IPv4網絡升級到IPV6建設方案

IPV6越來越普及，很多的網絡都需要從IPV4升級到IPV6，那么如何升級呢？對于大型網絡來說，升級肯定不僅僅只是更換一個ip地址，而是需要進行系統的規劃，本期我們一起看下。

應用背景

IPv4協議是目前廣泛部署的因特網協議，然而，隨著Internet的發展，該協議在歷經了20多年的實踐與考驗后，已逐漸暴露出設計的先天不足以及諸多局限，成為IP技術應用和未來發展的瓶頸制約。

而IPv6作為下一代網絡的基礎以其鮮明的技術優勢得到廣泛的認可，為業務發展創造了機會：

 IPv6的產生從根本上解決了地址短缺的問題

IPv6提供了更快捷的部署方法（即插即用）

 IPv6支持流標簽能力，便于QoS的實施

 IPv6集成了安全特性

 IPv6具備更有效的報頭結構，提高處理性能

 IPv6與IPv4網絡之間可以平滑過渡以及相互訪問

解決方案

建設IPv6網絡主要應當考慮現有網絡升級支持IPv6業務和采用同時支持IPv6/IPv4網絡設備進行新建網絡建設兩種情況。

1、升級現有IPv4網絡方案

隧道模式（ISATAP隧道），升級核心

組網模式：

原有IPv4局域網不進行改造，核心增加或者更換支持IPv6 業務的核心交換機。

核心交換機開啟雙棧，向上連接IPv6網絡，向下開啟ISATAP隧道功能，開啟IPv6/IPv4主機可采用ISATAP隧道方式直接接入核心交換機。

網絡中其余設備均無任何變化，原有IPv4業務正常運行。

方案優勢：

只需增加支持IPv6業務的核心設備，保護原有投資。

只需簡單開啟ISATAP隧道功能即可，快速實現網絡IPv6主機接入。

隧道模式，升級核心與部分匯聚逐步支持IPv6

組網模式：

在原有核心層改造的基礎上，逐步對匯聚的三層設備進行更換，將匯聚層的原有三層交換機更換為支持IPv4/IPv6的雙棧設備。

匯聚交換機與核心交換機之間會存在IPv4網絡，使用IPv6 over IPv4隧道方式實現IPv6的連接。

方案優勢：

逐步實現對原有IPv4網絡的改造，將部分匯聚與核心設備更換，為下一步實現整網IPv6網絡部署奠定基礎。

原有IPv4業務不產生任何變化，正常運行。雙棧用戶可以直接訪問IPv4網絡及IPv4業務。

2、新建IPv6網絡方案

新建IPv6網絡

組網模式：

新建核心層、匯聚層全雙棧部署IPv6路由，實現全網IPv6。

業務區域采用二層到桌面，接入交換機采用百兆或千兆到桌面。匯聚層連接核心層IPv4/v6雙棧路由功能。

方案優勢：

接入層與匯聚層、匯聚層與核心層間采用雙上聯實現鏈路冗余，匯聚層、核心層設備采用雙節點實現節點冗余。

新增IPv6用戶可以正常訪問IPv6網絡及業務。雙棧用戶可以直接訪問IPv4網絡及業務。

3、IPv6網絡安全規劃：

IPv4協議向IPv6協議升級過渡的過程中，多種安全問題將暴露出來，構建可信任的下一代互聯網，將是一項長期而艱巨的任務。在建設IPv6網絡的時候，需要全面考慮網絡的安全問題。IPv6網絡安全問題劃分為：設備級別、全網安全級別。

3.1設備級別的防護

隨著IPv6在局域網中的部署，局域網的各種應用不斷擴展，網絡攻擊的不斷增多，越來越需要為IPv6交換機提供一種保護機制。對發往交換機CPU的數據流，進行流分類和優先級分級處理、CPU的帶寬限速，以確保在任何情況下CPU都不會出現負載過高的狀況，為用戶提供一個穩定的網絡環境。這種保護機制是CPU Protect Policy（CPP）。CPP作為IPv6交換機的一個功能模塊，按照以下四個階段處理數據：Classifying、Queuing、Scheduling和Shaping。

通過CPP保護策略，網絡設備的安全能力有了更大的提升。在部署IPv6的局域網中，各種應用、攻擊，都極大地考驗著網絡設備，在IPv6的校園中的部署中，應該采用具有先進的CPU Protect Policy（CPP）機制的IPv6轉發平臺。

3.2全局安全網絡

IPv6技術在大規模應用，各種應用大規模開展，網絡訪問控制接入控制應運而生。網絡訪問控制解決方案旨在通過身份驗證、主機健康性保障、網絡安全性保障等多重角度，對內網用戶進行有效的管理。實現內網用戶身份的合法化，上網主機安全狀況的健康化，網絡通信的安全化以及用戶網絡訪問行為的規范化。

部署IPv4/IPv6兼容的全網安全防御系統，通過軟硬件的聯動、計算機層面與網絡層面的結合，從身份、主機、網絡等多個角度對IPv4/IPv6的網絡安全進行監控、檢測、防御和處理，幫助用戶共同構建身份合法、主機健康、網絡安全、行為規范的全局安全網絡。