论文部分内容阅读
企业全面采用IPv6的分步实施方法
IPv6自从90年代后期被开发出来之后,一直备受人们的重视,现在已经实施的企业被认为是早期的大多数——这意味着该技术正在被广泛采用,因此如果您还没有开始,那就需要考虑开始规划部署IPv6了。
沿着这条道路的第一步是做好自己的功课。企业可以利用很多已经公开的资源来规划他们的IPv6部署,而本文最后列出了一些非常有价值的资源的链接。
但是,为了帮助您开始,这里介绍了一些鼓励企业在制定其部署计划时使用的最佳实践。
组建您的IPv6部门
您应组建一个跨职能部门来领导IPv6的规划和部署。该部门的成员来自网络、安全、系统、应用、桌面和服务等部门,还有业务部门和相关管理人员,这样才能确保成功的进行合作。
资产清单和评估
您可以选择把企业中所有IT资产的清单整合到一起,并评估是否有足够的IPv6能力来继续推进。对于大多数企业来说,好消息是他们已经等到了现在——几乎所有的路由器、交換机、防火墙、操作系统、应用程序和其他系统都具有强大的IPv6功能。
展开IPv6培训
大多数企业的IT员工并没有花太多时间学习IPv6,也没有将其与他们熟悉的IPv4协议进行比较。当相关部门的员工开始学习IPv6时,他们经常问一些相同的基本问题。尽管多年来一直有优秀的IPv6培训材料,但很多IT部门都可以使用一个不错的IPv6教程来帮助他们入门。随着IPv6项目的推进,任何额外的培训都会有回报。
IPv6规划与设计
一旦部门经过了培训,并知道环境中有什么,他们就可以针对部署建立详细的技术计划。这一整体设计会考虑到您环境的方方面面,以及您的企业将从IPv6实施中获得的业务优势。该计划应遵循互联网的内部部署方法。
IPv6寻址计划
在这一点上,IT部门应了解IPv6地址格式,并准备制定IPv6寻址计划。第一步是确定您的企业可能需要的全球IPv6前缀的长度,可以采用IPv6地址规划工具来帮助完成这个过程。然后,您可以向您的区域互联网注册机构(RIR)请求分配IPv6地址,然后继续制定详细的前缀计划,因为这是您企业的第一个IPv6计划,最好借助于一本优秀的IPv6寻址书中的经验,并考虑使用IPv6 IP地址管理(IPAM)工具来协助完成十六进制数学计算工作。
IPv6概念验证(PoC)
如果您的企业有测试配置的实验室,那么可以在那里完善配置脚本。使用您自己的IPv6内部实验室虽然是一种很好的学习方法,但可能还不够,您可能需要一个PoC测试平台来准备实施。
在互联网边界部署IPv6
到目前为止,这一阶段所有的准备工作都为您的企业开始对网络设备、服务器、安全系统、服务和最终用户设备的配置更改进行整合奠定了基础。进入部署阶段后,对于那些已经计划到这一点的团队而言,很多事情会非常有趣。
正如IETF建议的那样,IPv6部署应该从企业环境的外部区域开始,通过这一环境,企业网络连接到互联网。之所以在互联网边界开始部署,是因为企业网络的这个区域运行着最现代的系统和软件,因此更有可能被很好地记录和理解。互联网边界只是整个企业的一小部分,在这里部署是应用敏捷方法和在战术上快速部署IPv6的有效途径。
在您公司网站上使用IPv6的一种简单而快速的方法是直接打电话给您的好邻居内容分发网络(CDN),让他们帮助您的公开网站启用IPv6。这在面向公众的网站上实现了IPv6,但并没有在您自己的网络中实现IPv6。真正的目标是在上游互联网链路上启用IPv6,然后通过互联网边界将IPv6引入。下面是在边界完成IPv6全面部署的步骤:
· 从您的RIR那里获得您的全球IPv6地址。
· 联系您的上游ISP,让他们在您的链路上启用IPv6。
· 在路由器上配置这些IPv6地址,并测试与ISP的连接。
· 配置您路由器和ISP之间的边界网关巡检(BGP)来通告您的全球IPv6前缀。
· 将全球IPv6地址放在防火墙接口上,在防火墙中配置IPv6静态路由。
· 在外围设备和服务器上配置IPv6地址,从DNS服务器开始。
· 测试DNS服务器和防火墙之间的IPv6连接。
· 在防火墙中添加允许规则,实现IPv6的入站DNS,然后通过在IPv6上执行查找,从互联网上进行测试。
· 开始启用其他外围服务,例如Web和电子邮件服务器,以便实现IPv6访问,并验证互联网的可达性。
· 在您的公共授权DNS中配置IPv6 AAAA和PTR记录,以便实现IPv6的可达性。
· 把IPv6添加到负载平衡器或者应用程序交付控制器后面的面向公众的系统中。
在核心网络上部署IPv6
还记得上世纪50年代的科幻电影《Blob》,它是怎样慢慢地吸收路上的所有东西的吗?在您企业网络上,IPv6将以同样的方式前进。当您在整个企业骨干网上添加IPv6连接时,IPv6将一次部署一个3层跳转,从互联网边界向内工作,最终扩展到整个企业核心网络。IPv6部署应连续进行,因为IPv6连接中的空白会导致端到端转发问题。
下图中,IPv4部署在所有的蓝色链接上,而红色路径上部署的IPv6并不是最优的。这将导致很高的端到端延迟。因此,您还需要确保在核心网络上巧妙地部署了IPv6。
在核心和广域网(WAN)的IPv6部署期间,网络部门可以借助他们的IPv4路由协议知识,这些协议本身也支持IPv6。他们可以在核心网络上使用OSPFv3、EIGRP、IS-IS,甚至BGP来部署IPv6。在部署IPv6时,最好使用与IPv4相同的路由协议——因为网络工程师已经很熟悉这一协议了。 尽管IPv6是一个完全独立于IPv4的协议,您也要避免在工作日配置IPv6;最好的做法是首先要在更改配置的时间上获得批准,以避免影响您的工作网络。
当您在企业广域网中迁移IPv6时,不断变化的企业广域网体系结构将会有所帮助。随着越来越多的企业通过混合或者直接互联网连接来部署软件定义的广域网解决方案,企业的IPv6寻址策略将会受到影响。能够直接访问互联网的分支机构将从服务提供商那里分配IPv6地址。您可以选择为分支机构/部门/远程办公室使用提供商的地址空间,也可以选择使用企业从RIR分配的全球IPv6地址空间。
在接入网上启用IPv6
在某些情况下,IPv6运行的比IPv4更快,并有利于最终用户体验。例如,IPv6连接不受网络地址转换(NAT)滞后的影响,比如TCP/UDP头校验和重新计算等。
今天,企业最终用户在使用他们的移动设备时不知不觉地占用了本地IPv6互联网资源,而像Facebook这样的内容提供商更喜歡IPv6。因此,企业IPv6部署的下一步是在接入网的第一跳路由器上启用IPv6。由于最终用户移动设备中有“快乐眼球”(RFC 6555)算法,其连接将选择性能最好的IP版本。
就局域网上的主机数量而言,您不必担心在局域网上是否有足够的IPv6地址空间进行分配。无论端节点的数量如何,您只需为每个接入网络分配一个/64位前缀即可。一旦这些路由器(3层接口)配置了IPv6地址,路由器将开始发送ICMPv6路由器通告(RA)消息。这些消息将通知接入网上的所有节点,IPv6现在已经激活,它们应设置自己的IPv6地址,并使用这个路由器来连接上游连接。您还可以利用现有的DHCP服务器在您的企业中提供DHCPv6服务,以帮助管理地址分配。
您也希望在无线和有线接入网上启用IPv6。当您使用802.11ac部署现代无线设备时,表明您已经拥有了支持企业级IPv6的现代WAP和无线控制器。
到纯IPv6的最后一步
此时,您将运行一个双协议环境。重要的是要记住,双协议并不是最终目的;纯IPv6才是最终目标。原因是企业更愿意在单一协议环境下工作。运营双协议环境会增加管理成本,因为很多任务要执行两次,一次是为了IPv4,另一次是为了IPv6。因此,运行纯IPv6环境的效率更高。到达这一阶段的时间越早,IPv4对您的限制就越少。
Scott Hogg是“全球技术资源”的首席技术官。
原文网址:
http://www.networkworld.com/article/3235805/lan-wan/ipv6-deployment-guide.html
IPv6自从90年代后期被开发出来之后,一直备受人们的重视,现在已经实施的企业被认为是早期的大多数——这意味着该技术正在被广泛采用,因此如果您还没有开始,那就需要考虑开始规划部署IPv6了。
沿着这条道路的第一步是做好自己的功课。企业可以利用很多已经公开的资源来规划他们的IPv6部署,而本文最后列出了一些非常有价值的资源的链接。
但是,为了帮助您开始,这里介绍了一些鼓励企业在制定其部署计划时使用的最佳实践。
组建您的IPv6部门
您应组建一个跨职能部门来领导IPv6的规划和部署。该部门的成员来自网络、安全、系统、应用、桌面和服务等部门,还有业务部门和相关管理人员,这样才能确保成功的进行合作。
资产清单和评估
您可以选择把企业中所有IT资产的清单整合到一起,并评估是否有足够的IPv6能力来继续推进。对于大多数企业来说,好消息是他们已经等到了现在——几乎所有的路由器、交換机、防火墙、操作系统、应用程序和其他系统都具有强大的IPv6功能。
展开IPv6培训
大多数企业的IT员工并没有花太多时间学习IPv6,也没有将其与他们熟悉的IPv4协议进行比较。当相关部门的员工开始学习IPv6时,他们经常问一些相同的基本问题。尽管多年来一直有优秀的IPv6培训材料,但很多IT部门都可以使用一个不错的IPv6教程来帮助他们入门。随着IPv6项目的推进,任何额外的培训都会有回报。
IPv6规划与设计
一旦部门经过了培训,并知道环境中有什么,他们就可以针对部署建立详细的技术计划。这一整体设计会考虑到您环境的方方面面,以及您的企业将从IPv6实施中获得的业务优势。该计划应遵循互联网的内部部署方法。
IPv6寻址计划
在这一点上,IT部门应了解IPv6地址格式,并准备制定IPv6寻址计划。第一步是确定您的企业可能需要的全球IPv6前缀的长度,可以采用IPv6地址规划工具来帮助完成这个过程。然后,您可以向您的区域互联网注册机构(RIR)请求分配IPv6地址,然后继续制定详细的前缀计划,因为这是您企业的第一个IPv6计划,最好借助于一本优秀的IPv6寻址书中的经验,并考虑使用IPv6 IP地址管理(IPAM)工具来协助完成十六进制数学计算工作。
IPv6概念验证(PoC)
如果您的企业有测试配置的实验室,那么可以在那里完善配置脚本。使用您自己的IPv6内部实验室虽然是一种很好的学习方法,但可能还不够,您可能需要一个PoC测试平台来准备实施。
在互联网边界部署IPv6
到目前为止,这一阶段所有的准备工作都为您的企业开始对网络设备、服务器、安全系统、服务和最终用户设备的配置更改进行整合奠定了基础。进入部署阶段后,对于那些已经计划到这一点的团队而言,很多事情会非常有趣。
正如IETF建议的那样,IPv6部署应该从企业环境的外部区域开始,通过这一环境,企业网络连接到互联网。之所以在互联网边界开始部署,是因为企业网络的这个区域运行着最现代的系统和软件,因此更有可能被很好地记录和理解。互联网边界只是整个企业的一小部分,在这里部署是应用敏捷方法和在战术上快速部署IPv6的有效途径。
在您公司网站上使用IPv6的一种简单而快速的方法是直接打电话给您的好邻居内容分发网络(CDN),让他们帮助您的公开网站启用IPv6。这在面向公众的网站上实现了IPv6,但并没有在您自己的网络中实现IPv6。真正的目标是在上游互联网链路上启用IPv6,然后通过互联网边界将IPv6引入。下面是在边界完成IPv6全面部署的步骤:
· 从您的RIR那里获得您的全球IPv6地址。
· 联系您的上游ISP,让他们在您的链路上启用IPv6。
· 在路由器上配置这些IPv6地址,并测试与ISP的连接。
· 配置您路由器和ISP之间的边界网关巡检(BGP)来通告您的全球IPv6前缀。
· 将全球IPv6地址放在防火墙接口上,在防火墙中配置IPv6静态路由。
· 在外围设备和服务器上配置IPv6地址,从DNS服务器开始。
· 测试DNS服务器和防火墙之间的IPv6连接。
· 在防火墙中添加允许规则,实现IPv6的入站DNS,然后通过在IPv6上执行查找,从互联网上进行测试。
· 开始启用其他外围服务,例如Web和电子邮件服务器,以便实现IPv6访问,并验证互联网的可达性。
· 在您的公共授权DNS中配置IPv6 AAAA和PTR记录,以便实现IPv6的可达性。
· 把IPv6添加到负载平衡器或者应用程序交付控制器后面的面向公众的系统中。
在核心网络上部署IPv6
还记得上世纪50年代的科幻电影《Blob》,它是怎样慢慢地吸收路上的所有东西的吗?在您企业网络上,IPv6将以同样的方式前进。当您在整个企业骨干网上添加IPv6连接时,IPv6将一次部署一个3层跳转,从互联网边界向内工作,最终扩展到整个企业核心网络。IPv6部署应连续进行,因为IPv6连接中的空白会导致端到端转发问题。
下图中,IPv4部署在所有的蓝色链接上,而红色路径上部署的IPv6并不是最优的。这将导致很高的端到端延迟。因此,您还需要确保在核心网络上巧妙地部署了IPv6。
在核心和广域网(WAN)的IPv6部署期间,网络部门可以借助他们的IPv4路由协议知识,这些协议本身也支持IPv6。他们可以在核心网络上使用OSPFv3、EIGRP、IS-IS,甚至BGP来部署IPv6。在部署IPv6时,最好使用与IPv4相同的路由协议——因为网络工程师已经很熟悉这一协议了。 尽管IPv6是一个完全独立于IPv4的协议,您也要避免在工作日配置IPv6;最好的做法是首先要在更改配置的时间上获得批准,以避免影响您的工作网络。
当您在企业广域网中迁移IPv6时,不断变化的企业广域网体系结构将会有所帮助。随着越来越多的企业通过混合或者直接互联网连接来部署软件定义的广域网解决方案,企业的IPv6寻址策略将会受到影响。能够直接访问互联网的分支机构将从服务提供商那里分配IPv6地址。您可以选择为分支机构/部门/远程办公室使用提供商的地址空间,也可以选择使用企业从RIR分配的全球IPv6地址空间。
在接入网上启用IPv6
在某些情况下,IPv6运行的比IPv4更快,并有利于最终用户体验。例如,IPv6连接不受网络地址转换(NAT)滞后的影响,比如TCP/UDP头校验和重新计算等。
今天,企业最终用户在使用他们的移动设备时不知不觉地占用了本地IPv6互联网资源,而像Facebook这样的内容提供商更喜歡IPv6。因此,企业IPv6部署的下一步是在接入网的第一跳路由器上启用IPv6。由于最终用户移动设备中有“快乐眼球”(RFC 6555)算法,其连接将选择性能最好的IP版本。
就局域网上的主机数量而言,您不必担心在局域网上是否有足够的IPv6地址空间进行分配。无论端节点的数量如何,您只需为每个接入网络分配一个/64位前缀即可。一旦这些路由器(3层接口)配置了IPv6地址,路由器将开始发送ICMPv6路由器通告(RA)消息。这些消息将通知接入网上的所有节点,IPv6现在已经激活,它们应设置自己的IPv6地址,并使用这个路由器来连接上游连接。您还可以利用现有的DHCP服务器在您的企业中提供DHCPv6服务,以帮助管理地址分配。
您也希望在无线和有线接入网上启用IPv6。当您使用802.11ac部署现代无线设备时,表明您已经拥有了支持企业级IPv6的现代WAP和无线控制器。
到纯IPv6的最后一步
此时,您将运行一个双协议环境。重要的是要记住,双协议并不是最终目的;纯IPv6才是最终目标。原因是企业更愿意在单一协议环境下工作。运营双协议环境会增加管理成本,因为很多任务要执行两次,一次是为了IPv4,另一次是为了IPv6。因此,运行纯IPv6环境的效率更高。到达这一阶段的时间越早,IPv4对您的限制就越少。
Scott Hogg是“全球技术资源”的首席技术官。
原文网址:
http://www.networkworld.com/article/3235805/lan-wan/ipv6-deployment-guide.html