工業(yè)領(lǐng)域IPV6改造升級解決方案

1、工業(yè)互聯(lián)網(wǎng)工業(yè)領(lǐng)域 IPV6 改造升級解決方案目錄 HYPERLINK l _TOC_250029 概述1 HYPERLINK l _TOC_250028 需求分析3 HYPERLINK l _TOC_250028 解決方案10 HYPERLINK l _TOC_250028 成功案例16工業(yè)領(lǐng)域 IPV6 改造升級解決方案概述隨著用戶的數(shù)據(jù)中心、廣域網(wǎng)、園區(qū)網(wǎng)絡(luò)的成功運行、改 造完成，網(wǎng)絡(luò)建設(shè)規(guī)范也陸續(xù)完善起來。由于業(yè)務(wù)與用戶的迅 猛增長，致使雙棧網(wǎng)絡(luò)還是隧道過渡，已經(jīng)不再是關(guān)注的重點。而如何能夠?qū)Pv6 網(wǎng)絡(luò)建設(shè)成和IPv4 網(wǎng)絡(luò)一樣安全、可管理、可運營成為對當前用戶網(wǎng)絡(luò)新的挑戰(zhàn)。背景當

2、代中國，互聯(lián)網(wǎng)是關(guān)系國民經(jīng)濟和社會發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟格局、利益格局和安全格局。我國是世界上較早開展 IPv6 試驗和應(yīng)用的國家，在技術(shù)研發(fā)、網(wǎng)絡(luò)建設(shè)、應(yīng)用創(chuàng)新方面取得了重要階段性成果，已具備大規(guī)模部署的基礎(chǔ)和條件。抓住全球網(wǎng)絡(luò)信息技術(shù)加速創(chuàng)新變革、信息基礎(chǔ)設(shè)施快速演進升級的歷史機遇，加強統(tǒng)籌謀劃，加快推進IPv6 規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡(luò)強國建設(shè)、加速國家信息化進程、助力經(jīng)濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。實施目標在部署 IPv6 之前，我們首先應(yīng)該考慮 IPv6 部署的總體方案和策略，具體考慮因素如下： 首先考慮網(wǎng)

3、絡(luò)設(shè)備對 IPv6 業(yè)務(wù)支持的廣度。比如 IPv6 的過渡技術(shù)有手工隧道方式，自動隧道方式，有基于 MPLS VPN 技術(shù)的 6PE 方式，有基于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的，IPv6 的單播路由協(xié)議有 RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6 的組播路由協(xié)議有 PIM-DM，PIM-SM,PIM-SSM,MLDv1,MLDv2 等等。支持的業(yè)務(wù)種類越多越方便我們進行研究。其次考慮網(wǎng)絡(luò)設(shè)備對IPv6 業(yè)務(wù)支持的深度。IPv6 首先應(yīng)該部署在運營商網(wǎng)絡(luò)。這是因為在 IPv6 網(wǎng)絡(luò)里沒有私網(wǎng)地址概念（Site local 地址類型已經(jīng)被 IPv6 工作組取消），永遠不出現(xiàn) NAT（指

4、類似IPv4 私有地址訪問公有地址的方式）?，F(xiàn)階段 IPv6 網(wǎng)絡(luò)的復(fù)雜度應(yīng)該大于 IPv4 的電信運營網(wǎng)絡(luò)，IPv4 和 IPv6 混合組網(wǎng)的現(xiàn)象應(yīng)該是當前的主旋律，也必定是一個長期演進的緩慢過程。再次，廣泛使用的用戶終端設(shè)備及辦公軟件等對 IPv6 支持能力參差不齊。雖然移動終端系統(tǒng)（IOS、Android 等）、固定終端系統(tǒng)（PC 等）都標稱已經(jīng)支持了IPv6 能力，如對于客戶端獲取 IP 地址的方式，IOS 支持 DHCPv6，但 Android 僅支持 ND 方 式，支持和協(xié)議實現(xiàn)方式的不同給 IPv6 的部署和推廣帶來了超出預(yù)期的技術(shù)成本和改造難度。此外，基于 IPv6 的互聯(lián)網(wǎng)應(yīng)

5、用寥寥可數(shù)，眾多應(yīng)用服務(wù)商并未找到合適的 IPv6 應(yīng)用盈利方式， 內(nèi)容和應(yīng)用的缺失又反過來加劇了 IPv6 發(fā)展遲緩的問題。最后考慮 IPv6 標準發(fā)展、完善的持續(xù)性。目前 IPv6 標準中仍有許多處于草案階段，即使已經(jīng)成為 RFC 標準的，以后仍有可能會進行協(xié)議擴充。 綜上所述，部署 IPv6 網(wǎng)絡(luò)的時候，應(yīng)該采用平滑過渡的策略。首先完成IPv6 基礎(chǔ)網(wǎng)絡(luò)承載能力建設(shè)的目標，為將來IPv6 應(yīng)用上線做好準備。其次根據(jù)現(xiàn)有用戶實際網(wǎng)絡(luò)及應(yīng)用的實際部署情況，應(yīng)用雙棧技術(shù)和過渡技術(shù)，在不影響現(xiàn)有 IPv4 主體拓撲結(jié)構(gòu)和網(wǎng)絡(luò)架構(gòu)的前提下，使得現(xiàn)網(wǎng)中需要部署 IPv6 網(wǎng)絡(luò)的地方能夠通過各種隧道和

6、翻譯技術(shù)，過渡階段協(xié)議內(nèi)、協(xié)議間的應(yīng)用互訪。在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)中的位置工業(yè)領(lǐng)域 IPV6 升級/改造解決方案在下圖（圖 1）：工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)中處于工廠外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)/移動網(wǎng)/專用網(wǎng)絡(luò)）這個位置，關(guān)聯(lián)關(guān)系為：7 工廠云平臺（及管理軟件）與協(xié)作平臺，8 智能產(chǎn)品與工廠。為企業(yè)上云提供網(wǎng)絡(luò)基礎(chǔ)支撐。圖 1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖需求分析互聯(lián)網(wǎng)演進升級的必然趨勢基于互聯(lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)面臨網(wǎng)絡(luò)地 175 址消耗殆盡、服務(wù)質(zhì)量難以保證等制約性問題，IPv6 能夠提供充足的網(wǎng)絡(luò)地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。大力發(fā)展基于 IPv6 的下一代

7、互聯(lián)網(wǎng)，有助于顯著提升我國互聯(lián)網(wǎng)的承載能力和服務(wù)水平，更好融入國際互聯(lián)網(wǎng)，共享全球發(fā)展成果，有力支撐經(jīng)濟社會發(fā)展，贏得未來發(fā)展主動。技術(shù)產(chǎn)業(yè)創(chuàng)新發(fā)展的重大契機推進 IPv6 規(guī)模部署是互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)生態(tài)的一次全面升級， 深刻影響著網(wǎng)絡(luò)信息技術(shù)、產(chǎn)業(yè)、應(yīng)用的創(chuàng)新和變革。大力發(fā) 展基于 IPv6 的下一代互聯(lián)網(wǎng)，有助于提升我國網(wǎng)絡(luò)信息技術(shù)自主創(chuàng)新能力和產(chǎn)業(yè)高端發(fā)展水平，高效支撐移動互聯(lián)網(wǎng)、物聯(lián) 網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新興領(lǐng)域快速 發(fā)展，不斷催生新技術(shù)新業(yè)態(tài)，促進網(wǎng)絡(luò)應(yīng)用進一步繁榮，打 造先進開放的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)生態(tài)。網(wǎng)絡(luò)安全能力強化的迫切需要加快 IPv6 規(guī)模應(yīng)用為解決

8、網(wǎng)絡(luò)安全問題提供了新平臺，為提高網(wǎng)絡(luò)安全管理效率和創(chuàng)新網(wǎng)絡(luò)安全機制提供了新思路。大力發(fā)展基于 IPv6 的下一代互聯(lián)網(wǎng)，有助于進一步創(chuàng)新網(wǎng)絡(luò)安全保障手段，不斷完善網(wǎng)絡(luò)安全保障體系，顯著增強網(wǎng)絡(luò)安全態(tài)勢感知和快速處置能力，大幅提升重要數(shù)據(jù)資源和個人信息安全保護水平，進一步增強互聯(lián)網(wǎng)的安全可信和綜合治理能力。目前，以 IPv4 網(wǎng)絡(luò)為主的客戶，存在如下問題：IP 地址資源短缺，客戶地址不夠用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）導(dǎo)致端到端應(yīng)用受限，客戶業(yè)務(wù)開 176 展不靈活服務(wù)質(zhì)量（QoS）上無法實現(xiàn)端到端部署，客戶關(guān)鍵業(yè)務(wù)沒有保障面對運用 IPV4 網(wǎng)絡(luò)的客戶群體的痛點和升級改造的需要， IPv6 作為下一代

9、網(wǎng)絡(luò)的基礎(chǔ)以其明顯的技術(shù)優(yōu)勢從根源上解決了 IPv4 的問題，并增強了未來的擴展性。解決方案作為IPv4 協(xié)議的替代，IPv6 協(xié)議使用 128 位的地址結(jié)構(gòu)解決了 IP 地址不足的問題，同時對一些特性進行了優(yōu)化處理。出現(xiàn)于 IPv4 時代的組播技術(shù)，由于其有效解決了單點發(fā)送、多點接收的問題，實現(xiàn)了網(wǎng)絡(luò)中點到多點的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負載，因此在 IPv6 中的應(yīng)用得到了進一步的豐富和加強:1）128 位IPv6 地址讓客戶的每臺設(shè)備都有全球可達地址， 客戶不用為地址煩惱IPv6 報頭結(jié)構(gòu)優(yōu)化，處理效率提高，提升客戶整網(wǎng)性能IPv6 充分考慮了客戶現(xiàn)存 IPv4 現(xiàn)狀，

10、可以實現(xiàn)平滑過渡，擴展性好，保護客戶投資IPv6 即插即用功能提供更方便的部署方法，簡化客戶網(wǎng)絡(luò)部署IPv6 流標簽?zāi)芰ψ孮oS 端到端部署可以實現(xiàn)，保障客戶的關(guān)鍵業(yè)務(wù)IPv6 內(nèi)置安全特性，保護客戶網(wǎng)絡(luò)IPV6 解決方案的整體設(shè)計主要包括：網(wǎng)站 IPv6 改造，DNS 177 系統(tǒng) IPv6 改造，服務(wù)器負載均衡 IPv6 改造，網(wǎng)站雙棧改造， 企業(yè)分支點 IPV6 改造，傳統(tǒng)廣域網(wǎng) IPv6 遷移方法，IPv6 無線網(wǎng)部署等環(huán)節(jié)。網(wǎng)站IPv6 改造方案概述圖 2 網(wǎng)站 IPV6 改造方案架構(gòu)圖雙棧：全部軟硬件設(shè)備同時運行 IPv4 和 IPv6 兩個協(xié)議棧，能夠同時處理 IPv4 和 IP

11、v6 數(shù)據(jù)包，實現(xiàn)同時支持 IPv6和 IPv4 訪問。新建 IPv6 服務(wù)：不影響原有 IPv4 服務(wù)的情況下，新建IPv6 服務(wù)平面對外提供 IPv6 服務(wù)。地址族轉(zhuǎn)換：在 IPv4 網(wǎng)站外部，掛接一臺 v4/v6 地址族轉(zhuǎn)換設(shè)備，原有IPv4 源站不需修改，把DNS 域名解析AAAA 記錄指向轉(zhuǎn)換設(shè)備配置的 IPv6 地址；IPv6 用戶訪問目標網(wǎng)站， 經(jīng) DNS 解析調(diào)度后轉(zhuǎn)向訪問轉(zhuǎn)換設(shè)備的 IPv6 地址，轉(zhuǎn)換設(shè)備從IPv4 源站讀取數(shù)據(jù)，經(jīng)過協(xié)議轉(zhuǎn)換后發(fā)送數(shù)據(jù)給 IPv6 用戶。DNS 系統(tǒng) IPv6 改造1、DNS 系統(tǒng)特點：（如圖 3）DNS 系統(tǒng)提供主機名字和 IP 地址間的

12、相互轉(zhuǎn)換。DNS 采 178 用 C/S 模式，DNS 客戶端提出查詢請求，DNS 服務(wù)器負責(zé)相應(yīng)請求。DNS 系統(tǒng)是一個具有樹狀層次結(jié)構(gòu)的，聯(lián)機分布式數(shù)據(jù)庫系統(tǒng)。圖 3 DNS 系統(tǒng) IPv6 改造設(shè)計圖2、DNS 域名解析完整過程：（如圖 4）圖 4 DNS 域名解析主機客戶端向本地域名服務(wù)器發(fā)起 DNS 解析請求。本地域名服務(wù)器接收主機客戶端 DNS 解析請求，從本地數(shù)據(jù)庫查詢域名對應(yīng)的 IP 地址。如果從本地數(shù)據(jù)庫中查詢到對 179 應(yīng)的 IP 地址，則將查詢結(jié)果返回給主機客戶端；如果無法從本地數(shù)據(jù)庫查詢到對應(yīng)結(jié)果，則本地服務(wù)器必須查詢其他的 DNS 服務(wù)器（類似于根服務(wù)器，二級、三級

13、域名服務(wù)器），直到得到確認的查詢結(jié)果返回主機客戶端。3、域名發(fā)布 IPv6 改造： 添加 AAAA 記錄綁定域名。在域名注冊服務(wù)提供商管理界面添加 AAAA 記錄，由域名注冊服務(wù)提供商對外通告域名解析 IPv6 地址。（如圖 5）圖 5 域名發(fā)布 IPV6 改造自建DNS 服務(wù)器添加AAAA 記錄，對外通告域名解析IPv6地址。多 ISP 出口 DNS 部署（如圖 6）圖 6 ISP 出口 DNS 部署如圖 6 顯示，部分網(wǎng)站出口會連接多家 ISP 線路。此種多ISP 出口場景下，可使用鏈路負載均衡Inbound LLB 解決 DNS解析問題。 180 圖 7 鏈路負載均衡Inbound LL

14、B 解決 DNS 解析問題LLB作為DNS服務(wù)器對外提供DNS解析服務(wù)，針對不同運營商對外發(fā)布不同的服務(wù)IP。LLB基于用戶源地址返回相應(yīng)運營商服務(wù)地址。服務(wù)器負載均衡 IPv6 改造圖 8 服務(wù)器負載均衡 IPv6 改造Global IPv6 轉(zhuǎn)換成其他Global IPv6：整個網(wǎng)站基礎(chǔ)架構(gòu)全部使用Global IPv6 部署。其中一部分Global IPv6 作為對外解析的服務(wù) IP，服務(wù)器集群使用非服務(wù) IP 的其余 Global IPv6 地址。此場景下，服務(wù)器集群中任何一臺服務(wù)器均可通過Internet 直接訪問。Global IPv6 轉(zhuǎn)換成 ULA IPv6：網(wǎng)站使用 Glob

15、al IPv6作為對外解析的服務(wù) IP，服務(wù)器集群使用 ULA IPv6 進行部署。 181 此場景下，ULA IPv6 路由不會在公網(wǎng)上傳播。普通客戶使用Internet 訪問web 服務(wù)，只能通過負載均衡設(shè)備將Global IPv6 轉(zhuǎn)換成 ULA IPv6 后才能進行訪問。網(wǎng)站雙棧改造1、評判規(guī)則：網(wǎng)絡(luò)基礎(chǔ)架構(gòu)：拓撲結(jié)構(gòu)清晰，現(xiàn)網(wǎng)設(shè)備絕大部分支持雙棧。客戶層面：能接受軟件代碼、中間件等 IPv6 適配改造的時限。2、改造方案：圖 9 工網(wǎng)站雙棧改造方案圖網(wǎng)絡(luò)基礎(chǔ)架構(gòu)：交換機、路由器使能雙棧。重點評估設(shè)備表項能力。若設(shè)備表項能力較低，建議替換升級設(shè)備。若全網(wǎng)設(shè)備表項能力均較低，建議新建 I

16、Pv6 網(wǎng)站。服務(wù)器負載均衡：按客戶需求進行改造。如果客戶想要對外隱藏服務(wù)器集群 IP，建議部署 Global IPv6 轉(zhuǎn)換成 ULA IPv6 服務(wù)器負載均衡。DNS 系統(tǒng)：添加 AAAA 記錄，對外發(fā)布 IPv6 解析地址。若存在多 ISP 出口，建議部署雙棧鏈路負載均衡。 182 應(yīng)用基礎(chǔ)、業(yè)務(wù)代碼進行雙棧適配改造。網(wǎng)站地址族轉(zhuǎn)換改造1、評判規(guī)則：客戶層面：資金預(yù)算緊張，希望以最小代價、最短時間內(nèi)完成網(wǎng)站 IPv6 改造。改造方案架構(gòu)圖：圖 10 網(wǎng)站地址族轉(zhuǎn)換改造網(wǎng)絡(luò)基礎(chǔ)架構(gòu)：出口路由器使能雙棧，防火墻使能地址族轉(zhuǎn)換功能。DNS 系統(tǒng)：添加 AAAA 記錄，對外發(fā)布 IPv6 解析地

17、址。若存在多 ISP 出口，建議部署雙棧鏈路負載均衡。企業(yè)分支節(jié)點 IPv6 改造方法企業(yè)分支與總部采用星型連接，各分支出口路由器通過NE1 專線的方式分別匯接至企業(yè)總部匯聚路由器。若新建部分IPv6 分支，為了實現(xiàn)與分支節(jié)點的IPv6 連接， 可將企業(yè)總部作為匯聚節(jié)點的路由器設(shè)備升級為雙棧。這樣， 原有的 IPv4 分支與總部的連接保持不變，新建的 IPv6 分支節(jié)點出口設(shè)備采用雙棧路由器，可接入到總部的雙棧設(shè)備上。原有的 IPv4 分支連接保持不變，新建的 IPv6 分支采用雙棧的方式接入，企業(yè)分支的出口設(shè)備與企業(yè)總部的匯聚節(jié)點設(shè) 183 備間采用雙棧。傳統(tǒng)廣域網(wǎng) IPv6 遷移方法1、評

18、估現(xiàn)網(wǎng)基礎(chǔ)架構(gòu)：轉(zhuǎn)發(fā)平面：純 IPv4 轉(zhuǎn)發(fā)？MPLS 轉(zhuǎn)發(fā)？雙棧支持度；設(shè)備表項規(guī)格；2、評估客戶需求：是否有 VPN 需求；是否為客戶重要生產(chǎn)網(wǎng)絡(luò)；是否有流量可視、路徑優(yōu)選需求；IPv6 遷移策略：新建 IPv6 廣域網(wǎng)：1）設(shè)備不支持雙棧；2）表項規(guī)格不滿足要求；3）承載重要生產(chǎn)網(wǎng)絡(luò)流量。雙棧：1）設(shè)備支持雙棧；2）表項規(guī)格滿足要求。6PE：1）MPLS 轉(zhuǎn)發(fā)；2）PE 支持雙棧；3）無 VPN 需求。6VPE：1）MPLS 轉(zhuǎn)發(fā)；2）PE 支持雙棧；3）有 VPN 需求。ADWAN：客戶有流量可視、路徑優(yōu)選需求。IPv6 無線網(wǎng)部署 184 圖 11 IPV6 無線網(wǎng)站部署無線 IPv6 網(wǎng)應(yīng)該具備的基本要求：支持 IPv6 環(huán)境有線網(wǎng) IPv6 已經(jīng)是必須技術(shù)，無線網(wǎng) IPv6 是必然趨勢。如果不支持 IPv6 勢必造成將來改造成本再投入。H3C 通過部署 AP 與無線交換機互聯(lián)基于IPv6 的隧道，支持 IPv6 環(huán)境下的無線組網(wǎng)需求；IPv6 ACL、IPv6 組播無線網(wǎng)實現(xiàn)IPv6，需要對用戶按照不同策略進行訪問控制；IPv6 組播往往是園區(qū)IPv6 業(yè)務(wù)的支撐技術(shù)；支持 ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6 實現(xiàn) I