IPv6网络演进整改解决方案报告书模板.docx
《IPv6网络演进整改解决方案报告书模板.docx》由会员分享,可在线阅读,更多相关《IPv6网络演进整改解决方案报告书模板.docx(9页珍藏版)》请在冰豆网上搜索。
IPv6网络演进整改解决方案报告书模板
****
网络IPv6演进方案
江苏****网络技术有限公司
2018年3月13日
1概述4
1.1项目背景概述4
2需求分析5
2.1IPV6网络演进6
2.1.1IPv6发展初期阶段7
2.1.2IPv6与IPv4共存阶段7
2.1.3IPv6主导阶段7
2.2需要考虑的问题7
2.2.1IPv6演进模式7
2.2.2IPv6业务支持8
2.2.3IPv6可管理性8
2.2.4针对不同的网络环境进行建设8
3解决方案9
3.1网络建设总体要求9
3.2交通电子政务网络划分9
3.3方案说明10
3.3.1组网思路10
IPv6用户的接入方式10
业务实现分析11
3.3.2广域网IPv6组网11
企业分支节点接入11
3.3.3IPv6地址规划12
3.3.4IPv6路由规划13
3.3.5基于真实IPv6源地址的用户标识和认证服务16
1概述
1.1项目背景概述
Internet的成功与发展促进了IP网络的发展,不过IPv4地址已然耗尽,下一代互联网使用IPv6技术已成为互联网发展的必然趋势。
2011年2月3日,全球互联网数字分配机构(IANA)正式宣布已无新的IPv4地址分配。
而随着物联网、移动互联网等新型应用的快速发展,将会需求大量的地址资源,这势必会对我国互联网持续稳定的发展产生影响,因此解决IPv4地址短缺的问题迫在眉睫。
从技术本质上讲,解决IPv4地址短缺,可以采用两种不同的技术路线,一种是多级NAT(如NAT444)技术,另一种是IPv6技术,这两种技术是完全对立的。
从长远来看,NAT技术并不能从根本上解决地址短缺的问题,而且会增加网络结构的复杂性。
2017年11月26日,中办、国办联合印发了《推进互联网协议第六版(IPv6)规模部署的行动计划》(以下简称《计划》)。
从该《计划》可以看到,政府横向要求政府机构、中央媒体、中央企业网站完成IPv6的升级改造,纵向从终端、网络到典型应用整个垂直行业要求支持IPv6的演进。
这充分反映了国家战略和政府在此次IPv6规模部署行动的决心。
为了满足****区交通运输管理局未来的网络信息系统的建设需要,减少新业务与应用的IT成本,以及物联网及大数据在交通业务方面的应用需求。
IPv6网
络的部署及演进已是必然趋势,需提前做好相应的技术规划,未雨绸缪。
2需求分析
目前,在****区交通系统的网络信息系统中,部分业务系统是通过IPV4NAT
技术实现交通局和下辖单位网络的互联互通,与互联网业务的访问也是通过NAT
技术实现。
拓扑网络如下图:
图2-1****系统网络拓扑图
NAT技术的使用,虽然能解决IPv4地址的紧缺和网络自治区域间的互联互通,但也为网络的使用带来消极影响;NAT是一种救急措施而非最终解决方案。
NAT网络的弊端如下:
破坏的IP的端到端模型,增加网络复杂性,提高网络运维成本
地址和端口转换需要额外处理,影响网络性能,降低流媒体业务质
量
保存连接状态,存在单点失效问题,降低了网络的可靠性
面临非NAT友好应用问题,某些新业务需升级NAT设备
由于IPv4与IPv6协议的不兼容,引入IPv6技术关键在于即要保证原有IPv4业务的应用,同时又要考虑通过IPv6引入减轻IPv4地址不足所面临的压力。
因此产生了大量的IPv6演进方案,包括双栈技术、NAT444、DS-Lite、NAT64、IVI、6to4、4over6、6RD、6PE等多种解决方案。
具体采用哪种解决方案,需要结合****区交通局网络信息系统的现有情况及今后的业务场景需求,选择对应的IPv6演进策略。
没有任何一个技术可以解决所有问题,需要具体问题具体分析。
未来网络的最终模型必然是单栈IPv6网络已成为业界共识,因此在选择
IPv6演进方案时,更多的需要考虑所选择的技术架构是需要符合未来的发展趋势,同时也可以避免多次升级所带来的各种问题。
受限于应用系统或终端局限等
问题,不能在短时间内大规模升级到IPv6,且大量业务仍是基于IPv4的业务应用,因此在未来一段时间内,网络中主要的应用还是基于IPv4的。
为加快IPv6
的演进,需要加快引进IPv6业务的进度。
目前,****局网络在IPv6部署演进中主要会面临三大挑战:
业务、终端与网
络边缘。
由于网络边缘设备涉及到相对复杂的网络路由管理、安全、业务感知等功能,且会存在一定数量现网设备不具备软件升级支持IPv6的能力,会面临替换的问题,但相对来讲,在三大挑战中这是最容易解决的。
对于终端和业务部分而言,终端因涉及到规模庞大、应用软件种类多、总体成本高等原因,是IPv6网络演进的主要困难。
没有创新的应用也就难以为IPv6
特色业务的开发和规模提供有效平台,整个IPv6演进就难以进入良性循环。
2.1IPv6网络演进
当前大量的网络是IPv4网络,随着IPv6的部署,很长一段时间是IPv4与
IPv6共存的过渡阶段。
通常将IPv6的部署划分为以下个阶段:
图2-2IPv6的部署方案
2.1.1IPv6发展初期阶段
在IPv6网络部署初期,IPv6站点的规模不大,因此在IPv4网络中形成了一个个“IPv6孤岛”。
业务应用上以原有的IPv4应用为主,需要保证IPv6站点与IPv4网络之间的通信,以及IPv6站点之间的互连。
2.1.2IPv6与IPv4共存阶段
随着IPv6网络规模的扩大,纯IPv6网络与纯IPv4网络并存。
基于IPv6的传统业务逐渐开始大量部署,需要保证IPv6与IPv4之间的通信。
2.1.3IPv6主导阶段
纯IPv6网络最终形成,原有的IPv4网络大部分升级为IPv6,只剩下少数的IPv4站点成为“IPv4孤岛”。
此时适用于IPv6的各种新型业务开始成为主流业务。
2.2需要考虑的问题
在****区交通系统部署IPv6之前,我们首先要考虑部署的总体方针和策略:
2.2.1IPv6演进模式
在交通网中部署IPv6可以有全双栈模式和隧道模式。
全双栈模式组网是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4
和IPv6的逻辑界面清晰。
隧道模式属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。
222IPv6业务支持
如如:
IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLSVPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM等等。
2.2.3IPv6可管理性
在本次网络建设后,应充分考虑网络部署IPv6的可管理及可维护性,要能够满足日常业务的需要和网络安全管理方面的需求。
2.2.4针对不同的网络环境进行建设
主干网络设备可以考虑直接扩容为全双栈模式,适当兼顾只支持IPv4协议
栈的终端;并可根据交通局业务的的实际情况,可以先建设部分双栈网络,其他部分采用隧道模式允许用户IPv6业务,逐步将不支持IPv6的设备进行换代升级。
综上所述,本次部署IPv6网络的时候,建议有条件的网络中采用全双栈部署,完成本次驻地网的大部分改造,其次根据现有交通网内的实际业务应用情况,采用部分过渡技术,在不影响现有IPv4网络主要业务的条件下,使得交通专网中需要部署IPv6网络的地方能够通过隧道技术,接入业务服务区域或CERNET2。
3解决方案
3.1网络建设总体要求
1、安全保密性
严格遵循国家安全保密法规,从技术、管理角度,加强网络和信息的安全防范,确保涉密信息安全,实现与非专网业务一一如因特网业务的严格逻辑隔离,保障三级纵向专网的安全。
2、业务承载灵活性
在保证网络及信息安全保密的同时,还需兼顾业务承载、系统架构和数据交换实际需要,按照“强化业务网”的思路开展网络及应用系统建设。
3、提高资源利用率
按照统筹规划、统一布署、分步实施的原则,从全局出发,打破部门界限,实现三级交通运输系统各部门的互联互通和资源共享,使交通系统已有的各类信息资源发挥出最大效益,避免重复建设,杜绝资源浪费。
3.2交通电子政务网络划分
根据省政府关于电子政务建设的有关要求,全省交通电子政务网络分为电子政务内网和电子政务外网。
****电子政务网络结构示意图
从上图可以看出,交通电子政务网络逻辑上分为两套网络,即电子政务内网和电子政务外网,物理上分为三套网络,即涉密网、交通业务专网和外网。
电子政务内网与电子政务外网须物理隔离,交通行业业务专网和交通行业外网之间应采用安全等级较高设备(如防火墙、网闸)进行隔离,提高网络之间的安全性。
3.3方案说明
由于现有网络为IPv4网络且具备相当的用户规模,如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。
针对这种情况,建议采用升级现有IPv4网络的方案。
3.3.1组网思路
在现有IPv4网络下分散着若干IPv6/IPv4双栈主机,为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小,可首先将交通网络的核心设备
(核心交换机)升级为双栈,网络的其他部分保持不变。
核心设备完成升级后,可分别提供至IPv4网络和IPv6网络的出口;IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。
对于原有的IPv4用户不造成任何影响,同时实现了IPv6用户的接入(如下图)。
核心设备应考虑节点冗余,因此建议逐步完成对所有核心设备的升级。
IPv6用户的接入方式
在节点1下,由于网络中汇聚层依然是原有的IPv4交换机,接入层是原有
的IPv4交换机或L2交换机,为完成IPv6用户到核心交换机的连接,可采用
ISATAP隧道的方式。
在节点2和节点3下,用户通过双栈方式或IPv6overIPv4隧道方式完成连接。
业务实现分析
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。
新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6用户对于现有IPv4业务资源的访问。
同时,IPv4用户也会有访问IPv6业务资源的需求。
为实现这两种可能的业务互访的需求,需要考虑如何放置NAT-PT设备。
3.3.2广域网IPv6组网
广域网组网侧重于“I孤岛”之间跨越广域网的连接,如,交通局总部
与下辖单位、下辖段位之间通过IPv6连接等网络情况,都可适用。
企业分支节点接入
若新建部分IPv6分支,为了实现与分支节点的IPv6连接,可将分支机构作为汇聚节点的路由器设备升级为双栈。
这样,原有的IPv4分支与交通局的连接
保持不变,新建的IPv6分支节点出口设备采用双栈路由器,可接入到交通局的双栈设备上。
根据实际组网需要,分支与交通局之间可运行OSPFv3路由协议。
3.3.3IPv6地址规划
IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6
地址有128位,其中可供分配为网络前缀的空间有64bit。
按照最新的IPv6
RFC3513,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。
IPv6的地址使用方式有两类,一类是普通网络申请使用的IP地址,这类地址完全