月度归档: 2021 年 11 月

网工 论IPV6在企业网络中的应用(笔试)

https://www.gov.cn/zhengce/zhengceku/2021-07/23/content_5626963.htm

https://www.gov.cn/lianbo/bumen/202404/content_6946375.htm

网络技术的迅猛发展,传统IPV4网络面临越来越多的瓶颈和风险,为解决IPV4在网络地址空间枯竭、原生安全性支持不足等问题,国家大力推广IPV6部署。IPV6拥有更大的地址空间,更好的安全性,基于IPV6的协议的网络能够弥补IPV4网络协议设计上的不足。我作为某企业数据中心的负责人,负责数据中心网络的建设与运维工作。对本次数据中心网络IPV6部署和升级进行充分的调研和技术评估。采用了IPV4和IPV6双栈建设模式,实现IPV4和IPV6共存和平衡过渡。升级后的IPV4和IPV6网络满足了用户同时使用双协议访问业务系统的需求,对提升业务的便捷度和品牌影响力发挥了重要作用。本文从IPV6升级建设背景出发,简要分析IPV6的技术特点和主要对比,详细介绍数据中心的网络架构,同时对IPV在升级过程遇到的问题进行讨论,为企业IPV6网络的建设提供可供参考的经验和依据。

伴随5G、云计算、物联网、工业互联网的迅猛发展,网络规模日益扩大,网络技术层出不穷。IPV4在网络普及和运用的过程中上发挥了巨大的作用,但同时也面临地址空间枯竭,私有地址交流效率低、设备路由表表项过大、远程访问(vpn)无法保证业务质量、安全溯源困难等缺点 。IPV4地址转换技术虽然延缓了IPV4地址分配消耗问题,但也增加了网络管理的成本和复杂度,影响了业务的性能。为解决IPV4协议地址空间枯竭和协议安全性支持不足等问题、IPV6技术自20世纪90年代开始提出,并不断完善。由于IPV4的快速普及,IPV6的推广迟迟没有进展。近年来互联网地址枯竭加剧、物联网应用的发展需要,迫切需要IPV6协议的普及。当前三大运营商中国电信、中国移动、中国联通已经完成了IPV6骨干网络的升级改造,为用户和服务端进行Ipv6改造提供了保障。为不断提升信息化治理水平,依托信息化提升企业管理水平,公司决定对企业数据中心进行IPV6升级改造,主要目标有:实现数据中心网络支持IPV6协议、关键对外业务系统支持IPV6的访问,探索建立IPV6环境下的安全防护方案。我作为数据中心网络负责人,全面参与此次IPV6网络规划与建设。

一、IPV6的改进

作为网络层协议的典型代表IPV4和IPV6都是属于OSI参考模型中的网络层,两者在地址空间、包结构、网络质量QOS、安全性、移动性支持都有很大区别。IPV6结构更加简洁,协议传输效率更高;IPV6取消了包头长度IHL、标志符、分段偏移等字段,只增加了流标签域。设备处理效率和传输速率更快。IPv6中网络层天然支持IPSEC的认证和加密,使用网络安全性得到质的提升;新增了流标签字段提供QOS保证。巨大的地址空间使得IPv6可以方便的进行层次化网络部署,层次化的网络结构可以方便的进行路由聚合,提高了路由转发效率。IPV6地址空间对扩大5G通信和物联网等新技术提供了广阔的空间。

二、IPV6的过渡

当前,IPV6网络还未完全普及、IPV4网络和IPV6网络共存主导当前IPV6升级与建设,需要充分考虑业务的兼容性。IPV4和IPV6过渡阶段主要使用三种建设模式与技术,需要结合实际情况采用;1、双栈协议。顾名思义就是在网络设备中同时部署IPV4和IPV6协议,兼容性好,一般主流厂商设备已经同时支持IPV4和IPV6协议,可能存在较少网络设置的更换,整体实施成本可控。2、地址翻译技术。对于不能兼容IPV6协议的老业务系统,需要通过IPV6与IPV4地址转换技术,实现IPV6终端系统访问IPV4业务系统。IPV6与IPV4协议互相转换配置相对复杂,且后期运维和业务扩展比较繁琐。需要评估建设和运维总体成本,来确定是否采用地址转换技术。3、隧道技术。隧道技术是通过在在IPV4与IPV6之间建立逻辑隧道的方式,让两种网络可以相互穿越访问,一般用于异构网络的互联互访。考虑不同用户网络环境的互访,经过评估本次数据中心的IPV6升级采用双栈协议部署。

三、数据中心网络架构设计

我负责的数据中心网络包括网络、存储、服务器、安全设备等近百台。数据中心内部署10多套大型业务系统对外提供服务,业务峰值流量达到10Gbps,平均业务流量达到1~2Gbps,日均访问量达到百万次。同时数据中心还承载公司内部办公业务系统供全国各分支基地的使用。此次IPV6升级改造涉及设备多、业务系统复杂、影响范围广、需要各单位密切配合、联合实施,保证升级过程中业务的平滑过渡,将影响降到最低。整个数据中心分为出口防护区、对外服务区、内部服务区、运维管理区、核心汇聚区等主要区域。出口防护区连接电信、移动、联通运营商线路。实现实现多运营商负载均衡和DDos防护、访问控制等安全保护。该区域主要部署有华为抗AntiDDos1905 用于流量清洗。华为s5702接入交换机2台采用双机虚拟化,接入三家运营商线路;xx型号防火墙2台、采用主备模式,实现访问控制;xx型号智能负载均衡设备用于配置智能DNS,实现三家运营商的动态负载和智能解析。

四、IPV6问题与改进

五、总结