IPv6部署指南

Scott+Hogg

企業(yè)全面采用IPv6的分步實(shí)施方法

IPv6自從90年代后期被開發(fā)出來之后，一直備受人們的重視，現(xiàn)在已經(jīng)實(shí)施的企業(yè)被認(rèn)為是早期的大多數(shù)——這意味著該技術(shù)正在被廣泛采用，因此如果您還沒有開始，那就需要考慮開始規(guī)劃部署IPv6了。

沿著這條道路的第一步是做好自己的功課。企業(yè)可以利用很多已經(jīng)公開的資源來規(guī)劃他們的IPv6部署，而本文最后列出了一些非常有價(jià)值的資源的鏈接。

但是，為了幫助您開始，這里介紹了一些鼓勵(lì)企業(yè)在制定其部署計(jì)劃時(shí)使用的最佳實(shí)踐。

組建您的IPv6部門

您應(yīng)組建一個(gè)跨職能部門來領(lǐng)導(dǎo)IPv6的規(guī)劃和部署。該部門的成員來自網(wǎng)絡(luò)、安全、系統(tǒng)、應(yīng)用、桌面和服務(wù)等部門，還有業(yè)務(wù)部門和相關(guān)管理人員，這樣才能確保成功的進(jìn)行合作。

資產(chǎn)清單和評(píng)估

您可以選擇把企業(yè)中所有IT資產(chǎn)的清單整合到一起，并評(píng)估是否有足夠的IPv6能力來繼續(xù)推進(jìn)。對(duì)于大多數(shù)企業(yè)來說，好消息是他們已經(jīng)等到了現(xiàn)在——幾乎所有的路由器、交換機(jī)、防火墻、操作系統(tǒng)、應(yīng)用程序和其他系統(tǒng)都具有強(qiáng)大的IPv6功能。

展開IPv6培訓(xùn)

大多數(shù)企業(yè)的IT員工并沒有花太多時(shí)間學(xué)習(xí)IPv6，也沒有將其與他們熟悉的IPv4協(xié)議進(jìn)行比較。當(dāng)相關(guān)部門的員工開始學(xué)習(xí)IPv6時(shí)，他們經(jīng)常問一些相同的基本問題。盡管多年來一直有優(yōu)秀的IPv6培訓(xùn)材料，但很多IT部門都可以使用一個(gè)不錯(cuò)的IPv6教程來幫助他們?nèi)腴T。隨著IPv6項(xiàng)目的推進(jìn)，任何額外的培訓(xùn)都會(huì)有回報(bào)。

IPv6規(guī)劃與設(shè)計(jì)

一旦部門經(jīng)過了培訓(xùn)，并知道環(huán)境中有什么，他們就可以針對(duì)部署建立詳細(xì)的技術(shù)計(jì)劃。這一整體設(shè)計(jì)會(huì)考慮到您環(huán)境的方方面面，以及您的企業(yè)將從IPv6實(shí)施中獲得的業(yè)務(wù)優(yōu)勢(shì)。該計(jì)劃應(yīng)遵循互聯(lián)網(wǎng)的內(nèi)部部署方法。

IPv6尋址計(jì)劃

在這一點(diǎn)上，IT部門應(yīng)了解IPv6地址格式，并準(zhǔn)備制定IPv6尋址計(jì)劃。第一步是確定您的企業(yè)可能需要的全球IPv6前綴的長度，可以采用IPv6地址規(guī)劃工具來幫助完成這個(gè)過程。然后，您可以向您的區(qū)域互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RIR）請(qǐng)求分配IPv6地址，然后繼續(xù)制定詳細(xì)的前綴計(jì)劃，因?yàn)檫@是您企業(yè)的第一個(gè)IPv6計(jì)劃，最好借助于一本優(yōu)秀的IPv6尋址書中的經(jīng)驗(yàn)，并考慮使用IPv6 IP地址管理（IPAM）工具來協(xié)助完成十六進(jìn)制數(shù)學(xué)計(jì)算工作。

IPv6概念驗(yàn)證（PoC）

如果您的企業(yè)有測(cè)試配置的實(shí)驗(yàn)室，那么可以在那里完善配置腳本。使用您自己的IPv6內(nèi)部實(shí)驗(yàn)室雖然是一種很好的學(xué)習(xí)方法，但可能還不夠，您可能需要一個(gè)PoC測(cè)試平臺(tái)來準(zhǔn)備實(shí)施。

在互聯(lián)網(wǎng)邊界部署IPv6

到目前為止，這一階段所有的準(zhǔn)備工作都為您的企業(yè)開始對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全系統(tǒng)、服務(wù)和最終用戶設(shè)備的配置更改進(jìn)行整合奠定了基礎(chǔ)。進(jìn)入部署階段后，對(duì)于那些已經(jīng)計(jì)劃到這一點(diǎn)的團(tuán)隊(duì)而言，很多事情會(huì)非常有趣。

正如IETF建議的那樣，IPv6部署應(yīng)該從企業(yè)環(huán)境的外部區(qū)域開始，通過這一環(huán)境，企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)。之所以在互聯(lián)網(wǎng)邊界開始部署，是因?yàn)槠髽I(yè)網(wǎng)絡(luò)的這個(gè)區(qū)域運(yùn)行著最現(xiàn)代的系統(tǒng)和軟件，因此更有可能被很好地記錄和理解。互聯(lián)網(wǎng)邊界只是整個(gè)企業(yè)的一小部分，在這里部署是應(yīng)用敏捷方法和在戰(zhàn)術(shù)上快速部署IPv6的有效途徑。

在您公司網(wǎng)站上使用IPv6的一種簡單而快速的方法是直接打電話給您的好鄰居內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），讓他們幫助您的公開網(wǎng)站啟用IPv6。這在面向公眾的網(wǎng)站上實(shí)現(xiàn)了IPv6，但并沒有在您自己的網(wǎng)絡(luò)中實(shí)現(xiàn)IPv6。真正的目標(biāo)是在上游互聯(lián)網(wǎng)鏈路上啟用IPv6，然后通過互聯(lián)網(wǎng)邊界將IPv6引入。下面是在邊界完成IPv6全面部署的步驟：

· 從您的RIR那里獲得您的全球IPv6地址。

· 聯(lián)系您的上游ISP，讓他們?cè)谀逆溌飞蠁⒂肐Pv6。

· 在路由器上配置這些IPv6地址，并測(cè)試與ISP的連接。

· 配置您路由器和ISP之間的邊界網(wǎng)關(guān)巡檢（BGP）來通告您的全球IPv6前綴。

· 將全球IPv6地址放在防火墻接口上，在防火墻中配置IPv6靜態(tài)路由。

· 在外圍設(shè)備和服務(wù)器上配置IPv6地址，從DNS服務(wù)器開始。

· 測(cè)試DNS服務(wù)器和防火墻之間的IPv6連接。

· 在防火墻中添加允許規(guī)則，實(shí)現(xiàn)IPv6的入站DNS，然后通過在IPv6上執(zhí)行查找，從互聯(lián)網(wǎng)上進(jìn)行測(cè)試。

· 開始啟用其他外圍服務(wù)，例如Web和電子郵件服務(wù)器，以便實(shí)現(xiàn)IPv6訪問，并驗(yàn)證互聯(lián)網(wǎng)的可達(dá)性。

· 在您的公共授權(quán)DNS中配置IPv6 AAAA和PTR記錄，以便實(shí)現(xiàn)IPv6的可達(dá)性。

· 把IPv6添加到負(fù)載平衡器或者應(yīng)用程序交付控制器后面的面向公眾的系統(tǒng)中。

在核心網(wǎng)絡(luò)上部署IPv6

還記得上世紀(jì)50年代的科幻電影《Blob》，它是怎樣慢慢地吸收路上的所有東西的嗎？在您企業(yè)網(wǎng)絡(luò)上，IPv6將以同樣的方式前進(jìn)。當(dāng)您在整個(gè)企業(yè)骨干網(wǎng)上添加IPv6連接時(shí)，IPv6將一次部署一個(gè)3層跳轉(zhuǎn)，從互聯(lián)網(wǎng)邊界向內(nèi)工作，最終擴(kuò)展到整個(gè)企業(yè)核心網(wǎng)絡(luò)。IPv6部署應(yīng)連續(xù)進(jìn)行，因?yàn)镮Pv6連接中的空白會(huì)導(dǎo)致端到端轉(zhuǎn)發(fā)問題。

下圖中，IPv4部署在所有的藍(lán)色鏈接上，而紅色路徑上部署的IPv6并不是最優(yōu)的。這將導(dǎo)致很高的端到端延遲。因此，您還需要確保在核心網(wǎng)絡(luò)上巧妙地部署了IPv6。

在核心和廣域網(wǎng)（WAN）的IPv6部署期間，網(wǎng)絡(luò)部門可以借助他們的IPv4路由協(xié)議知識(shí)，這些協(xié)議本身也支持IPv6。他們可以在核心網(wǎng)絡(luò)上使用OSPFv3、EIGRP、IS-IS，甚至BGP來部署IPv6。在部署IPv6時(shí)，最好使用與IPv4相同的路由協(xié)議——因?yàn)榫W(wǎng)絡(luò)工程師已經(jīng)很熟悉這一協(xié)議了。endprint

盡管IPv6是一個(gè)完全獨(dú)立于IPv4的協(xié)議，您也要避免在工作日配置IPv6；最好的做法是首先要在更改配置的時(shí)間上獲得批準(zhǔn)，以避免影響您的工作網(wǎng)絡(luò)。

當(dāng)您在企業(yè)廣域網(wǎng)中遷移IPv6時(shí)，不斷變化的企業(yè)廣域網(wǎng)體系結(jié)構(gòu)將會(huì)有所幫助。隨著越來越多的企業(yè)通過混合或者直接互聯(lián)網(wǎng)連接來部署軟件定義的廣域網(wǎng)解決方案，企業(yè)的IPv6尋址策略將會(huì)受到影響。能夠直接訪問互聯(lián)網(wǎng)的分支機(jī)構(gòu)將從服務(wù)提供商那里分配IPv6地址。您可以選擇為分支機(jī)構(gòu)/部門/遠(yuǎn)程辦公室使用提供商的地址空間，也可以選擇使用企業(yè)從RIR分配的全球IPv6地址空間。

在接入網(wǎng)上啟用IPv6

在某些情況下，IPv6運(yùn)行的比IPv4更快，并有利于最終用戶體驗(yàn)。例如，IPv6連接不受網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）滯后的影響，比如TCP/UDP頭校驗(yàn)和重新計(jì)算等。

今天，企業(yè)最終用戶在使用他們的移動(dòng)設(shè)備時(shí)不知不覺地占用了本地IPv6互聯(lián)網(wǎng)資源，而像Facebook這樣的內(nèi)容提供商更喜歡IPv6。因此，企業(yè)IPv6部署的下一步是在接入網(wǎng)的第一跳路由器上啟用IPv6。由于最終用戶移動(dòng)設(shè)備中有“快樂眼球”（RFC 6555）算法，其連接將選擇性能最好的IP版本。

就局域網(wǎng)上的主機(jī)數(shù)量而言，您不必?fù)?dān)心在局域網(wǎng)上是否有足夠的IPv6地址空間進(jìn)行分配。無論端節(jié)點(diǎn)的數(shù)量如何，您只需為每個(gè)接入網(wǎng)絡(luò)分配一個(gè)/64位前綴即可。一旦這些路由器（3層接口）配置了IPv6地址，路由器將開始發(fā)送ICMPv6路由器通告（RA）消息。這些消息將通知接入網(wǎng)上的所有節(jié)點(diǎn)，IPv6現(xiàn)在已經(jīng)激活，它們應(yīng)設(shè)置自己的IPv6地址，并使用這個(gè)路由器來連接上游連接。您還可以利用現(xiàn)有的DHCP服務(wù)器在您的企業(yè)中提供DHCPv6服務(wù)，以幫助管理地址分配。

您也希望在無線和有線接入網(wǎng)上啟用IPv6。當(dāng)您使用802.11ac部署現(xiàn)代無線設(shè)備時(shí)，表明您已經(jīng)擁有了支持企業(yè)級(jí)IPv6的現(xiàn)代WAP和無線控制器。

到純IPv6的最后一步

此時(shí)，您將運(yùn)行一個(gè)雙協(xié)議環(huán)境。重要的是要記住，雙協(xié)議并不是最終目的；純IPv6才是最終目標(biāo)。原因是企業(yè)更愿意在單一協(xié)議環(huán)境下工作。運(yùn)營雙協(xié)議環(huán)境會(huì)增加管理成本，因?yàn)楹芏嗳蝿?wù)要執(zhí)行兩次，一次是為了IPv4，另一次是為了IPv6。因此，運(yùn)行純IPv6環(huán)境的效率更高。到達(dá)這一階段的時(shí)間越早，IPv4對(duì)您的限制就越少。

Scott Hogg是“全球技術(shù)資源”的首席技術(shù)官。

原文網(wǎng)址：

http：//www.networkworld.com/article/3235805/lan-wan/ipv6-deployment-guide.htmlendprint