IPv6在企业网络中的应用

2019-11-试题一 IPv6在企业网络中的应用

IPv6已经广泛应用于各类应用中，结合自己参与设计的系统并加以评估，写出一篇有自己特色的论文。

请围绕“IPv6在企业网络中的应用”论题，从如下几个方面进行论述。

1.简要叙述你参与的IPv6项目，以及运行状况；

2.详细叙述技术选型，过渡技术，规划设计方案；

3.分析和评估该项目的效果，遇到的问题及解决思路。

参考范文

摘要

网络技术发展迅速，传统的IPv4网络面临越来越多的瓶颈和风险，IPv6协议拥有更大地址空间、安全性更好，基于IPv6协议的网络能够很好的弥补IPv4网络的不足。我作为某企业数据中心的负责人，负责数据中心网络建设和运维。本次数据中心网络升级进行了充分调研和技术评估，采用IPv4和IPv6双栈建设模式，保持业务系统平稳过渡。升级改造后的IPv4和IPv6网络满足用户双协议访问的业务需求，对提升业务便捷度和品牌形象发挥重要作用。本文从IPv6升级建设的背景出发，简要分析IPv6的特点和主要技术对比，详细描述了网络架构，对IPv6建设方案中的重点进行介绍，同时对IPv6网络运维管理中存在的问题进行讨论，为企业IPv6网络的建设提供可供参考的经验和思考。

正文

1、项目背景与基本情况

随着网络发展，网络规模日益扩大，宽带入户、移动互联网、物联网等技术层出不穷。但是，伴随着网络的发展，如今广为使用的IPv4逐渐出现瓶颈。2018年，全球IPv4地址分配完毕，地址面临枯竭；IPv4的地址转换技术增加了网络、安全管理的复杂度，影响业务性能；在现有IPv4网络上，安全问题层出不穷，广播风暴、扫描攻击、蠕虫病毒等安全问题时刻困扰着我们。

为解决IPv4协议的不足，IPv6技术在20世纪90年代已经提出，并不断完善。由于IPv4的快速普及，IPv6的推广迟迟没有进展。近年来，互联网地址的枯竭、物联网的发展需要，迫切需要IPv6协议的广泛普及。

2017年11月，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，开启了中国大规模普及IPv6的序幕。当前，中国电信、中国联通、中国移动三大网络运营商已经完成IPv6骨干网络改造，为用户端和服务端进行IPv6改造提供了保障。

为不断提升服务能力，依托信息化提升企业管理水平，我单位决定对企业数据中心进行IPv6升级改造，主要目标有：实现全数据中心网络支持IPv6协议，主要对外提供服务的业务系统支持IPv6访问，探索建立IPv6环境下的安全防护方案。我作为企业数据中心的负责人，全程参与IPv6网络规划设计与建设。

2、IPv6的改进

IPv6与IPv4均是网络层协议，但两者从包结构、协议规则等均有很大区别。IPv6协议包结构更简洁，传输效率更高，在包头取消了分片、标志位等字段，包头更加简洁，设备处理效率和传输效率更快。同时IPv6采用128位编址，地址空间更大。所以，IPv6比IPv4更容易扩展，一个形象的比喻是“地球上每一粒沙子都可以拥有一个IPv6地址”。IPv6地址空间的扩大对物联网、5G通信等互联网新技术的发展提供了广阔的空间。另外，IPv6协议可以天然集成IPSec等协议，在网络层安全性上有较大提升，传统IPv4网络中的广播风暴、网络地址段的扫描、分片攻击等手段，在IPv6网络中将大幅减少。

3、IPv6过渡技术

当前，IPv6网络尚未完全普及，在进行IPv6建设和升级过程中，要考虑到IPv4和IPv6的共存，充分考虑业务的兼容性。IPv4与IPv6过渡阶段，通常有三种建设模式和技术，需要结合实际情况采用。

（1）双栈部署。顾名思义，双栈是同时运行IPv4与IPv6的技术，具有最强的兼容性，但需要设备同时支持v4和v6协议，可能存在大规模网络设备替换，整体部署实施成本较高。

（2）地址转换。对于不能兼容IPv6协议的老业务系统，需要通过IPv6与IPv4地址（协议）转换技术，实现IPv6终端访问IPv4业务系统。但是，IPv6与IPv4协议互转配置相对复杂，且后期运维和业务扩容比较繁琐。需要评估建设和运维总体TCO，来确定是否地址转换技术。

（3）隧道技术。隧道技术是通过在IPv4和IPv6网络之间建立逻辑隧道的方式，让两种网络可以相互穿越，实现业务互访，一般用于异构网络的互联互访。

本次为数据中心网络改造，需要考虑不同网络环境用户的互访，故本次经过评估我们选择了IPv6双栈技术。

3、网络架构

我负责的数据中心包含网络、存储、服务器、安全设备等近百台，有10余个大型业务系统对外提供服务，业务峰值流量可达10Gbps，平均流量在1-2Gbps，日均访问量近百万次。同时，数据中心还承载公司办公系统等内部业务系统，供总部及全国多个分部使用。此次IPv6改造升级，涉及设备多、业务系统复杂、影响范围广，需要慎重评估，密切配合，力求将对业务的影响降到最低。

数据中心网络分为出口防护区、核心汇聚网络区、对外业务区、内部业务区、运维管理区等主要区域。出口防护区是外部互联网出口的接入区域，用于接入多家运营商，主要实现多运营商负载均衡和DDoS防护、访问控制等初步安全防护。该区域主要有抗DDoS设备2台，用于流量清洗；xx型号接入交换机2台，采用双机虚拟化，接入三家运营商线路；xx型号防火墙2台，采用主备模式，实现访问控制；xx型号智能负载均衡设备，用于配置智能DNS，实现三家运营商的动态负载和智能解析。

核心汇聚网络区是整个网络的核心区域，负责与其他区域互联互通，实现流量的高速转发。该区域由两台xx型号交换机作为核心设备，上联出口防护区，下联对外业务区和内部业务区。对外业务区上联核心交换机，部署面向互联网用户提供服务的业务，是重点区域，该区域部署的有云计算平台、高性能物理服务器等设备；xx型号Web应用防火墙6台，两两组成集群，负责业务的Web安全防护；xx型号接入交换机若干台，采用双机冗余，用于云平台及高性能计算设备的接入。内部业务区分别上联核心交换机、总部办公网络，主要承载内部办公业务，网络设备主要有防火墙、VPN设备、汇聚交换机、接入交换机组成。运维管理区主要对数据中心进行网络管理、业务部署，该区域采用独立带外管理网络，上联出口防护区、办公网络，主要设备有VPN、堡垒机、日志审计、态势感知、汇聚交换机、带外管理接入交换机等设备。

4、问题与改进

本次IPv6升级建设充分利用现有设备，初步实现骨干网络设备和业务系统IPv4和IPv6双栈运行，建设要点有以下几个方面。

（1）对全网网络设备进行IPv4和IPv6双栈兼容性测试，充分评估设备对双栈的支持程度和双栈模式下的设备性能。本次建设中，核心设备、汇聚设备已与厂商确认满足要求，外部业务区的Web防火墙双栈模式下负载升高，追加采购两台。

（2）完善地址规划。IPv6地址空间较大，对于网络地址的规划有了更精细化的要求，此次升级中，对互联地址、业务地址进行细致规划，完全满足后续升级和发展。

（3）网络IPv6升级。网络升级采用分批次、分区域逐步升级的思路，依次对互联网防护区、核心区、对外业务区和内部业务区进行升级，升级时严格按照方案执行。IPv6升级不影响原业务运行，为确保稳定，升级均在夜间进行。

（4）协同业务系统升级改造。业务系统升级是本次建设的难点，主要在于业务系统复杂，需要针对IPv6环境进行开发，在业务系统上线时，同时调整负载均衡、Web防火墙等设备策略。

虽然IPv6技术已经较为完善，但在具体应用中还存在很多局限。比如此次项目中发现，运维管理区IPv6改造较为困难，堡垒机、服务器带外管理接口等业务当前还不支持IPv6协议，无法进行改造，需要通过后续设备采购来实现升级；同时需要维护IPv4和IPv6两套协议，管理难度加大，好在引入网络管理系统，实现可视化管理，提高了运维效率。

我数据中心在经过IPv6升级建设后，基于IPv6的访问也在逐渐增多。IPv6的部署和应用，提高网络的兼容性、健壮性和稳定性，为下一步全面部署IPv6打下了良好基础。虽然当前还面临着一些问题，在经过IPv6大规模部署和应用后，相应的技术会更加成熟。