工業(yè)領域IPV6改造升級解決方案
工業(yè)領域IPV6改造升級解決方案
紫光云引擎科技(蘇州)有限公司
網絡改造技術篇/前沿技術/其他
1 概述
隨著用戶的數據中心、廣域網、園區(qū)網絡的成功運行、改造完成,網絡建設規(guī)范也陸續(xù)完善起來。由于業(yè)務與用戶的迅猛增長,致使雙棧網絡還是隧道過渡,已經不再是關注的重點。而如何能夠將IPv6網絡建設成和IPv4網絡一樣安全、可管理、可運營成為對當前用戶網絡新的挑戰(zhàn)。
1.1 背景
當代中國,互聯(lián)網是關系國民經濟和社會發(fā)展的重要基礎設施,深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家,在技術研發(fā)、網絡建設、應用創(chuàng)新方面取得了重要階段性成果,已具備大規(guī)模部署的基礎和條件。抓住全球網絡信息技術加速創(chuàng)新變革、信息基礎設施快速演進升級的歷史機遇,加強統(tǒng)籌謀劃,加快推進IPv6規(guī)模部署,構建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網,是加快網絡強國建設、加速國家信息化進程、助力經濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。
1.2 實施目標
在部署IPv6之前,我們首先應該考慮IPv6部署的總體方案和策略,具體考慮因素如下:
首先考慮網絡設備對IPv6業(yè)務支持的廣度。比如IPv6的過渡技術有手工隧道方式,自動隧道方式,有基于MPLS VPN技術的6PE方式,有基于網絡地址轉換技術的,IPv6的單播路由協(xié)議有RIPng,OSPFv3,ISISv6,BGP4+等等,IPv6的組播路由協(xié)議有PIM-DM,PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的業(yè)務種類越多越方便我們進行研究。
其次考慮網絡設備對IPv6業(yè)務支持的深度。IPv6首先應該部署在運營商網絡。這是因為在IPv6網絡里沒有私網地址概念(Site local 地址類型已經被IPv6工作組取消),永遠不出現(xiàn)NAT(指類似IPv4私有地址訪問公有地址的方式)。現(xiàn)階段IPv6網絡的復雜度應該大于IPv4的電信運營網絡,IPv4和IPv6混合組網的現(xiàn)象應該是當前的主旋律,也必定是一個長期演進的緩慢過程。
再次,廣泛使用的用戶終端設備及辦公軟件等對IPv6支持能力參差不齊。雖然移動終端系統(tǒng)(IOS、Android等)、固定終端系統(tǒng)(PC等)都標稱已經支持了IPv6能力,如對于客戶端獲取IP地址的方式,IOS支持DHCPv6,但Android僅支持ND方式,支持和協(xié)議實現(xiàn)方式的不同給IPv6的部署和推廣帶來了超出預期的技術成本和改造難度。此外,基于IPv6的互聯(lián)網應用寥寥可數,眾多應用服務商并未找到合適的IPv6應用盈利方式,內容和應用的缺失又反過來加劇了IPv6發(fā)展遲緩的問題。
最后考慮IPv6標準發(fā)展、完善的持續(xù)性。目前IPv6標準中仍有許多處于草案階段,即使已經成為RFC標準的,以后仍有可能會進行協(xié)議擴充。
綜上所述,部署IPv6網絡的時候,應該采用平滑過渡的策略。首先完成IPv6基礎網絡承載能力建設的目標,為將來IPv6應用上線做好準備。其次根據現(xiàn)有用戶實際網絡及應用的實際部署情況,應用雙棧技術和過渡技術,在不影響現(xiàn)有IPv4主體拓撲結構和網絡架構的前提下,使得現(xiàn)網中需要部署IPv6網絡的地方能夠通過各種隧道和翻譯技術,過渡階段協(xié)議內、協(xié)議間的應用互訪。
1.3 在工業(yè)互聯(lián)網網絡體系架構中的位置
工業(yè)領域IPV6升級/改造解決方案在下圖(圖1):工業(yè)互聯(lián)網網絡體系架構中處于工廠外部網絡(互聯(lián)網/移動網/專用網絡)這個位置,關聯(lián)關系為:7工廠云平臺(及管理軟件)與協(xié)作平臺,8智能產品與工廠。為企業(yè)上云提供網絡基礎支撐。
圖1 工業(yè)互聯(lián)網互聯(lián)示意圖
2 需求分析
2.1 互聯(lián)網演進升級的必然趨勢
基于互聯(lián)網協(xié)議第四版(IPv4)的全球互聯(lián)網面臨網絡地址消耗殆盡、服務質量難以保證等制約性問題,IPv6能夠提供充足的網絡地址和廣闊的創(chuàng)新空間,是全球公認的下一代互聯(lián)網商業(yè)應用解決方案。大力發(fā)展基于IPv6的下一代互聯(lián)網,有助于顯著提升我國互聯(lián)網的承載能力和服務水平,更好融入國際互聯(lián)網,共享全球發(fā)展成果,有力支撐經濟社會發(fā)展,贏得未來發(fā)展主動。
2.2 技術產業(yè)創(chuàng)新發(fā)展的重大契機
推進IPv6規(guī)模部署是互聯(lián)網技術產業(yè)生態(tài)的一次全面升級,深刻影響著網絡信息技術、產業(yè)、應用的創(chuàng)新和變革。大力發(fā)展基于IPv6的下一代互聯(lián)網,有助于提升我國網絡信息技術自主創(chuàng)新能力和產業(yè)高端發(fā)展水平,高效支撐移動互聯(lián)網、物聯(lián)網、工業(yè)互聯(lián)網、云計算、大數據、人工智能等新興領域快速發(fā)展,不斷催生新技術新業(yè)態(tài),促進網絡應用進一步繁榮,打造先進開放的下一代互聯(lián)網技術產業(yè)生態(tài)。
2.3 網絡安全能力強化的迫切需要
加快IPv6規(guī)模應用為解決網絡安全問題提供了新平臺,為提高網絡安全管理效率和創(chuàng)新網絡安全機制提供了新思路。大力發(fā)展基于IPv6的下一代互聯(lián)網,有助于進一步創(chuàng)新網絡安全保障手段,不斷完善網絡安全保障體系,顯著增強網絡安全態(tài)勢感知和快速處置能力,大幅提升重要數據資源和個人信息安全保護水平,進一步增強互聯(lián)網的安全可信和綜合治理能力。
2.4 目前,以IPv4網絡為主的客戶,存在如下問題:
1)IP地址資源短缺,客戶地址不夠用
2)網絡地址轉換(NAT)導致端到端應用受限,客戶業(yè)務開展不靈活
3)服務質量(QoS)上無法實現(xiàn)端到端部署,客戶關鍵業(yè)務沒有保障
面對運用IPV4網絡的客戶群體的痛點和升級改造的需要,IPv6作為下一代網絡的基礎以其明顯的技術優(yōu)勢從根源上解決了IPv4的問題,并增強了未來的擴展性。
3 解決方案
作為IPv4協(xié)議的替代,IPv6協(xié)議使用128位的地址結構解決了IP地址不足的問題,同時對一些特性進行了優(yōu)化處理。出現(xiàn)于IPv4時代的組播技術,由于其有效解決了單點發(fā)送、多點接收的問題,實現(xiàn)了網絡中點到多點的高效數據傳送,能夠大量節(jié)約網絡帶寬、降低網絡負載,因此在IPv6中的應用得到了進一步的豐富和加強:
1)128位IPv6地址讓客戶的每臺設備都有全球可達地址,客戶不用為地址煩惱
2)IPv6報頭結構優(yōu)化,處理效率提高,提升客戶整網性能
3)IPv6充分考慮了客戶現(xiàn)存IPv4現(xiàn)狀,可以實現(xiàn)平滑過渡,擴展性好,保護客戶投資
4)IPv6即插即用功能提供更方便的部署方法,簡化客戶網絡部署
5)IPv6流標簽能力讓QoS端到端部署可以實現(xiàn),保障客戶的關鍵業(yè)務
6)IPv6內置安全特性,保護客戶網絡
IPV6解決方案的整體設計主要包括:網站IPv6改造,DNS系統(tǒng)IPv6改造,服務器負載均衡IPv6改造,網站雙棧改造,企業(yè)分支點IPV6改造,傳統(tǒng)廣域網IPv6遷移方法,IPv6無線網部署等環(huán)節(jié)。
3.1 網站IPv6改造方案概述
圖2 網站IPV6改造方案架構圖
1)雙棧:全部軟硬件設備同時運行IPv4 和IPv6 兩個協(xié)議棧,能夠同時處理IPv4和IPv6數據包,實現(xiàn)同時支持IPv6和IPv4訪問。
2)新建IPv6服務:不影響原有IPv4服務的情況下,新建IPv6服務平面對外提供IPv6服務。
3)地址族轉換:在IPv4網站外部,掛接一臺v4/v6地址族轉換設備,原有IPv4源站不需修改,把DNS域名解析AAAA記錄指向轉換設備配置的IPv6 地址;IPv6用戶訪問目標網站,經DNS解析調度后轉向訪問轉換設備的IPv6 地址,轉換設備從IPv4 源站讀取數據,經過協(xié)議轉換后發(fā)送數據給IPv6用戶。
3.2 DNS系統(tǒng)IPv6改造
1、DNS系統(tǒng)特點:(如圖3)
1)DNS系統(tǒng)提供主機名字和IP地址間的相互轉換。DNS采用C/S模式,DNS客戶端提出查詢請求,DNS服務器負責相應請求。
2)DNS系統(tǒng)是一個具有樹狀層次結構的,聯(lián)機分布式數據庫系統(tǒng)。
圖3 DNS系統(tǒng)IPv6改造設計圖
2、DNS域名解析完整過程:(如圖4)
圖4 DNS域名解析
1)主機客戶端向本地域名服務器發(fā)起DNS解析請求。
2)本地域名服務器接收主機客戶端DNS解析請求,從本地數據庫查詢域名對應的IP地址。如果從本地數據庫中查詢到對應的IP地址,則將查詢結果返回給主機客戶端;如果無法從本地數據庫查詢到對應結果,則本地服務器必須查詢其他的DNS服務器(類似于根服務器,二級、三級域名服務器),直到得到確認的查詢結果返回主機客戶端。
3、域名發(fā)布IPv6改造:
添加AAAA記錄綁定域名。
1)在域名注冊服務提供商管理界面添加AAAA記錄,由域名注冊服務提供商對外通告域名解析IPv6地址。(如圖5)
圖5 域名發(fā)布IPV6改造
2)自建DNS服務器添加AAAA記錄,對外通告域名解析IPv6地址。
多ISP出口DNS部署(如圖6)
圖6 ISP出口DNS部署
如圖6顯示,部分網站出口會連接多家ISP線路。此種多ISP出口場景下,可使用鏈路負載均衡—Inbound LLB解決DNS解析問題。
圖7 鏈路負載均衡—Inbound LLB解決DNS解析問題
1)LLB作為DNS服務器對外提供DNS解析服務,針對不同運營商對外發(fā)布不同的服務IP。
2)LLB基于用戶源地址返回相應運營商服務地址。
3.3 服務器負載均衡IPv6改造
圖8 服務器負載均衡IPv6改造
1)Global IPv6轉換成其他Global IPv6:整個網站基礎架構全部使用Global IPv6部署。其中一部分Global IPv6作為對外解析的服務IP,服務器集群使用非服務IP的其余Global IPv6地址。此場景下,服務器集群中任何一臺服務器均可通過Internet直接訪問。
2)Global IPv6轉換成ULA IPv6:網站使用Global IPv6作為對外解析的服務IP,服務器集群使用ULA IPv6進行部署。此場景下,ULA IPv6路由不會在公網上傳播。普通客戶使用Internet訪問web服務,只能通過負載均衡設備將Global IPv6轉換成ULA IPv6后才能進行訪問。
3.4 網站雙棧改造
1、評判規(guī)則:
1)網絡基礎架構:拓撲結構清晰,現(xiàn)網設備絕大部分支持雙棧。
2)客戶層面:能接受軟件代碼、中間件等IPv6適配改造的時限。
2、改造方案:
圖9 工網站雙棧改造方案圖
1)網絡基礎架構:交換機、路由器使能雙棧。重點評估設備表項能力。若設備表項能力較低,建議替換升級設備。若全網設備表項能力均較低,建議新建IPv6網站。
2)服務器負載均衡:按客戶需求進行改造。如果客戶想要對外隱藏服務器集群IP,建議部署Global IPv6轉換成ULA IPv6服務器負載均衡。
3)DNS系統(tǒng):添加AAAA記錄,對外發(fā)布IPv6解析地址。若存在多ISP出口,建議部署雙棧鏈路負載均衡。
4)應用基礎、業(yè)務代碼進行雙棧適配改造。
3.5 網站地址族轉換改造
1、評判規(guī)則:
客戶層面:資金預算緊張,希望以最小代價、最短時間內完成網站IPv6改造。改造方案架構圖:
圖10 網站地址族轉換改造
1)網絡基礎架構:出口路由器使能雙棧,防火墻使能地址族轉換功能。
2)DNS系統(tǒng):添加AAAA記錄,對外發(fā)布IPv6解析地址。若存在多ISP出口,建議部署雙棧鏈路負載均衡。
3.6 企業(yè)分支節(jié)點IPv6改造方法
企業(yè)分支與總部采用星型連接,各分支出口路由器通過N×E1專線的方式分別匯接至企業(yè)總部匯聚路由器。
若新建部分IPv6分支,為了實現(xiàn)與分支節(jié)點的IPv6連接,可將企業(yè)總部作為匯聚節(jié)點的路由器設備升級為雙棧。這樣,原有的IPv4分支與總部的連接保持不變,新建的IPv6分支節(jié)點出口設備采用雙棧路由器,可接入到總部的雙棧設備上。
原有的IPv4分支連接保持不變,新建的IPv6分支采用雙棧的方式接入,企業(yè)分支的出口設備與企業(yè)總部的匯聚節(jié)點設備間采用雙棧。
3.7 傳統(tǒng)廣域網IPv6遷移方法
1、評估現(xiàn)網基礎架構:
? 轉發(fā)平面:純IPv4轉發(fā)?MPLS轉發(fā)?
? 雙棧支持度;
? 設備表項規(guī)格;
2、評估客戶需求:
? 是否有VPN需求;
? 是否為客戶重要生產網絡;
? 是否有流量可視、路徑優(yōu)選需求;
IPv6遷移策略:
新建IPv6廣域網:1)設備不支持雙棧;2)表項規(guī)格不滿足要求;3)承載重要生產網絡流量。
雙棧:1)設備支持雙棧;2)表項規(guī)格滿足要求。
6PE:1)MPLS轉發(fā);2)PE支持雙棧;3)無VPN需求。
6VPE:1)MPLS轉發(fā);2)PE支持雙棧;3)有VPN需求。
ADWAN:客戶有流量可視、路徑優(yōu)選需求。
3.8 IPv6無線網部署
圖11 IPV6無線網站部署
無線IPv6網應該具備的基本要求:
? 支持IPv6環(huán)境——有線網IPv6已經是必須技術,無線網IPv6是必然趨勢。如果不支持IPv6勢必造成將來改造成本再投入。H3C通過部署AP與無線交換機互聯(lián)基于IPv6的隧道,支持IPv6環(huán)境下的無線組網需求;
? IPv6 ACL、IPv6組播——無線網實現(xiàn)IPv6,需要對用戶按照不同策略進行訪問控制;IPv6組播往往是園區(qū)IPv6業(yè)務的支撐技術;
? 支持ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6實現(xiàn)IPv6有線無線網的同等管理。
4 成功案例
新華三企業(yè)事業(yè)部中標賽爾下一代互聯(lián)網創(chuàng)新園項目(中關村壹號創(chuàng)新園工程),拿下“兩辦”發(fā)文《推進互聯(lián)網協(xié)議第六版(IPv6)規(guī)模部署行動計劃》以來首個IPv6商用項目,在新的IPv6領域占領制高點。
賽爾網絡擁有全球最大的IPv6活躍用戶群,也是我國下一代互聯(lián)網重大應用技術工程的核心承接者。賽爾旗下的下一代互聯(lián)網創(chuàng)新園,是由清華大學、北京市和賽爾網絡聯(lián)合組建的產業(yè)創(chuàng)新服務載體,擁有10.5萬平方米的辦公空間及配套設施,聚集國家下一代互聯(lián)網產業(yè)聯(lián)盟等行業(yè)組織和測試認證機構,多媒體、即時通信、瀏覽、搜索、視頻等內容提供商,以及新產品、新應用及小微開發(fā)者,推動產業(yè)鏈上下游互動合作,構建具有全球影響力的下一代互聯(lián)網產業(yè)集群,未來將成為全國乃至全球的下一代互聯(lián)網技術創(chuàng)新中心,也是IPv6商用領域的絕對制高點。
我司中標方案為IPv6雙棧園區(qū)網解決方案,包括F5000防火墻/ WX3024H/S75E/S6520EI/S5560/S5130等一系列IPv6有線無線設備,是2017年11月中辦國辦對IPv6推進表態(tài)發(fā)文以來,國內首個落地的IPv6商用網絡,并服務于全球唯一的下一代互聯(lián)網技術創(chuàng)新產業(yè)園區(qū)。在不久的將來,全球IPv6領域的創(chuàng)新技術,將有相當比例來自新華三提供的IPv6開發(fā)測試環(huán)境,該項目在全球互聯(lián)網基礎技術創(chuàng)新領域的營銷價值無法估量。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯(lián)網產業(yè)聯(lián)盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯(lián)系本聯(lián)盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯(lián)盟將追究其相關法律責任。
AII微信公眾號
AII頭條號