电子政务外网IPv6端到端演进方案

1、政务外网IPv6端到端演进方案及改造案例第1页目 录1IPv6发展现实状况及对政府影响2IPv6技术基础3政务外网IPv6端到端演进EVP方案5IPv6改造常见问题锦集4X省政务外网IPv6改造案例第2页地址稀缺，供不应求分配不均，差距巨大理论地址232 ，实际可用为40亿左右，地址已售罄美国占据3/4v4地址，全球DNS根，美国1主+9辅，中国数量为0政策要求现实状况影响挑战路由聚合难，转发效率低IPv4地址类别复杂，路由聚合难，降低网络设备转发效率NAT来过渡，性能瓶颈多破坏互联网端到端特征无法审计源IP，增加性能瓶颈地址稀缺，分配不均技术瓶颈多，转发效率低IPv4面临严峻挑战第3页自从6

2、月6日世界IPv6开启以来，IPv6已连续四年每年增加一倍， 假如按当前趋势继续下去，四年之后，将有超出二分之一互联网用户实现IPv6连接！ 截至 年6月，我国IPv4 地址数量到达3.39 亿个、IPv6 地址数量到达23555块/32 地址，二者总量均居世界第二。但IPv6布署率相比其它国家差距较大。截至2011月，全球IPv6用户数排名前十位国家/地域，依次是印度、美国、巴西、德国、日本、英国、法国、加拿大、比利时、马来西亚等，中国IPv6用户数排在第11位。 7月，美国政府更新政府IPv6应用指南/规划路线图，明确要求到末，政府对外提供全部互联网公共服务必须支持IPv6；到年末，政府内

3、部办公网络全方面支持IPv6。政策要求现实状况影响挑战国外IPv6发展迅猛, 国内IPv6发展相对落后中国IPv6地址逐年增加中国IPv4地址起基本不变使用IPv6访问Google用户超25%Top 10 IPv6布署率超40%,中国23%全球IPv6布署整体情况：中国IPv6用户比率仅为3.53%6/stats/第4页电子政务外网IPv6规模布署发文要求 应用系统：国内用户量排名前50位商业网站及应用，省部级以上政府和中央企业外网网站系统，中央和省级新闻及广播电视媒体网站系统，工业互联网等新兴领域网络与应用；域名托管服务企业、顶级域运行机构、域名注册服务机构域名服务器，超大型互联网数据中心（

4、IDC），排名前5位内容分发网络（CDN），排名前10位云服务平台50%云产品；管道：互联网骨干网、骨干网网间互联体系、城域网和接入网，LTE网络及业务，广电骨干网终端：新增网络设备、固定网络终端、移动终端。 2025应用系统：新增网络地址不再使用私有IPv4地址，国内用户量排名前100位商业网站及应用，市地级以上政府外网网站系统，市地级以上新闻及广播电视媒体网站系统；大型互联网数据中心，排名前10位内容分发网络，排名前10位云服务平台全部云产品；管道：广电网络，5G网络及业务，国际出入口。终端：各类新增移动和固定终端，到2025年末，我国IPv6网络规模、用户规模、流量规模位居世界第一位，网

5、络、应用、终端全方面支持IPv6，全方面完成向下一代互联网平滑演进升级，形成全球领先下一代互联网技术产业体系。到末，市场驱动良性发展环境基本形成，IPv6活跃用户数到达2亿，在互联网用户中占比不低于20%到2025年末，我国IPv6网络规模、用户规模、流量规模位居世界第一位，形成全球领先下一代互联网技术产业体系。到末，市场驱动良性发展环境日臻完善，IPv6活跃用户数超出5亿，在互联网用户中占比超出50%发展路径：遵照经典应用先行、移动固定并举、增量带动存量发展路径，以应用为切入点和突破口，重点加强用户多，使用广经典互联网应用IPv6升级，强化基于IPv6特色应用创新，带动网络、终端协调发展。政

6、策要求现实状况影响挑战第5页对政府要求：政府引导、企业主导。加强政府统筹协调、政策扶持和应用引领，优化发展环境，充分发挥企业在IPv6发展中主体地位作用，激发市场需求和企业发展内生动力。重视实效、惠及民生。落实以人民为中心发展思想，紧紧围绕人民群众期待和需求，不停提升网络服务水平，丰富信息服务内容，让亿万人民共享互联网发展结果。省部级以上政府网站IPv6改造。初步完成国家电子政务外网改造，完成中央部委、省级政府门户网站改造。新建电子政务系统、信息化系统及服务平台全方面支持IPv6。市地级以上政府网站IPv6改造。继续推进现有电子政务系统升级改造，全方面完成电子政务外网升级。完成市地级以上政府门

7、户网站升级改造。完成综治、金融、医疗等领域公共管理、民生公益等服务平台改造。网络是IPv6改造基础，提议先行开展政策解读现实状况影响挑战中央政务外网省城域关键Internet出口省汇聚广域网省级城域网省政府省委办局上级派驻机构互联网区政务外网区市广域关键县广域关键流控负载均衡流量清洗双活灾备数据中心互联网区政务外网区流控负载均衡流量清洗省广域关键DWDM省异地灾备中心政务外网区IPv6对政府网络实施要求第一阶段，底第二阶段，底第6页目 录1IPv6发展现实状况及对政府影响2IPv6技术基础3政务外网IPv6端到端演进EVP方案5IPv6改造常见问题锦集4X省政务外网IPv6改造案例第7页IPv

8、6规模布署技术优势IPv6无限地址空间IPv6：2128IPv4：232层次化地址结构利于路由快速查找，路由聚合，缩减IPv6路由表大小 简化与扩展：简化报文头，提升效率；经过扩展包头支持新应用即插即用无状态地址自动配置，简化终端配置自主DNS根服务器“雪人计划”，中国境内按照1主+3辅布署了4台IPv6根服务器在技术方面改进使IPv6安全性更加好根服务器是国际互联网最主要战略基础设施，是互联网通信中枢。IPv6下，我们门牌自己做主！利于路由器等网络设备转发处理，降低投资成本终端配置简单，方便用户操作相比较IPv4地址，IPv6地址分配愈加规范，各大洲各国区分显著海量地址空间，有利于后续业务拓

9、展增强组播和流控8BIT QOS，20BIT流标签促进互联网多媒体应用提供平台IPv6上述优势使得在5G，物联网，大数据，云计算等场景下有自己独特价值，IPv6关键优势契合了业务述求协议编址报文格式技术优势安全IPSec、真实源地址认证等确保端到端安全安全第8页VersionIHLToSTotal LenIdentificationFlagsFragment OffsetTTLProtocolHead ChecksumSource addressDestination AddressOptionspadding净荷VersionTraffic ClassFlow LabelPayload Le

10、ngthNext HeaderHop LimitSource addressDestination AddressIPv6扩展头1，2，n净荷保留字段取消字段名字位置改变新增字段IPv4 Header（20B-60B）IPv6 Header（40Bytes）使用扩展报头时，报头次序以下（RFC2460）：基本IPv6包头逐跳选项报头：全部路由器都要对其处理（比如在RSVP中应用）目标选项报头：使用了路由选择报头路由选择报头：列出了一个或多个中间点分段报头验证报头（AH）和封装安全有效负载（ESP）报头目标选项报头上层报头：主要为TCP、UDP、ICMPv6等等IP报文头部改进：取消了IP校验：

11、第二层和第四层校验已经足够健壮了，所以IPv6直接取消了IP三层校验。取消中间节点分片功效：分片重组功效由源目端自己进行，经过PMTU机制来发觉路径MTU定义最长IPv6报头：有利于硬件快速处理，如此一来中间节点能够防止处理而节约大量资源安全选项支持：IPv6提供了对IPSec完美支持，如此上层协议能够省去许多安全选项，如OSPFv3就取消了认证增加流标签，提升QoS效率协议编址报文格式技术优势安全IPv6报文格式：简单之美第9页协议编址报文格式技术优势安全IPv6编址：层次区划Globally Unique Addresses，GUA地址作为全球唯一单播地址，需要向CNNIC申请，普通用于需

12、要有互联网访问需求主机通信。Unique Local IPv6 Addresses，ULA地址能够被用作路由器互联和服务器互联，普通用作内部通信，比如一个站点内部。其固定前缀为FC00:/7。GUA地址：类似于IPv4公网地址在网络中普通用于含有互联网访问需求场景ULA地址：类似于IPv4私网地址普通用于无需访问公网内网第10页1. DHCPv6: Solicit2. DHCPv6: Advertise3. DHCPv6: Request 4. DHCPv6: ReplyOLTBRAS(IPv6)DHCPv6 ServerHGDHCPv6 Client有状态：DHCPv6地址申请和分配四步交互

13、法IPv6单播与组播路由协议IPv4单播与组播路由协议RIP v1/v2OSPF v1/v2IS-ISBGP4PIM v2IPv6全新版本基于IPv4版本简单扩展RIP NGOSPF v3IS-IS v6BGP4+PIM v6IPv6主机自动配置：无状态（无需DHCP服务器）依据当地接口ID自动产生链路当地地址 发出邻居请求，进行重复地址检测 如不重复，链路当地地址生效，节点具备IP连接能力 主机发送路由器请求消息(或接收到路由器定时发送宣告消息) 依据路由器回应宣告消息，取得本链路前缀信息 前缀 + 接口ID = 主机全局地址或网点地址自动生成地址进行地址冲突检测 自动配置地址有生命期 主机

14、适应地址重配置(Renumber) 路由器自动生成链路当地地址路由协议协议编址报文格式技术优势安全IPv6地址配置即插即用，路由协议第11页IPv6报头AH扩展头IPv6数据IPv6报头其它扩展头加密IPv6数据ESP扩展头认证数据明文密文IPv6安全：内置IPSec说明采取IPSec安全结构将IPSec作为专用扩展头，实现端到端安全认证报头(AH, Authentication Header)确保源地址真实性以及传输完整性加密安全载荷(ESP，Encapsulating or Encrypted Security Payload)加密IP包数据区，确保只有目标地节点才能看懂IP包内容AH和E

15、SP还能够识别重发包协议编址报文格式技术优势安全第12页目 录1IPv6发展现实状况及对政府影响2IPv6技术基础3政务外网IPv6端到端演进EVP方案5IPv6改造常见问题锦集4X省政务外网IPv6改造案例第13页电子政务外网是IPv6行动计划中明确要求在底完成IPv6改造重点行业。政务网络演进遵照标准保障网络质量IPv6过渡应实现平滑过渡，保障现有IPv4业务不受影响，IPv6业务质量不低于IPv4业务质量。控制改造成本IPv6过渡应保护现有投资，尽可能降低升级成本和网络改造量。选择通用技术IPv6过渡技术应选择符合相关国内外标准通用技术，防止采取私有标准或非开放协议。电子政务外网IPv6

16、升级改造标准依据业界通用升级改造经验和标准，提议采取网络和安全先行、业务随即接入策略云端为重、管道先行改造方案改造标准改造关键点中央政务外网省城域关键Internet出口省汇聚广域网省级城域网省政府省委办局上级派驻机构互联网区政务外网区市广域关键县广域关键流控负载均衡流量清洗双活灾备数据中心互联网区政务外网区流控负载均衡流量清洗省广域关键DWDM省异地灾备中心政务外网区城域网第14页 EVP方案基于网络演进基本标准，针对三大改造关键点，经过深入科学评定调研，主动探索适当改造方案并进行试点验证，制订IPv6+“一网”化建网标准，为 IPv6改造工作提供统一标准规范参考。电子政务外网IPv6+端到

17、端 EVP方案IPv6+端到端EVP演进方案，实现政务外网 “一网、安全、灵敏、规范”化E：评定网络现实状况，预知改造风险E2E评定网络：遵照IPv6改造标准以及政务业务“一网”化演进需求，从网络架构、IPv6功效、规格性能等角度综合评定现网，识别网络瓶颈，处理网络“老、杂、孤、缺”四大问题，预估改造成本，是网络改造基础；V：验证关键方案，保障平稳交付P：规范建网方案，构建标准体系验证E2E方案：基于评定结果，系统规划，推荐&验证IPv6+演进关键方案，保障方案可行性及平稳交付，是网络改造保障。E2E网络规划：制订面向IPv6演进全省政务外网建网规范，构建IPv6+“一网”化先进网络，最终实现

18、政务服务“一网”化改革，是网络改造指导。改造方案改造标准改造关键点第15页IPv6改造内容和关键点业务系统承载网终端运维支撑系统IDC数据中心对终端进行梳理，确定IPv6支持程度，不支持终端进行替换梳理运维支撑系统对IPv6支持情况，按需升级梳理承载网相关网络设备对IPv6相关过渡技术支持情况，按需升级梳理周围业务系统IPv6双栈支持情况，按需升级应用直接决定了IPv6商用程度，所以对需要支持IPv6应用业务系统进行升级IPv6改造网络评定网络架构评定网络设备IPv6支持度评定网络设备IPv6性能评定周围系统IPv6满足度评定IPv6地址规划设备管理和互联地址规划IPv6业务地址规划IPv6用

19、户地址规划IPv6过渡技术选择IPv6接入技术选择网络承载过渡技术选择业务承载过渡技术选择IPv6业务保障技术选择改造三大关键点改造方案改造标准改造关键点第16页第一大关键点：现网评定第17页广域网二级网三级网一级网四级网政务部门政务部门政务部门政务部门村街城域网安全隔离移动政务五级网省市县乡镇省级政务云 省级城域网 市级城域网 县级城域网乡镇级接入点 评定方法端到端评定改造风险，识别网络瓶颈 评定范围设备信息采集模板输入产品系列IPv6特征&规格评定基线库评定IPv6改造风险评定汇报输出特征评定汇报规格评定汇报 网络架构信息现网业务信息网络设备信息IPv4相关表项规格周围系统版本型号网络架构

20、评定网络设备IPv6支持度评定网络设备IPv6性能评定周围系统IPv6满足度评定关键点：全部包括TCP/IP L3层以上设备需要IPv6评定及改造，L2层设备基于需求进行评定改造网络可演进性评定汇报IPv6支持度评定汇报网络设备IPv6规格性能满足度评定汇报互联网业务政务外网业务公共互联网业务纵向网部分横向网部分第18页第二大关键点：IPv6地址规划第19页有效路由聚合：基于地域、网络层次化结构，有效聚合路由；按地域精管理：Region字段和行政地域管理匹配，做到地址所见即所得，降低溯源难度；简单路由策略：依据业务类型、网络类型、区域位置字段，实现灵活多样路由策略； 精细业务划分：经过Serv

21、ice字段，实现业务精细划分，基于IP地址对不一样业务进行大颗粒策略处理； 路由聚合采取层次化设计，提升聚合性。运行商必须进行路由聚合（公布前缀长度小于48-bits），防止海量路由。站点（Site）分配地址时，优先使用低位bit，提升聚合性。扩展性考虑业务类型增加和用户数增加，合理预留地址空间；采取RFC3531方式分配字段中Bit，提升扩展性。安全性控制敏感路由公布；网络隔离；IPv6地址规划总体策略总体策略地址申请应用举例第20页IPv6地址申请三大渠道当前，国内最大IPv6网络CERNET运行者。主要服务对象为教育行业，比如高校等。其拥有IPv6地址资源也主要分给拥有赛尔网络会员资格教

22、育行业客户。三大运行商已获取IPv6地址资源，但当前还未提供地址申请业务，应该会在近期开放，详细时间需要与运行商确认。企业能够依据需要，选择当地运行商进行IPv6地址申请。详细流程，不一样运行商可能会有差异。CNNIC（China Internet Network Information Center，中国互联网络信息中心）于1997年6月3日组建，现为中央网络安全和信息化领导小组办公室（国家互联网信息办公室）直属事业单位，行使国家互联网络信息中心职责。中国互联网络信息中心CNNICIPv6地址使用年费中国互联网络信息中心CNNICIPv6地址申请方法中国互联网络信息中心IP地址分配联盟管理方

23、法/jczyfw/ipas/ipasCNNICfplm/08/t0831_52802.htmIPv6申请方法/jczyfw/ipas/IPv6dzsq/06/t0612_26544.htm总体策略地址申请应用举例第21页可分配地址块336yx64子网：待规划IPv6地址段接口地址标识网络、业务平台和用户地址等从地址机构(CNNIC等)申请到固定网络前缀NP属性网络地域接口地址可分配使用地址标识集团及不一样区域网络，如：不一样城域网络标识独立管理骨干网，如1平面、2平面网络前缀000001010011100101110111网络地址网络地址业务平台地址预留用户地址用户地址用户地址用户地址网络设备

24、和平台地址一次分配后短期内不再规划；网络地址：各类网络设备用loopback、互联中继、网管地址等；业务平台地址：平台服务器物理地址，服务地址等；用户地址：各类业务为终端用户分配地址预留地址作为预留，为以后特定属性地址使用地址分配最小颗粒度为/64，小型区域和单位用户以/56颗粒度进行分配，大型区域以/48颗粒度进行分配IPv6地址规划举例总体策略地址申请应用举例第22页第三大关键点：IPv6过渡技术选择第23页IPv6IPv4向IPv6迁移三大技术方向IPv4IPv6IPv6隧道（Tunnel）：隧道技术用于实现分布于IPv4网络中孤立IPv6网络之间互连，或者分布在IPv6网络中IPv4岛

25、屿互连。比如6over4、4over6、6RD隧道、6PE隧道。适用情况：适合用于IPv6改造第一阶段和第三阶段，若直接从第二阶段开始则无需使用第一阶段隧道技术翻译（Translation）：翻译技术用于IPv6-only网络和IPv4-only网络互通。翻译设备位于两个网络边界，翻译时需要将IP头各对应字段强制转换，另外还需要将报文体中携带地址实现转换。比如NAT64和PNAT、IVI等适用情况：适合用于IPv6改造各阶段补充使用，不提议作为主流方案IPv4IPv6双栈（Dual Stack）：在终端设备和网络节点上既安装IPv4又安装IPv6协议栈，从而实现分别与IPv4或IPv6节点间信

26、息互通。适用情况：适合用于IPv6改造第二阶段，无缝升级到第三阶段在条件允许情况下，优先采取双栈方案，其次是隧道技术、翻译技术业务保障网络改造周围系统改造技术选型第24页双栈终端IPv4/IPv6网络Native双栈终端双栈网关分配IPv4和IPv6公网地址承载网双栈流量转发各协议栈各自访问各自服务应用场景广域、城域骨干网网关广域关键城域关键城域网广域网政务云IPv6应用IPv4应用IPv4流量IPv6流量双栈技术网络改造综合成本最低，承载网优先完成双栈改造，快速无缝迁移支持IPv6；基于6vPE技术进行业务逻辑隔离。双栈终端IPv4/IPv6网络6vPE终端双栈网关分配IPv4和IPv6公网

27、地址业务承载IPv4 MPLS L3VPN流量转发PE与CE之间运行支持IPv6IGP协议公布路由，PE之间配置IPv6路由传递能力，基于IPv4MPLS L3VPN网络转发流量应用场景广域、城域骨干网网关MCEInternet VPN政务云业务VPNMPLS城域关键（PE）IPv4流量IPv6流量政务外网IPv6过渡技术选型（一）业务保障网络改造周围系统改造技术选型第25页终端双栈网关分配IPv4和IPv6公网地址承载网双栈流量转发IPv4协议经过纯IPv4通道访问IPv4服务IPv6协议经过纯IPv6网络承载，在政务云入口经过NAT64+DNS64访问IPv4服务应用场景DC双栈终端双栈+

28、NAT64网关广域关键城域关键城域网广域网政务云IPv4应用NAT64DNS64IPv4流量IPv6流量终端双栈/IPv6主机网关经过ISATAP隧道访问IPv6网关，获取IPv6地址承载网接入设备不支持IPv6，终端与边界设备建立ISATAP隧道流量转发经过ISATAP隧道将IPv6流量封装后穿越内网IPv4网络送达边界设备，中间IPv4网络对IPv6流量无感知应用场景接入设备不支持IPv6网络双栈终端ISATAP隧道出口防火墙（IPv6网关）布署ISATAPIPv4 onlyIPv4流量IPv6流量IPv6应用IPv4应用IPv4/IPv6网络IPv4/IPv6网络政务外网IPv6过渡技术

29、选型（二）在政务云布署NAT64技术，满足IPv6终端对IPv4业务访问需求；对于不支持IPv6接入网，经过ISATAP隧道封装IPv6流量转发。业务保障网络改造周围系统改造技术选型第26页关键汇聚接入现有广域网普通都使用双平面结构，能够采取主备平面轮番升级方式平滑过渡为IPv4/IPv6双栈承载网。广域网边界布署支持IPv6MPLS L3VPN（6vPE）双栈OSPFv3+/IS-ISv6双栈EBGP4+双栈EBGP4+关键汇聚接入阶段一：单平面双栈6vPE6vPE关键汇聚接入阶段二：双平面双栈6vPE6vPE6vPE6vPE关键汇聚接入IPv6单栈IPv4单栈广域网IPv6演进方案业务保障

30、网络改造周围系统改造技术选型第27页委办局1委办局2WAN城域网数据中心IPv4IPv4PEMCEMCEPEPEMCEIPv4单栈PE委办局1委办局2WAN城域网数据中心双栈IPv6IPv4PEMCEMCEPEPEMCE双栈PE委办局1委办局2WAN城域网数据中心IPv6IPv6IPv6PEMCEMCEPEPEMCEIPv6单栈PE双栈IPv6IPv46vPE6vPE6vPE6vPE6vPE6vPEOSPFv3 / IS-ISv6EBGP4+EBGP4+OSPFv3 / IS-ISv6EBGP4+EBGP4+采取双栈技术完成向纯IPv6网络平滑演进，网络边缘布署6vPE技术支持IPv6 VPN

31、业务。城域网IPv6演进方案业务保障网络改造周围系统改造技术选型第28页ASBRAS YYYYYOSPF AREA NOSPF AREA 0OSPF AREA NBGP 维持原有IGP域划分方式IGP 域 维持原有IPv4AS和Area划分Area划分 IPv4公布IPv4路由，IPv6路由协议划分IPv6 路由，路由协议设置参考IPv4路由公布IGP协议1234依据客户现有网络和使用习惯：现网为OSPF则布署OSPFv3，现网为ISIS则布署ISISv6。COST、定时器参考原有IPv4参数OSPF ：新增OSPFv3协议配置ISIS： 启用ISIS多拓扑，支持V6拓扑发觉BGP：支持BGP

32、4+双栈方式无需专门隧道配置，简单高效。在进行双栈改造时，网络设备需要考虑IPv4和IPv6并存时路由器协议性能和转发性能是否满足要求广域/城域骨干网络IPv6迁移对路由协议改造业务保障网络改造周围系统改造技术选型第29页CEPEPPECEIPv6 PacketIPv6 PacketMP-BGPLabelLDPLabelIPv6 PacketIPv4 MPLS/MP-BGP(IPv6）改造标准：MPLS不区分IPv4和IPv6重用现有MPLS网络，经过IPv4 MPLS 隧道承载IPv6报文IGP无需改变、LDP/RSVP等MPLS 协议无需改变、VPN地址是IPv6、VPN相关参数能够参考I

33、Pv4专线支持6vPE： IPv6 MPLS L3VPNL3VPN和传统L3VPN划分没有任何差异，一个子接口下支持IPv4和IPv6地址，绑定同一个VPN实例PE节点支持6vPE特征，IPv6 L3VPN报文经过MPLS外层隧道穿越MPLS骨干网络VPN负载分担、跨域和策略控制和IPv4VPN完全类似VPN业务改造：使用6vPE技术承载IPv6 VPN业务业务保障网络改造周围系统改造技术选型第30页局域网IPv6演进方案管理中心网络出口分支机构WAN数据中心关键层局域网边界汇聚层接入层委办局B委办局C演进方案VLAN透传，ND、DHCPv6 Snooping双栈+OSPFv3+ DHCPv6

34、 Relay双栈+EBGP4+前期6 ove4 后期双栈双栈+IPv6认证及策略+OSPFv3+DHCPv6 Relay双栈，支持DHCPv6 Server前期:在区域范围内试点，包含云-管-端完整一个业务流程改造数据中心部分业务，使之支持IPv6方式访问改造特定区域之接入层与汇聚层，使之支持双栈改造网管部分和关键层，使之支持双栈在网络出口布署双栈防火墙/路由器，使之能够经过隧道方式与其它分支经过IPv6互通后期:试点范围继续扩大到园区内全部终端以及大部分业务改造园区内全部区域支持双栈网络改造WAN，使之支持双栈；并撤消原有穿越WAN之IPv6 Over IPv4隧道IPv6 over IPv

35、4委办局A（IPv6试点）备注：802.1x认证与IPv4/6无关；MAC认证要求支持IPv6首包触发认证Portal认证要求支持IPv6AAAA演进步骤业务保障网络改造周围系统改造技术选型第31页NAT64方案：IPv6用户访问IPv4服务器双栈方案(双栈用户访问双栈服务器)DNS64双栈方案NAT64双栈+业务改造VLAN透传不需改造双栈+OSPFv3双栈+EBGP4+DNS双栈+AAAANAT64网关+DNS64DC内部不需改造IPv6 UserIPv4 User双栈 User IPv6 IPv4VTEPServer leafSpineVTEPServer leafVMVMVMOVSBo

36、rder-Leaf裸金属VTEPVMVMVMOVSServer leafVTEP裸金属IntranetExtranetInternetIPv4/IPv6IPv4/IPv6数据中心基础网络IPv6演进方案Server leaf数据中心内部双栈改造：IPv6内容匮乏将造成用户极难切换到IPv6上，所以，数据中心双栈改造是IPv6演进主要步骤。DC向IPv6演进主流方案。双栈改造范围大，改造周期较长。数据中心出口布署NAT64方案：DC双栈方案补充方案，主要适合用于终端只支持IPv6，为可控业务或简单应用提供IPv6访问场景。IDC内部不需改造，布署周期较短。但存在ALG问题，NAT64设备轻易成为

37、瓶颈点，同时需要DNS64设备配合。 IPv4/IPv6IPv4/IPv6业务保障网络改造周围系统改造技术选型第32页IPv6改造QOS规划IPv4网络IPv6网络双栈IDC数据中心IPv6优先级：采取和IPv4QOS类似机制，支持PQ、WFQ和H-QOS调度，TrafficClass是IPv6报文中标识优先级字段双栈流量调度：IPv4和IPv6流量统一调度，相同类型业务IPv4和IPv4流量共享同一QOS队列，比如，一样属于视频业务IPv4和IPv6流量，能够配置优先级相同，共同享受带宽100M。对于宽带用户能够经过配置方式单独占用QOS队列（DAA）版本号流量类型流标签净荷长度下一报头HO

38、P限制源IPv6地址目标IPv6地址IPv6报头业务保障网络改造周围系统改造技术选型第33页IPv6改造可靠性规划提议冗余备份NSRBFD路由优化 FRR双栈网络双主控多交换网多风扇多电源单播路由NSRVPN NSRMPL NSR组播NSR链路BFD路由BFDVPN BFDMPLS BFDIP FRRTE FRRLDP FRRVPN FRR路由快速收敛弱策略路由ECMPIP TRUNK冗余备份：IPv4和IPv6路由器硬件无差异NSR：布署IPv6路由和VPN协议路由器，和IPv4协议一样，支持NSR技术，预防主备倒换协议中止BFD：IPv6和IPv4一样支持BFD for anything，

39、单个BFD会话能够关联同一段IPv4&IPv6转发路径状态路由优化：IPv4和IPv6具备相同网络优化能力FRR：布署IPv6路由和VPN协议路由器，和IPv4协议一样，支持FRR技术，链路中止后能够快速将流量收敛到备份路径业务保障网络改造周围系统改造技术选型第34页能够实现各种IPv6地址类型识别和管理支持IPv6中DNS解析监控功效支持对IPv6设备和双栈设备性能、资源、故障等数据采集能力，满足对IPv6设备和双栈设备性能管理、资源管理、故障管理及分析等功效对于双栈设备能够进行IPv4及IPv6关联，使得双栈设备各种资源、性能、故障等数据能够与历史数据平滑关联应能够经过基于IPv4SNMP

40、访问相关设备IPv6 MIB，经过IPv6 MIB取得IPv6配置和流量等相关信息网管系统不面向用户，IP地址需求数量不多，系统内部间通信时向IPv6演进需求不强烈，所以能够仍保留IPv4地址不进行IPv6改造其它周围系统如门户网站还采取了负载均衡等技术，需确认是否支持IPv6确认网站用户认证管理系统是否已支持IPv6网管等其它周围系统改造业务保障网络改造周围系统改造技术选型第35页Windows Server支持IPv6，不过默认没有安装，需要手工安装对应软件包Windows Server及以后服务器版本均以默认安装IPv6常见Linux系统IPv6支持度名称版本IPv6支持默认安装Fedo

41、ra13是是RedHat Enterprise Linux6是是Ubuntu12.04是是Solaris10是是SUSE Linux Enterprise Server 11是是服务器常见操作系统包含Linux、Unix和Windows Server等。以下为各类操作系统对IPv6支持情况。如不满足版本要求，则需要对操作系统进行升级。Windows Server对IPv6支持度详细升级步骤和注意事项，需要由操作系统提供商提供。操作系统改造业务保障网络改造周围系统改造技术选型第36页名称版本支持IPv6DB210.5是FileMaker Pro05是FileMaker Server85是Micr

42、osoft SQL Server是MySQL5.7.17是Maria DB10.2.9是Oracle Database.0是PostgreSQL10是IBM Informix Dynamic Server (IDS) 11.5是Sybase OpenSwitch 15.1是常见数据库系统对IPv6支持度以下，如低于以下版本，则需要对系统使用到数据进行升级数据库系统改造业务保障网络改造周围系统改造技术选型第37页WEB服务器主要提供网上信息浏览服务，是互联网上应用最广泛服务。当前惯用WEB服务器软件有Apache、Nginx以及微软IIS服务等。Apache自版本2.0.11以后提供对IPv6支

43、持微软IIS服务自公布IIS6.0以后就开始支持IPv6Nginx从0.7.36及以后版本开始支持IPv6如客户当前使用服务高于上述版本，客户能够经过简单配置操作，即可启用IPv6服务确认门户前端实现中是否存在使用IP地址进行通信代码设置，如存在需要修改为URL或绝对地址路径WEB改造需要由业务提供商提供详细改造方案和计划。门户网站WEB系统改造业务保障网络改造周围系统改造技术选型第38页目 录1IPv6发展现实状况及对政府影响2IPv6技术基础3政务外网IPv6端到端演进EVP方案5IPv6改造常见问题锦集4X省政务外网IPv6改造案例第39页X省IPv6改造挑战及思绪改造方案改造思绪改造思

44、绪（三大业务驱动四类场景网络IPv6+改造）改造挑战业务复杂，产品破旧IPv6布署不能影响用户IPv4业务；匹配业务多场景同时改造，各场景采取不一样演进技术，需分别设计、评定、验证以及规划；试点委办局设备破旧，缺乏 IPv6 License；涉C友商破旧设备，支持IPv6能力弱；需周围系统同时改造，如DNS、认证系统等省市县乡村全覆盖，标准规范难统一省级政务外网由纵向到底，横向到边“一纵四横”组成，委办局众多；IP地址规划不规范，政务外网IPv6布署规范不完善，需要全网顶层设计。选择xx委办局为试点单位，聚焦专网业务、互联网业务、政务外网三大类业务，端到端改造省级广域/城域骨干、委办局局域网、

45、互联网出口，云平台网络改造，重点改造互联网区业务。委办局第40页X省IPv6端到端改造方案改造方案改造思绪改造方案：IPv6+演进EVP方案现网评定Estimation架构评定：政务外网覆盖不全，单平面承载，安全可靠性不高功效评定：完成设备IPv6特征/License评定，以及License不全设备规格评定：评定现网设备路由表项不足周围系统：认证系统、网管系统暂不支持IPv6，DNS未配置DNS64改造方案：采取双栈+NAT64方案进行端到端网络改造，用户接入认证及网管系统暂时保留IPv4方式，专线业务采取6vPE技术承载，业务系统经过NAT64技术提供IPv6访问；测试方案：依据改造方案，在

46、现网委办局机房非办公时间带业务测试，对现网IPv4业务影响较低；交付规划Planning评定规范：基于评定汇报，输出政务外网IPv6改造评定基线清单布署规范：帮助完成4大类场景改造实施HLD规范测试规范：针对4大类场景，3大类业务，制订IPv6改造测试基线集成测试VerificationIPv6过渡技术选型布署双栈公布路由IPv6安全防护试点委办局政务云平台布署双栈有线/无线DHCPv6认证保留IPv4方式，需放行IPv6流量网管保留IPv4方式IPv6安全防护布署双栈+6vPE布署双栈+NAT64IPv6安全防护广域/城域骨干互联网出口委办局局域网政务云平台第41页互联网区政务外网区流控负载均衡流量清洗DWDM中央政务外网广域网省级城域网省委办局上级派驻机构A市广域关键省广域关键省政府省委办局B市广域关键DNS系列应用服务器互联网云中心互联网出口区WAFSSL VPN应用访问控制全业务管理区网管中心局域网安管、网管区存贮备份区数据应用区Anti-DD