工業領域IPV6改造升級解決方案
工業領域IPV6改造升級解決方案
紫光云引擎科技(蘇州)有限公司
網絡改造技術篇/前沿技術/其他
1 概述
隨著用戶的數據中心、廣域網、園區網絡的成功運行、改造完成,網絡建設規范也陸續完善起來。由于業務與用戶的迅猛增長,致使雙棧網絡還是隧道過渡,已經不再是關注的重點。而如何能夠將IPv6網絡建設成和IPv4網絡一樣安全、可管理、可運營成為對當前用戶網絡新的挑戰。
1.1 背景
當代中國,互聯網是關系國民經濟和社會發展的重要基礎設施,深刻影響著全球經濟格局、利益格局和安全格局。我國是世界上較早開展IPv6試驗和應用的國家,在技術研發、網絡建設、應用創新方面取得了重要階段性成果,已具備大規模部署的基礎和條件。抓住全球網絡信息技術加速創新變革、信息基礎設施快速演進升級的歷史機遇,加強統籌謀劃,加快推進IPv6規模部署,構建高速率、廣普及、全覆蓋、智能化的下一代互聯網,是加快網絡強國建設、加速國家信息化進程、助力經濟社會發展、贏得未來國際競爭新優勢的緊迫要求。
1.2 實施目標
在部署IPv6之前,我們首先應該考慮IPv6部署的總體方案和策略,具體考慮因素如下:
首先考慮網絡設備對IPv6業務支持的廣度。比如IPv6的過渡技術有手工隧道方式,自動隧道方式,有基于MPLS VPN技術的6PE方式,有基于網絡地址轉換技術的,IPv6的單播路由協議有RIPng,OSPFv3,ISISv6,BGP4+等等,IPv6的組播路由協議有PIM-DM,PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的業務種類越多越方便我們進行研究。
其次考慮網絡設備對IPv6業務支持的深度。IPv6首先應該部署在運營商網絡。這是因為在IPv6網絡里沒有私網地址概念(Site local 地址類型已經被IPv6工作組取消),永遠不出現NAT(指類似IPv4私有地址訪問公有地址的方式)。現階段IPv6網絡的復雜度應該大于IPv4的電信運營網絡,IPv4和IPv6混合組網的現象應該是當前的主旋律,也必定是一個長期演進的緩慢過程。
再次,廣泛使用的用戶終端設備及辦公軟件等對IPv6支持能力參差不齊。雖然移動終端系統(IOS、Android等)、固定終端系統(PC等)都標稱已經支持了IPv6能力,如對于客戶端獲取IP地址的方式,IOS支持DHCPv6,但Android僅支持ND方式,支持和協議實現方式的不同給IPv6的部署和推廣帶來了超出預期的技術成本和改造難度。此外,基于IPv6的互聯網應用寥寥可數,眾多應用服務商并未找到合適的IPv6應用盈利方式,內容和應用的缺失又反過來加劇了IPv6發展遲緩的問題。
最后考慮IPv6標準發展、完善的持續性。目前IPv6標準中仍有許多處于草案階段,即使已經成為RFC標準的,以后仍有可能會進行協議擴充。
綜上所述,部署IPv6網絡的時候,應該采用平滑過渡的策略。首先完成IPv6基礎網絡承載能力建設的目標,為將來IPv6應用上線做好準備。其次根據現有用戶實際網絡及應用的實際部署情況,應用雙棧技術和過渡技術,在不影響現有IPv4主體拓撲結構和網絡架構的前提下,使得現網中需要部署IPv6網絡的地方能夠通過各種隧道和翻譯技術,過渡階段協議內、協議間的應用互訪。
1.3 在工業互聯網網絡體系架構中的位置
工業領域IPV6升級/改造解決方案在下圖(圖1):工業互聯網網絡體系架構中處于工廠外部網絡(互聯網/移動網/專用網絡)這個位置,關聯關系為:7工廠云平臺(及管理軟件)與協作平臺,8智能產品與工廠。為企業上云提供網絡基礎支撐。
圖1 工業互聯網互聯示意圖
2 需求分析
2.1 互聯網演進升級的必然趨勢
基于互聯網協議第四版(IPv4)的全球互聯網面臨網絡地址消耗殆盡、服務質量難以保證等制約性問題,IPv6能夠提供充足的網絡地址和廣闊的創新空間,是全球公認的下一代互聯網商業應用解決方案。大力發展基于IPv6的下一代互聯網,有助于顯著提升我國互聯網的承載能力和服務水平,更好融入國際互聯網,共享全球發展成果,有力支撐經濟社會發展,贏得未來發展主動。
2.2 技術產業創新發展的重大契機
推進IPv6規模部署是互聯網技術產業生態的一次全面升級,深刻影響著網絡信息技術、產業、應用的創新和變革。大力發展基于IPv6的下一代互聯網,有助于提升我國網絡信息技術自主創新能力和產業高端發展水平,高效支撐移動互聯網、物聯網、工業互聯網、云計算、大數據、人工智能等新興領域快速發展,不斷催生新技術新業態,促進網絡應用進一步繁榮,打造先進開放的下一代互聯網技術產業生態。
2.3 網絡安全能力強化的迫切需要
加快IPv6規模應用為解決網絡安全問題提供了新平臺,為提高網絡安全管理效率和創新網絡安全機制提供了新思路。大力發展基于IPv6的下一代互聯網,有助于進一步創新網絡安全保障手段,不斷完善網絡安全保障體系,顯著增強網絡安全態勢感知和快速處置能力,大幅提升重要數據資源和個人信息安全保護水平,進一步增強互聯網的安全可信和綜合治理能力。
2.4 目前,以IPv4網絡為主的客戶,存在如下問題:
1)IP地址資源短缺,客戶地址不夠用
2)網絡地址轉換(NAT)導致端到端應用受限,客戶業務開展不靈活
3)服務質量(QoS)上無法實現端到端部署,客戶關鍵業務沒有保障
面對運用IPV4網絡的客戶群體的痛點和升級改造的需要,IPv6作為下一代網絡的基礎以其明顯的技術優勢從根源上解決了IPv4的問題,并增強了未來的擴展性。
3 解決方案
作為IPv4協議的替代,IPv6協議使用128位的地址結構解決了IP地址不足的問題,同時對一些特性進行了優化處理。出現于IPv4時代的組播技術,由于其有效解決了單點發送、多點接收的問題,實現了網絡中點到多點的高效數據傳送,能夠大量節約網絡帶寬、降低網絡負載,因此在IPv6中的應用得到了進一步的豐富和加強:
1)128位IPv6地址讓客戶的每臺設備都有全球可達地址,客戶不用為地址煩惱
2)IPv6報頭結構優化,處理效率提高,提升客戶整網性能
3)IPv6充分考慮了客戶現存IPv4現狀,可以實現平滑過渡,擴展性好,保護客戶投資
4)IPv6即插即用功能提供更方便的部署方法,簡化客戶網絡部署
5)IPv6流標簽能力讓QoS端到端部署可以實現,保障客戶的關鍵業務
6)IPv6內置安全特性,保護客戶網絡
IPV6解決方案的整體設計主要包括:網站IPv6改造,DNS系統IPv6改造,服務器負載均衡IPv6改造,網站雙棧改造,企業分支點IPV6改造,傳統廣域網IPv6遷移方法,IPv6無線網部署等環節。
3.1 網站IPv6改造方案概述
圖2 網站IPV6改造方案架構圖
1)雙棧:全部軟硬件設備同時運行IPv4 和IPv6 兩個協議棧,能夠同時處理IPv4和IPv6數據包,實現同時支持IPv6和IPv4訪問。
2)新建IPv6服務:不影響原有IPv4服務的情況下,新建IPv6服務平面對外提供IPv6服務。
3)地址族轉換:在IPv4網站外部,掛接一臺v4/v6地址族轉換設備,原有IPv4源站不需修改,把DNS域名解析AAAA記錄指向轉換設備配置的IPv6 地址;IPv6用戶訪問目標網站,經DNS解析調度后轉向訪問轉換設備的IPv6 地址,轉換設備從IPv4 源站讀取數據,經過協議轉換后發送數據給IPv6用戶。
3.2 DNS系統IPv6改造
1、DNS系統特點:(如圖3)
1)DNS系統提供主機名字和IP地址間的相互轉換。DNS采用C/S模式,DNS客戶端提出查詢請求,DNS服務器負責相應請求。
2)DNS系統是一個具有樹狀層次結構的,聯機分布式數據庫系統。
圖3 DNS系統IPv6改造設計圖
2、DNS域名解析完整過程:(如圖4)
圖4 DNS域名解析
1)主機客戶端向本地域名服務器發起DNS解析請求。
2)本地域名服務器接收主機客戶端DNS解析請求,從本地數據庫查詢域名對應的IP地址。如果從本地數據庫中查詢到對應的IP地址,則將查詢結果返回給主機客戶端;如果無法從本地數據庫查詢到對應結果,則本地服務器必須查詢其他的DNS服務器(類似于根服務器,二級、三級域名服務器),直到得到確認的查詢結果返回主機客戶端。
3、域名發布IPv6改造:
添加AAAA記錄綁定域名。
1)在域名注冊服務提供商管理界面添加AAAA記錄,由域名注冊服務提供商對外通告域名解析IPv6地址。(如圖5)
圖5 域名發布IPV6改造
2)自建DNS服務器添加AAAA記錄,對外通告域名解析IPv6地址。
多ISP出口DNS部署(如圖6)
圖6 ISP出口DNS部署
如圖6顯示,部分網站出口會連接多家ISP線路。此種多ISP出口場景下,可使用鏈路負載均衡—Inbound LLB解決DNS解析問題。
圖7 鏈路負載均衡—Inbound LLB解決DNS解析問題
1)LLB作為DNS服務器對外提供DNS解析服務,針對不同運營商對外發布不同的服務IP。
2)LLB基于用戶源地址返回相應運營商服務地址。
3.3 服務器負載均衡IPv6改造
圖8 服務器負載均衡IPv6改造
1)Global IPv6轉換成其他Global IPv6:整個網站基礎架構全部使用Global IPv6部署。其中一部分Global IPv6作為對外解析的服務IP,服務器集群使用非服務IP的其余Global IPv6地址。此場景下,服務器集群中任何一臺服務器均可通過Internet直接訪問。
2)Global IPv6轉換成ULA IPv6:網站使用Global IPv6作為對外解析的服務IP,服務器集群使用ULA IPv6進行部署。此場景下,ULA IPv6路由不會在公網上傳播。普通客戶使用Internet訪問web服務,只能通過負載均衡設備將Global IPv6轉換成ULA IPv6后才能進行訪問。
3.4 網站雙棧改造
1、評判規則:
1)網絡基礎架構:拓撲結構清晰,現網設備絕大部分支持雙棧。
2)客戶層面:能接受軟件代碼、中間件等IPv6適配改造的時限。
2、改造方案:
圖9 工網站雙棧改造方案圖
1)網絡基礎架構:交換機、路由器使能雙棧。重點評估設備表項能力。若設備表項能力較低,建議替換升級設備。若全網設備表項能力均較低,建議新建IPv6網站。
2)服務器負載均衡:按客戶需求進行改造。如果客戶想要對外隱藏服務器集群IP,建議部署Global IPv6轉換成ULA IPv6服務器負載均衡。
3)DNS系統:添加AAAA記錄,對外發布IPv6解析地址。若存在多ISP出口,建議部署雙棧鏈路負載均衡。
4)應用基礎、業務代碼進行雙棧適配改造。
3.5 網站地址族轉換改造
1、評判規則:
客戶層面:資金預算緊張,希望以最小代價、最短時間內完成網站IPv6改造。改造方案架構圖:
圖10 網站地址族轉換改造
1)網絡基礎架構:出口路由器使能雙棧,防火墻使能地址族轉換功能。
2)DNS系統:添加AAAA記錄,對外發布IPv6解析地址。若存在多ISP出口,建議部署雙棧鏈路負載均衡。
3.6 企業分支節點IPv6改造方法
企業分支與總部采用星型連接,各分支出口路由器通過N×E1專線的方式分別匯接至企業總部匯聚路由器。
若新建部分IPv6分支,為了實現與分支節點的IPv6連接,可將企業總部作為匯聚節點的路由器設備升級為雙棧。這樣,原有的IPv4分支與總部的連接保持不變,新建的IPv6分支節點出口設備采用雙棧路由器,可接入到總部的雙棧設備上。
原有的IPv4分支連接保持不變,新建的IPv6分支采用雙棧的方式接入,企業分支的出口設備與企業總部的匯聚節點設備間采用雙棧。
3.7 傳統廣域網IPv6遷移方法
1、評估現網基礎架構:
? 轉發平面:純IPv4轉發?MPLS轉發?
? 雙棧支持度;
? 設備表項規格;
2、評估客戶需求:
? 是否有VPN需求;
? 是否為客戶重要生產網絡;
? 是否有流量可視、路徑優選需求;
IPv6遷移策略:
新建IPv6廣域網:1)設備不支持雙棧;2)表項規格不滿足要求;3)承載重要生產網絡流量。
雙棧:1)設備支持雙棧;2)表項規格滿足要求。
6PE:1)MPLS轉發;2)PE支持雙棧;3)無VPN需求。
6VPE:1)MPLS轉發;2)PE支持雙棧;3)有VPN需求。
ADWAN:客戶有流量可視、路徑優選需求。
3.8 IPv6無線網部署
圖11 IPV6無線網站部署
無線IPv6網應該具備的基本要求:
? 支持IPv6環境——有線網IPv6已經是必須技術,無線網IPv6是必然趨勢。如果不支持IPv6勢必造成將來改造成本再投入。H3C通過部署AP與無線交換機互聯基于IPv6的隧道,支持IPv6環境下的無線組網需求;
? IPv6 ACL、IPv6組播——無線網實現IPv6,需要對用戶按照不同策略進行訪問控制;IPv6組播往往是園區IPv6業務的支撐技術;
? 支持ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6實現IPv6有線無線網的同等管理。
4 成功案例
新華三企業事業部中標賽爾下一代互聯網創新園項目(中關村壹號創新園工程),拿下“兩辦”發文《推進互聯網協議第六版(IPv6)規模部署行動計劃》以來首個IPv6商用項目,在新的IPv6領域占領制高點。
賽爾網絡擁有全球最大的IPv6活躍用戶群,也是我國下一代互聯網重大應用技術工程的核心承接者。賽爾旗下的下一代互聯網創新園,是由清華大學、北京市和賽爾網絡聯合組建的產業創新服務載體,擁有10.5萬平方米的辦公空間及配套設施,聚集國家下一代互聯網產業聯盟等行業組織和測試認證機構,多媒體、即時通信、瀏覽、搜索、視頻等內容提供商,以及新產品、新應用及小微開發者,推動產業鏈上下游互動合作,構建具有全球影響力的下一代互聯網產業集群,未來將成為全國乃至全球的下一代互聯網技術創新中心,也是IPv6商用領域的絕對制高點。
我司中標方案為IPv6雙棧園區網解決方案,包括F5000防火墻/ WX3024H/S75E/S6520EI/S5560/S5130等一系列IPv6有線無線設備,是2017年11月中辦國辦對IPv6推進表態發文以來,國內首個落地的IPv6商用網絡,并服務于全球唯一的下一代互聯網技術創新產業園區。在不久的將來,全球IPv6領域的創新技術,將有相當比例來自新華三提供的IPv6開發測試環境,該項目在全球互聯網基礎技術創新領域的營銷價值無法估量。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號