ipv6在园区网中的部署

[导读]园区网络是支撑企业业务的核心网络。在一个园区网络中，内部的终端数量庞大，业务种类丰富。在园区网从IPv4升级为IPv6/IPv4双栈网络中，如何考虑所涉及的网络设备、安全以及无线用户接入等方面的部署？

一、IPv6园区网的整体结构

IPv6园区网建设经过了多种方案的变化演进，从早期的使用隧道接入到部分网络采用双栈组网，再到现在的以双栈组网为主。这样的变化是由IPv6业务的开展及网络设备的不断创新所推动的。

图1. 典型的园区网络

图1是一个典型的园区网组网方式，将一个园区网络分为接入、汇聚、核心的层次性结构。一般的网络设计中，接入层网络为二层网络，用户的网关设置在汇聚层。核心层起到互连汇聚层做高速转发。在功能模块的划分中，园区网络主要由网络出口、数据中心及用户接入三大部分组成。

将该类型组网升级为双栈网络时，常规选择采用双栈部署，从汇聚层到核心层网络开始升级，然后根据网络的情况，升级防火墙等附加的业务设备;在另外的一些情况中，可以采用双栈网络为主、隧道技术为补充的升级方式。在一个双栈网络升级后，原有的应用服务器可能无法同网络一起一步到位升级为双栈服务器，在这种情况下如果有一部分纯IPv6用户需要访问IPv4的服务器，需要在网络中部署NAT-PT设备，进行IPv6，IPv4的协议转换。

可见，将一张仅支持IPv4的园区网升级为支持IPv6/IPv4双栈的网络，涉及到多项网络技术，面临着多种升级方式的选择。在这种情况下，对园区网络进行IPv6技术升级前，需

要制定详细的升级流程：

1) 制定网络设备的升级计划。

2) 评估网络中的现有产品对IPv6的支持情况。

3) 评估网络中需要升级到双栈的网络服务。

4) 制定IPv6地址的分配方案。

5) 制定详细的IPv6网络升级方案。

6) 在升级后进行必需的IPv6技术培训。

通过上述的IPv6升级步骤，逐步的将园区升级为IPv6/IPv4双栈网络，满足现阶段的双栈用户的接入需求。

二、IPv6园区网的部署 1. 双栈模式的园区网骨干部署

在双栈模式的园区网的骨干网络进行建设时，遵循分层的网络建设模式。主要关注汇聚层与核心层的IPv6技术部署。

图2. 双栈园区网示意图

部署IPv6后的双栈园区骨干网如图2所示，在核心层和汇聚层使用双栈交换机，接入

层可使用现有的二层接入交换机组网或者将不支持IPv6的三层交换机降为二层使用，用以保护历史投资。根据用户带宽的需要，选用“百兆到桌面”或“千兆到桌面”的模式。

在升级后，IPv6网络部分与原有园区网IPv4部分融合，园区网中双栈用户可以同时访问IPv6和IPv4网络。对于双栈终端，IPv4网关和IPv6网关均部署在汇聚三层交换机上。由于网内所有三层设备均是双栈设备，既运行IPv4也运行IPv6路由协议。不同协议的数据转发路径可能一致，也可以不同。

为提高网络的可靠性，汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备，通过运行VRRP协议实现网关冗余;核心节点采用双核心部署保证节点冗余。

在使用了双栈技术的网络中，所有双栈的终端用户都有明确的IPv6数据转发路径，IPv6与IPv4层面的数据路径明确，便于网络管理及故障定位。双栈模式的IPv6园区网络建设是目前最为常见的模式。

2. 双栈园区网中的隧道技术部署

一些园区网的用户由于预算、技术等方面的原因无法部署双栈园区网或只能将部分园区网升级为双栈网络，这种情况下可以在园区网中采用隧道技术作为补充，将纯IPv6终端接入IPv6广域网络。

图3. ISATAP隧道部署

对于双栈终端，IPv4网关部署在汇聚层交换机上。驻地网内所有三层设备由于均是IPv4

设备，不能完成对IPv6报文的转发，因此需要部署客户端到出口路由器的自动隧道来完成。在部署中采用较多的是ISATAP自动隧道。在自动隧道的部署中，需要考虑设备的性能，如果网络中有较多的IPv6用户需要接入，可以增加隧道终结路由器的数量，以保证IPv6报文的转发能力。

使用隧道技术进行IPv6部署能够保护原有的设备投资，原有网络拓扑和路由几乎无需调整，只需要增加隧道终结的设备就能够使客户端访问广域的IPv6资源。

隧道技术属于过渡技术，不是最终的理想方案。隧道两端点设备需要花费额外的系统开销。而且在网络中部署隧道技术后，IPv6用户进行的IPv6资源访问只能通过隧道进行，无法像通常情况下，利用汇聚层及核心层网络进行高速的转发，同时，IPv6用户之间的互访的开销也非常大。隧道技术不适合大规模IPv6的用户进行接入，只适合在过渡网络中，满足小部分用户的IPv6访问。

3. 双栈园区网中的IP地址划分

良好的地址划分，能够保证后续网络部署的稳定性及可维护性。IP地址规划主要涉及到网络资源的利用以及方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。根据最新的IPv6 RFC4291，IPv6地址分为全球可路由前缀和子网ID两部分，但协议并没有明确规定其各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。这样，相比IPv4的地址划分，在IPv6的地址划分上的灵活性更强。

IP地址的分配与网络组织、路由策略以及网络管理等都有密切的关系，具体的IP地址分配通常在工程实施时统一规划实施，遵循以下分配原则：

l 地址资源应全网统一分配;

l 地址划分应有层次性，便于网络互联，简化路由表;

IP地址分配要尽量给每个物理区域分配连续的IP地址空间;在每个城域网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。

l IP地址的规划与划分需要考虑到网络的发展要求;

地址使用兼顾到近期的需求、远期的发展以及网络的扩展，预留相应的地址段。IP地址的分配需要有足够的灵活性，应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入的需要。

l 充分合理利用已申请的地址空间，提高地址的利用效率;

IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。尽可能和网络层次相对应，应该是自顶向下的一种规划。

在园区网进行IPv6地址划分时，可以根据功能划分为三类地址：