IPv6企业部署实施技术指南第3部分：部署流程

IPv6企业部署实施技术指南第3部分：部署流程范围本文件规定了IPv6企业部署实施技术指南的部署流程，在企业部署IPv6的准备阶段、外部阶段和内部阶段。本文件适用于支持部署IPv6的企业。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。T/CSACAAAAIPv6企业部署实施技术指南第1部分：参考架构T/CSACBBBBIPv6企业部署实施技术指南第2部分：改造目标T/CSACDDDDIPv6企业部署实施技术指南第4部分：改造验证术语和定义下列术语和定义适用于本文件。

IPv6升级IPv6UpgradeIPv6升级是一项网络战略，旨在使网络能够支持和采用IPv6协议。这涉及到更新、配置和优化网络基础设施，以确保在IPv6环境中实现无缝的通信，并同时保持与IPv4网络的互通性。

IPv6地址规划IPv6AddressPlanningIPv6地址规划是一项策略性活动，用于确定在网络中如何分配和管理IPv6地址。这包括确定IPv6子网的分配方案，以及如何为不同的网络部署、设备和服务分配IPv6地址，以确保地址资源的合理分配和网络路由的有效性。

IPv6设备兼容性IPv6DeviceCompatibilityIPv6设备兼容性是指网络中各种硬件和软件设备对IPv6协议的适应性和互操作性。这包括确保路由器、交换机、防火墙和其他网络设备能够正确处理IPv6数据包，以确保IPv6通信的可靠性和稳定性。DNS服务器一种将域名映射为某些预定义类型资源记录的分布式互联网服务系统，网络中域名服务系统间通过相互协作实现域名到相应资源记录的解析。缩略语下列缩略语适用于本文件。AFRINIC：非洲互联网注册机构（AfricanNetworkInformationCentre）ALG：应用层网关（ApplicationLayerGateway）APNIC：亚太互联网注册机构（Asia-PacificNetworkInformationCentre）ARIN：美洲互联网注册机构（AmericanRegistryforInternetNumbers）DHCPv6：动态主机配置协议第6版（DynamicHostConfigurationProtocolVersion6）DNS：域名系统（DomainNameSystem）DUID：DHCP唯一标识符（DHCPUniqueIdentifier）HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）HTTP：超文本传输协议（HypertextTransferProtocol）IGP：内部网关协议（InteriorGatewayProtocol）IPv4：互联网协议第4版（InternetProtocolVersion4）IPv6：互联网协议第6版（InternetProtocolVersion6）ISP：互联网服务提供商（InternetServiceProvider）LACNIC：拉丁美洲和加勒比互联网注册中心（LatinAmericaandCaribbeanNetworkInformationCentre）LIR：本地互联网注册机构（LocalInternetRegistry）MAC：媒体访问控制地址（MediaAccessControlAddress）MTU：最大传输单元（MaximumTransmissionUnit）ND：邻居发现（NeighborDiscovery）NDP：邻居发现协议（NeighborDiscoveryProtocol）OSPFv3：开放最短路径优先协议第3版（OpenShortestPathFirstVersion3）PA：提供商聚合（ProviderAggregatable）PI：独立提供商（ProviderIndependent）RIPng：下一代路由信息协议（RoutingInformationProtocolNextGeneration）RIPENCC：欧洲互联网数字互联网中心（RéseauxIPEuropéensNetworkCoordinationCentre）RIR：区域互联网注册机构（RegionalInternetRegistry）SLAAC：无状态地址自动配置（StatelessAddressAutoconfiguration）TCP：传输控制协议（TransmissionControlProtocol）ULA：唯一局部地址（UniqueLocalAddress）URL：统一资源定位符（Uniform/UniversalResourceLocator）VPN：虚拟专用网络（VirtualPrivateNetwork）WWW：万维网（WorldWideWeb）准备阶段计划规划在IPv6企业部署实施技术指南的部署流程的准备和评估阶段，应该采取以下步骤来确保计划的顺利进行：项目管理在启动IPv6企业部署实施技术指南的部署流程工作时，建议由专业的项目经理负责组织工作。项目经理的职责包括确保工作进度按计划进行、协调不同团队的工作、监督预算和资源分配等。此外，项目经理应定期与执行发起人协商，以确保项目目标与整体战略保持一致。目标确定在IPv6企业部署实施技术指南的部署流程中，需要明确定义项目的目标。这些目标将决定项目的优先级和阶段顺序。根据目标，可以确定内部和外部阶段的优先次序，以确保项目按照正确的顺序进行。时间表制定IPv6企业部署实施技术指南的部署流程可能需要多次迭代，因此需要根据项目目标和时间表将IPv6项目整合到其他架构升级计划中。考虑到不同项目的时间表，建议在适当的时候将IPv6项目纳入其他架构升级工作中。清单阶段为了更好地理解准备和评估阶段的范围，将问题划分为网络基础设施就绪状态和应用程序就绪状态两部分。网络基础设施就绪评估网络设备IPv6就绪程度在这一阶段，需要评估网络设备的IPv6支持程度。这将有助于确定升级所需的工作量，包括设备的IPv6功能、配置和升级需求。要特别注意测试IPv6支持是否与默认配置一致。网络拓扑和设备清单通过网络发现和IP地址管理工具，了解网络的拓扑结构以及网络中存在的设备。这将帮助您创建网络设备和代码版本清单，以确定哪些设备需要升级或更换。应用准备评估应用程序IPv6支持评估内部应用程序的IPv6支持情况。这包括操作系统、固件、中间件和应用程序软件。对于外部供应商提供的应用程序，可能需要协商以获得IPv6支持。通信方式分析分析特定应用程序在网络上的通信方式，以确定它们与IPv6的兼容性。应用程序应避免使用特定IP地址系列的指令，并确保在IPv6环境下正常工作。代码修改和移植对于使用特定IP版本的API的应用程序，可能需要进行代码修改，以确保其支持IPv6。建议应用程序开发人员使用IPv6移植工具来查找需要更新的代码。培训为了成功实施IPv6升级，对经常涉及地址操作的人员进行培训非常重要。培训应基于项目需求，以确保所有相关方都具备所需的IPv6知识和技能。安全政策在IPv6部署中，安全性是至关重要的。必须确保IPv6网络的安全性，包括网络建设、政务数据和平台的安全。在IPv6安全政策中，应考虑与IPv4相似的安全问题，但还需注意IPv6的一些特定问题，如地址隐私扩展、扩展报头和双协议栈环境的安全性。在这个准备和评估阶段，项目管理、设备和应用程序准备、培训和安全政策都是关键因素，将有助于确保IPv6升级的成功和顺利进行。路由路由协议选择在考虑IPv6路由协议时，应该首先评估网络中已有的运行策略。有多种支持IPv6的路由协议可供选择，包括IGP（IS-IS、OSPFv3）和下一代路由信息协议（RIPng）。为了保持IPv4和IPv6操作的一致性，可以考虑继续使用与IPv4相同系列的协议。例如，如果在IPv4中使用OSPFv2，那么在IPv6中使用OSPFv3可能是合理的选择，尽管需要注意它们之间的差异。另一种选择是在IPv4和IPv6之间运行不同的路由协议。这会带来一个重要的设计问题，即长期内是否要支持一个IGP或两个不同的IGP。地址计划IPv6地址分配原则IPv6地址分配应遵循与IPv4同样重要的保护原则。一种常见的建议是分配一个较大的单一地址块，而不是多个不连续的小块，因为单一块只占用路由表中的一个条目，从而提高了路由的效率。此建议在[RFC5375]中有所提及。对于ULA的使用需要仔细考虑其支持程度，特别是在多地址和多播情况下，以及评估对ULA的需求强度。地址类型选择管理员需要评估从本地互联网注册机构（LIR，如ISP）、区域互联网注册机构（RIR，如AfriNIC、APNIC、ARIN、LACNIC或RIPE-NCC）或国家互联网注册机构（NIR，在某些国家运行）申请地址空间的选项。通常的分配方式是从ISP获取提供商聚合（PA）地址空间，但这意味着在更换提供商时需要重新编号。另一种选择是申请独立提供商（PI）空间，这可能需要额外的费用，但允许更灵活地使用前缀，并在更换ISP时避免重新编号（但需要注意，PI空间仍然无法避免由于空间用完、合并或其他内部原因而导致的重新编号）。地址类型的选择应根据路由需求来确定，因为它可能会影响是否需要应用新的路由技术，以及可能会限制未来的灵活性。地址前缀分配每个网络位置或站点都需要一个前缀分配。一般来说，根据RFC5375和[RFC6177]的历史指南，建议每个站点至少获得一个/48前缀。这不仅有助于简化规划，还允许站点将其前缀用于本地连接。对于终端系统的地址分配，可以使用手动配置的地址（对服务器常见），也可以为客户端系统使用无状态地址自动配置（SLAAC）或DHCPv6。然而，DHCPv6现在已经非常成熟，因此可以使用有状态的DHCPv6为工作站寻址。有状态的DHCPv6允许管理员使用额外的配置选项，并且通过系统日志可以了解哪个系统在任何给定时间拥有哪个地址。这种责任模型在IPv4管理中很常见，不过DHCPv6主机是通过DHCP唯一标识符（DUID）而不是MAC地址来识别的。为了实现与SLAAC相当的责任，可以使用监控系统从交换机和路由器设备中获取IP/MAC映射。DNS记录更新任何网络的一个常见部署考虑因素是如何更新主机DNS记录。通常，这可以由主机发送DNS更新或由DHCP服务器更新记录来完成。如果主机和DNS服务器之间有足够的信任，主机可以更新DNS记录（可以使用SLAAC进行寻址）。否则，可以将DHCPv6服务器配置为更新DNS服务器。需要注意的是，具有更可控环境的网络可能需要在网段上禁用SLAAC，并强制终端主机只使用DHCPv6。点对点链接和虚拟网络对于数据中心或服务器机房，每个VLAN可以考虑分配/64前缀。一些管理员保留一个/64，但配置了一个小的子网，如/112、/126或/127，以防止恶意设备连接并获取号码。另一种方法是监控流量，以发现意外的地址或邻居发现（ND）表中的新条目。地址可以在服务器上手动配置，也可以在DHCPv6服务器上保留，DHCPv6服务器还可以同步正向和反向DNS。不建议在服务器上使用SLAAC，因为需要将RA定时器与DNS生存时间（TTL）同步，以确保DNS条目与地址同时过期。如果不使用NDP的点对点链接，也可以考虑使用/127（参见[RFC6164]）。避免可变长度子网掩码（VLSM）在IPv6中，不需要使用可变长度子网掩码（VLSM）[RFC1817]。使用长度超过/64的前缀会破坏IPv6的一些常见功能，如SLAAC[RFC4862]。在多个VLAN或其他第二层域的交汇点，应留出一些扩展空间。避免因超出网络规划而重新编号是重要的，因此通常建议将规划扩展到可以容纳目前规模两倍左右的增长。分配给虚拟网络和设备的地址规划必须与分配给真实网络和节点的地址保持一致且不重叠。分配地址时应特别注意，以避免与IPv4地址冲突。ULA的使用如果考虑使用ULA，应注意不要将ULA的AAAA和PTR记录安装到全局DNS中。此外，ULA的反向查询不应发送到组织外的名称服务器，以减轻名称服务器的负荷。工具评估对于工具评估来说，操作工具和支持系统是关键的，用于配置、监控、管理和诊断网络和IPv6相关问题。这些工具和系统需要进行评估，以确保它们与IPv6兼容。兼容性可能涉及到工具和系统在IPv6环境中的运行能力，包括对IPv6地址和连接的支持，以及IPv6感知的工具和处理逻辑。评估工具和支持系统时需要考虑多种因素，包括IPv6地址的大尺寸和可能会对数据存储和处理产生影响。此外，工具可能需要同时支持IPv6和IPv4的监控、管理和交叉。对于网络系统，是否需要支持本地IPv6寻址和连接取决于具体情况，但一些操作仍可以通过IPv4传输执行，例如SNMPMIB轮询。需要注意的是，管理系统需要升级以支持新的IPv6规范和被轮询的终端站。此外，一些操作工具可能需要额外的软件更新或硬件升级以感知IPv6。外部阶段连接性在IPv6的外部阶段，需要考虑如何将其基础设施连接到外部世界。这些连接可能面向整个互联网或其他网络。外部阶段包括以下要素的连接、安全性和监测，以及面向外部或可访问的服务。与服务提供商合作需要与一个或多个服务提供商合作，以获得与互联网或传输服务基础设施（如BGP/MPLSIPVPN）的连接。这涉及到连接的规划和配置，可能需要遵循[RFC4364]和[RFC4659]的相关规范。IPv6地址类型在规划阶段需选择使用PI（ProviderIndependent）和/或PA（ProviderAggregatable）IPv6地址。这将影响与ISP的连接方式和可能需要实施的新路由功能。本机IPv6连接优先考虑使用本机IPv6连接，因为它提供了稳定和高效的连接。如果本机IPv6连接不可行，可考虑使用过渡隧道IPv6连接，但需注意隧道可能引入的延迟和其他问题。MTU一致性为简化操作，建议保持IPv6和IPv4的MTU一致。如果使用过渡隧道连接，需要注意MTU的调整，并监控与MTU相关的问题。安全性IPv6的外部连接需要考虑安全性，包括过滤、防火墙和IPS的配置。安全策略应与IPv4一致，但要允许某些必要的ICMPv6报文通过过滤设备。过滤配置过滤可以通过无状态ACL或有状态防火墙来实施。需要确保IPv6的安全策略至少与IPv4相同，包括所有必要的保护措施。防欺骗技术边缘路由器需要实施基于[RFC2827]（BCP38）的防欺骗技术，以减少欺骗攻击的风险。NDP缓存耗尽攻击为缓解NDP缓存耗尽攻击风险，可以采取一些技术措施，如良好的NDP实施、入口ACL等。监测在外部阶段，需要监测IPv6连接的使用情况，与IPv4一样重要。监测涵盖异常流量模式、SNMPMIB、系统日志等方面，需要支持IPv6的监测工具和报告。服务器和应用程序对外部服务的路径通常包括安全设备、服务器负载平衡（SLB）和物理服务器。需要确保所有设备启用本地双协议栈，并注意IPv6的安全性和审计跟踪。NAT64NAT64可用于将IPv6连接转换为IPv4连接，但需要注意安全和审计问题。IPv6网络前缀转换在考虑NPTv6（NetworkPrefixTranslationforIPv6）时，需要充分了解其部署对网络的影响，尤其是与IPv6地址嵌入应用程序的情况。对NPTv6的使用需要仔细规划和考虑。这些是IPv6升级的外部阶段的主要考虑事项，它们有助于确保成功地将其基础设施连接到IPv6网络。内部阶段设计范式在内部阶段，将IPv6传输到信息技术（IT）基础设施的内部，包括网络设备、终端用户设备和外围设备。在这个阶段，要考虑一个重要的设计原则，即"能双栈时双栈，必须隧道时隧道"。这个原则意味着应该优先考虑使用双协议栈，因为它可以提供更稳定和高质量的IPv6网络。但是，在某些情况下，隧道仍然是一个有效的选项，特别是用于试验IPv6和获取协议操作经验。请参考RFC4213和RFC6964以了解更多关于过渡机制的信息。安全性在内部阶段，所有现有的IPv4安全策略都必须扩展到支持IPv6。这包括防火墙、访问控制列表（ACL）、入侵防御系统（IPS）、虚拟专用网络（VPN）等安全措施。需要注意的是，IPv6的安全策略可能需要考虑到ICMPv6的差异。另外，IPv6的隐私扩展地址可能会对审计跟踪提出挑战，因此可以考虑使用DHCPv6或监控工具来获取网络内设备的责任数据。还建议在接入层的内部网络上部署RA-Guard和SAVIWG等技术来增强链路层安全性。网络基础设施基本的有线接入交换机和接入点通常在物理层和链路层运行，但需要考虑对IPv6地址的管理。首跳路由器冗余是一个重要的考虑因素，因为它直接影响网络可达性。IPv6NeighborDiscovery（ND）可以用于维护可用路由器列表，以实现主备路由器之间的切换。此外，考虑到链路上可能会出现故障，建议使用IPv6虚拟路由器冗余协议版本3（VRRPv3）来提供更强大的首跳路由器冗余。最后，在内部网络中部署IPv6时，选择SLAAC、DHCPv6或它们的组合取决于运营策略。最终用户设备不同操作系统对IPv6的支持有所不同，因此需要考虑到设备操作系统的默认行为。建议企业调查其设备的默认设置，并根据需要进行配置更改。智能手机和平板电脑在IPv6支持方面很重要，但也需要考虑运营商数据网络的支持情况。外围设备如打印机通常配置静态IPv6地址或通过DHCPv6分配，以便客户端能够可靠地发现它们。支撑系统支撑系统包括电子邮件、视频会议、电话（VoIP）、DNS、RADIUS等。DNS是一个重要的锚点