以进入良性循环。2.1 IPv6网络演进当前大量的网络是IPv4网络,随着IPv6的部署,很长一段时间是IPv4与 IPv6共存的过渡阶段。通常将IPv6的部署划分为以下个阶段:图2-2 IPv6的部署方案IPv6发展初期阶段在IPv6网络部署初期,IPv6站点的规模不大,因此在IPv4网络中形成了 一个个“IPv6孤岛”。业务应用上以原有的IPv4应用为主,需要保证IPv6站 点与IPv4网络之间的通信,以及IPv6站点之间的互连。2. 1. 2 IPv6与IPv4共存阶段随着IPv6网络规模的扩大,纯IPv6网络与纯IPv4网络并存。基于IPv6的 传统业务逐渐开始大量部署,需要保证IPv6与IPv4之间的通信。2.1 . 3 IPv6主导阶段纯IPv6网络最终形成,原有的IPv4网络大部分升级为IPv6,只剩下少数 的IPv4站点成为“IPv4孤岛”。此时适用于IPv6的各种新型业务开始成为主 流业务。2.2 需要考虑的问题在XXX系统部署IPv6之前,我们首先要考虑部署的总体方针和策略:2. 2.1 IPv6演进模式在XXX网中部署IPv6可以有全双栈模式和隧道模式。全双栈模式组网是最 理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4 和IPv6的逻辑界面清晰。隧道模式属于过渡技术,不是最终的理想方案;隧道 两端点设备需要花费额外的系统开销。2. 2.2 IPv6业务支持如:IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLSVPN技 术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议 有0SPFv3, ISISv6, BGP4+等等,IPv6的组播路由协议有PIM-SM, PIM-SSM等等。2. 2.3 IPv6可管理性在本次网络建设后,应充分考虑网络部署IPv6的可管理及可维护性,要能 够满足日常业务的需要和网络安全管理方面的需求。针对不同的网络环境进行建设主干网络设备可以考虑直接扩容为全双栈模式,适当兼顾只支持IPv4协议 栈的终端;并可根据XXX业务的的实际情况,可以先建设部分双栈网络,其他部 分采用隧道模式允许用户IPv6业务,逐步将不支持IPv6的设备进行换代升级。综上所述,本次部署IPv6网络的时候,建议有条件的网络中采用全双栈部 署,完成本次驻地网的大部分改造,其次根据现有XXX网内的实际业务应用情况, 采用部分过渡技术,在不影响现有IPv4网络主要业务的条件下,使得XXX网中 需要部署IPv6网络的地方能够通过隧道技术,接入业务服务区域或CERNET2。3解决方案网络建设总体要求1、安全保密性严格遵循国家安全保密法规,从技术、管理角度,加强网络和信息的安全防 范,确保涉密信息安全,实现与非专网业务一一如因特网业务的严格逻辑隔离, 保障三级纵向专网的安全。2、业务承载灵活性在保证网络及信息安全保密的同时,还需兼顾业务承载、系统架构和数据交 换实际需要,按照“强化业务网”的思路开展网络及应用系统建设。3、提高资源利用率按照统筹规划、统一布署、分步实施的原则,从全局出发,打破部门界限, 实现XXX系统各部门的互联互通和资源共享,使XXX系统已有的各类信息资 源发挥出最大效益,避免重复建设,杜绝资源浪费。3.1 XXX用户网络划分根据XXX用户的有关要求,网络拓扑图如下:(根据需要补图)从上图可以看出,(相关描述)3. 3方案说明由于现有网络为IPv4网络且具备相当的用户规模,如果对全网设备进行升 级将面临投资较大、网络重新规划、业务整合等一系列的问题。针对这种情况,建议采用升级现有IPv4网络的方案。3. 3.1组网思路在现有IPv4网络下分散着若干IPv6/IPv4双栈主机,为使这些主机接入到 IPv6网络当中且对现网的原有应用的影响最小,可首先将XXX网络的核心设备 (核心交换机)升级为双栈,网络的其他部分保持不变。核心设备完成升级后, 可分别提供至IPv4网络和IPv6网络的出口; IPv6/IPv4双栈主机可以采用ISATAP 隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响,同时 实现了 IPv6用户的接入(如下图)。核心设备应考虑节点冗余,因此建议逐步完 成对所有核心设备的升级。> IPv6用户的接入方式(根据具体情况修改)在节点1下,由于网络中汇聚层依然是原有的IPv4交换机,接入层是原有 的IPv4交换机或L2交换机,为完成IPv6用户到核心交换机的连接,可采用 ISATAP隧道的方式。在节点2和节点3下,用户通过双栈方式或IPv6 over IPv4隧道方式完成连 接。> 业务实现分析(根据具体情况修改)通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4 双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。在IPv6建设初期,IPv6 '业务资源相对较少,因此需要考虑纯IPv6用户对于 现有IPv4业务资源的访问。同时,IPv4用户也会有访问IPv6业务资源的需求。 为实现这两种可能的业务互访的需求,需要考虑如何放置NAT-PT设备。3. 3.2广域网IPv6组网(根据具体情况修改)广域网组网侧重于“IPv6孤岛”之间跨越广域网的连接,如,XXX总部与 下辖单位、下辖段位之间通过IPv6连接等网络情况,都可适用。>企业分支节点接入若新建部分IPv6分支,为了实现与分支节点的IPv6连接,可将分支机构作 为汇聚节点的路由器设备升级为双栈。这样,原有的IPv4分支与XXX的连接保 持不变,新建的IPv6分支节点出口设备采用双栈路由器,可接入到XXX的双栈 设备上。根据实际组网需要,分支与XXX之间可运行OSPFv3路由协议。3. 3.3 IPv6地址规划(根据具体情况修改)IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6 地址有128位,其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513, IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可 路由前缀和子网ID各自占的bit数,目前APNIC能够申请到的IPv6地址空间为 /32的地址。IPv6的地址使用方式有两类,一类是普通网络申请使用的IP地址,这类地址 完全遵从前缀+接口标识符的IP地址表示方法;另外一类就是取消接口标识符的 方法,只使用前缀来表示IP地址。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6 地址规划目前尚没有主流的规则,具体的IP地址分配通常在工程实施时统一规 划实施,可以遵循一些分配原则: 地址资源应全网统一分配地址划分应有层次性,便于网络互联,简化路由表IP地址的规划与划分应该考虑到网络的发展要求