随着数字经济的快速发展,网络地址资源逐渐成为制约发展的瓶颈问题,目前广泛应用的互联网协议第四版(IPv4)在全球范围内面临地址资源耗尽、安全创新能力不足、服务质量难以保证等短板。而互联网协议第六版(IPv6)能够提供海量的网络地址空间,基于IPv6 的下一代互联网技术也逐渐成为研究的热点。IPv6技术已成为支撑未来工业互联网、物联网、云计算、5G等发展的基础,是全球公认的下一代互联网商业应用解决方案。
IPv6 与IPv4相比,无论是地址结构、地址长度、地址表达方式,还是地址类型、地址分配与管理技术等方面都存在着较大差异[1];地址规划的原则与理念在IPv6时代也有着新的内涵与变化。以上也直接导致许多企业在进行IPv6升级改造时,在第一步地址规划上就踌躇不前,使得IPv6部署应用工作难以推进。亦或秉守IPv4时代的地址规划思路,导致网络地址整体规划作出错误判断与设计,对网络架构、未来业务扩充埋下隐患。
IPv6地址规划原则IP地址规划主要目的是提高企业网络资源利用的方便性和管理的有效性。大型企业在地址规划的过程中,主要面临分支机构众多、业务类型相对比较复杂,地址规划应充足考虑到多业务接入、层次化部署以及地址聚合等因素。同时,还需要考虑到地址预留,为未来扩容留下充足的空间。
1 企业信息资源类型
在进行IP地址规划前,首先要对企业网络资源进行梳理。企业网络地址分配的对象可以分为基础设施(路由器、交换机等网络设备,提供网络通信服务;由服务器、存储、云集群管理等组成的计算环境,提供业务服务)和终端(用户终端设备、物联设备等,用来接入基础设施组成的网络获取或使用相应的业务)。针对不同的网络资源,需要进行对应的地址规划,主要分为两大类。
1. 1 基础设施
- (1) 设备地址:三层设备Loopback地址和二层设备管理地址。
- (2) 管理地址:网络设备运维管理地址。
- (3) Underlay互联地址:物理网络点对点链路或其他链路。
- (4) Overlay互联地址:Overlay层链路地址,如VxLAN隧道自动下发时使用的地址资源池。
- (5)业务系统:服务器地址(如物理主机地址、虚拟机地址)、对外服务公网IP地址、存储设备地址。
1. 2 终端地址
(1) 用户终端:用户桌面终端,主要是用户桌面系统,部署位置相对固定;用户移动终端,主要分为iOS、Android、Windows三大系统。
(2) 物联终端:视频监控、打印机、工业控制系统、智能制造IoT、智能仪表、传感器等。
2 数字资产治理与IPv6地址规划建议
IPv4理论上只提供了最多43亿个主机地址,而IPv6可以提供3.4×10^38(340 万亿兆)个主机地址,数量如此巨大,以至于大多数人都没有概念,这也直接导致了两种协议下地址规划思路的巨大差异。在IPv4时代,更多考虑如何节省地址空间,精确计算每一个IP地址的用途;而在IPv6时代,应该更换思路,关注配置接口以及网段划分,关注网络化表达和网络整体,而不是网络内Host数量。另外,由于IPv6巨大的地址空间,对路由聚合等方面提出了更高的要求,企业需要进行合理的规划。基于以上分析,IPv6地址规划主要可以形成以下原则。
2. 1 语义化
要求IPv6地址规划能够区分所在区域、用途等相关信息,则需要将区域、用途、业务等信息映射到IPv6地址中[3]。
大型企业如果在全国分布具备明显的省—市—县特性,可以按照行政区域进行初步划分;如果在区域信息方面不具备明显的省—市—县特性,呈现的全国性区域中心-分支机构的特征可能存在动态变化,如出现企业迁移、企业二级单位上联其他区域中心的情况,那么原则上可以以分支机构或业务系统进行映射,即集团公司—企业二级单位—企业三级单位、集团公司—业务系统—二级业务系统、区域中心—区域中心业务系统等划分方式。
为加强地址可读性和流量辨析能力,地址后续表达位应能够包含业务类型、用途等信息,可以在IPv6部署应用之后更好地辅助企业做好内部流量画像和安全管控。
2. 2 可聚合
路由聚合是IPv6地址规划的核心要求,IPv6地址规划应做到尽量减少地址碎片,减小路由表,从而提高设备效率。由于IPv6地址数量庞大,如规划不好可能导致路由表急剧膨胀,应避免不合理的分配导致出现难以聚合的问题。
2. 3 连续可扩展
IP地址的规划与划分应该考虑到网络的发展要求,兼顾近期的需求与远期的发展以及网络的扩展,应考虑到现有业务、新型业务以及各种特殊的业务要求,为未来扩容预留空间,少量子网的增加不需要大规模架构和安全策略调整。
2. 4 可管控
需将IPv6地址规划为一定的层次结构,简洁直观、便于管理,同时满足对业务的地址溯源、终端准入、ACL规则、防火墙过滤等管理要求。
3 地址核算模型
网络地址分配对象包括路由器、交换机、核心网等网络管理设备,也包括IDC、DNS和业务平台中的服务器等。网络设备的Loopback地址,可手工配置/ 128地址;一条链路上两个接口的互联地址,原则上可配置一个/ 124地址。如果确认不会串联安全设备可以配置/127位地址。企业各业务板块的IPv6地址一般集中在一个/ 48,一般一类业务配置一个/ 48。各应用系统地址一般为/ 64,企业可根据具体应用分配一个或两个/64,并考虑到未来发展的用户设备数。
IPv6地址规划及实践案例以21位IPv6地址空间举例,按照以上规划原则为大型企业进行IPv6地址规划。IPv6地址中后64位一般为主机标识符或主机位;IPv6地址中前64位为前缀,是企业IPv6地址网络位。
如果大型企业申请的IPv6地址为21位,前21位为固定前缀,需要规划的是22~64位。可将这43位前缀规划为体系架构、网络标识、二级单位等三级层次,具体如图1所示。
图1 IPv6地址规划案例
1 体系标识
体系架构标识可以将大型企业表述为不同的板块、公共网(广域网、海外、互联网出口、业务应用等),共5位,由集团公司统一规划与管理。
2 网络标识
网络标识用于区分广域网、办公网、生产网、数据中心、无线网络等,共4位,由集团公司规划。
3 二级单位标识
用于区分集团下属二级单位,共10位。其中,给每个二级单位分配4个前缀为/48的子网网络,1个为使用,其余3个为预留。
4 二级单位规划
16位,二级单位自行规划,规划及使用情况可以参照上述规划原则,充分考虑语义化表达及扩展等因素,同时规划方案需向集团公司报备。