一、概述
结合央企“互联网出口收敛”工作进展,同步推进IPv6深化部署工作。通过在互联网出口的IPv6部署,以实现面向互联网及社会公众同时提供IPv6及IPv6入境访问服务,以及企业内网用户、终端及应用基于IPv6协议面向互联网资源的出境访问服务;通过对企业内网全网、全栈IPv6部署,实现全网范围端-端的IPv6贯通,为企业各类系统和应用采用IPv6协议进行通信、数据交换和服务访问等提供支持,构成企业IPv6部署及应用的主体部分。建立以“IPv6单栈为主体、IPv4过渡为辅助”的IPv6网络基础设施和应用支撑体系,并以IPv6为平台持续推动IT基础设施技术创新、应用融合创新。
二、部署方案
在充分利用现有基础设施和应用体系资源基础上,拟采用“出口网络IPv6部署+新建IPv6网络服务区”的混合型、演进式部署策略,升级范围包括网络边界区、办公区,以及新建IPv6网络服务区部署明阳IPv4/IPv6协议交换平台、明阳DDI集成服务平台、明阳IPv6安全感知与主动防护平台、明阳IPv6网络及应用监测平台,整体提升企业互联网区IPv6深化部署程度,实现应用对外双栈服务能力,使用户终端具备IPv6访问能力、网络具备DDI集成管理能力、构建IPv6网络安全预警系统。
1.IPv4/IPv6过渡支撑体系
按国家IPv6规模部署相关政策要求,在IPv6全面部署的同时,采用协议翻译(Translation)技术,以IPv6流量承载IPv4服务,实现正在应用中且与IPv6不能直接兼容、或短期内难以升级的存量应用或系统,在IPv6环境下的兼容运行,合理利旧、保护投资。
对于企业互联网出口、企业内网IPv6深化部署,在网站和WEB应用的IPv4/IPv6协议交换服务基础上,通过在网络边界(边缘)部署相应的协议翻译服务,并与企业SD-WAN集成和分级部署,支持现有IPv4应用的过渡服务,有效提升IPv6流量占比,实现IPv6全网端到端覆盖和贯通。
2.IPv6网络DDI核心服务体系
IPv6网络核心服务体系即DNS、DHCP、IPAM整合支持体系,主要用于建立IPv6环境下的核心网络服务平台,实现全网智能化DNS服务、多级IP地址规划、自动分配和溯源管理服务。
对于企业互联网出口(及互联网出口收敛)、企业内网大规模、结构复杂 的IPv6新网络环境,通过在集团总部数据中心、各接入单位分级部署DDI平台是必要技术支撑,用以实现全网IPv6地址规划、分级分域IP地址管理与自动分配、实时监管和溯源审计,以及域名多级规范解析服务和IPAM全周期管理服务。
3.IPv6部署监测体系
面向大型集团企业跨区域、跨单位、多层级、长周期的IPv6部署和应用工程,采用“集中平台+分布探针”模式建立全面的IPv6部署监测考核体系,通过全网IPv6流量及各级应用系统IPv6支持情况、通信性能及质量的实时监测,针对国家IPv6有关考核的全面自检,跟踪整体IPv6部署、基础设施与应用体系升级的进展情况。
4.IPv6安全及运维体系
随着IPv6部署工作推进,需在企业现有安全体系基础上,因应IPv6环境、安全威胁变化,建立IPv6全网态势感知体系,实时分析网内异常流量、行为,实施基于策略的主动防御,应对0Day、APT等攻击;需要采用全局性运维支持工具,以实现全网资源监控和运维维护,提高IPv6网络运维自动化水平。
三、优点
该方案优势在于充分考虑网络的平滑演进性、技术先进性、网络安全性以及运维一体化和改造彻底化。通过该实施方案可全面满足国家IPv6单栈演进的最终部署要求,并充分发挥IPv6协议溯源、审计、精准定位及端端互联优势,有利于打通信息孤岛,促进企业生产经营等相关数据融通及共享。
全部0条评论
快来发表一下你的评论吧 !