2019-11-01

工业领域IPV6改造升级解决方案

分享:



工业领域IPV6改造升级解决方案

紫光云引擎科技(苏州)有限公司

网络改造技术篇/前沿技术/其他


1 概述

随着用户的数据中心、广域网、园区网络的成功运行、改造完成,网络建设规范也陆续完善起来。由于业务与用户的迅猛增长,致使双栈网络还是隧道过渡,已经不再是关注的重点。而如何能够将IPv6网络建设成和IPv4网络一样安全、可管理、可运营成为对当前用户网络新的挑战。

1.1 背景

当代中国,互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全球经济格局、利益格局和安全格局。我国是世界上较早开展IPv6试验和应用的国家,在技术研发、网络建设、应用创新方面取得了重要阶段性成果,已具备大规模部署的基础和条件。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,加强统筹谋划,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。

1.2 实施目标

在部署IPv6之前,我们首先应该考虑IPv6部署的总体方案和策略,具体考虑因素如下:

首先考虑网络设备对IPv6业务支持的广度。比如IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLS VPN技术的6PE方式,有基于网络地址转换技术的,IPv6的单播路由协议有RIPng,OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-DM,PIM-SM,PIM-SSM,MLDv1,MLDv2等等。支持的业务种类越多越方便我们进行研究。

其次考虑网络设备对IPv6业务支持的深度。IPv6首先应该部署在运营商网络。这是因为在IPv6网络里没有私网地址概念(Site local 地址类型已经被IPv6工作组取消),永远不出现NAT(指类似IPv4私有地址访问公有地址的方式)。现阶段IPv6网络的复杂度应该大于IPv4的电信运营网络,IPv4和IPv6混合组网的现象应该是当前的主旋律,也必定是一个长期演进的缓慢过程。

再次,广泛使用的用户终端设备及办公软件等对IPv6支持能力参差不齐。虽然移动终端系统(IOS、Android等)、固定终端系统(PC等)都标称已经支持了IPv6能力,如对于客户端获取IP地址的方式,IOS支持DHCPv6,但Android仅支持ND方式,支持和协议实现方式的不同给IPv6的部署和推广带来了超出预期的技术成本和改造难度。此外,基于IPv6的互联网应用寥寥可数,众多应用服务商并未找到合适的IPv6应用盈利方式,内容和应用的缺失又反过来加剧了IPv6发展迟缓的问题。

最后考虑IPv6标准发展、完善的持续性。目前IPv6标准中仍有许多处于草案阶段,即使已经成为RFC标准的,以后仍有可能会进行协议扩充。

综上所述,部署IPv6网络的时候,应该采用平滑过渡的策略。首先完成IPv6基础网络承载能力建设的目标,为将来IPv6应用上线做好准备。其次根据现有用户实际网络及应用的实际部署情况,应用双栈技术和过渡技术,在不影响现有IPv4主体拓扑结构和网络架构的前提下,使得现网中需要部署IPv6网络的地方能够通过各种隧道和翻译技术,过渡阶段协议内、协议间的应用互访。

1.3 在工业互联网网络体系架构中的位置

工业领域IPV6升级/改造解决方案在下图(图1):工业互联网网络体系架构中处于工厂外部网络(互联网/移动网/专用网络)这个位置,关联关系为:7工厂云平台(及管理软件)与协作平台,8智能产品与工厂。为企业上云提供网络基础支撑。

图1 工业互联网互联示意图


2 需求分析

2.1 互联网演进升级的必然趋势

基于互联网协议第四版(IPv4)的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题,IPv6能够提供充足的网络地址和广阔的创新空间,是全球公认的下一代互联网商业应用解决方案。大力发展基于IPv6的下一代互联网,有助于显著提升我国互联网的承载能力和服务水平,更好融入国际互联网,共享全球发展成果,有力支撑经济社会发展,赢得未来发展主动。

2.2 技术产业创新发展的重大契机

推进IPv6规模部署是互联网技术产业生态的一次全面升级,深刻影响着网络信息技术、产业、应用的创新和变革。大力发展基于IPv6的下一代互联网,有助于提升我国网络信息技术自主创新能力和产业高端发展水平,高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴领域快速发展,不断催生新技术新业态,促进网络应用进一步繁荣,打造先进开放的下一代互联网技术产业生态。

2.3 网络安全能力强化的迫切需要

加快IPv6规模应用为解决网络安全问题提供了新平台,为提高网络安全管理效率和创新网络安全机制提供了新思路。大力发展基于IPv6的下一代互联网,有助于进一步创新网络安全保障手段,不断完善网络安全保障体系,显著增强网络安全态势感知和快速处置能力,大幅提升重要数据资源和个人信息安全保护水平,进一步增强互联网的安全可信和综合治理能力。

2.4 目前,以IPv4网络为主的客户,存在如下问题

1)IP地址资源短缺,客户地址不够用

2)网络地址转换(NAT)导致端到端应用受限,客户业务开展不灵活

3)服务质量(QoS)上无法实现端到端部署,客户关键业务没有保障

面对运用IPV4网络的客户群体的痛点和升级改造的需要,IPv6作为下一代网络的基础以其明显的技术优势从根源上解决了IPv4的问题,并增强了未来的扩展性。

3 解决方案

作为IPv4协议的替代,IPv6协议使用128位的地址结构解决了IP地址不足的问题,同时对一些特性进行了优化处理。出现于IPv4时代的组播技术,由于其有效解决了单点发送、多点接收的问题,实现了网络中点到多点的高效数据传送,能够大量节约网络带宽、降低网络负载,因此在IPv6中的应用得到了进一步的丰富和加强:

1)128位IPv6地址让客户的每台设备都有全球可达地址,客户不用为地址烦恼

2)IPv6报头结构优化,处理效率提高,提升客户整网性能

3)IPv6充分考虑了客户现存IPv4现状,可以实现平滑过渡,扩展性好,保护客户投资

4)IPv6即插即用功能提供更方便的部署方法,简化客户网络部署

5)IPv6流标签能力让QoS端到端部署可以实现,保障客户的关键业务

6)IPv6内置安全特性,保护客户网络

IPV6解决方案的整体设计主要包括:网站IPv6改造,DNS系统IPv6改造,服务器负载均衡IPv6改造,网站双栈改造,企业分支点IPV6改造,传统广域网IPv6迁移方法,IPv6无线网部署等环节。

3.1 网站IPv6改造方案概述

图2 网站IPV6改造方案架构图

1)双栈:全部软硬件设备同时运行IPv4 和IPv6 两个协议栈,能够同时处理IPv4和IPv6数据包,实现同时支持IPv6和IPv4访问。

2)新建IPv6服务:不影响原有IPv4服务的情况下,新建IPv6服务平面对外提供IPv6服务。

3)地址族转换:在IPv4网站外部,挂接一台v4/v6地址族转换设备,原有IPv4源站不需修改,把DNS域名解析AAAA记录指向转换设备配置的IPv6 地址;IPv6用户访问目标网站,经DNS解析调度后转向访问转换设备的IPv6 地址,转换设备从IPv4 源站读取数据,经过协议转换后发送数据给IPv6用户。

3.2 DNS系统IPv6改造

1、DNS系统特点:(如图3)

1)DNS系统提供主机名字和IP地址间的相互转换。DNS采用C/S模式,DNS客户端提出查询请求,DNS服务器负责相应请求。

2)DNS系统是一个具有树状层次结构的,联机分布式数据库系统。

图3 DNS系统IPv6改造设计图

2、DNS域名解析完整过程:(如图4)

图4 DNS域名解析

1)主机客户端向本地域名服务器发起DNS解析请求。

2)本地域名服务器接收主机客户端DNS解析请求,从本地数据库查询域名对应的IP地址。如果从本地数据库中查询到对应的IP地址,则将查询结果返回给主机客户端;如果无法从本地数据库查询到对应结果,则本地服务器必须查询其他的DNS服务器(类似于根服务器,二级、三级域名服务器),直到得到确认的查询结果返回主机客户端。

3、域名发布IPv6改造:

添加AAAA记录绑定域名。

1)在域名注册服务提供商管理界面添加AAAA记录,由域名注册服务提供商对外通告域名解析IPv6地址。(如图5)

图5 域名发布IPV6改造

2)自建DNS服务器添加AAAA记录,对外通告域名解析IPv6地址。

多ISP出口DNS部署(如图6)

图6 ISP出口DNS部署

如图6显示,部分网站出口会连接多家ISP线路。此种多ISP出口场景下,可使用链路负载均衡—Inbound LLB解决DNS解析问题。

图7 链路负载均衡—Inbound LLB解决DNS解析问题

1)LLB作为DNS服务器对外提供DNS解析服务,针对不同运营商对外发布不同的服务IP。

2)LLB基于用户源地址返回相应运营商服务地址。

3.3 服务器负载均衡IPv6改造

 

图8 服务器负载均衡IPv6改造

1)Global IPv6转换成其他Global IPv6:整个网站基础架构全部使用Global IPv6部署。其中一部分Global IPv6作为对外解析的服务IP,服务器集群使用非服务IP的其余Global IPv6地址。此场景下,服务器集群中任何一台服务器均可通过Internet直接访问。

2)Global IPv6转换成ULA IPv6:网站使用Global IPv6作为对外解析的服务IP,服务器集群使用ULA IPv6进行部署。此场景下,ULA IPv6路由不会在公网上传播。普通客户使用Internet访问web服务,只能通过负载均衡设备将Global IPv6转换成ULA IPv6后才能进行访问。

3.4 网站双栈改造

1、评判规则:

1)网络基础架构:拓扑结构清晰,现网设备绝大部分支持双栈。

2)客户层面:能接受软件代码、中间件等IPv6适配改造的时限。

2、改造方案:

图9 工网站双栈改造方案图

1)网络基础架构:交换机、路由器使能双栈。重点评估设备表项能力。若设备表项能力较低,建议替换升级设备。若全网设备表项能力均较低,建议新建IPv6网站。

2)服务器负载均衡:按客户需求进行改造。如果客户想要对外隐藏服务器集群IP,建议部署Global IPv6转换成ULA IPv6服务器负载均衡。

3)DNS系统:添加AAAA记录,对外发布IPv6解析地址。若存在多ISP出口,建议部署双栈链路负载均衡。

4)应用基础、业务代码进行双栈适配改造。

3.5 网站地址族转换改造

1、评判规则:

客户层面:资金预算紧张,希望以最小代价、最短时间内完成网站IPv6改造。改造方案架构图:

图10 网站地址族转换改造

1)网络基础架构:出口路由器使能双栈,防火墙使能地址族转换功能。

2)DNS系统:添加AAAA记录,对外发布IPv6解析地址。若存在多ISP出口,建议部署双栈链路负载均衡。

3.6 企业分支节点IPv6改造方法

企业分支与总部采用星型连接,各分支出口路由器通过N×E1专线的方式分别汇接至企业总部汇聚路由器。

若新建部分IPv6分支,为了实现与分支节点的IPv6连接,可将企业总部作为汇聚节点的路由器设备升级为双栈。这样,原有的IPv4分支与总部的连接保持不变,新建的IPv6分支节点出口设备采用双栈路由器,可接入到总部的双栈设备上。

原有的IPv4分支连接保持不变,新建的IPv6分支采用双栈的方式接入,企业分支的出口设备与企业总部的汇聚节点设备间采用双栈。

3.7 传统广域网IPv6迁移方法

1、评估现网基础架构:

• 转发平面:纯IPv4转发?MPLS转发?

• 双栈支持度;

• 设备表项规格;

2、评估客户需求:

• 是否有VPN需求;

• 是否为客户重要生产网络;

• 是否有流量可视、路径优选需求;

IPv6迁移策略:

新建IPv6广域网:1)设备不支持双栈;2)表项规格不满足要求;3)承载重要生产网络流量。

双栈:1)设备支持双栈;2)表项规格满足要求。

6PE:1)MPLS转发;2)PE支持双栈;3)无VPN需求。

6VPE:1)MPLS转发;2)PE支持双栈;3)有VPN需求。

ADWAN:客户有流量可视、路径优选需求。

3.8 IPv6无线网部署

图11 IPV6无线网站部署

无线IPv6网应该具备的基本要求:

• 支持IPv6环境——有线网IPv6已经是必须技术,无线网IPv6是必然趋势。如果不支持IPv6势必造成将来改造成本再投入。H3C通过部署AP与无线交换机互联基于IPv6的隧道,支持IPv6环境下的无线组网需求;

• IPv6 ACL、IPv6组播——无线网实现IPv6,需要对用户按照不同策略进行访问控制;IPv6组播往往是园区IPv6业务的支撑技术;

• 支持ACL6、DNS6、Tracert6、Telnet6、TFTP IPv6、FTP IPv6、DHCP client6、Ping6实现IPv6有线无线网的同等管理。

4 成功案例

新华三企业事业部中标赛尔下一代互联网创新园项目(中关村壹号创新园工程),拿下“两办”发文《推进互联网协议第六版(IPv6)规模部署行动计划》以来首个IPv6商用项目,在新的IPv6领域占领制高点。

赛尔网络拥有全球最大的IPv6活跃用户群,也是我国下一代互联网重大应用技术工程的核心承接者。赛尔旗下的下一代互联网创新园,是由清华大学、北京市和赛尔网络联合组建的产业创新服务载体,拥有10.5万平方米的办公空间及配套设施,聚集国家下一代互联网产业联盟等行业组织和测试认证机构,多媒体、即时通信、浏览、搜索、视频等内容提供商,以及新产品、新应用及小微开发者,推动产业链上下游互动合作,构建具有全球影响力的下一代互联网产业集群,未来将成为全国乃至全球的下一代互联网技术创新中心,也是IPv6商用领域的绝对制高点。

我司中标方案为IPv6双栈园区网解决方案,包括F5000防火墙/ WX3024H/S75E/S6520EI/S5560/S5130等一系列IPv6有线无线设备,是2017年11月中办国办对IPv6推进表态发文以来,国内首个落地的IPv6商用网络,并服务于全球唯一的下一代互联网技术创新产业园区。在不久的将来,全球IPv6领域的创新技术,将有相当比例来自新华三提供的IPv6开发测试环境,该项目在全球互联网基础技术创新领域的营销价值无法估量。


声明

本报告所载的材料和信息,包括但不限于文本、图片、数据、观点、建议,不构成法律建议,也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟所有(注明是引自其他方的内容除外),并受法律保护。如需转载,需联系本联盟并获得授权许可。未经授权许可,任何人不得将报告的全部或部分内容以发布、转载、汇编、转让、出售等方式使用,不得将报告的全部或部分内容通过网络方式传播,不得在任何公开场合使用报告内相关描述及相关数据图表。违反上述声明者,本联盟将追究其相关法律责任。

工业互联网产业联盟
联系电话:010-62305887
邮箱:aii@caict.ac.cn