为贯彻中央网信办、国家发展改革委、工业和信息化部《深入推进IPv6规模部署和应用2024年工作安排》,推动我市各级党政机关、事业单位、国有企业用于互联网访问的办公网络率先开通IPv6,示范带动全社会企业机构积极使用IPv6。重庆市委网信办组织编制了《互联网办公网络IPv6改造指南(1.0)》,为各单位办公网络IPv6改造提供参考。
目 录
第一章 概述
1.1 政策背景
1.2 基本原则
第二章 互联网办公网络全程全网基本结构
2.1 互联网系统基本结构
2.2 办公网络典型组网拓扑
第三章 互联网办公网络IPv6功能检测
3.1 办公网络IPv6检测流程
3.2 终端检测
3.3 检测运营商提供接口检测
3.4 防火墙检测
3.5 路由器检测
3.6 交换机检测
第四章 办公网络IPv6升级方案
4.1 IPv6地址规划
4.2 VLAN规划
4.3 主要设备配置参考
4.4 实施步骤
4.5 验收测试
第五章 常见问题和解决方案
5.1 网络设备问题
5.2 DNS解析问题
5.3 地址分配问题
5.4 安全问题
5.5 网站访问问题
致谢
第一章 概述
随着全球互联网的快速发展和网络技术的不断进步,互联网协议第六版(IPv6)作为下一代网络协议,不仅能够提供几乎无限的IP地址资源,还能支持更高效的网络配置、更安全的网络连接以及更广泛的异构网络接入。鉴于IPv4地址资源耗尽,IPv6部署应用已成为个人、家庭、单位和企业等全社会互联网用户(以下简称用户)的迫切需求。
本指南以典型办公网络为对象,提供较为全面的IPv6改造框架,帮助用户基于现有的办公网络架构和主流终端设备评估当前网络状态,并在IPv6升级改造过程中提供实用参考,在最小化影响现有业务的情况下实现办公网络平滑升级至IPv6。
本指南主要针对常见互联网办公网络环境,提供基于广泛使用的网络设备及其操作界面示例,以指导用户进行IPv6网络状态评估、配置和升级。对特殊网络架构或特种设备,建议寻求专业的技术支持和定制化的解决方案。
1.1 政策背景
中共中央办公厅、国务院办公厅于2017年印发《推进互联网协议第六版(IPv6)规模部署行动计划》,中央网信办、国家发展改革委、工业和信息化部于2021年印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,各地区、各部门结合实际认真贯彻落实,加快促进互联网升级演进,推动IPv6部署应用取得显著进展。
中央网信办、国家发展改革委、工业和信息化部于印发《深入推进IPv6规模部署和应用2024年工作安排》明确党政机关互联网办公网络IPv6改造升级发展目标,并要求示范带动全社会企业机构积极使用IPv6。
1.2 基本原则
鉴于IPv6网络演进是一个长期过程,IPv4网络仍在广泛使用,综合业务运行、改造成本等因素,本指南提出如下基本原则:
(1)双栈优先。网络改造原则上采用IPv4/IPv6双栈方式,鼓励有条件的用户采用IPv6单栈方式。
(2)最小变动。网络改造应基于既有设备和网络,尽可能让网络架构最小改动及设备最少替换。
(3)安全平稳。网络改造应统一规划、因地制宜、分步实施、安全稳妥,基础设施先行,终端和应用逐步改造,保障业务平滑切换。
第二章 互联网办公网络全程全网基本结构
2.1 互联网系统基本结构
图2-1 互联网系统基本结构图
互联网系统可以分为三部分,分别为用户接入侧,运营商网络和互联网。其中用户接入侧根据用户场景分为办公网络、家庭网络和无线网络等。本指南讨论重点为典型办公网络IPv6的检测和改造。
2.2 办公网络典型组网拓扑
办公网络一般由出入口设备、汇聚层设备、接入层设备和各类终端组成,网络设备一般包括防火墙、路由器、二/三层交换机等,终端一般包括办公电脑、手机、平板等。下图是典型的办公网络组网结构:
图 2-2 互联网系统基本结构图
图例:
①运营商提供接口,一般为光纤专线。
②出入口设备,一般为防火墙、出口路由器、三层交换机等。
③汇聚层设备,一般为路由器、三层交换机等。
④接入层设备,一般为二层接入交换机、无线AP等。
⑤各类终端,一般包括办公电脑、手机、平板等。
第三章 互联网办公网络IPv6功能检测
3.1 办公网络IPv6检测流程
办公网络进行IPv6升级改造前,应先检测办公网络是否支持IPv6。针对不同层级设备,需具备相应的IPv6功能:
备注:单位/企业用户应结合自身办公网络结构,按照上表功能需求逐级检测。
图3-1 检测流程图
说明:本检测流程,仅对设备是否支持IPv6协议进行核实,并通过配置IPv6地址进行验证,IPv6相关功能需进一步进行检测。
3.2 终端检测
将终端接入办公网络,检测是否支持IPv6协议并访问IPv6网站。
3.2.1 固定终端检测
(1)电脑终端打开网卡设置,查看是否有IPv6协议栈——“Internet协议版本6(TCP/IP6)”(以windows和统信UOS为例)。windows网卡设置和统信UOS网卡设置如下图:
(2)通过运行ipconfig /all命令或Ping命令,查看是否已获取公网IPv6地址,或访问支持IPv6协议网站(如test-IPv6.com、ipw.cn)进行检测。
①检测结果支持情况如下:
运行ipconfig /all命令,查看固定终端已获取公网IPv6地址、网关和DNS服务器。运行截图如下:
对支持IPv6网站运行Ping命令,可通过DNS域名解析为IPv6地址并且能Ping通。运行截图如下:
访问test-IPv6.com,IPv6连接测试均通过;访问ipw.cn,显示IPv6状态正常。检测截图如下:
通过浏览器打开IPv6网站,可以在通过浏览器查看远程地址是IPv6地址(检验方式:打开浏览器访问网页,之后按F12,再按F5刷新页面,随便定位到其中一个目录文件,查看【网络】中【标头】属性中的【远程地址】);网页截图如下:
②检测结果不支持情况如下:
运行ipconfig /all命令,固定终端仅能获取IPv4地址、网关和DNS服务器。运行截图如下:
访问test-IPv6.com,IPv6连接测试不通过;访问ipw.cn,显示采用IPv4访问。检测截图如下:
3.3.2 移动终端检测
当前智能移动终端已基本默认支持IPv6协议,通过打开无线局域网,加入办公网络,查看是否获取IPv6地址(以主流智能移动终端设备为例)。
安卓/鸿蒙终端:设置——关于手机——状态信息。
IOS终端:设置——无线局域网——已加入的办公网络后的“ⓘ”——下滑至底部。
①检测结果支持情况如下:
移动终端正常获取公网IPv6地址。安卓/鸿蒙终端及IOS终端截图如下:
访问test-IPv6.com,IPv6连接测试均通过;访问ipw.cn,显示IPv6状态正常。检测截图如下:
②检测结果不支持情况如下:
移动终端只能获取IPv4地址,不能获取公网IPv6地址。安卓/鸿蒙用户界面及IOS用户界面截图如下:
访问test-IPv6.com,IPv6连接测试不通过;访问ipw.cn,显示采用IPv4访问。检测截图如下:
3.3 检测运营商提供接口检测
在互联网办公网络出口,使用笔记本电脑直接连接运营商提供的接口链路,并在网卡上配置运营商分配的接口IPv6地址或通过拨号获取IPv6地址,然后ping运营商提供的IPv6网关地址,并访问支持IPv6协议网站(如test-IPv6.com、ipw.cn)。若能正常访问,说明运营商提供的IPv6接口链路和地址资源正常。
①检测结果支持情况如下:
电脑设置为运营商提供的IPv6地址后,可正常ping通对端IPv6地址。运行截图如下:
电脑端访问test-IPv6.com,IPv6连接测试均通过;访问ipw.cn,显示IPv6状态正常。检测截图如下:
②检测结果不支持情况如下:
电脑设置为运营商提供的IPv6地址后,不能正常ping通对端IPv6地址。运行截图如下:
3.4 防火墙检测
登录防火墙配置界面,在全局配置里面打开IPv6协议,任选一个空闲端口上配置IPv6地址,若能成功配置,说明该设备支持IPv6。
以华为USG系列防火墙为例,开启防火墙任意端口的IPv6功能,并配置IPv6地址。
通过查看命令,可以看到防火墙端口已配置IPv6地址,说明防火墙支持IPv6协议。
3.5 路由器检测
登录路由器配置界面,在全局配置里面打开IPv6协议,任选一个空闲端口上配置IPv6地址,若能成功配置,说明该设备支持IPv6。
以华为AR系列路由器为例,开启路由器任意端口的IPv6功能,并配置IPv6地址。
通过查看命令,可以看到路由器端口已配置IPv6地址,说明路由器支持IPv6协议。
3.6 交换机检测
登录交换机配置界面,在全局配置里面打开IPv6协议,进入VLAN接口,配置IPv6地址,若能成功配置,说明该设备支持IPv6。
以华为S3700交换机为例,开启交换机IPv6功能,并在VLAN端口配置IPv6地址。
通过查看命令,可以看到交换机VLAN端口已配置IPv6地址,说明交换机支持IPv6协议。
第四章 办公网络IPv6升级方案
4.1 IPv6地址规划
在IPv6网络改造过程中,IPv6地址规划将决定网络与ISP互联的规划、路由规划、AS规划、NAT规划等,同时也对网络的兼容性、可扩展性产生决定性影响,是IPv6网络改造的第一步也是最重要的一步。
4.1.1 规划原则
(1)IPv6地址划分应有层次性,便于简化路由表。IPv6地址分配要尽量给每个区域分配连续的IP地址空间;相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制。
(2)IPv6的地址分配需要有足够的灵活性和可管理性,应考虑到现有业务、新型业务以及各种特殊的业务的需要,地址使用兼顾到近期的需求与远期的发展以及网络的扩展,预留相应的地址段。安全层面,尽可能实现IPv6地址的分配记录和历史审计。
(3)子网网段地址要连续,便于聚合,并尽量使IPv6地址与原来的IPv4地址有一定对应关系,要预留作为Loopback地址的网段。
(4)每个子网中最小一个IPv6地址建议作为该子网的网关地址。
(5)各安全设备带外管理口配置IPv6地址,统一接到管理交换机上,实现带外管理。
4.1.2 规划案例
一般我们获取的IPv6地址为48或者64位,将该/48或/64位地址段划分出多个/64位地址段,用于提供给用户终端及办公网络各类业务,终端通过配置自动获取对应IPv6地址;单独选择某个/64网段继续划分,划分出多个/127的段,用于提供给设备链路互联端口,对于设备链路互联地址,上联设备釆用较小号IP地址,下连设备釆用较大号IP地址;划分出多个/128的段,提供给设备环回接口,用于网管对设备进行管理。
运营商分配给企业分配的IPv6业务地址段为240E:250:2814::/48,实际使用时需要进一步将该整个大段划分成各个小段的地址分配给企业内的有线、无线终端用户,以及一些其他的IPv6业务终端。
有线和无线用户的IPv4和IPv6网关都部署于核心交换机上,由核心交换机统一进行IPv4和IPv6地址的分配;在IPv6地址分配上,可在交换机上配置IPv6无状态自动配置、或者使用DHCPv6地址分配的方式。
(1)主要遵从四个原则:唯一性、可扩展性、连续性、实用性;
(2)设备管理及互联地址:使用240E:250:2814:1::0/64网段;
(3)Loopback地址规划,使用整段连续IP地址,也使用240E:250:2814:1::0/64网段;
(4)IPv6业务网关统一设定为网段的第一位,即::1;
(5)在完成IP地址规划之后,既可以配置静态IP地址,也可以使用DHCP服务器动态分配IP地址,根据实际需求考虑。
4.2 VLAN规划
4.2.1 规划原则
IPv6组网VLAN,原则上直接复用IPv4网络VLAN,构建双栈。
4.2.2 规划案例
业务地址以vlan信息为依据,将vlan信息与IPv6地址前缀进行关联,构建每个vlan独立的IPv6地址前缀,各个子网段为不同业务vlan进行地址分配。
例如,下列规划vlan20N中的数字20N,代表“2号楼N层”,与用户IPv6地址中的前缀关联对应:
4.3主要设备配置参考
4.3.1 基本功能和配置命令参考
(1)配置接口的全球IPv6单播地址
ipv6 address命令用来手工配置接口的全球单播地址。
(2)配置接口网关地址
gateway命令用来配置接口的网关地址。
(3)配置DNS
dns server命令用来配置域名服务器。
(4)配置静态路由
ip route-static命令用来配置单播静态路由。
ip route-static 0.0.0.0 0.0.0.0命令用来配置缺省路由。
(5)配置DHCP服务
dhcpv6 prefix-pool命令用来创建DHCPv6前缀池并进入前缀池视图。
prefix命令用来配置DHCPv6地址前缀/前缀长度。
dhcpv6 pool命令用来创建DHCPv6地址池并进入地址池视图。
prefix-pool命令用来将DHCPv6地址池与DHCPv6前缀池进行绑定。
dhcpv6 pool命令用来指定接口下使用的DHCPv6地址池。
(6)其他功能
使用dhcrelay命令进行DHCP中继配置,若采用DHCPv6进行有状态地址分发和管理,需在交换机上进行中继命令配置,且需将地址池配置到server上。
需要注意的是:DHCPv6的中继是将IPv6地址的下发任务交由DHCPv6 Server来执行,该组网结构是将DHCPv6地址池从核心交换机上移动至服务器上,一般在稍微大型一点的网络中会采用。
4.4 实施步骤
升级改造可分为三个阶段:准备阶段、规划阶段和实施阶段。相关工作内容如下:
4.4.1 准备阶段
4.4.2 规划阶段
4.4.3实施阶段
4.5 验收测试
4.5.1 测试IPv6网络互联互通
4.5.2 测试终端IPv6地址获取
4.5.3 测试SDN控制器IPv6地址显示
4.5.4 测试门户网站访问情况
第五章 常见问题和解决方案
5.1 网络设备问题
(1)出口设备IPv6流表不足导致卡顿丢包,大部分出口设备(例如防火墙)在转发IP流量时,IPv4和IPv6采用不同的表项,对应的性能容量也不同,常规网络设备的性能优化偏向于支撑IPv4的高并发流量,对于IPv6可能存在表项和容量较少。
解决方案:改流表设备容量,调高线卡IPv6流表容量;或更换高性能出口网络设备。
(2)互联网出口设备使用ADSL拨号链路,可能出现因设备不支持ADSL拨号后获取的IPv6地址,导致IPv6无法开通。
解决方案:ADSL先通过光猫进行拨号,在拨号获取IPv6地址后,再通过动态地址分配给内网设备。
(3)终端设备软件版本老旧,例如Android系统8.0、鸿蒙OS系统3.0、IOS 9及之前的版本是不支持IPv6的。
解决方案:通过各类终端设备自带的软件更新功能,将系统更新至最新版本。
5.2 DNS解析问题
(1)DNS服务器不回应IPv6的AAAA解析请求,终端等待AAAA回应超时,导致IPv4和IPv6双栈访问慢问题。
解决方案:更换支持AAAA请求响应的DNS服务器,比如61.128.128.68、114.114.114.114等。
(2)终端配置IPv6双栈后,访问互联网的流量优先走IPv6,出口负载均衡失效造成链路拥塞。
解决方案:通过配置策略路由、用户路由以及应用路由等方式进行IPv4/6流量调度实现负载均衡。
5.3 地址分配问题
(1)部分安卓系统手机不支持DHCPv6,导致部分用户无法获取IPv6地址。
解决方案:对用户端开启无状态IPv6地址获取。
(2)IPv6路由选路问题,若企业存在多家运营商出口链路,可能出现流量负载不均问题,即大部分流量走向支持IPv6的出口专线。
解决方案:配置出口设备NAT66或者IPv6策略路由实现多链路的负载均衡效果。
5.4 安全问题
(1)IPv4与IPv6均存在共性的安全问题,且由于IPv6协议头部包含一些特有的标签及扩展头部,因此IPv6还有一些特有的威胁攻击方式(如:RH0攻击、洪水攻击),在此基础上,需要一并考虑IPv6安全。
解决方案:部署IPv6后,需要及时对安全设备进行防护策略调整,避免出现安全事件。
(2)IPv6部署后,内网主机都直接暴露在互联网上,没有NAT保护,需要注意网络的安全防护。
解决方案:配置出口设备NAT66,增加IPv6安全防火墙设备和策略。
5.5 网站访问问题
(1)“天窗问题”,IPv6单栈访问IPv6网页,网页中包含其他网站内容的外链不支持IPv6时,出现部分信息无法显示。
解决方案:用户端使用IPv4/v6双栈地址访问页面;web服务端可通过DNS代理实现IPv6转IPv4功能。
(2)终端开启IPv4/6双栈并配置IPv6地址,IPv6实际无法访问互联网,因大部分IPv4 DNS默认支持IPv6解析,流量默认优先IPv6后导致打开网页慢。
解决方案:检查IPv6到互联网不通的原因,在解决问题之前关闭用户IPv6协议栈。
致谢
在本指南的编制工作中,得到了以下单位的大力支持,在此表示衷心的感谢!(排名不分先后)
中国信息通信研究院技术与标准研究所互联网中心
中国电信股份有限公司重庆分公司
福建万物易联网络科技有限公司
郑州木云电子科技有限公司
声明:本文来自网信重庆,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。