企业上云IPv6解决方案与应用白皮书2024

企业上云IPv企业上云IPv6解决方案和应用白皮书宋林健梁卓孟方刘警王远辉徐东赵飞闻博杨永王忠雨徐孟潘显奇秦超彭昔敏企业上云IPv6解决方案和应用白皮书企业上云IPv6解决方案和应用白皮书目录前言 3.3.应用IPv6安全防护最佳实践 51.企业上云IPv6支持概述1.1.什么是IPv6？充足的地址空间6层次化的地址结构IPv6前缀分配用户和使用场景前缀长度用途和使用场景RIR/LIR分配给有ASN的运营商、互联网公司、大型企业运营商站点和数据中心的大型企业分配的前缀，48运营商向中小客户分配的常见前缀长度。宽带运营商给家庭用户和小微企业分配的最小前缀长度末端设备子网，路由器点对点链路7简化报文头灵活的扩展头IPv6扩展头的报文格式强大的邻居发现协议8内置安全性9改造效果显著，但是大量长尾中小企业还未真正用上IPv6。1.2.业务IPv6改造要求和痛点1.2.1.IPV6改造技术要求1.2.2.企业IPV6改造的痛点1.3.云平台IPv6能力ACL黑白名单及安全策略支持IPv6其他云产品支持IPv62.云平台IPv6解决方案2.1.IPv6公有云解决方案2.1.1.云上IPv6&IPv4双栈场景5。公网开通公网开通场景1：ECS直接与互联网进行双向交互6。公网开通场景2：ECS借助负载均衡SLB，向互联网发布服务8私网互通3VPC开通IPv6的方法：/zh/ipv6-gateway/user-guide/enable-ipv6-for-a-vpc4交换机开通IPv6的方法：/zh/ipv6-gateway/user-guide/enable-ipv6-for-a-vswitch-15ECS分配和配置IPv6地址的方法：/zh/ecs/user-guide/step-1-create-a-vpc-that-supports-ipv6-addressing6开通和管理IPv6公网带宽的方法：/zh/ipv6-gateway/user-guide/enable-and-manage-ipv6-internet-bandwidth7创建和管理仅主动出规则的方法:/zh/ipv6-gateway/user-guide/create-and-manage-an-egress-only-rule8开通双栈版本ALB实例的方法：/zh/slb/application-load-balancer/getting-started/implement-load-balancing-9开通双栈版本NLB实例的方法：/zh/slb/network-load-balancer/getting-started/nlb-quickly-implements-load-balancing-for-ipv6-services2.1.2.IPV6TOIPV4转换场景部署于阿里云的应用系统进行6to4转换部署于本地数据中心的应用系统进行6to4转换10开通双栈版本ALB实例的方法：/zh/slb/application-load-balancer/getting-started/implement-load-balancin11开通双栈版本NLB实例的方法：/zh/slb/network-load-balancer/getting-started/nlb-quickly-implements-load-balancing-for-ipv6-services12开通IPv6CLB实例方法：/zh/slb/classic-load-balancer/user-guide/overview-of-ipv6-clb-instances场景1：本地数据中心与阿里云具备互联专线场景2：本地数据中心与阿里云无互联专线13开通双栈版本ALB实例的方法：/zh/slb/application-load-balancer/getting-started/implement-load-balancin14ALB挂载本地数据中心服务器的方法：/zh/slb/application-load-balancer/use-cases/specify-an-on-premises-server-as-a-backend-server-of-alb?spm=a2c4g.1118669491de6B0515开通双栈版本NLB实例的方法：/zh/slb/network-load-balancer/getting-started/nlb-quickly-implements-load-balancing-for-ipv6-services?spm=a2c4g16NLB挂载本地数据中心服务器的方法：/zh/slb/network-load-balancer/use-cases/add-servers-in-data-centers-to-an-nlb-instance?spm=a2c17开通全球加速GA实现6to4转换的方法：/zh/ga/use-cases/accelerate-an-ipv4-service-for-ipv6-clients?spm=a2.2.IPv6专有云解决方案2.3.IPv6云安全解决方案御功能、流量分析清洗功能、WEB应用防护功能等。业务逻辑描述：3.基于云速搭CADT的IPv6最佳实践3.1.创建具有IPv6地址的ECS3.1.1.最佳实践概述方案概述应用场景部署架构架构说明方案优势操作步骤前置条件3.1.2.部署基础环境数量：1步骤2在菜单栏单击新建>官方解决方案中心步骤1核对地域，本示例选择“上海”3.1.3.测试IPV6的连通性3.1.4.一键释放资源3.2.应用IPv6改造最佳实践3.2.1.最佳实践概述整体架构◆方案二：存量CLB迁移至NLB◆方案三：通过标准版全球加速GA转发IPv6请求3.2.2.构建演示环境部署架构说明默认密码Test1234yuminstall-ygitgitclonehttps://best-practice:Abcd123456@/best-practice/bp/018.gitbashbp018-nginx-in通过域名地址访问3.2.3.方案一：增加支持IPV6的公网SLB方案架构说明验证步骤3.2.4.方案二：迁移CLB到NLB支持IPV6cases/best-practices-for-manually-migrating-a-layer-4-clb-lis验证步骤3.2.5.方案三：全球加速GA验证步骤3.3.应用IPv6安全防护最佳实践3.3.1.最佳实践概述本章节介绍应用IPv6改造过程中结合安全防护的角度如何利用阿里云的安全产品，在完成IPv6改造的同时，还增强了应用的安全防御能力。推荐接入方案：WAF企业版+DDoS原生防护实例。将网站接入WAF，一键开启IPv6防护功能。为网站防御IPv6环境下发起的攻击，帮助源站实现对防，优势是不需要更换IP，没有四层端口、七层域名数限制，部署简易，只需要绑定防护IP地址即可发流量清洗，攻击流量被丢弃，只有正常的业防护主要提供三层和四层流量型攻击的防御服务，全力防护能力受限于机房网络的整体水位。当攻击流量超过机房网络整体防护水位或被CC攻击情况下，DDoS原生防护可能无法满足安全防护需求，需要升级使用DDoS高防服务，提升安全防护能力。您也可以组合使用DDoS原生防护和DDoS高防，通过DDoS高防流量调力时，业务流量默认解析到云产品，不增加业务延迟，当攻击过大触发黑洞时，高防流量调度器将流量切换到DDoS高防，防御大流量的攻击，此时存在约20ms的业务延时，攻击停止后，根据流量调度器设置的切换延迟时间，等待一段时