国家政策推动 IPv6 规模部署,许多机构开始 IPv6 改造。IPv6 改造是一个过程,需要一定的过渡方案和过渡技术,各机构也应根据本机构的实际情况制定相匹配的改造方案。本篇主要讲解 IPv6 过渡技术和改造方案。
政策背景
加快 IPv6 规模部署是落实网络强国战略的重要举措
· 国际竞争:IPv4 存在地址消耗殆尽、服务质量难以保证等制约性问题,IPv6 能够提供充足的网络地址和广阔的创新空间,是全球公认的下一代互联网商业应用解决方案,全球 IPv6 部署已进入快车道,加快基于 IPv6 的下一代互联网发展,是提升网络实力,应对国际竞争的紧迫需求。
· 技术创新:有助于提升我国网络信息技术自主创新能力和产业高端发展水平,打造先进开放的下一代互联网技术生态。
· 促进发展:有助于提升我国互联网的承载能力和服务水平,促进下一代互联网与经济社会各领域的融合创新,赢得未来发展主动权。
· 安全需求:为提高网络安全管理效率和创新网络安全机制提供了新思路,进一步增强互联网的安全可信和综合治理能力。
过渡技术
IPv6 与 IPv4 互不兼容, 短期内无法将所有 IPv4设备替换为 IPv6 设备。另外,网络的升级换代也不能中断现有的业务。因此,从 IPv4 过渡到 IPv6 是一个渐进的过程,而且会持续相当长的时间。根据网络发展的现实情况,在不同时期采用不同的部署策略,在不中断现有的业务的基础上实现平滑过渡。
双栈技术(Dual Stack):是指在网络节点上同时运行IPv4 和IPv6 两种协议,从而在IP 网络中形成逻辑上相互独立的 IPv4 和 IPv6 两张网络,分别实现与 IPv4 和 IPv6 终端的通信。
· 双栈技术是一切过渡技术的基础,隧道机制和翻译机制都需要利用双栈节点。
· 源节点根据目的节点的不同选用不同的协议栈,网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。
隧道技术(Tunnel):通过将一种 IP 协议数据包嵌套在另一种 IP 协议数据包中进行网络传递的技术,当数据报文到达另一端时,再对数据包进行解封装操作,完成数据传输。
· 边缘节点设备实现双栈和隧道功能,除边缘节点外,其它节点不需要支持双协议栈;
· 手动型隧道(Configured tunneling),源和目的地址手工指定,如 v6 over v4 手工隧道、GRE 隧道等。
· 自动型隧道(Automatic tunneling),边界设备可自动获取隧道终点 IPv4 地址,无需手工配制,如 6to4、6RD、ISATAP、TEREDO 等。
翻译技术(Translation):利用转换网关转换 IPv4 和 IPv6 报头地址,同时根据协议的不同对数据报做相应的语义翻译。
· 该技术需由边界路由器或网关实现 IPv4/IPv6 数据包的转换。
· 无状态翻译(Stateless Translation),不记录流的状态,只根据单个报文将一个 IPv6 报文头转换为 IPv4 报文头,或将 IPv4 报文头转换为 IPv6 报文头,主要协议有 SIIT、IVI 等。
· 有状态翻译(Stateful Translation),是指需要在翻译设备中动态产生地址之间的映射关系,主要有 NAT-PT(不推荐)、NAT64+DNS64 等技术。
其他方式:许多应用业务托管在各类云中,有的应用启用了 CDN 功能,可以通过向 IDC、云服务商等购买相应的 IPv6 过渡产品技术,快速实现业务 IPv6 访问支持。
天窗问题:涉及外链和应用层载荷中的 IP、端口等情况
· 当网页包含其它网站内容的链接(外链),即使采取双栈技术路线,全面升级网络和修改程序,但被引用的其它网站未升级,IPv6 用户访问该网站时,会出现响应缓慢,部分内容无法显示,部分功能无法使用等情况。大型网站往往互相引用,或者存在多个栏目,单方面的升级改造不可避免地存在“天窗”问题。
· 另外,如 FTP、DNS 等应用,在应用层载荷中包含 IP 地址、端口等信息,需要结合使用ALG(Application Layer Gateway)应用层网关协同改造。
· 应用改造时应充分评估与测试,协同 ALG 改造,或者使用 6aaS(IPv6 as a Service)第三方的 IPv4-IPv6 应用互通平台解决天窗问题。
IPv6 过渡技术多样,各机构部门在 IPv6 改造时,应结合本机构网络应用等特点,综合运用各种过渡技术进行改造。
改造方法
双栈改造和新建网络是两种比较常见和成熟的改造方法,双栈改造有时候还会结合翻译技术。金融行业的朋友可能比较熟悉,下图是一个典型互联网边界网络区域简化拓扑图,下文将以此图为例进行改造方法说明,图例包含互联网接入区、前置区、后台区。
1. 双栈改造
方案一:前置负载 LB 翻译
改造说明:
· 业务对外地址落在 LB 上,互联网接入区双栈改造,前置负载做翻译技术;
· 前置负载到前置 Web,前置 Web 到后台仍使用 IPv4 通信。
方案二:前置 Web 双栈
改造说明:
· 业务对外地址落在 LB 上,互联网接入区和前置接入区双栈改造;
· 互联网用户访问到前置 Web 路径都支持双栈访问;
· 前置 Web 到后台仍使用 IPv4 通信。
方案三:内防火墙翻译
改造说明:
· 业务对外地址落在 LB 上,互联网接入区和前置接入区双栈改造;
· 互联网用户访问到前置 Web 路径,再到内防火墙,都支持双栈访问;
· 内防火墙做翻译技术,内防火墙到后台仍使用 IPv4 通信。
2. 新建改造
方案一:新建互联网接入区
改造说明:
· 新建 IPv6 互联网接入区专门处理IPv6流量,前置区开启双栈;
· 前置区性能压力较大;
· 数据流参考双栈改造数据流思路。
方案二:新建互联网接入区+前置区
改造说明:
· 新建 IPv6 互联网接入区和前置区,专门用于处理IPv6访问流量;
· 缺点是成本高,优点是对原有 IPv4 业务影响最小;
· 数据流参考双栈改造数据流思路。
方案三:新建互联网接入区+前置服务器
改造说明:
· 新建互联网接入区和 Web 前置服务器,前置区部分设备开启双栈;
· 优点是对原有 IPv4 业务影响较小;
· 缺点是成本较高,前置接入区双栈设备性能损耗增加;
数据流参考双栈改造数据流思路。
3. 方案对比
如上只是几种常见改造方法建议,简单做下对比:
双栈改造
· 最大好处是设备利旧,成本低,过渡平滑;
· 网络架构没有改变,应用无需迁移,但性能损耗增加;
· 需对网络、系统、应用、安全等充分评估测试,不达标的还需逐步升级改造,周期较长;
· 新旧业务在同一链路,对旧业务有潜在影响,操作风险和运维难度都会增加;
· 适用于有一定改造经验,并且当前链路对 IPv6 支持情况较好。
新建方案
· 好处是不影响原 IPv4 业务,风险可控,但是应用需要重新部署迁移;
· 可搭建尝试新的架构,需综合考虑终端访问路径和流量比例问题;
· 新购软硬件,增加了改造成本;
· 网络设备、系统、应用数量都翻倍,增加运维工作量;
· 适用于经验较少、初期试点或原 IPv4 链路改造量大的情况。
改造方法并非千篇一律,不同机构网络应用情况不同,需综合考虑自身成本、工作量、时效、风险、安全性、扩展性等,以灵活的组合方案落地实施。
地址申请
运营商分配
许多企业互联网接入区都会和运营商租赁互联网专线,运营商也会提供 IPv6 接入服务。机构在向运营商租赁开通 IPv6 业务时,有的专线会附带赠送/48 的 IPv6 地址段。
· 该地址段可对外发布使用,需要与运营商间配置静态路由启用;
· 该地址段只可与所属运营商专线对接使用,不能更换运营商和专线,不够灵活。
CNNIC 申请
如果企业想申请本企业专属 IPv6 地址段,可与本国的国家互联网注册机构(中国是 CNNIC)申请或购买专属地址段。
· 该地址段属于企业自身资产,大型企业可以根据自身全球或全国机构构成进行 IPv6 地址的全局统一规划使用;
· 可通过与运营商配置 BGP 动态路由的形式对外发布使用该地址段;
· 可对外提供业务访问也可内网规划使用,使用灵活。
DNS 改造
DNS 域名解析改造是 IPv6 改造过程中必不可少的环节。有些中小企业的业务系统托管部署在第三方云平台或第三方机房,这类情况只需向云平台或 IDC 购买租赁 IPv6 域名解析服务即可完成改造。许多大型机构一般都会有自建的权威域名解析服务器,这里说一下这种情况的 IPv6 支持改造方法。
无 NS 记录情况
有些机构在做 DNS 改造中流程较长,短期内无法完成NS记录审批流程,作为一种临时方案,可采用无 IPv6 NS 记录下发布 AAAA 记录,基本思路如下:
· A 记录、AAAA 记录属于应用层信息,网络层和应用层分层处理,IPv4 数据包中也可以有 AAAA 记录的应用层载荷;
· 在与多家运营商交流后发现,Local DNS 一般是双栈部署;
· IPv6 客户端可通过 Local DNS 获取位于 IPv4 网络中的域名服务器中发布的 AAAA 记录。
有 NS 记录情况
域名服务器完成 IPv6 的 NS 记录注册,具备 IPv6 访问地址,发布 AAAA 解析。对于金融机构,这也满足一行两会《实施意见》文件要求。文件实施步骤第二阶段(截至 2020 年底)第二条:“金融服务机构互联网相关全部域名解析设备能支持 IPv4/IPv6 双栈技术,同时具有 IPv4 和 IPv6 访问地址”。