IPv6地址规划及管理实践
纪德伟1㊀柏成勇2
(1.大庆油田信息技术公司,大庆163000;2.北京连星科技有限公司,北京100043)
摘要:通过对大型央企网络地址规划需求进行分析,结合IPv6地址结构特点,提出层次化㊁语义化的企业地址设计模型和实践方法;梳理了典型应用场景,围绕以IPv6地址为核心的企业数字资产管理,给出了从规划设计到分配㊁管理㊁追踪全链条能力的建议㊂
关键词:IPv6;地址规划;数字资产
1㊀引言
随着数字经济的快速发展,网络地址资源逐渐成
为制约发展的瓶颈问题,目前广泛应用的互联网协议
第四版(IPv4)在全球范围内面临地址资源耗尽㊁安全
创新能力不足㊁服务质量难以保证等短板㊂而互联网
协议第六版(IPv6)能够提供海量的网络地址空间,基
于IPv6+的下一代互联网技术也逐渐成为研究的热
点㊂IPv6技术已成为支撑未来工业互联网㊁物联网㊁云
计算㊁5G等发展的基础,是全球公认的下一代互联网
商业应用解决方案㊂
IPv6与IPv4相比,无论是地址结构㊁地址长度㊁地
址表达方式,还是地址类型㊁地址分配与管理技术等方
面都存在着较大差异[1];地址规划的原则与理念在IPv6时代也有着新的内涵与变化㊂以上也直接导致许
多企业在进行IPv6升级改造时,在第一步地址规划上
就踌躇不前,使得IPv6部署应用工作难以推进㊂亦或
秉守IPv4时代的地址规划思路,导致网络地址整体规
划作出错误判断与设计,对网络架构㊁未来业务扩充埋
下隐患㊂
2㊀大型央企IPv6地址规划原则
IP地址规划主要目的是提高企业网络资源利用
的方便性和管理的有效性㊂大型企业在地址规划的过斯柯达新明锐
程中,主要面临分支机构众多㊁业务类型相对比较复
杂,地址规划应充足考虑到多业务接入㊁层次化部署以及地址聚合等因素㊂同时,还需要考虑到地址预留,为未来扩容留下充足的空间㊂
2.1㊀企业信息资源类型
在进行IP地址规划前,首先要对企业网络资源进行梳理㊂企业网络地址分配的对象可以分为基础设施(路由器㊁交换机等网络设备,提供网络通信服务;由服务器㊁存储㊁云集管理等组成的计算环境,提供业务服务)和终端(用户终端设备㊁物联设备等,用来接入基础设施组成的网络获取或使用相应的业务)㊂针对不同的网络资源,需要进行对应的地址规划,主要分为两大类㊂
2.1.1㊀基础设施
(1)设备地址:三层设备Loopback地址和二层设备管理地址㊂
(2)管理地址:网络设备运维管理地址㊂
(3)Underlay互联地址:物理网络点对点链路或其他链路㊂
(4)Overlay互联地址:Overlay层链路地址,如VxLAN隧道自动下发时使用的地址资源池㊂(5)业务系统:服务器地址(如物理主机地址㊁虚拟机地址)㊁对外服务公网IP地址㊁存储设备地址㊂2.1.2㊀终端地址
(1)用户终端:用户桌面终端,主要是用户桌面系统,部署位置相对固定;用户移动终端,主要分为iOS㊁Android㊁Windows三大系统㊂
(2)物联终端:视频监控㊁打印机㊁工业控制系统㊁
智能制造IoT㊁智能仪表㊁传感器等㊂
2.2㊀数字资产治理与IPv6地址规划建议
从目前的技术发展趋势来看,网络地址实际上是企业核心信息资源的一种,是企业开展各项信息化活动的基础㊂针对网络地址的看法应该有所改变,应将IPv6地址资源纳归为企业数字资产,所以IPv6地址规划和对应的管理手段,实际上是企业数字资产治理㊂在规划之初就应将IPv6地址作为数字资产进行合理的分配与利用,同时也应尽量去除IPv4时代对网络地址资源规划的烙印㊂IPv6通过扩展地址长度到128位,有效解决了IPv4地址数量不足的问题㊂128位的地址表达长度带来了丰富的定制化空间[2],在
IPv6地址规划中企业更应注重地址语义化的表达,构建企业独有的网络地址语义化表达模型㊂
IPv4理论上只提供了最多43亿个主机地址,而IPv6可以提供3.4ˑ1038(340万亿兆)个主机地址,数量如此巨大,以至于大多数人都没有概念,这也直接导致了两种协议下地址规划思路的巨大差异㊂在IPv4时代,更多考虑如何节省地址空间,精确计算每一个IP 地址的用途;而在IPv6时代,应该更换思路,关注配置接口以及网段划分,关注网络化表达和网络整体,而不是网络内Host数量㊂另外,由于IPv6巨大的地址空间,对路由聚合等方面提出了更高的要求,企业需要进行合理的规划㊂基于以上分析,IPv6地址规划主要可以形成以下原则㊂
2.2.1㊀语义化
要求IPv6地址规划能够区分所在区域㊁用途等相关信息,则需要将区域㊁用途㊁业务等信息映射到IPv6地址中㊂[3]
大型企业如果在全国分布具备明显的省 市 县特性,可以按照行政区域进行初步划分;如果在区域信息方面不具备明显的省 市 县特性,呈现的全国性区域中心-分支机构的特征可能存在动态变化,如出现企业迁移㊁企业二级单位上联其他区域中心的情况,那么原则上可以以分支机构或业务系统进行映射,即集团公司 企业二级单位 企业三级单位㊁集团公司 业务系统 二级业务系统㊁区域中心 区域中心业务系统等划分方式㊂
为加强地址可读性和流量辨析能力,地址后续表达位应能够包含业务类型㊁用途等信息,可以在IPv6部署应用之后更好地辅助企业做好内部流量画像和安全管控㊂
2.2.2㊀可聚合
路由聚合是IPv6地址规划的核心要求,IPv6地址规划应做到尽量减少地址碎片,减小路由表,从而提高设备效率㊂
由于IPv6地址数量庞大,如规划不好可能导致路由表急剧膨胀,应避免不合理的分配导致出现难以聚
合的问题㊂
2.2.3㊀连续可扩展
IP地址的规划与划分应该考虑到网络的发展要求,兼顾近期的需求与远期的发展以及网络的扩展,应考虑到现有业务㊁新型业务以及各种特殊的业务要求,为未来扩容预留空间,少量子网的增加不需要大规模架构和安全策略调整㊂
2.2.4㊀可管控
需将IPv6地址规划为一定的层次结构,简洁直观㊁便于管理,同时满足对业务的地址溯源㊁终端准入㊁ACL规则㊁防火墙过滤等管理要求㊂
东莞汽车违章查询
2.3㊀地址核算模型
网络地址分配对象包括路由器㊁交换机㊁核心网等网络管理设备,也包括IDC㊁DNS和业务平台中的服务器等㊂网络设备的Loopback地址,可手工配置/128地址;一条链路上两个接口的互联地址,原则上可配置一个/124地址㊂如果确认不会串联安全设备可以配置/ 127位地址㊂企业各业务板块的IPv6地址一般集中在一个/48,一般一类业务配置一个/48㊂各应用系统地址一般为/64,企业可根据具体应用分配一个或两个/ 64,并考虑到未来发展的用户设备数㊂
3㊀IPv6地址技术能力
神州租车上市
IPv6地址是网络上每个虚拟或物理对象的唯一标识,IPv6地址范围定义了这些对象的自身网络㊂当前IPv6地址规划思路主要需要避免在原IPv4场景下规划一段用一段,网段随机分配㊁不成体系㊁管理混乱等问题,同时IPv6地址管理需求已不止于IP地址分配和跟踪㊂将IPv6地址资源作为企业数字资产,需要规范IPv6地址的规划㊁申请㊁备案㊁分配㊁使用㊁追踪㊁监测㊁回收等流程,建立企业全局域名解析体系㊂因此,需要构建企业数字资产治理平台,对网络中的IPv6地址
块㊁地址提供全生命周期管理能力,对网络中基础设施㊁终端㊁业务系统与IPv6地址建立域名映射关系,基于全面的数据收集,实时跟踪和管理在网络上运行的IPv6设备㊁终端等,生成企业数字资产全景地图,解决在IPv6规模部署场景下海量IPv6地址规划㊁管理㊁访问难题,提升企业整体运营效率㊂
3.1㊀IPv6地址管理流程
大理到丽江怎么走将IPv6地址资源作为企业数字资产,构建完整的IPv6地址规划㊁申请㊁备案㊁分配㊁回收流程,各流程相互关联,实现企业精细化地址管理的关联分析数据㊂集团公司统一实现IPv6地址规划㊁申请㊁备案㊁回收㊁分配的完整数据关联和流程,可以实时获取分支机构或二级单位在申请到IPv6地址前缀进行二次分配时相关数据,实现全局的数字资源管控㊂
3.2㊀IPv6地址规划及分配
3.2.1㊀IPv6地址规划
实现按区域㊁按业务类型等地址规划㊁规划更改㊁规划回收㊁授权申请㊁授权更改㊁授权回收等功能㊂集团公司在完成整体地址规划后,通过IPv6地址规划模板嵌入,各分支机构或二级单位可直接应用相关地址分配原则和方案㊂
3.2.2㊀IPv6地址分配
IPv6地址分配时,根据地址申请的业务类型,如设备管理地址㊁设备互联地址㊁业务地址㊁终端地址等,按照规划方案进行地址分配[4]㊂已规划地址段可以关联到地址分配的地址池,实现对应IPv6地址分发㊂同时,通过报表及可视化等技术手段,可实时查看IPv6地址整体规划㊁分配及使用情况㊂
3.3㊀IPv6地址追踪及监测
基于自动化的监测技术,自动获取全网设备㊁地址信息,并对分配的IPv6地址前缀及IPv6地址进行定时追踪,校验已分配的IPv6地址前缀是否在用㊁IPv6地址是否在线等㊂同时,关联地址规划流程,校验相关标识位的合理性,及时发现及改正不规范地址规划及使用㊂
3.4㊀IPv6地址回收及备案
3.4.1㊀IPv6地址回收
IPv6地址回收主要包括:对于已规划及分配的前缀,地址标识(如业务类型㊁区域位置等)保持不变,状态变更为未分配;对于已规划及分配的前缀,清空地址标识(如业务类型㊁区域位置等),状态变更为未规划两类㊂
3.4.2㊀IPv6地址备案
IPv6地址备案主要是将IPv6地址规划信息㊁授权信息㊁分配信息等同步到备案信息中㊂
3.5㊀IPv6域名解析
DNS服务是保障企业网络运营和内容发布最基础的核心化服务,在传统IPv4场景下,企业业务系统建设初期,由于规模㊁整体IT架构的理念等原因,企业内部存在大量基于IP部署及访问的业务系统,导致业务系统运行存在较多问题,如应用架构不灵活㊁业务访问不便捷㊁限制管理自动化㊁阻碍新技术的应用等㊂同样,在IPv6场景下,由于IPv6地址本身的复杂性,为端到端的连通及访问提出了更高的要求,因此DNS系统是IPv6业务系统访问的基石,DNS将来自任何设备㊁在任意地点的任意用户与最佳的应用资源连接的通道㊂
在企业内部构建基于IPv6的高可用DNS系统,一方面可以从组织架构㊁业务结构等层面实现全局的域名化改造,有效整合现网设备㊁终端㊁业务系统与IPv6地址映射关系,提升业务访问灵活性及扩展性;
另一方面,基于DNS可以有效实现业务优化与加速,统一整合动态和静态域名的解析,提供统一的DNS管理和业务可视化分析,提高业务的访问效率及交付能力㊂最后,基于DNS可以实现灵活的业务控制,从域名解析角度为多数据中心业务提供双活㊁主备业务切换等解决方案㊂
3.6㊀数字资产全景地图
数字资产治理平台基于全面的数据收集,实时跟踪和管理在网络上运行的IPv6设备㊁终端等,轻松管理网络中的数字资产和清单,提高运营效率㊂利用自身的专有数据库和可扩展属性,将各种数据与设备㊁网络和服务整合到一个清晰且易于管理的界面,生成企业数字资产全景地图,可以快速㊁轻松地识别资源和获取有关位置㊁所有者等信息㊂将信息与所有对象关联,通过将分散信息集成,实现全局数字资产治理的能力㊂4㊀IPv6地址规划及实践案例
4.1㊀IPv6地址规划案例
以21位IPv6地址空间举例,按照以上规划原则
为大型企业进行IPv 6地址规划㊂IPv 6地址中后64位一般为主机标识符或主机位;IPv 6地址中前64位为前缀,是企业IPv 6地址网络位㊂
如果大型企业申请的IPv 6地址为21位,前21位为固定前缀,需要规划的是22~64位㊂可将这43位前缀规划为体系架构㊁网络标识㊁二级单位等三级层次,具体如图1所示㊂4.1.1㊀体系标识
体系架构标识可以将大型企业表述为不同的板
块㊁公共网(广域网㊁海外㊁互联网出口㊁业务应用等),共5位,由集团公司统一规划与管理㊂4.1.2㊀网络标识
网上车管所选号
网络标识用于区分广域网㊁办公网㊁生产网㊁数据
中心㊁无线网络等,共4位,由集团公司规划㊂4.1.3㊀二级单位标识
用于区分集团下属二级单位,共10位㊂其中,给
每个二级单位分配4个前缀为/48的子网网络,1个为使用,其余3个为预留㊂4.1.4㊀二级单位规划
16位,二级单位自行规划,规划及使用情况可以
参照上述规划原则,充分考虑语义化表达及扩展等因素,同时规划方案需向集团公司报备㊂4.2㊀数字资产治理平台部署实践案例
数字资产治理平台采用分布式部署架构,整体包括数字资产治理总平台及数字资产治理分平台(见图2)㊂
在集团公司总部部署数字资产治理总平台,统一实现IPv 6地址规划㊁申请㊁备案㊁回收㊁分配的完整数据关联和流程,可以实时获取分支机构或二级单位在申请到IPv 6地址前缀进行二次分配时相关数据,实现全局的数字资源管控㊂
集团总部数字资产治理平台负责集团公司全局的地址规划,负责对各分支机构发起的IPv 6地址申请进行授权㊁分配及回收,负责集团总部基础设施㊁业务系
统㊁终端等进行地址分发㊁管理㊁追踪及监测,负责集团总部域名解析等功能,负责接入各分支机构数字资产治理分平台上报相关管理数据㊁业务数据,将各种数据与设备㊁网络和服务整合到一起生成集团全局数字资产全景地图㊂
在各分支机构部署数字资产治理分平台,与集团总平台进行联动,可以向集团总平台进行地址申请,可以根据申请到的地址前缀基于整体地址规划方案进行二次地址规划及分配,负责分支机构基础设施
㊁业务系统㊁终端等进行地址分发㊁管理㊁追踪及监测,负责分支机构域名解析,负责定时上报分支机构数字资产治理分平台相关管理数据㊁业务数据到集团公司总部㊂
5㊀IPv6地址管理要求
大型企业IPv 6地址分配建议遵循 统一规划,分批启用 的原则㊂企业集团可以根据各业务发展规划,前期以5年为周期对各企业IPv 6地址需求进行增量趋势预测及预规划㊂各二级企业在规划周期内根据网络建设和业务发展需求,向企业集团申请IPv 6地址,并完成企业内部的IPv 6地址使用规划,建议规划方案向集团报备㊂在5年规划周期内,原则上不再向各企业追加IPv 6地址规划,期间个别企业因业务发展导致地址需求超出预规划量,可向集团提出IPv 6地址申请,集团对申请进行审核㊁批复㊂5.1㊀地址申请、分配管理要求
大型企业建议制定本集团和二级企业的地址申请㊁分配流程㊂各企业在IPv 6地址利用率超过70%或剩余可用IPv 6地址无法满足网络扩容或业务发展需求时,可向企业集团提出地址申请,每次申请的IPv 6地址数量应保证其5年的使用增量㊂
企业也应建立技术化手段,采用数字产治理的理念,建设IPv 6地址动态监控㊁实时分析㊁综合管理的技术平台,作为企业网络地址管理的有效技术手段
图1㊀IPv6地址规划案例
图2㊀数字资产治理平台采用分布式部署架构
5.2㊀地址使用、报备工作建议
建议企业建立集团和二级企业的地址规划㊁分配和使用规定㊂同时,为有效控制网间及互联网路由发布,避免无穿透服务需求的设备㊁业务㊁用户地址路由发布至互联网,建议将有穿透需求的设备㊁业务㊁用户的IPv6地址以 /64 为最小汇聚单位进行独立规划[5]㊂
企业也应通过技术手段收集网络地址分配㊁使用率和路由发布情况,了解掌握IPv6地址在企业区域中心或对应广域网络节点的归属㊁业务㊁应用㊁穿透性等属性㊂6㊀结束语
2017年11月26日,中共中央办公厅㊁国务院办公厅联合印发了‘推进互联网协议第六版(IPv6)规模部署行动计划“,推进IPv6规模部署是互联网技术产业生态的一次全面升级,深刻影响着网络信息技术㊁产业㊁应用的创新和变革㊂IPv6规模部署是一个复杂的系统工程,在IPv6规模部署的一个关键痛点在于
耐诺思
海量稀疏模式的IPv6地址规划㊁分配㊁管理㊁访问难题㊂本文围绕以IPv6地址为核心的企业数字资产管理,从流程化㊁可视化㊁规划化的角度,给出了大型央企IPv6地