企業(yè)上云IPv6解決方案與應(yīng)用白皮書2024

企業(yè)上云IPv企業(yè)上云IPv6解決方案和應(yīng)用白皮書宋林健梁卓孟方劉警王遠(yuǎn)輝徐東趙飛聞博楊永王忠雨徐孟潘顯奇秦超彭昔敏企業(yè)上云IPv6解決方案和應(yīng)用白皮書企業(yè)上云IPv6解決方案和應(yīng)用白皮書目錄前言 3.3.應(yīng)用IPv6安全防護(hù)最佳實(shí)踐 51.企業(yè)上云IPv6支持概述1.1.什么是IPv6？充足的地址空間6層次化的地址結(jié)構(gòu)IPv6前綴分配用戶和使用場(chǎng)景前綴長(zhǎng)度用途和使用場(chǎng)景RIR/LIR分配給有ASN的運(yùn)營(yíng)商、互聯(lián)網(wǎng)公司、大型企業(yè)運(yùn)營(yíng)商站點(diǎn)和數(shù)據(jù)中心的大型企業(yè)分配的前綴，48運(yùn)營(yíng)商向中小客戶分配的常見前綴長(zhǎng)度。寬帶運(yùn)營(yíng)商給家庭用戶和小微企業(yè)分配的最小前綴長(zhǎng)度末端設(shè)備子網(wǎng)，路由器點(diǎn)對(duì)點(diǎn)鏈路7簡(jiǎn)化報(bào)文頭靈活的擴(kuò)展頭IPv6擴(kuò)展頭的報(bào)文格式強(qiáng)大的鄰居發(fā)現(xiàn)協(xié)議8內(nèi)置安全性9改造效果顯著，但是大量長(zhǎng)尾中小企業(yè)還未真正用上IPv6。1.2.業(yè)務(wù)IPv6改造要求和痛點(diǎn)1.2.1.IPV6改造技術(shù)要求1.2.2.企業(yè)IPV6改造的痛點(diǎn)1.3.云平臺(tái)IPv6能力ACL黑白名單及安全策略支持IPv6其他云產(chǎn)品支持IPv62.云平臺(tái)IPv6解決方案2.1.IPv6公有云解決方案2.1.1.云上IPv6&IPv4雙棧場(chǎng)景5。公網(wǎng)開通公網(wǎng)開通場(chǎng)景1：ECS直接與互聯(lián)網(wǎng)進(jìn)行雙向交互6。公網(wǎng)開通場(chǎng)景2：ECS借助負(fù)載均衡SLB，向互聯(lián)網(wǎng)發(fā)布服務(wù)8私網(wǎng)互通3VPC開通IPv6的方法：/zh/ipv6-gateway/user-guide/enable-ipv6-for-a-vpc4交換機(jī)開通IPv6的方法：/zh/ipv6-gateway/user-guide/enable-ipv6-for-a-vswitch-15ECS分配和配置IPv6地址的方法：/zh/ecs/user-guide/step-1-create-a-vpc-that-supports-ipv6-addressing6開通和管理IPv6公網(wǎng)帶寬的方法：/zh/ipv6-gateway/user-guide/enable-and-manage-ipv6-internet-bandwidth7創(chuàng)建和管理僅主動(dòng)出規(guī)則的方法:/zh/ipv6-gateway/user-guide/create-and-manage-an-egress-only-rule8開通雙棧版本ALB實(shí)例的方法：/zh/slb/application-load-balancer/getting-started/implement-load-balancing-9開通雙棧版本NLB實(shí)例的方法：/zh/slb/network-load-balancer/getting-started/nlb-quickly-implements-load-balancing-for-ipv6-services2.1.2.IPV6TOIPV4轉(zhuǎn)換場(chǎng)景部署于阿里云的應(yīng)用系統(tǒng)進(jìn)行6to4轉(zhuǎn)換部署于本地?cái)?shù)據(jù)中心的應(yīng)用系統(tǒng)進(jìn)行6to4轉(zhuǎn)換10開通雙棧版本ALB實(shí)例的方法：/zh/slb/application-load-balancer/getting-started/implement-load-balancin11開通雙棧版本NLB實(shí)例的方法：/zh/slb/network-load-balancer/getting-started/nlb-quickly-implements-load-balancing-for-ipv6-services12開通IPv6CLB實(shí)例方法：/zh/slb/classic-load-balancer/user-guide/overview-of-ipv6-clb-instances場(chǎng)景1：本地?cái)?shù)據(jù)中心與阿里云具備互聯(lián)專線場(chǎng)景2：本地?cái)?shù)據(jù)中心與阿里云無互聯(lián)專線13開通雙棧版本ALB實(shí)例的方法：/zh/slb/application-load-balancer/getting-started/implement-load-balancin14ALB掛載本地?cái)?shù)據(jù)中心服務(wù)器的方法：/zh/slb/application-load-balancer/use-cases/specify-an-on-premises-server-as-a-backend-server-of-alb?spm=a2c4g.1118669491de6B0515開通雙棧版本NLB實(shí)例的方法：/zh/slb/network-load-balancer/getting-started/nlb-quickly-implements-load-balancing-for-ipv6-services?spm=a2c4g16NLB掛載本地?cái)?shù)據(jù)中心服務(wù)器的方法：/zh/slb/network-load-balancer/use-cases/add-servers-in-data-centers-to-an-nlb-instance?spm=a2c17開通全球加速GA實(shí)現(xiàn)6to4轉(zhuǎn)換的方法：/zh/ga/use-cases/accelerate-an-ipv4-service-for-ipv6-clients?spm=a2.2.IPv6專有云解決方案2.3.IPv6云安全解決方案御功能、流量分析清洗功能、WEB應(yīng)用防護(hù)功能等。業(yè)務(wù)邏輯描述：3.基于云速搭CADT的IPv6最佳實(shí)踐3.1.創(chuàng)建具有IPv6地址的ECS3.1.1.最佳實(shí)踐概述方案概述應(yīng)用場(chǎng)景部署架構(gòu)架構(gòu)說明方案優(yōu)勢(shì)操作步驟前置條件3.1.2.部署基礎(chǔ)環(huán)境數(shù)量：1步驟2在菜單欄單擊新建>官方解決方案中心步驟1核對(duì)地域，本示例選擇“上?！?.1.3.測(cè)試IPV6的連通性3.1.4.一鍵釋放資源3.2.應(yīng)用IPv6改造最佳實(shí)踐3.2.1.最佳實(shí)踐概述整體架構(gòu)◆方案二：存量CLB遷移至NLB◆方案三：通過標(biāo)準(zhǔn)版全球加速GA轉(zhuǎn)發(fā)IPv6請(qǐng)求3.2.2.構(gòu)建演示環(huán)境部署架構(gòu)說明默認(rèn)密碼Test1234yuminstall-ygitgitclonehttps://best-practice:Abcd123456@/best-practice/bp/018.gitbashbp018-nginx-in通過域名地址訪問3.2.3.方案一：增加支持IPV6的公網(wǎng)SLB方案架構(gòu)說明驗(yàn)證步驟3.2.4.方案二：遷移CLB到NLB支持IPV6cases/best-practices-for-manually-migrating-a-layer-4-clb-lis驗(yàn)證步驟3.2.5.方案三：全球加速GA驗(yàn)證步驟3.3.應(yīng)用IPv6安全防護(hù)最佳實(shí)踐3.3.1.最佳實(shí)踐概述本章節(jié)介紹應(yīng)用IPv6改造過程中結(jié)合安全防護(hù)的角度如何利用阿里云的安全產(chǎn)品，在完成IPv6改造的同時(shí)，還增強(qiáng)了應(yīng)用的安全防御能力。推薦接入方案：WAF企業(yè)版+DDoS原生防護(hù)實(shí)例。將網(wǎng)站接入WAF，一鍵開啟IPv6防護(hù)功能。為網(wǎng)站防御IPv6環(huán)境下發(fā)起的攻擊，幫助源站實(shí)現(xiàn)對(duì)防，優(yōu)勢(shì)是不需要更換IP，沒有四層端口、七層域名數(shù)限制，部署簡(jiǎn)易，只需要綁定防護(hù)IP地址即可發(fā)流量清洗，攻擊流量被丟棄，只有正常的業(yè)防護(hù)主要提供三層和四層流量型攻擊的防御服務(wù)，全力防護(hù)能力受限于機(jī)房網(wǎng)絡(luò)的整體水位。當(dāng)攻擊流量超過機(jī)房網(wǎng)絡(luò)整體防護(hù)水位或被CC攻擊情況下，DDoS原生防護(hù)可能無法滿足安全防護(hù)需求，需要升級(jí)使用DDoS高防服務(wù)，提升安全防護(hù)能力。您也可以組合使用DDoS原生防護(hù)和DDoS高防，通過DDoS高防流量調(diào)力時(shí)，業(yè)務(wù)流量默認(rèn)解析到云產(chǎn)品，不增加業(yè)務(wù)延遲，當(dāng)攻擊過大觸發(fā)黑洞時(shí)，高防流量調(diào)度器將流量切換到DDoS高防，防御大流量的攻擊，此時(shí)存在約20ms的業(yè)務(wù)延時(shí)，攻擊停止后，根據(jù)流量調(diào)度器設(shè)置的切換延遲時(shí)間，等待一段時(shí)