谷歌翻墙注册
重庆市委网信办组织编制了《互联网办公网络IPv6改造指南(1.0)》,为各单位办公网络IPv6改造提供参考。
随着全球互联网的快速发展和网络技术的不断进步,互联网协议第六版(IPv6)作为下一代网络协议,不仅能够提供几乎无限的IP地址资源,还能支持更高效的网络配置、更安全的网络连接以及更广泛的异构网络接入。鉴于IPv4地址资源耗尽,IPv6部署应用已成为个人、家庭、单位和企业等全社会互联网用户(以下简称用户)的迫切需求。
本指南以典型办公网络为对象,提供较为全面的IPv6改造框架,帮助用户基于现有的办公网络架构和主流终端设备评估当前网络状态,并在IPv6升级改造过程中提供实用参考,在最小化影响现有业务的情况下实现办公网络平滑升级至IPv6。
本指南主要针对常见互联网办公网络环境,提供基于广泛使用的网络设备及其操作界面示例,以指导用户进行IPv6网络状态评估、配置和升级。对特殊网络架构或特种设备,建议寻求专业的技术支持和定制化的解决方案。
中共中央办公厅、国务院办公厅于2017年印发《推进互联网协议第六版(IPv6)规模部署行动计划》,中央网信办、国家发展改革委、工业和信息化部于2021年印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,各地区、各部门结合实际认真贯彻落实,加快促进互联网升级演进,推动IPv6部署应用取得显著进展。
中央网信办、国家发展改革委、工业和信息化部于印发《深入推进IPv6规模部署和应用2024年工作安排》明确党政机关互联网办公网络IPv6改造升级发展目标,并要求示范带动全社会企业机构积极使用IPv6。
鉴于IPv6网络演进是一个长期过程,IPv4网络仍在广泛使用,综合业务运行、改造成本等因素,本指南提出如下基本原则:
(1)双栈优先。网络改造原则上采用IPv4/IPv6双栈方式,鼓励有条件的用户采用IPv6单栈方式。
(3)安全平稳。网络改造应统一规划、因地制宜、分步实施、安全稳妥,基础设施先行,终端和应用逐步改造,保障业务平滑切换。
互联网系统可以分为三部分,分别为用户接入侧,运营商网络和互联网。其中用户接入侧根据用户场景分为办公网络、家庭网络和无线网络等。本指南讨论重点为典型办公网络IPv6的检测和改造。
办公网络一般由出入口设备、汇聚层设备、接入层设备和各类终端组成,网络设备一般包括防火墙、路由器、二/三层交换机等,终端一般包括办公电脑、手机、平板等。下图是典型的办公网络组网结构:
办公网络进行IPv6升级改造前,应先检测办公网络是否支持IPv6。针对不同层级设备,需具备相应的IPv6功能:
说明:本检测流程,仅对设备是否支持IPv6协议进行核实,并通过配置IPv6地址进行验证,IPv6相关功能需进一步进行检测。
(1)电脑终端打开网卡设置,查看是否有IPv6协议栈——“Internet协议版本6(TCP/IP6)”(以windows和统信UOS为例)。windows网卡设置和统信UOS网卡设置如下图:
(2)通过运行ipconfig /all命令或Ping命令,查看是否已获取公网IPv6地址,或访问支持IPv6协议网站(如进行检测。
运行ipconfig /all命令,查看固定终端已获取公网IPv6地址、网关和DNS服务器。运行截图如下:
对支持IPv6网站运行Ping命令,可通过DNS域名解析为IPv6地址并且能Ping通。运行截图如下:
通过浏览器打开IPv6网站,可以在通过浏览器查看远程地址是IPv6地址(检验方式:打开浏览器访问网页,之后按F12,再按F5刷新页面,随便定位到其中一个目录文件,查看【网络】中【标头】属性中的【远程地址】);网页截图如下:
运行ipconfig /all命令,固定终端仅能获取IPv4地址、网关和DNS服务器。运行截图如下:
当前智能移动终端已基本默认支持IPv6协议,通过打开无线局域网,加入办公网络,查看是否获取IPv6地址(以主流智能移动终端设备为例)。
移动终端只能获取IPv4地址,不能获取公网IPv6地址。安卓/鸿蒙用户界面及IOS用户界面截图如下:
在互联网办公网络出口,使用笔记本电脑直接连接运营商提供的接口链路,并在网卡上配置运营商分配的接口IPv6地址或通过拨号获取IPv6地址,然后ping运营商提供的IPv6网关地址,并访问支持IPv6协议网站(如。若能正常访问,说明运营商提供的IPv6接口链路和地址资源正常。
登录防火墙配置界面,在全局配置里面打开IPv6协议,任选一个空闲端口上配置IPv6地址,若能成功配置,说明该设备支持IPv6。
登录路由器配置界面,在全局配置里面打开IPv6协议,任选一个空闲端口上配置IPv6地址,若能成功配置,说明该设备支持IPv6。
登录交换机配置界面,在全局配置里面打开IPv6协议,进入VLAN接口,配置IPv6地址,若能成功配置,说明该设备支持IPv6。
在IPv6网络改造过程中,IPv6地址规划将决定网络与ISP互联的规划、路由规划、AS规划、NAT规划等,同时也对网络的兼容性谷歌翻墙注册、可扩展性产生决定性影响,是IPv6网络改造的第一步也是最重要的一步。
(1)IPv6地址划分应有层次性,便于简化路由表。IPv6地址分配要尽量给每个区域分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制。
(2)IPv6的地址分配需要有足够的灵活性和可管理性,应考虑到现有业务、新型业务以及各种特殊的业务的需要,地址使用兼顾到近期的需求与远期的发展以及网络的扩展,预留相应的地址段。安全层面,尽可能实现IPv6地址的分配记录和历史审计。
(3)子网网段地址要连续,便于聚合,并尽量使IPv6地址与原来的IPv4地址有一定对应关系,要预留作为Loopback地址的网段。
一般我们获取的IPv6地址为48或者64位,将该/48或/64位地址段划分出多个/64位地址段,用于提供给用户终端及办公网络各类业务,终端通过配置自动获取对应IPv6地址;单独选择某个/64网段继续划分,划分出多个/127的段,用于提供给设备链路互联端口,对于设备链路互联地址,上联设备釆用较小号IP地址,下连设备釆用较大号IP地址;划分出多个/128的段,提供给设备环回接口,用于网管对设备进行管理。
运营商分配给企业分配的IPv6业务地址段为240E:250:2814::/48,实际使用时需要进一步将该整个大段划分成各个小段的地址分配给企业内的有线、无线终端用户,以及一些其他的IPv6业务终端。
有线网关都部署于核心交换机上,由核心交换机统一进行IPv4和IPv6地址的分配;在IPv6地址分配上,可在交换机上配置IPv6无状态自动配置、或者使用DHCPv6地址分配的方式。
(5)在完成IP地址规划之后,既可以配置静态IP地址,也可以使用DHCP服务器动态分配IP地址,根据实际需求考虑。
业务地址以vlan信息为依据,将vlan信息与IPv6地址前缀进行关联,构建每个vlan独立的IPv6地址前缀,各个子网段为不同业务vlan进行地址分配。
例如,下列规划vlan20N中的数字20N,代表“2号楼N层”,与用户IPv6地址中的前缀关联对应:
使用dhcrelay命令进行DHCP中继配置,若采用DHCPv6进行有状态地址分发和管理,需在交换机上进行中继命令配置,且需将地址池配置到server上。
需要注意的是:DHCPv6的中继是将IPv6地址的下发任务交由DHCPv6 Server来执行,该组网结构是将DHCPv6地址池从核心交换机上移动至服务器上,一般在稍微大型一点的网络中会采用。
(1)出口设备IPv6流表不足导致卡顿丢包,大部分出口设备(例如防火墙)在转发IP流量时,IPv4和IPv6采用不同的表项,对应的性能容量也不同,常规网络设备的性能优化偏向于支撑IPv4的高并发流量,对于IPv6可能存在表项和容量较少。
(2)互联网出口设备使用ADSL拨号链路,可能出现因设备不支持ADSL拨号后获取的IPv6地址,导致IPv6无法开通。
解决方案:ADSL先通过光猫进行拨号,在拨号获取IPv6地址后,再通过动态地址分配给内网设备。
(3)终端设备软件版本老旧,例如Android系统8.0、鸿蒙OS系统3.0、IOS 9及之前的版本是不支持IPv6的。
(1)DNS服务器不回应IPv6的AAAA解析请求,终端等待AAAA回应超时,导致IPv4和IPv6双栈访问慢问题。
(2)终端配置IPv6双栈后,访问互联网的流量优先走IPv6,出口负载均衡失效造成链路拥塞。
解决方案:通过配置策略路由、用户路由以及应用路由等方式进行IPv4/6流量调度实现负载均衡。
(2)IPv6路由选路问题,若企业存在多家运营商出口链路,可能出现流量负载不均问题,即大部分流量走向支持IPv6的出口专线。
(1)IPv4与IPv6均存在共性的安全问题,且由于IPv6协议头部包含一些特有的标签及扩展头部,因此IPv6还有一些特有的威胁攻击方式(如:RH0攻击、洪水攻击),在此基础上,需要一并考虑IPv6安全。
(2)IPv6部署后,内网主机都直接暴露在互联网上,没有NAT保护,需要注意网络的安全防护。
(1)“天窗问题”,IPv6单栈访问IPv6网页,网页中包含其他网站内容的外链不支持IPv6时,出现部分信息无法显示。
解决方案:用户端使用IPv4/v6双栈地址访问页面;web服务端可通过DNS代理实现IPv6转IPv4功能。
(2)终端开启IPv4/6双栈并配置IPv6地址,IPv6实际无法访问互联网,因大部分IPv4 DNS默认支持IPv6解析,流量默认优先IPv6后导致打开网页慢。