IPv6地址规划及管理实践.docx
- 文档编号:13347597
- 上传时间:2023-06-13
- 格式:DOCX
- 页数:9
- 大小:188.08KB
IPv6地址规划及管理实践.docx
《IPv6地址规划及管理实践.docx》由会员分享,可在线阅读,更多相关《IPv6地址规划及管理实践.docx(9页珍藏版)》请在冰点文库上搜索。
IPv6地址规划及管理实践
IPv6地址规划及管理实践
摘要:
通过对大型央企网络地址规划需求进行分析,结合IPv6地址结构特点,提出层次化、语义化的企业地址设计模型和实践方法;梳理了典型应用场景,围绕以IPv6地址为核心的企业数字资产管理,给出了从规划设计到分配、管理、追踪全链条能力的建议。
关键词:
IPv6;地址规划;数字资产
1 引言
随着数字经济的快速发展,网络地址资源逐渐成为制约发展的瓶颈问题,目前广泛应用的互联网协议第四版(IPv4)在全球范围内面临地址资源耗尽、安全创新能力不足、服务质量难以保证等短板。
而互联网协议第六版(IPv6)能够提供海量的网络地址空间,基于IPv6+的下一代互联网技术也逐渐成为研究的热点。
IPv6技术已成为支撑未来工业互联网、物联网、云计算、5G等发展的基础,是全球公认的下一代互联网商业应用解决方案。
IPv6与IPv4相比,无论是地址结构、地址长度、地址表达方式,还是地址类型、地址分配与管理技术等方面都存在着较大差异[1];地址规划的原则与理念在IPv6时代也有着新的内涵与变化。
以上也直接导致许多企业在进行IPv6升级改造时,在第一步地址规划上就踌躇不前,使得IPv6部署应用工作难以推进。
亦或秉守IPv4时代的地址规划思路,导致网络地址整体规划作出错误判断与设计,对网络架构、未来业务扩充埋下隐患。
2 大型央企IPv6地址规划原则
IP地址规划主要目的是提高企业网络资源利用的方便性和管理的有效性。
大型企业在地址规划的过程中,主要面临分支机构众多、业务类型相对比较复杂,地址规划应充足考虑到多业务接入、层次化部署以及地址聚合等因素。
同时,还需要考虑到地址预留,为未来扩容留下充足的空间。
2.1 企业信息资源类型
在进行IP地址规划前,首先要对企业网络资源进行梳理。
企业网络地址分配的对象可以分为基础设施(路由器、交换机等网络设备,提供网络通信服务;由服务器、存储、云集群管理等组成的计算环境,提供业务服务)和终端(用户终端设备、物联设备等,用来接入基础设施组成的网络获取或使用相应的业务)。
针对不同的网络资源,需要进行对应的地址规划,主要分为两大类。
2.1.1 基础设施
(1)设备地址:
三层设备Loopback地址和二层设备管理地址。
(2)管理地址:
网络设备运维管理地址。
(3)Underlay互联地址:
物理网络点对点链路或其他链路。
(4)Overlay互联地址:
Overlay层链路地址,如VxLAN隧道自动下发时使用的地址资源池。
(5)业务系统:
服务器地址(如物理主机地址、虚拟机地址)、对外服务公网IP地址、存储设备地址。
2.1.2 终端地址
(1)用户终端:
用户桌面终端,主要是用户桌面系统,部署位置相对固定;用户移动终端,主要分为iOS、Android、Windows三大系统。
(2)物联终端:
视频监控、打印机、工业控制系统、智能制造IoT、智能仪表、传感器等。
2.2 数字资产治理与IPv6地址规划建议
从目前的技术发展趋势来看,网络地址实际上是企业核心信息资源的一种,是企业开展各项信息化活动的基础。
针对网络地址的看法应该有所改变,应将IPv6地址资源纳归为企业数字资产,所以IPv6地址规划和对应的管理手段,实际上是企业数字资产治理。
在规划之初就应将IPv6地址作为数字资产进行合理的分配与利用,同时也应尽量去除IPv4时代对网络地址资源规划的烙印。
IPv6通过扩展地址长度到128位,有效解决了IPv4地址数量不足的问题。
128位的地址表达长度带来了丰富的定制化空间[2],在IPv6地址规划中企业更应注重地址语义化的表达,构建企业独有的网络地址语义化表达模型。
IPv4理论上只提供了最多43亿个主机地址,而IPv6可以提供3.4×10^38(340万亿兆)个主机地址,数量如此巨大,以至于大多数人都没有概念,这也直接导致了两种协议下地址规划思路的巨大差异。
在IPv4时代,更多考虑如何节省地址空间,精确计算每一个IP地址的用途;而在IPv6时代,应该更换思路,关注配置接口以及网段划分,关注网络化表达和网络整体,而不是网络内Host数量。
另外,由于IPv6巨大的地址空间,对路由聚合等方面提出了更高的要求,企业需要进行合理的规划。
基于以上分析,IPv6地址规划主要可以形成以下原则。
2.2.1 语义化
要求IPv6地址规划能够区分所在区域、用途等相关信息,则需要将区域、用途、业务等信息映射到IPv6地址中[3]。
大型企业如果在全国分布具备明显的省—市—县特性,可以按照行政区域进行初步划分;如果在区域信息方面不具备明显的省—市—县特性,呈现的全国性区域中心-分支机构的特征可能存在动态变化,如出现企业迁移、企业二级单位上联其他区域中心的情况,那么原则上可以以分支机构或业务系统进行映射,即集团公司—企业二级单位—企业三级单位、集团公司—业务系统—二级业务系统、区域中心—区域中心业务系统等划分方式。
为加强地址可读性和流量辨析能力,地址后续表达位应能够包含业务类型、用途等信息,可以在IPv6部署应用之后更好地辅助企业做好内部流量画像和安全管控。
2.2.2 可聚合
路由聚合是IPv6地址规划的核心要求,IPv6地址规划应做到尽量减少地址碎片,减小路由表,从而提高设备效率。
由于IPv6地址数量庞大,如规划不好可能导致路由表急剧膨胀,应避免不合理的分配导致出现难以聚合的问题。
2.2.3 连续可扩展
IP地址的规划与划分应该考虑到网络的发展要求,兼顾近期的需求与远期的发展以及网络的扩展,应考虑到现有业务、新型业务以及各种特殊的业务要求,为未来扩容预留空间,少量子网的增加不需要大规模架构和安全策略调整。
2.2.4 可管控
需将IPv6地址规划为一定的层次结构,简洁直观、便于管理,同时满足对业务的地址溯源、终端准入、ACL规则、防火墙过滤等管理要求。
2.3 地址核算模型
网络地址分配对象包括路由器、交换机、核心网等网络管理设备,也包括IDC、DNS和业务平台中的服务器等。
网络设备的Loopback地址,可手工配置/128地址;一条链路上两个接口的互联地址,原则上可配置一个/124地址。
如果确认不会串联安全设备可以配置/127位地址。
企业各业务板块的IPv6地址一般集中在一个/48,一般一类业务配置一个/48。
各应用系统地址一般为/64,企业可根据具体应用分配一个或两个/64,并考虑到未来发展的用户设备数。
3 IPv6地址技术能力
IPv6地址是网络上每个虚拟或物理对象的唯一标识,IPv6地址范围定义了这些对象的自身网络。
当前IPv6地址规划思路主要需要避免在原IPv4场景下规划一段用一段,网段随机分配、不成体系、管理混乱等问题,同时IPv6地址管理需求已不止于IP地址分配和跟踪。
将IPv6地址资源作为企业数字资产,需要规范IPv6地址的规划、申请、备案、分配、使用、追踪、监测、回收等流程,建立企业全局域名解析体系。
因此,需要构建企业数字资产治理平台,对网络中的IPv6地址。
块、地址提供全生命周期管理能力,对网络中基础设施、终端、业务系统与IPv6地址建立域名映射关系,基于全面的数据收集,实时跟踪和管理在网络上运行的IPv6设备、终端等,生成企业数字资产全景地图,解决在IPv6规模部署场景下海量IPv6地址规划、管理、访问难题,提升企业整体运营效率。
3.1 IPv6地址管理流程
将IPv6地址资源作为企业数字资产,构建完整的IPv6地址规划、申请、备案、分配、回收流程,各流程相互关联,实现企业精细化地址管理的关联分析数据。
集团公司统一实现IPv6地址规划、申请、备案、回收、分配的完整数据关联和流程,可以实时获取分支机构或二级单位在申请到IPv6地址前缀进行二次分配时相关数据,实现全局的数字资源管控。
3.2 IPv6地址规划及分配
3.2.1 IPv6地址规划
实现按区域、按业务类型等地址规划、规划更改、规划回收、授权申请、授权更改、授权回收等功能。
集团公司在完成整体地址规划后,通过IPv6地址规划模板嵌入,各分支机构或二级单位可直接应用相关地址分配原则和方案。
3.2.2 IPv6地址分配 IPv6地址分配时,根据地址申请的业务类型,如设备管理地址、设备互联地址、业务地址、终端地址等,按照规划方案进行地址分配[4]。
已规划地址段可以关联到地址分配的地址池,实现对应IPv6地址分发。
同时,通过报表及可视化等技术手段,可实时查看IPv6地址整体规划、分配及使用情况。
3.3 IPv6地址追踪及监测 基于自动化的监测技术,自动获取全网设备、地址信息,并对分配的IPv6地址前缀及IPv6地址进行定时追踪,校验已分配的IPv6地址前缀是否在用、IPv6地址是否在线等。
同时,关联地址规划流程,校验相关标识位的合理性,及时发现及改正不规范地址规划及使用。
3.4 IPv6地址回收及备案3.4.1 IPv6地址回收 IPv6地址回收主要包括:
对于已规划及分配的前缀,地址标识(如业务类型、区域位置等)保持不变,状态变更为未分配;对于已规划及分配的前缀,清空地址标识(如业务类型、区域位置等),状态变更为未规划两类。
3.4.2 IPv6地址备案 IPv6地址备案主要是将IPv6地址规划信息、授权信息、分配信息等同步到备案信息中。
3.5 IPv6域名解析 DNS服务是保障企业网络运营和内容发布最基础的核心化服务,在传统IPv4场景下,企业业务系统建设初期,由于规模、整体IT架构的理念等原因,企业内部存在大量基于IP部署及访问的业务系统,导致业务系统运行存在较多问题,如应用架构不灵活、业务访问不便捷、限制管理自动化、阻碍新技术的应用等。
同样,在IPv6场景下,由于IPv6地址本身的复杂性,为端到端的连通及访问提出了更高的要求,因此DNS系统是IPv6业务系统访问的基石,DNS将来自任何设备、在任意地点的任意用户与最佳的应用资源连接的通道。
在企业内部构建基于IPv6的高可用DNS系统,一方面可以从组织架构、业务结构等层面实现全局的域名化改造,有效整合现网设备、终端、业务系统与IPv6地址映射关系,提升业务访问灵活性及扩展性;另一方面,基于DNS可以有效实现业务优化与加速,统一整合动态和静态域名的解析,提供统一的DNS管理和业务可视化分析,提高业务的访问效率及交付能力。
最后,基于DNS可以实现灵活的业务控制,从域名解析角度为多数据中心业务提供双活、主备业务切换等解决方案。
3.6 数字资产全景地图 数字资产治理平台基于全面的数据收集,实时跟踪和管理在网络上运行的IPv6设备、终端等,轻松管理网络中的数字资产和清单,提高运营效率。
利用自身的专有数据库和可扩展属性,将各种数据与设备、网络和服务整合到一个清晰且易于管理的界面,生成企业数字资产全景地图,可以快速、轻松地识别资源和获取有关位置、所有者等信息。
将信息与所有对象关联,通过将分散信息集成,实现全局数字资产治理的能力。
4 IPv6地址规划及实践案例
4.1 IPv6地址规划案例 以21位IPv6地址空间举例,按照以上规划原则为大型企业进行IPv6地址规划。
IPv6地址中后64位一般为主机标识符或主机位;IPv6地址中前64位为前缀,是企业IPv6地址网络位。
如果大型企业申请的IPv6地址为21位,前21位为固定前缀,需要规划的是22~64位。
可将这43位前缀规划为体系架构、网络标识、二级单位等三级层次,具体如图1所示。
图1 IPv6地址规划案例
4.1.1 体系标识 体系架构标识可以将大型企业表述为不同的板块、公共网(广域网、海外、互联网出口、业务应用等),共5位,由集团公司统一规划与管理。
4.1.2 网络标识 网络标识用于区分广域网、办公网、生产网、数据中心、无线网络等,共4位,由集团公司规划。
4.1.3 二级单位标识 用于区分集团下属二级单位,共10位。
其中,给每个二级单位分配4个前缀为/48的子网网络,1个为使用,其余3个为预留。
4.1.4 二级单位规划 16位,二级单位自行规划,规划及使用情况可以参照上述规划原则,充分考虑语义化表达及扩展等因素,同时规划方案需向集团公司报备。
4.2 数字资产治理平台部署实践案例 数字资产治理平台采用分布式部署架构,整体包括数字资产治理总平台及数字资产治理分平台(见图2)。
图2 数字资产治理平台采用分布式部署架构
在集团公司总部部署数字资产治理总平台,统一实现IPv6地址规划、申请、备案、回收、分配的完整数据关联和流程,可以实时获取分支机构或二级单位在申请到IPv6地址前缀进行二次分配时相关数据,实现全局的数字资源管控。
集团总部数字资产治理平台负责集团公司全局的地址规划,负责对各分支机构发起的IPv6地址申请进行授权、分配及回收,负责集团总部基础设施、业务系统、终端等进行地址分发、管理、追踪及监测,负责集团总部域名解析等功能,负责接入各分支机构数字资产治理分平台上报相关管理数据、业务数据,将各种数据与设备、网络和服务整合到一起生成集团全局数字资产全景地图。
在各分支机构部署数字资产治理分平台,与集团总平台进行联动,可以向集团总平台进行地址申请,可以根据申请到的地址前缀基于整体地址规划方案进行二次地址规划及分配,负责分支机构基础设施、业务系统、终端等进行地址分发、管理、追踪及监测,负责分支机构域名解析,负责定时上报分支机构数字资产治理分平台相关管理数据、业务数据到集团公司总部。
5 IPv6地址管理要求 大型企业IPv6地址分配建议遵循“统一规划,分批启用”的原则。
企业集团可以根据各业务发展规划,前期以5年为周期对各企业IPv6地址需求进行增量趋势预测及预规划。
各二级企业在规划周期内根据网络建设和业务发展需求,向企业集团申请IPv6地址,并完成企业内部的IPv6地址使用规划,建议规划方案向集团报备。
在5年规划周期内,原则上不再向各企业追加IPv6地址规划,期间个别企业因业务发展导致地址需求超出预规划量,可向集团提出IPv6地址申请,集团对申请进行审核、批复。
5.1 地址申请、分配管理要求 大型企业建议制定本集团和二级企业的地址申请、分配流程。
各企业在IPv6地址利用率超过70%或剩余可用IPv6地址无法满足网络扩容或业务发展需求时,可向企业集团提出地址申请,每次申请的IPv6地址数量应保证其5年的使用增量。
企业也应建立技术化手段,采用数字产治理的理念,建设IPv6地址动态监控、实时分析、综合管理的技术平台,作为企业网络地址管理的有效技术手段。
5.2 地址使用、报备工作建议 建议企业建立集团和二级企业的地址规划、分配和使用规定。
同时,为有效控制网间及互联网路由发布,避免无穿透服务需求的设备、业务、用户地址路由发布至互联网,建议将有穿透需求的设备、业务、用户的IPv6地址以“/64”为最小汇聚单位进行独立规划[5]。
企业也应通过技术手段收集网络地址分配、使用率和路由发布情况,了解掌握IPv6地址在企业区域中心或对应广域网络节点的归属、业务、应用、穿透性等属性。
6 结束语 2017年11月26日,中共中央办公厅、国务院办公厅联合印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,推进IPv6规模部署是互联网技术产业生态的一次全面升级,深刻影响着网络信息技术、产业、应用的创新和变革。
IPv6规模部署是一个复杂的系统工程,在IPv6规模部署的一个关键痛点在于海量稀疏模式的IPv6地址规划、分配、管理、访问难题。
本文围绕以IPv6地址为核心的企业数字资产管理,从流程化、可视化、规划化的角度,给出了大型央企IPv6地址从规划设计到分配、管理、追踪、回收的全生命周期管理最佳实践,帮助企业实现平滑的IPv6演进升级,提升企业整体运营效率。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPv6 地址 规划 管理 实践
![提示](https://static.bingdoc.com/images/bang_tan.gif)