1、工業(yè)互聯(lián)網工業(yè)領域 IPV6 改造升級解決方案目錄 HYPERLINK l _TOC_250029 概述1 HYPERLINK l _TOC_250028 需求分析3 HYPERLINK l _TOC_250028 解決方案10 HYPERLINK l _TOC_250028 成功案例16工業(yè)領域 IPV6 改造升級解決方案概述隨著用戶的數據中心、廣域網、園區(qū)網絡的成功運行、改 造完成，網絡建設規(guī)范也陸續(xù)完善起來。由于業(yè)務與用戶的迅 猛增長，致使雙棧網絡還是隧道過渡，已經不再是關注的重點。而如何能夠將IPv6 網絡建設成和IPv4 網絡一樣安全、可管理、可運營成為對當前用戶網絡新的挑戰(zhàn)。背景當

2、代中國，互聯(lián)網是關系國民經濟和社會發(fā)展的重要基礎設施，深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展 IPv6 試驗和應用的國家，在技術研發(fā)、網絡建設、應用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎和條件。抓住全球網絡信息技術加速創(chuàng)新變革、信息基礎設施快速演進升級的歷史機遇，加強統(tǒng)籌謀劃，加快推進IPv6 規(guī)模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網，是加快網絡強國建設、加速國家信息化進程、助力經濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。實施目標在部署 IPv6 之前，我們首先應該考慮 IPv6 部署的總體方案和策略，具體考慮因素如下： 首先考慮網

3、絡設備對 IPv6 業(yè)務支持的廣度。比如 IPv6 的過渡技術有手工隧道方式，自動隧道方式，有基于 MPLS VPN 技術的 6PE 方式，有基于網絡地址轉換技術的，IPv6 的單播路由協(xié)議有 RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6 的組播路由協(xié)議有 PIM-DM，PIM-SM,PIM-SSM,MLDv1,MLDv2 等等。支持的業(yè)務種類越多越方便我們進行研究。其次考慮網絡設備對IPv6 業(yè)務支持的深度。IPv6 首先應該部署在運營商網絡。這是因為在 IPv6 網絡里沒有私網地址概念（Site local 地址類型已經被 IPv6 工作組取消），永遠不出現 NAT（指

4、類似IPv4 私有地址訪問公有地址的方式）。現階段 IPv6 網絡的復雜度應該大于 IPv4 的電信運營網絡，IPv4 和 IPv6 混合組網的現象應該是當前的主旋律，也必定是一個長期演進的緩慢過程。再次，廣泛使用的用戶終端設備及辦公軟件等對 IPv6 支持能力參差不齊。雖然移動終端系統(tǒng)（IOS、Android 等）、固定終端系統(tǒng)（PC 等）都標稱已經支持了IPv6 能力，如對于客戶端獲取 IP 地址的方式，IOS 支持 DHCPv6，但 Android 僅支持 ND 方 式，支持和協(xié)議實現方式的不同給 IPv6 的部署和推廣帶來了超出預期的技術成本和改造難度。此外，基于 IPv6 的互聯(lián)網應

5、用寥寥可數，眾多應用服務商并未找到合適的 IPv6 應用盈利方式， 內容和應用的缺失又反過來加劇了 IPv6 發(fā)展遲緩的問題。最后考慮 IPv6 標準發(fā)展、完善的持續(xù)性。目前 IPv6 標準中仍有許多處于草案階段，即使已經成為 RFC 標準的，以后仍有可能會進行協(xié)議擴充。 綜上所述，部署 IPv6 網絡的時候，應該采用平滑過渡的策略。首先完成IPv6 基礎網絡承載能力建設的目標，為將來IPv6 應用上線做好準備。其次根據現有用戶實際網絡及應用的實際部署情況，應用雙棧技術和過渡技術，在不影響現有 IPv4 主體拓撲結構和網絡架構的前提下，使得現網中需要部署 IPv6 網絡的地方能夠通過各種隧道和

6、翻譯技術，過渡階段協(xié)議內、協(xié)議間的應用互訪。在工業(yè)互聯(lián)網網絡體系架構中的位置工業(yè)領域 IPV6 升級/改造解決方案在下圖（圖 1）：工業(yè)互聯(lián)網網絡體系架構中處于工廠外部網絡（互聯(lián)網/移動網/專用網絡）這個位置，關聯(lián)關系為：7 工廠云平臺（及管理軟件）與協(xié)作平臺，8 智能產品與工廠。為企業(yè)上云提供網絡基礎支撐。圖 1 工業(yè)互聯(lián)網互聯(lián)示意圖需求分析互聯(lián)網演進升級的必然趨勢基于互聯(lián)網協(xié)議第四版（IPv4）的全球互聯(lián)網面臨網絡地 175 址消耗殆盡、服務質量難以保證等制約性問題，IPv6 能夠提供充足的網絡地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網商業(yè)應用解決方案。大力發(fā)展基于 IPv6 的下一代

7、互聯(lián)網，有助于顯著提升我國互聯(lián)網的承載能力和服務水平，更好融入國際互聯(lián)網，共享全球發(fā)展成果，有力支撐經濟社會發(fā)展，贏得未來發(fā)展主動。技術產業(yè)創(chuàng)新發(fā)展的重大契機推進 IPv6 規(guī)模部署是互聯(lián)網技術產業(yè)生態(tài)的一次全面升級， 深刻影響著網絡信息技術、產業(yè)、應用的創(chuàng)新和變革。大力發(fā) 展基于 IPv6 的下一代互聯(lián)網，有助于提升我國網絡信息技術自主創(chuàng)新能力和產業(yè)高端發(fā)展水平，高效支撐移動互聯(lián)網、物聯(lián) 網、工業(yè)互聯(lián)網、云計算、大數據、人工智能等新興領域快速 發(fā)展，不斷催生新技術新業(yè)態(tài)，促進網絡應用進一步繁榮，打 造先進開放的下一代互聯(lián)網技術產業(yè)生態(tài)。網絡安全能力強化的迫切需要加快 IPv6 規(guī)模應用為解決

8、網絡安全問題提供了新平臺，為提高網絡安全管理效率和創(chuàng)新網絡安全機制提供了新思路。大力發(fā)展基于 IPv6 的下一代互聯(lián)網，有助于進一步創(chuàng)新網絡安全保障手段，不斷完善網絡安全保障體系，顯著增強網絡安全態(tài)勢感知和快速處置能力，大幅提升重要數據資源和個人信息安全保護水平，進一步增強互聯(lián)網的安全可信和綜合治理能力。目前，以 IPv4 網絡為主的客戶，存在如下問題：IP 地址資源短缺，客戶地址不夠用網絡地址轉換（NAT）導致端到端應用受限，客戶業(yè)務開 176 展不靈活服務質量（QoS）上無法實現端到端部署，客戶關鍵業(yè)務沒有保障面對運用 IPV4 網絡的客戶群體的痛點和升級改造的需要， IPv6 作為下一代

9、網絡的基礎以其明顯的技術優(yōu)勢從根源上解決了 IPv4 的問題，并增強了未來的擴展性。解決方案作為IPv4 協(xié)議的替代，IPv6 協(xié)議使用 128 位的地址結構解決了 IP 地址不足的問題，同時對一些特性進行了優(yōu)化處理。出現于 IPv4 時代的組播技術，由于其有效解決了單點發(fā)送、多點接收的問題，實現了網絡中點到多點的高效數據傳送，能夠大量節(jié)約網絡帶寬、降低網絡負載，因此在 IPv6 中的應用得到了進一步的豐富和加強:1）128 位IPv6 地址讓客戶的每臺設備都有全球可達地址， 客戶不用為地址煩惱IPv6 報頭結構優(yōu)化，處理效率提高，提升客戶整網性能IPv6 充分考慮了客戶現存 IPv4 現狀，

10、可以實現平滑過渡，擴展性好，保護客戶投資IPv6 即插即用功能提供更方便的部署方法，簡化客戶網絡部署IPv6 流標簽能力讓QoS 端到端部署可以實現，保障客戶的關鍵業(yè)務IPv6 內置安全特性，保護客戶網絡IPV6 解決方案的整體設計主要包括：網站 IPv6 改造，DNS 177 系統(tǒng) IPv6 改造，服務器負載均衡 IPv6 改造，網站雙棧改造， 企業(yè)分支點 IPV6 改造，傳統(tǒng)廣域網 IPv6 遷移方法，IPv6 無線網部署等環(huán)節(jié)。網站IPv6 改造方案概述圖 2 網站 IPV6 改造方案架構圖雙棧：全部軟硬件設備同時運行 IPv4 和 IPv6 兩個協(xié)議棧，能夠同時處理 IPv4 和 IP

11、v6 數據包，實現同時支持 IPv6和 IPv4 訪問。新建 IPv6 服務：不影響原有 IPv4 服務的情況下，新建IPv6 服務平面對外提供 IPv6 服務。地址族轉換：在 IPv4 網站外部，掛接一臺 v4/v6 地址族轉換設備，原有IPv4 源站不需修改，把DNS 域名解析AAAA 記錄指向轉換設備配置的 IPv6 地址；IPv6 用戶訪問目標網站， 經 DNS 解析調度后轉向訪問轉換設備的 IPv6 地址，轉換設備從IPv4 源站讀取數據，經過協(xié)議轉換后發(fā)送數據給 IPv6 用戶。DNS 系統(tǒng) IPv6 改造1、DNS 系統(tǒng)特點：（如圖 3）DNS 系統(tǒng)提供主機名字和 IP 地址間的

12、相互轉換。DNS 采 178 用 C/S 模式，DNS 客戶端提出查詢請求，DNS 服務器負責相應請求。DNS 系統(tǒng)是一個具有樹狀層次結構的，聯(lián)機分布式數據庫系統(tǒng)。圖 3 DNS 系統(tǒng) IPv6 改造設計圖2、DNS 域名解析完整過程：（如圖 4）圖 4 DNS 域名解析主機客戶端向本地域名服務器發(fā)起 DNS 解析請求。本地域名服務器接收主機客戶端 DNS 解析請求，從本地數據庫查詢域名對應的 IP 地址。如果從本地數據庫中查詢到對 179 應的 IP 地址，則將查詢結果返回給主機客戶端；如果無法從本地數據庫查詢到對應結果，則本地服務器必須查詢其他的 DNS 服務器（類似于根服務器，二級、三級

13、域名服務器），直到得到確認的查詢結果返回主機客戶端。3、域名發(fā)布 IPv6 改造： 添加 AAAA 記錄綁定域名。在域名注冊服務提供商管理界面添加 AAAA 記錄，由域名注冊服務提供商對外通告域名解析 IPv6 地址。（如圖 5）圖 5 域名發(fā)布 IPV6 改造自建DNS 服務器添加AAAA 記錄，對外通告域名解析IPv6地址。多 ISP 出口 DNS 部署（如圖 6）圖 6 ISP 出口 DNS 部署如圖 6 顯示，部分網站出口會連接多家 ISP 線路。此種多ISP 出口場景下，可使用鏈路負載均衡Inbound LLB 解決 DNS解析問題。 180 圖 7 鏈路負載均衡Inbound LL

14、B 解決 DNS 解析問題LLB作為DNS服務器對外提供DNS解析服務，針對不同運營商對外發(fā)布不同的服務IP。LLB基于用戶源地址返回相應運營商服務地址。服務器負載均衡 IPv6 改造圖 8 服務器負載均衡 IPv6 改造Global IPv6 轉換成其他Global IPv6：整個網站基礎架構全部使用Global IPv6 部署。其中一部分Global IPv6 作為對外解析的服務 IP，服務器集群使用非服務 IP 的其余 Global IPv6 地址。此場景下，服務器集群中任何一臺服務器均可通過Internet 直接訪問。Global IPv6 轉換成 ULA IPv6：網站使用 Glob

15、al IPv6作為對外解析的服務 IP，服務器集群使用 ULA IPv6 進行部署。 181 此場景下，ULA IPv6 路由不會在公網上傳播。普通客戶使用Internet 訪問web 服務，只能通過負載均衡設備將Global IPv6 轉換成 ULA IPv6 后才能進行訪問。網站雙棧改造1、評判規(guī)則：網絡基礎架構：拓撲結構清晰，現網設備絕大部分支持雙棧?？蛻魧用妫耗芙邮苘浖a、中間件等 IPv6 適配改造的時限。2、改造方案：圖 9 工網站雙棧改造方案圖網絡基礎架構：交換機、路由器使能雙棧。重點評估設備表項能力。若設備表項能力較低，建議替換升級設備。若全網設備表項能力均較低，建議新建 I

16、Pv6 網站。服務器負載均衡：按客戶需求進行改造。如果客戶想要對外隱藏服務器集群 IP，建議部署 Global IPv6 轉換成 ULA IPv6 服務器負載均衡。DNS 系統(tǒng)：添加 AAAA 記錄，對外發(fā)布 IPv6 解析地址。若存在多 ISP 出口，建議部署雙棧鏈路負載均衡。 182 應用基礎、業(yè)務代碼進行雙棧適配改造。網站地址族轉換改造1、評判規(guī)則：客戶層面：資金預算緊張，希望以最小代價、最短時間內完成網站 IPv6 改造。改造方案架構圖：圖 10 網站地址族轉換改造網絡基礎架構：出口路由器使能雙棧，防火墻使能地址族轉換功能。DNS 系統(tǒng)：添加 AAAA 記錄，對外發(fā)布 IPv6 解析地

17、址。若存在多 ISP 出口，建議部署雙棧鏈路負載均衡。企業(yè)分支節(jié)點 IPv6 改造方法企業(yè)分支與總部采用星型連接，各分支出口路由器通過NE1 專線的方式分別匯接至企業(yè)總部匯聚路由器。若新建部分IPv6 分支，為了實現與分支節(jié)點的IPv6 連接， 可將企業(yè)總部作為匯聚節(jié)點的路由器設備升級為雙棧。這樣， 原有的 IPv4 分支與總部的連接保持不變，新建的 IPv6 分支節(jié)點出口設備采用雙棧路由器，可接入到總部的雙棧設備上。原有的 IPv4 分支連接保持不變，新建的 IPv6 分支采用雙棧的方式接入，企業(yè)分支的出口設備與企業(yè)總部的匯聚節(jié)點設 183 備間采用雙棧。傳統(tǒng)廣域網 IPv6 遷移方法1、評

18、估現網基礎架構：轉發(fā)平面：純 IPv4 轉發(fā)？MPLS 轉發(fā)？雙棧支持度；設備表項規(guī)格；2、評估客戶需求：是否有 VPN 需求；是否為客戶重要生產網絡；是否有流量可視、路徑優(yōu)選需求；IPv6 遷移策略：新建 IPv6 廣域網：1）設備不支持雙棧；2）表項規(guī)格不滿足要求；3）承載重要生產網絡流量。雙棧：1）設備支持雙棧；2）表項規(guī)格滿足要求。6PE：1）MPLS 轉發(fā)；2）PE 支持雙棧；3）無 VPN 需求。6VPE：1）MPLS 轉發(fā)；2）PE 支持雙棧；3）有 VPN 需求。ADWAN：客戶有流量可視、路徑優(yōu)選需求。IPv6 無線網部署 184 圖 11 IPV6 無線網站部署無線 IPv6 網應該具備的基本要求：支持 IPv6 環(huán)境有線網 IPv6 已經是必須技術，無線網 IPv6 是必然趨勢。如果不支持 IPv6 勢必造成將來改造成本再投入。H3C 通過部署 AP 與無線交換機互聯(lián)基于IPv6 的隧道，支持 IPv6 環(huán)境下的無線組網需求；IPv6 ACL、IPv6 組播無線網實現IPv6，需要對用戶按照不同策略進行訪問控制；IPv6 組播往往是園區(qū)IPv6 業(yè)務的支撐技術；支持 ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6 實現 I