IPv6网络演进一般性原则
企业网络向IPv6演进的目的是要在现有网络架构上构建IPv6能力,同时兼顾解决当前网络业务发展的问题。从企业业务层面出发,IPv6改造的基本要求是“在网络演进升级过程中,必须保障原IPv4业务的可持续性服务以及演进后的网络安全等级不弱于原IPv4网络”。
企业业务大致可划分为互联网业务、DMZ对外公众服务业务以及企业自建业务系统,其中互联网业务和对外公众服务业务依赖外部网络应用和用户环境,需要IPv4和IPv6用户访问长期共存,企业网络的IPv6改造必须考虑该因素。
从改造成本、技术先行性以及改造影响范围维度考量,建议企业IPv6改造总体应遵循如下原则:
- 平滑演进:IPv6网络升级改造是基础协议的变更,网络演进过程应尽量确保现有用户无感知,现有业务迁移平滑。
- 面向未来:把握IPv6演进升级机会,构建先进的下一代企业IPv6网络系统架构,以充分支撑企业业务系统的长期发展以及稳定运行,避免网络再造、重复投资。
- 经济可行:应结合当前企业网络系统情况,从全局角度出发选择合适的IPv6升级演进方案,合理利旧,避免资产浪费。
- 架构调优:企业网络IPv6演进是企业系统管理架构整体刷新或者重构的机会,如企业地址的强管控、DNS资源的统筹管理等。
企业网络逻辑架构全景图
数据中心网络:
- 按照业务服务范围,企业数据中心一般可划分为对外公众服务和企业内部应用。
- 对外公众服务的前置服务器一般部署在数据中心的DMZ区,通过互联网出口区连接外部用户。
- 内部应用主要涉及数据中心内部服务网络(如广域网出口区、业务区网络)。
- 从业务改造角度可将数据中心划分为内部应用、DMZ区(对外公众服务)、互联网出口以及DC内部服务网络,以此进行IPv6演进升级的迁移规划。
广域网络:
- 企业各地分支互联存在多种回传方案,如企业自建广域网、运营商MPLS L2/L3 V**、Internet等方式。
- 企业广域网络IPv6演进主要考虑广域专网的升级策略。
园区网络:
- 办公园区可以大致划分为总部园区、分支园区两种类型,两类园区除了组网规模存在区别外,分支园区广域网络回传接入也可能存在多种方式,如企业自建广域网、运营商专线等,在IPv6演进升级设计时也需要针对性设计。
- 生产园区主要部署了大量的生产终端和生产系统,生产业务流大部分在本园区内闭环。生产园区的生产系统和现网生产终端生命周期长,必然在较长时间内网络需要同时满足IPv4/IPv6双栈业务的运行,以及需要考虑IPv4和IPv6的互通问题。
IPv6网络整体迁移过程
企业IPv6网络演进整体迁移可分为三个阶段:
- 第一阶段:优先管道升级和互联网出口升级,包括:对外公众服务DMZ区升级、广域网升级、构建IPv6试验田等。
- 第二阶段:内部网络全面升级,业务访问优选IPv6,包括:数据中心升级、办公园区网络改造、生产园区网络升级等。
- 第三阶段:内部应用访问切换IPv6通道,对外互联网访问按需保留IPv4能力。
简单来说IPv6网络整体迁移原则是:数据中心先行,其次广域网络,园区按需改造。
- 第一阶段:数据中心公共服务和测试区双栈;广域网Underlay IPv4单栈,Overlay双栈;园区网试点园区双栈。
- 第二阶段:数据中心内部应用逐步双栈;园区网办公园区逐步双栈,生产园区双栈。
- 第三阶段:数据中心内部应用全面IPv6单栈;广域网IPv6 Only。
IPv6网络演进技术方案
数据中心网络:
- 互联网接入区的改造方案包括:NAT64,IVI和双栈改造。推荐采用双栈方案,直接提供IPv6地址和业务能力。
- NAT64受限于会话表规格,资源消耗大,随着IPv6终端增加,NAT64会成为IPv6业务发展性能瓶颈。因此NAT64只适用于初期快速开通IPv6对外服务,不推荐作为目标方案。
- IVI的IPv6地址结构受限,不满足IPv6地址规划原则,不适于大规模部署,不推荐。
- 内网资源池的改造方案主要是双栈,包括:VXLAN Underlay IPv4 Overlay双栈和VXLAN Underlay IPv6 Overlay双栈。
- 可通过VXLAN Underlay IPv4 Overlay双栈用于初期双栈改造,快速提供IPv6业务承载能力。
- 新建数据中心或已有数据中心网络改造可改造为VXLAN Underlay IPv6 Overlay双栈方式,逐步演进到IPv6 Only网络。
广域网络:
- 广域网IPv6改造方案主要包括:双栈,6VPE,IPv6 等。
- 对于没有V**部署的网络,可采用Native IPv4和Native IPv6双栈转发;后续随着业务SLA提升,如按需调优、智能运维等诉求逐步向IPv6 演进,以提供更高的业务保障和体验能力。最终演进到IPv6 Only网络。
- 对于采用V**隔离业务的网络,推荐直接演进到IPv6 ,为各园区、数据中心之间的互联提供IPv6 承载。
园区网络:
- 园区IPv6改造方案主要包括:双栈,VXLAN Underlay IPv4 Overlay双栈,VXLAN Underlay IPv6 Overlay双栈等。
- 对于不需要V**的园区专网,推荐采用双栈方式提供IPv6业务,并逐步向IPv6 演进以实现SDN、业务快速上云、按需调优、智能运维等高阶场景,并最终演进到IPv6 Only网络。
- 对于需要V**隔离的网络,推荐VXLAN Underlay IPv4 Overlay双栈以快速开通IPv6业务和实现SDN,并逐步向IPv6 演进,最终演进到IPv6 Only网络。
数据中心网络IPv6演进概述
互联网区演进策略:
- 方案一:互联网接入区出口NAT64方案。若现阶段数据中心内的业务暂不改造,仍保持为IPv4单栈形式,出于其他因素需要快速提供IPv6服务,可考虑使用NAT64方案,即数据中心内DMZ的IPv4服务器通过NAT64网关对外临时提供IPv4/IPv6双栈服务。
- 方案二:互联网接入区和DMZ区双栈改造。如果互联网区(含DMZ区)对IPv6支持程度良好,设备尚有较长的生命周期,建议考虑利旧,可采用在现有的互联网接入区和DMZ区基础上全面启用双栈部署方案,低成本完成改造。
- 方案三:新建互联网接入区和DMZ区方案。IPv6网络改造如利旧现有设备,可能会涉及设备的软、硬件版本升级或者部分硬件替换,对现有IPv4业务存在一定的影响。为保证企业DMZ业务连续性,确保对现网IPv4业务零影响,可采用新建单栈IPv6互联网接入区和DMZ区,IPv4和IPv6用户分别通过不同的互联网接入区接入访问IPv4 DMZ区或者IPv6 DMZ区。
出口路由选择:
- 单一出口的互联网接入:优选静态路由。
- 多地多出口的互联网接入:优选BGP路由,为保证负载均衡和可靠性,可通过BGP路由属性控制选路。
数据中心内网资源池IPv6改造
- 适用场景:现网设备已接近生命周期或现网设备不支持部署Underlay或Overlay IPv6的场景。
- 总体策略:新建内网资源池,一步到位支持VXLAN Underlay IPv6 Overlay双栈。
资源池/服务器新建:
- 为避免原IPv4服务升级产生事故和业务中断,通常是新建IPv6资源池/服务器。
- 若为传统数据中心,建议在新建资源池上同时做其他新技术改造,如SDN。
