IPv6网络演进方案之数据中心网络架构详细方案【IPv6连载03】

IPv6网络演进一般性原则

企业网络向IPv6演进的目的是要在现有网络架构上构建IPv6能力，同时兼顾解决当前网络业务发展的问题。从企业业务层面出发，IPv6改造的基本要求是“在网络演进升级过程中，必须保障原IPv4业务的可持续性服务以及演进后的网络安全等级不弱于原IPv4网络”。

企业业务大致可划分为互联网业务、DMZ对外公众服务业务以及企业自建业务系统，其中互联网业务和对外公众服务业务依赖外部网络应用和用户环境，需要IPv4和IPv6用户访问长期共存，企业网络的IPv6改造必须考虑该因素。

从改造成本、技术先行性以及改造影响范围维度考量，建议企业IPv6改造总体应遵循如下原则：

• 平滑演进：IPv6网络升级改造是基础协议的变更，网络演进过程应尽量确保现有用户无感知，现有业务迁移平滑。
• 面向未来：把握IPv6演进升级机会，构建先进的下一代企业IPv6网络系统架构，以充分支撑企业业务系统的长期发展以及稳定运行，避免网络再造、重复投资。
• 经济可行：应结合当前企业网络系统情况，从全局角度出发选择合适的IPv6升级演进方案，合理利旧，避免资产浪费。
• 架构调优：企业网络IPv6演进是企业系统管理架构整体刷新或者重构的机会，如企业地址的强管控、DNS资源的统筹管理等。

企业网络逻辑架构全景图

数据中心网络：

• 按照业务服务范围，企业数据中心一般可划分为对外公众服务和企业内部应用。
• 对外公众服务的前置服务器一般部署在数据中心的DMZ区，通过互联网出口区连接外部用户。
• 内部应用主要涉及数据中心内部服务网络（如广域网出口区、业务区网络）。
• 从业务改造角度可将数据中心划分为内部应用、DMZ区（对外公众服务）、互联网出口以及DC内部服务网络，以此进行IPv6演进升级的迁移规划。

广域网络：

• 企业各地分支互联存在多种回传方案，如企业自建广域网、运营商MPLS L2/L3 V**、Internet等方式。
• 企业广域网络IPv6演进主要考虑广域专网的升级策略。

园区网络：

• 办公园区可以大致划分为总部园区、分支园区两种类型，两类园区除了组网规模存在区别外，分支园区广域网络回传接入也可能存在多种方式，如企业自建广域网、运营商专线等，在IPv6演进升级设计时也需要针对性设计。
• 生产园区主要部署了大量的生产终端和生产系统，生产业务流大部分在本园区内闭环。生产园区的生产系统和现网生产终端生命周期长，必然在较长时间内网络需要同时满足IPv4/IPv6双栈业务的运行，以及需要考虑IPv4和IPv6的互通问题。

IPv6网络整体迁移过程

企业IPv6网络演进整体迁移可分为三个阶段：

• 第一阶段：优先管道升级和互联网出口升级，包括：对外公众服务DMZ区升级、广域网升级、构建IPv6试验田等。
• 第二阶段：内部网络全面升级，业务访问优选IPv6，包括：数据中心升级、办公园区网络改造、生产园区网络升级等。
• 第三阶段：内部应用访问切换IPv6通道，对外互联网访问按需保留IPv4能力。

简单来说IPv6网络整体迁移原则是：数据中心先行，其次广域网络，园区按需改造。

• 第一阶段：数据中心公共服务和测试区双栈；广域网Underlay IPv4单栈，Overlay双栈；园区网试点园区双栈。
• 第二阶段：数据中心内部应用逐步双栈；园区网办公园区逐步双栈，生产园区双栈。
• 第三阶段：数据中心内部应用全面IPv6单栈；广域网IPv6 Only。

IPv6网络演进技术方案

数据中心网络：

• 互联网接入区的改造方案包括：NAT64，IVI和双栈改造。推荐采用双栈方案，直接提供IPv6地址和业务能力。
• NAT64受限于会话表规格，资源消耗大，随着IPv6终端增加，NAT64会成为IPv6业务发展性能瓶颈。因此NAT64只适用于初期快速开通IPv6对外服务，不推荐作为目标方案。
• IVI的IPv6地址结构受限，不满足IPv6地址规划原则，不适于大规模部署，不推荐。
• 内网资源池的改造方案主要是双栈，包括：VXLAN Underlay IPv4 + Overlay双栈和VXLAN Underlay IPv6 + Overlay双栈。
• 可通过VXLAN Underlay IPv4 + Overlay双栈用于初期双栈改造，快速提供IPv6业务承载能力。
• 新建数据中心或已有数据中心网络改造可改造为VXLAN Underlay IPv6 + Overlay双栈方式，逐步演进到IPv6 Only网络。

广域网络：

• 广域网IPv6改造方案主要包括：双栈，6VPE，IPv6+等。
• 对于没有V**部署的网络，可采用Native IPv4和Native IPv6双栈转发；后续随着业务SLA提升，如按需调优、智能运维等诉求逐步向IPv6+演进，以提供更高的业务保障和体验能力。最终演进到IPv6 Only网络。
• 对于采用V**隔离业务的网络，推荐直接演进到IPv6+，为各园区、数据中心之间的互联提供IPv6+承载。

园区网络：

• 园区IPv6改造方案主要包括：双栈，VXLAN Underlay IPv4 + Overlay双栈，VXLAN Underlay IPv6 + Overlay双栈等。
• 对于不需要V**的园区专网，推荐采用双栈方式提供IPv6业务，并逐步向IPv6+演进以实现SDN、业务快速上云、按需调优、智能运维等高阶场景，并最终演进到IPv6 Only网络。
• 对于需要V**隔离的网络，推荐VXLAN Underlay IPv4 + Overlay双栈以快速开通IPv6业务和实现SDN，并逐步向IPv6+演进，最终演进到IPv6 Only网络。

数据中心网络IPv6演进概述

互联网区演进策略：

• 方案一：互联网接入区出口NAT64方案。若现阶段数据中心内的业务暂不改造，仍保持为IPv4单栈形式，出于其他因素需要快速提供IPv6服务，可考虑使用NAT64方案，即数据中心内DMZ的IPv4服务器通过NAT64网关对外临时提供IPv4/IPv6双栈服务。
• 方案二：互联网接入区和DMZ区双栈改造。如果互联网区（含DMZ区）对IPv6支持程度良好，设备尚有较长的生命周期，建议考虑利旧，可采用在现有的互联网接入区和DMZ区基础上全面启用双栈部署方案，低成本完成改造。
• 方案三：新建互联网接入区和DMZ区方案。IPv6网络改造如利旧现有设备，可能会涉及设备的软、硬件版本升级或者部分硬件替换，对现有IPv4业务存在一定的影响。为保证企业DMZ业务连续性，确保对现网IPv4业务零影响，可采用新建单栈IPv6互联网接入区和DMZ区，IPv4和IPv6用户分别通过不同的互联网接入区接入访问IPv4 DMZ区或者IPv6 DMZ区。

出口路由选择：

• 单一出口的互联网接入：优选静态路由。
• 多地多出口的互联网接入：优选BGP路由，为保证负载均衡和可靠性，可通过BGP路由属性控制选路。

数据中心内网资源池IPv6改造

• 适用场景：现网设备已接近生命周期或现网设备不支持部署Underlay或Overlay IPv6的场景。
• 总体策略：新建内网资源池，一步到位支持VXLAN Underlay IPv6 + Overlay双栈。

资源池/服务器新建：

• 为避免原IPv4服务升级产生事故和业务中断，通常是新建IPv6资源池/服务器。
• 若为传统数据中心，建议在新建资源池上同时做其他新技术改造，如SDN。