IPv6在企业网络中的部署

[美]　Shannon McFarland, CCIE#5245　 Muninder Sambi,CCIE#13915　Nikhil Sharma, CCIE#21273　 Sanjay Hooda, CCIE#11737

孙余强　孙剑　译

本书包含了在企业网内部署IPv6的所有知识，包含的主要内容有：启用IPv6的市场驱动力、IPv6企业网络设计的层次化模型、企业网各区块内的IPv6部署方案、IPv6网络管理，以及IPv6实验、试点网络环境的搭建等。

本书层次分明、阐述清晰、分析透彻、理论与实践并重，不仅适合准备 CCNA、CCNP或 CCIE 认证考试的人员阅读，也是从事计算机网络设计、管理和运维工作的工程技术人员必不可少的参考资料。

Jim Bailey，CCIE #5275 (RS/SP双料CCIE)和CCDE #20090008，在Cisco公司任AS（高级服务）团队的技术领导，拥有18年网络技术相关工作经验。作为全球政府解决方案组高级服务团队成员，他专注于美国政府民用机构网络和军用网络的架构、设计和实施。过去5年来，他一直致力于在上述网络中集成IPv6。

Ciprian P. Popoviciu博士，Technodyne公司企业服务团队Cloud and Network3.0 practices主管。之前，他曾在Cisco公司的多个岗位担任领导工作，在Cisco任职的最后8年里，他曾就IPv6协议和产品开发、IPv6战略规划、IPv6的启用，以及下一代网络架构和部署等，与各种标准化组织和全球性大客户有过密切合作。Ciprian曾与人合著过两本热门的IPv6图书（由Cisco Press出版）、4份RFC，以及多篇涉及 IPv6技术、战略和启用的论文。他还是IEEE资深会员、若干咨询研究委员会的成员，以及业界IPv6活动的踊跃发言者。

Shannon McFarland，CCIE #5245，在Cisco公司任企业咨询工程师一职，是企业网 IPv6部署和数据中心设计方面的技术顾问，专注于应用程序部署和虚拟化桌面基础设施领域的研究。16年以来，他从事过的工作包括大型企业园区网络、WAN/分支机构网络的设计；数据中心网络设计和微软操作系统以及服务器应用程序的优化；虚拟桌面基础设施的设计、部署和优化。最近 10年，Shannon经常参加各种全球性的 IPv6活动（尤其是Cisco Live[前身为Networkers]）、IPv6峰会以及业界的其他活动，并踊跃发言。他发表过多篇论文和Cisco验证设计书（Cisco Validated Designs [CVD]），所涉领域包括 IPv6、多播、Microsoft Exchange、VMware View，以及其他各类应用。他还是多部Cisco Press出版的图书的特约撰稿人。加盟Cisco之前，Shannon曾在某增值经销商做过网络顾问，并在医疗行业当过网络工程师。目前，Shannon与妻儿共居于科罗拉多州的罗克堡。

Muninder Sambi，CCIE #13915，Cisco Catalyst 4500/4900系列平台产品营销经理。身为一名产品线经理，他负责为Catalyst 4500和 4900系列平台——其中包括可供园区网用户和数据中心服务器接入的下一代新产品架构——制定产品战略决策。在接手该工作之前，Muninder亦身居要职——为Cisco模块化交换平台制定长期软件和服务战略决策，工作的重点包括IPv6的技术革新。其中的一些新技术使得某些大企业和运营商成功部署了 IPv6/IPv4 双协议栈。Muninder还是Cisco IPv6开发委员会的核心成员。Muninder曾代表Cisco评审过大企业客户的多个网络设计框架。过去12年以来，Muninder曾参与设计过多个企业园区网络、WAN和数据中心网络。加盟Cisco以前，Muninder在印度一家大型网络集成商担任网络顾问一职，并负责设计和实施LAN、WAN及托管数据中心网络。Muninder现与妻儿生活在加州福里蒙特市。

Nikhil Sharma，CCIE #21273，在Cisco公司任技术营销工程师一职，负责为Catalyst 4500产品线的软硬件“雕琢”新特性。10 多年来，Nikhil 为不同的企业客户设计了多个大中型园区网络和数据中心网络，并参与其中的故障排除工作。

Sanjay Hooda，CCIE #11737，是Cisco公司的一名技术领导，专攻嵌入式系统，并协助定义新产品的体系结构。他当前关注的领域包括高可用性和大型分布式交换系统中的消息传递。过去14年以来，Sanjay参与过的工作包括SCADA（Supervisor控制和数据获取）、许多大型软件项目，以及企业园区网网络、LAN、WAN与数据中心网络的设计。

我要把本书献给Linda、Zack和 Carter。在生命中，能有你等相伴，我是何其幸运；我为儿女们的长大成人而感到自豪。感谢你们在我著书的那几个月中对我的宽容。我要感谢母亲为我所做的祈祷，以及对我无条件的爱；我要感谢父亲，是他让我知道学海无涯。感谢我的岳父、岳母大人，是你们培养出了Linda，并让她融入了我的生命，Linda——你是天下无双。Bob（父亲），谢谢你，我的良师益友，你的言传身教使我明白了努力工作的真谛。

—Shannon McFarland

首先，我要把本书献给我的祖父（Gyani Gurcharan Singh），感谢你赐予我作为作家、诗人以及古典音乐家的灵感。我要感谢我的全家：爸爸（Surinder Singh Sambi）、妈妈（Sukhdev Kaur）、哥哥（Ravinder Singh Sambi博士）、妻妹（Amrit Kaur）和老婆（Avnit Kaur），感谢你们在我写作期间对我无条件的支持。我还要把本书献给我的女儿（Japjot）、双胞胎儿子（Kabir Singh和Charan Kanwal Singh）和侄子（Kanwal和Bhanwra）。

—Muninder Singh Sambi

首先，我要感谢我的父母：爸爸（Satbir Singh）和妈妈（Indrawati），以及我的妻子（Suman），感谢你们在我写作期间对我的支持。我要把本书献给我的孩子：Pulkit和Apoorva。

我要感谢我的妻子Parul，感谢她在写作过程中给我的巨大支持。我要将本书献给我的女儿Anshi，是你让我知道，真正的快乐往往是来源于生活中的琐事。

—Nikhil Sharma

我要向传授我IPv6知识和经验、支持我“精修”IPv6（尤其在我对IPv6初窥门径之时），以及过去这么多年来为我提供帮助的一干人等表示感谢，我要感谢我的朋友们和我最忠实的支持者们，他们是：Freddie Tsao、Steve Pollock、Chris O’Brien和Mark Montanez。这些年来，能在这么多优秀的管理者麾下效力，我真是三生有幸，领导们对我总是包容有加，在工作方面也对我大开方便之门（尤其是IPv6）。他们是（受篇幅所限，只能列出其中少数人的大名）：Todd Truitt、Vince Spina、Kumar Reddy、Mauricio“Mo” Arregoces、Dave Twinam以及Mark Webb。此外，我还要感谢为我提供直接或间接帮助的Cisco（过去和现在）一干同仁，他们是Patrick Grossetete、Chip Popoviciu、Eric Vyncke、Gunter Van de Velde、Tarey Treasure、Darlene Maillet、Angel Shimelish、Chris Jarvis、Gabe Dixon、Tim Szigeti、Mike Herbert、Neil Anderson、Dave West、Darrin Miller、Stephen Orr、Ralph Droms、Salman Asadullah、Yenu Gobena、Tony Hain、Benoit Lourdelet、Eric Levy-Abegnoli、Jim Bailey、Fred Baker以及其他人等。最后，我要感谢 John Spence和Yurie Rich，感谢二位长期以来对 IPv6部署的不懈努力，以及所分享的反馈经验。

—Shannon McFarland

首先，我要感谢本书的其他三位合著者：Sanjay Hooda、Nikhil Sharma 和 Shannon McFarland，感谢诸位在写作期间所奉献出的合作精神。特别要感谢 Shannon，不但要感谢你对我们写作积极性的调动，还要感谢你对IPv6难点的指导。

我要感谢我的良师益友Sanjay Thyamagundalu，是你把我引入了网络这扇门，感谢你在本书写作过程中对我的力挺。

我还要感谢我的主管领导 Sachin Gupta，感谢你在我写作本书期间所提供的支持和动力。我要感谢本书的技术审稿人 Jim Bailey和Chip Popoviciu，感谢你们无私的分享 IPv6方面的知识，感谢你们在审稿时对问题“打破砂锅，一追到底”的精神。

最后，我要感谢Cisco Press团队，特别要感谢Brett Bartow和Dayna Isley，感谢二位从本书的初稿到审稿过程中保持的耐心和提供的指导意见。

—Muninder Singh Sambi

首先，我要感谢本书的三位合著者：Muninder、Shannon和Nikhil，感谢诸位在写作期间对我的关照。我还要感谢我的挚友Sanjay Thyamagundalu和上司Vinay Parameswarannair，感谢二位在写作期间对我的支持。Sanjay Thyamagundalu不但是本人创作灵感的源泉，而且还针对IPv6的各个领域，提供了自己独到的见解。

同样要感谢Brett Bartow、Dayna Isley和Cisco press的全体同仁，感谢你们容忍我一再推迟交稿。

首先，我要感谢Muninder Sambi，是你将我引入了五彩缤纷的网络世界，你对我可谓是亦师亦友。感谢 Sanjay Hooda，要是没有你搭建的试验环境，本书不可能完成。感谢Shannon，感谢你对整个团队写作积极性的调动，每当我们觉得完成写作遥不可及时，你总会提醒我们终点就在前方。

我同样要感谢我的一干好友，他们总是有问必答：Amol Ramakant、Deepinder Babbar、Jagdeep Sagoo、Nitin Chopra，以及我电话上的 7×24小时快速拨号按钮 1-800-Call-Manu。

—Nikhil Sharma

我们要对本书的技术审稿人Chip Popoviciu和 Jim Bailey致以崇高的敬意，感谢你们在审校本书时所倾注的专业技能和心血。

最后，我们要感谢富有创造力的本书编辑Brett Bartow 和Dayna Isley，以及Cisco Press出版团队，感谢你们对我们的关照、容忍，以及为保证本书的品质所耗费的精力。

本书使用的图标

命令语法约定

本书命令语法遵循的惯例与 IOS 命令手册使用的惯例相同。命令手册对这些惯例的描述如下。

• 粗体字表示照原样输入的命令和关键字，在实际的设置和输出（非常规命令语法）中，粗体字表示由用户手动输入的命令（如show命令）。

• 斜体字表示用户应提供具体值的参数。

• 竖线（|）用于分隔可选的、互斥的选项。

• 方括号（[ ]）表示任选项。

• 花括号（{ }）表示必选项。

• 方括号中的花括号（[{}]）表示必须在任选项中选择一个。

Internet协议版本6（IPv6）是IP协议的下一个版本，可供Internet上所有类型的设备进行通信。IPv6 浮出水面已有不少年头，但在企业网中，也是最近几年才加快了对其部署的步伐。IPv6尚处于不停地开发和完善之中，因此，在实际的部署中，无论是IPv6协议本身，还是该协议的部署方法，总会暴露出一些“纰漏”。

世界各地的企业能够与IPv6建立起联系，原因不外有二：其一，需要部署能够自动支持IPv6的操作系统或应用软件（有时，还是在不知情的情况下）；其二，为了满足额外的地址需求、拓展新兴的市场、应对兼并和收购所带来的难题，以及为了追求最新最尖端的技术和应用，而必须充分利用IPv6协议的新特性。无论出于哪种原因，对企业来说，不但要对IPv6所支持的各部署选项了然于胸，而且在规划和设计自己的IPv6部署方案时，既需勇于进取，亦需深思熟虑。

IP无处不在，并早已与网络水乳交融。因此，在企业网中，为了正确地规划并部署IPv6， IT人员须首先针对自有网络中的各个区块，比如，企业园区网区块、数据中心区块以及WAN区块等，分别设计IPv6部署方案；然后，再对已部署了IPv4的网络的所有区块做统一规划。接下来，IT人员还要根据商业和技术方面的驱动力，设法让IPv6和IPv4并肩运行。有时，会新辟区块部署IPv6，在这样的区块中，无需运行IPv4；但更为常见的是，在网络中，未必需要IPv6处处现身，但却要求IPv4无处不在。本书将企业网划分为各个不同的网络区块，并会向读者传授如何在相应的区块中设计和部署IPv6。

企业有新项目上马时，在行政和业务论证方面，通常会遇到许多问题，但往往终止于技术方面的设计与实施，而且在设计和实施过程中还总离不开“边上马，边论证”的思维模式。本书的目标有两点：第一，为读者提供一种既实用而又已获得证明的IPv6部署方法，该方法可按网络中的各区块，将大量的IPv6部署任务分解为一个个可量化的子任务；第二，展示了多个有效的配置案例，可供读者搭建IPv6实验室、IPv6生产网络，以及IPv6生产网络的测试环境。

本书在内容组织方面具有一致性，介绍网络各区块IPv6的部署时，总是首先对部署情况做简要介绍，然后会示出网络拓扑结构示意图（只要适用），最后会给出各种网络设备的配置示例，以巩固读者对IPv6部署概念的理解。本书不但能够帮助读者掌握企业网中部署IPv6的各个选项，还能让读者了解实施上述部署选项的方法。

本书适用于在企业IT部门供职的网络工程师，以及维护企业网络的系统集成和咨询工程师。读者应该了解IPv6的基本概念，其中包括：编址，IPv6邻居之间、IPv6主机和路由器之间的通信机制，IPv6路由选择等。虽然本书若干章节包含了对某些IPv6原理和主题的介绍，但对于IPv6新手而言，由于这样的介绍既不够深入，也不涉及IPv6的基本原理，因此不足以作为IPv6基础知识的入门参考书。本书假定读者对网络技术、设计和部署均有深入的理解。本书并非IPv6和网络设计的入门书籍，而是介绍Cisco长期以来一直推崇的与二、三层网络设计相关的最佳做法。

本书的组织结构

本书设计灵活，读者既可从头到尾通读，也可根据工作需要，在章节之间自由翻阅。

本书1～4章是对IPv6部署的一般性介绍，包括以下主题。

• 第1章，“启用 IPv6 的市场驱动力”：本章通过技术和商业两个方面，来讨论在企业网中部署IPv6的驱动力。本章亦提供了IPv6部署的增长趋势和常见的使用案例。

• 第2章，“层次化网络设计”：本章简要介绍了业界公认的、业已成熟的层次化网络设计模型，旨在让读者建立起网络设计原则的基本概念，本书的所有内容都是构建在这一基本概念之上。

• 第3章，“常见的IPv6和IPv4共存机制”：本章将讨论企业网中最为常用的几种IPv6和IPv4共存机制（亦称为过渡机制）。本章所讨论的机制包括双栈、ISATAP、6to4等。

• 第4章，“网络服务”：本章将探究大多数IPv4部署中常用的网络服务，包括IPv6多播、服务质量（QoS）和路由协议等。本书的其他章节则会展示具体示例，以介绍如何部署上述服务。

本书5～12章侧重于企业网中IPv6的实际部署，专注于部署中的技术细节。

• 第5章，“IPv6部署规划”：本章将从一个更高的层次来展示IPv6部署前和部署阶段的注意事项。本章旨在以系统的方法来呈现IPv6的部署规划。

• 第6章，“园区网络中的IPv6部署”：本章讨论在园区网络环境中通用的IPv6部署选项。本章既会深入探讨各种IPv6和IPv4共存机制，也会给出在园区网络中达成高可用性IPv6部署的配置案例。此外，还会讨论诸如Cisco虚拟交换系统之类的高级技术。

• 第7章，“部署虚拟化的 IPv6 网络”：本章不但会讨论各种网络、设备、桌面和服务器虚拟化解决方案，而且还会提供其中一些上述解决方案的配置范例，其中包括6PE和6VPE。

• 第8章，“WAN/分支网络的IPv6部署”：本章将会向读者介绍网络中WAN/分支网络区块的各种设计场景，还会针对不同类型的 WAN/分支网络及网络服务（包括有动态多点VPN和Cisco ASA安全服务）给出详尽的配置范例。

• 第9章，“数据中心网络中的IPv6部署”：本章涵盖了数据中心网络中常用的技术、服务以及产品，亦会向读者展示一个通用的设计方案，并会给出与之相对应的各种设备的配置，读者可根据自己网络环境对其加以应用。本章将重点围绕数据中心网络中常用的各种产品，比如，Cisco Nexus 7000、1000v以及MDS 9000，展开讨论，并附带讨论了Cisco NAM、ASA以及其他产品和技术。

• 第10章，IPv6远程访问VPN的部署：本章讨论在远程访问VPN环境中启用IPv6的各种选项。本章既会给出利用不支持 IPv6的产品传递 IPv6 VPN流量的配置示例，也会给出在 IPv6网络环境中使用Cisco ASA和AnyConnect SSL VPN解决方案的配置方法。

• 第11章，“管理IPv6网络”：本章涵盖了企业网IPv6部署中常用的管理部件。这些部件包括网络管理应用程序、工具、设备，以及通过IPv6传输的网管信息。

• 第12章，“按部就班：搭建IPv6实验网络，启动生产网络的试点工作”：本章讨论IPv6 专用实验室网络环境的需求和用途，以及在正式组建 IPv6 生产网络之前，开展试点工作的重要性。本章将从实用性和系统性的角度，向读者传授搭建 IPv6 实验网络环境、在其中进行IPv6应用测试，以及从IPv6实验环境过渡到生产网络的IPv6试点阶段等方面的经验。

本章涵盖以下内容。

• Internet 的发展及人们对 IPv6 的需求：本部分内容将重点介绍：致使Internet“增寿”的现有解决方案；比之其他解决方案，IPv6所具备的优势。此外，本部分内容还简要罗列了IPv6的市场驱动力，并会回答与IPv6有关的常见问题及人们所关注的事宜。

• IPv6之于IETF：随着IPv6的大行其道，至关重要的是，要有类似于IETF这样的标准化机构出面，为这一遍布所有网络，并为所有计算机设备所共用的协议的诸多功能制定标准。

• 企业网IPv6的部署现状：虽然许多企业目前还对启用IPv6、制定IPv6部署规划持观望态度，但某些纵向联合型企业（some of the enterprise verticals）（比如零售型、制造型企业以及Web2.0和IT企业等）不但已率先在网络中启用了 IPv6，而且还采购了支持 IPv6 的计算机设备，并利用IPv6协议传输自己的商业应用流量。

Internet 已经从美国国防部内部使用的分布式计算系统，逐渐发展成为一个巨大的平台，在这个平台之上，各个企业不但能够不断创新自己的业务，而且还能以非常高效的方式为全球客户提供商品和服务。Internet 协议簇（TCP/IP）正是用来支撑这一平台，并为其提供通信手段的底层技术。

尽管Internet并未受到集中化的管制，但也有综合性的组织为其关键要素（比如IP地址空间及域名系统（DNS）等）制定（维护）规则、实施运维。上面提到的Internet关键要素由互联网名称和号码分配公司（ICANN）统一维护和管理，而互联网编号分配机构（IANA）则负责具体的实施操作。ICANN/IANA会为出现在Internet上的资源分配唯一的标识符，包括域名、Internet协议（IP）地址，及应用端口号等。

更多信息请见：

• ICANN: http://www.icann.org；

• IANA: http://www.iana.org。

IETF（Internet工程任务组）（www.ietf.org）是由下属会员以松散的形式组织起来的国际性非赢利性机构，Internet核心协议正是根据其下属会员专家们的意见来实施标准化。所有网络设备和产品都会使用各种Internet核心协议，来实现网络互联；设备制造商则会提供用户界面，供人们配置和使用上述协议。

IETF在评估Internet使用方面的增长时，最为看重的是编址方面的问题^①。该组织对上述问题做出了以下评估。

注释：^①原文是“The IETF evaluated the growth of the Internet protocol with emphasis on addressing”。

• 地址空间耗尽：IETF、IANA的业界参与会员、区域互联网注册管理机构（RIR）以及某些私营企业一致认为，公网 IPv4 地址空间将在 2011年耗尽。

• IP路由表的膨胀：根据类别来分类和分配IP地址的做法，已致使Internet骨干路由器的IP路由表达到了令人震惊的规模。

本章的第一节将会围绕IPv4地址空间消耗问题，以及由IETF制定地临时性应对措施展开深入讨论。读者还会了解到促使IETF痛下决心，开发IPv6的原因所在。

公网IP地址不够，多台主机只能配置内网（私有）地址，然后再转换成一个或几个公网可路由IP地址，并以此来访问Internet。NAT（网络地址转换）可让企业网内部使用本地私有地址（RFC 1918地址）的多台设备与外部世界通信时，共用一个或多个公网IP地址。虽然NAT在一定程度上延缓了IPv4地址空间的消耗，但也致使一般性的应用程序在双向通信时更为复杂。上述临时性的应对措施还带来了如下问题。

• 架设网关、防火墙，以及开发应用程序时，需要专门的代码来处理NAT/PAT（比如，使用UDP的NAT透明传输）。

• 将标准端口映射为非标准端口（端口转发）。

• 确立并使用与NAT有关的临时性解决方案（STUN、TURN和ICE等）。

• NAT/PAT地址嵌套。

• 基础设施、应用程序以及安全方面的复杂性。

• 架设和管理多个地址池的复杂性。

• 耗费更多的时间、精力和金钱去编码并管理与 NAT 有关的临时性解决方案。

• 因为IP地址经过了转换，在单位的内网中，很难识别建立连接的设备^①。

注释：^①原文是“Inability to easily identify all connected devices on an organization’s network”。

注意对于sensor^②而言，即便部署于线内（inline），恐怕也不能完全丢弃攻击数据包。部署于线内的 sensor开始丢弃匹配复合模式特征的数据包之前，部分攻击数据包可能已经被IDS/IPS放行了。相对而言，根据数据包的原子特征，执行丢弃动作要更为有效，其原因是sensor会在单个数据包的基础上，执行匹配动作。^③

注释：^②作者的行文方式不明确，不知此sensor是不是IDS/IPS上的sensor。

注释：^③译者抓耳挠腮也闹不明白，为什么作者要在此处安插这段文字，现给出整段原文“Sensors, even inline, might not be completely successful at dropping packets of an attack. An attack could be on its way, if only partially, before even an inline sensor starts dropping packets matching a composite pattern signature. The drop action is much more effective for atomic signatures because the sensor makes a single packet match”。

注意广播和电视分别用了40年和15年时间，才将听（观）众人数发展到了5千万，而Internet用户达到这一数字仅用了5年时间。

设计IPv6的目的是要取代IPv4。IPv6的地址空间之大，超乎人们的想象，此外，引入IPv6不但可使网络管理更为简单，还能实现端到端的透明访问，并可改善网络的安全性及移动性，这些内容都会在以下几节讨论。

IPv6 可让企业“激活”新的应用，外加将自己的业务推广到全球，从而获得经济上的收益。有以下4项主要因素驱使企业纷纷采用IPv6，如图1-1所示。

• IPv4地址方面的短板。

• 政府IT战略规划。

• 基础设施的发展。

• 操作系统的支持。

本节的其他内容将会描述图1-1所示的IPv6主要市场驱动力。

IPv6的发展是拜IPv4编址体系所存在的以下几处短板所赐。

• IP 地址耗尽问题：Internet 应用程序和全球用户的数量都在飞速增长，加剧了IP地址的消耗。永远在线的设备（比如智能手机、Internet工具、智能联网汽车、集成电话服务，以及多媒体中心等）^①在数量上也一直在保持增长态势。IPv4只能提供42亿（4.294×109）个地址。对于当今的全球化和移动领域来说，IPv4地址的耗尽只是时间问题。尽管IPv4地址耗尽的主要问题是最初Internet设计方面的“底子”问题（insufficient capacity of the original Internet infrastructure），可诸多商业驱动因素（包括全球化、移动设备的爆发性增长、虚拟化，以及商业方面的兼并和收购等）已“榨干”了 IPv4 技术的潜能，因此需要对如 IPv6之类的技术进行评估，以充分利用其来支撑起Internet。

注释：^①作者列举的后面2个东东似乎不能算作“设备”吧？

• 全球化：有了网络，所有企业的商务贸易才能更为活跃。企业在拓展新的市场，扩大业务的同时，其网络规模也会随之增长，势必需要更多的IP地址。

• 移动设备：由于让手持式设备变为“计算机”的成本大幅下降，手机也逐渐跻身为Internet主机中的一员，从而导致IP地址需求量的增加。

• 地址使用效率低下：对那些在 20 世纪八九十年代初便“攫取”了大量IP地址的单位而言，其对IP地址的实际需求要远低于其“攫取”量。比方说，某些大公司或大学都获得了一个可容纳1600万台主机的A类地址块。有很多地址要么从来都没有被使用过，要么上述占有大量地址的某些单位早已缩小了“编制”，反之，另一些单位则“吃着碗里的，拿着锅里的”（留着自己大量的地址块不用，通过兼并和收购又弄到了新的地址块）。

• 虚拟化：如今，一个物理系统可当作多个虚拟系统来使用。每个虚拟系统可能都需要配置一个或多个 IP 地址。这方面的例子包括虚拟桌面基础设施（VDI）和托管式虚拟桌面的部署等。

• 兼并和收购（M&A）：当公司被收购或与另一个公司合并时，网络中常会发生RFC 1918 IPv4私有地址冲突或重叠问题。举例来说，若甲公司网络所用的地址段为10.x.x.x，而被其收购的乙公司网络也使用该地址段（如图1-2所示）。在收购期间，公司一般都会在网络中部署一个NAT重叠地址池，于是，甲、乙两公司网络便可使用该非重叠的地址空间（比如，使用 172.16.0.0/16）来彼此通信。这也是在对其中一个公司重新编址之前，让双方主机得以通信的临时性解决方法。

对于上述情形，还可以使用 IPv6，在原有 IPv4 网络上“覆盖”一层 IPv6网络，来减轻由 M&A 所造成的地址冲突影响。可在重要的系统和主机上启用IPv6功能，通过覆盖在IPv4网络上的IPv6网络，实现彼此通信。

以大局（国家的 IT战略规划和各国政府的要求）为重的理念，促使了许多企业和服务提供商去实施 IPv6，以更好地“迎合”政府（即私营企业与政府合作）。这样的例子有，2008年 6月 30日，数家美国国防部的供应商联合行动，迅速规划和部署了IPv6，以完成美国联邦政府下达的IPv6任务。上面提到的一部分企业不但已经与政府机构的网络对接（peer with federal agency networks），而且还会在政府需要 IPv6之时提供基于 IPv6的服务和产品。

随着用来支撑Internet的底层基础设施，以及某些新兴公共基础设施（比如能源管理、电力配送，以及新发展的其他公用事业）的不断完善，这些设施的规模也随之增长，并增长到了使用现有技术、产品和IPv4所能承受的临界点。诸多技术（比如智能电网、宽带电缆、移动运营商）的发展也使得越来越多的设备接入到 Internet。撇开所使用的技术和方法不谈，用来通信的手段只有一种，那就是IP。IPv4已渐渐力不从心，而IPv6则拥有无限的潜力。

几乎所有得到广泛部署的操作系统都默认支持 IPv6。这些操作系统都会默认启用IPv6地址，从而也加速了企业网内IPv6的启用进度。默认支持IPv6的主要操作系统包括Microsoft Windows 7和 Server 2008、Apple Mac OS X以及 Linux等。许多企业可能都会有这样一种认识，即 IPv6是在自己不知情的情况下使用起来的，这是因为上述操作系统在默认情况下所启用的网络协议总是 IPv6而非 IPv4。IT人员也逐渐意识到，要想掌控 IPv6的行为，除了必须以一种可控的方式去实施IPv6以外，还要对IPv6的各种特性谙熟于心。

通常，由企业以外的因素推动的市场计划和驱动力，可能会被迫受到业界因素的影响，而这些因素有时又归因于其他外部因素（比如IPv4地址耗尽），可大多数时候，企业还是会从中获益，当然，商务或技术方面的优势将会起决定性的作用。表1-1总结了部署IPv6所能给企业提供的若干好处。其中的某些内容在前文已有所论述，而许多其他内容将会在本书中随文展开讨论。

到目前为止，IPv6的发展已超过了10个年头，可对世界上许多地方来说，该技术似乎还可有可无。如今，随着IPv4地址短缺问题日渐明晰，即便是非常保守的老学究们，对IPv6的兴趣和认识也在逐渐提高。

以下各节将回答或澄清多年积累的与IPv6有关的问题或谬论。

这是一个最常被问及的问题，尤其适用于尚未使用 IPv6 接入 Internet的大多数公司。对一个公司来说，是否需要 IPv6，取决于以下三项主要因素。

• 要想保持企业业务方面的连续性，并将业务拓展到全球，就必须获取IPv4所无法提供的大块地址空间。

• IPv6既会制造新的商机，也是一个革命性的平台。而 IPv4根本不足以满足诸多网络应用的发展（比如，车载遥感系统等）的发展，因为 IPv4 绝对无法为数百万个安装在车上的网络传感器提供足够的地址。

• 诸如Windows 7和Linux之类的操作系统已经默认启用了 IPv6。

几乎可以肯定，拥有庞大人口基数且具备新兴技术能力的发展中国家，比如，印度和中国，将会直接迁移到 IPv6。对既想进军上述国家的市场，而又不想使用IPv6的企业，在竞争中将会处于劣势。

在整个Internet基础设施由IPv6“大一统”之前的相当长一段时间内，IPv4和IPv6将会并肩运转。企业和服务提供商不但在IPv4身上下了血本，而且也已对IPv4技术了如指掌。

由于使用IPv6的地方越来越多，企业也需要制定投资解决方案，让自己的传统IPv4网域能够无缝而又有效地与IPv6网域对接，并寄望以此来获得更好的投资回报。简而言之，希望采用IPv6的企业不仅无须放弃自己的IPv4基础设施，反而应该去充分利用过渡技术，令IPv4和IPv6在网络中共存。

由IPv6所提供的超大IP地址空间，给网络架构师和管理员造成了IPv6比IPv4更加复杂的印象；这其实是一种偏见。IPv6巨大的地址空间让网络架构师在设计网络时，不再因IP地址有限而捉襟见肘，从而降低了网络设计的难度^①。

注释：^①原文是“The vast address space equips architects to no longer reconfigure their limited address space, making network designs much easier”，直译过来是“……让网络架构师不再重配自己的地址空间……”，译者认为，这话不合逻辑，译文酌改。

IPv4和IPv6的所有附属协议（比如DNS等）在运作方式上几近相同。相较于IPv4，IPv6在自动配置特性和多播能力（支持嵌入式聚合点）的实施方面也更为简单。

IPv6 还拥有某些新的附属协议，比如，多播侦听者发现和邻居发现协议，但在大多数情况下，这些新协议只是IPv4中类似机制的替代协议。除了以十六进制的形式来表示以外，IPv6 地址分配起来（包括规划和部署）也更为简单，因为重点需要考虑的不再是主机号，而是基于地址块来分配的链路号或子网号。从许多方面来看，IPv6都只是版本号更高的IP协议。在执行地址分配规划时， IPv4和IPv6差别不大，都需要确立网络中的地址汇聚点。

对于一个成建制的 IT 部门来说（其编制包括网络工程师（架构师）、硬件维护工程师、存储架构工程师和管理员、软件工程师等），要想充分利用 IPv6的种种特性，除了软硬件投资以外，还需针对这一新兴的技术，对部门员工展开培训。

2007年以前，分配IPv6地址时，需执行严格的层次化地址分配策略；只允许企业从单一服务提供商获取网络地址，以避免全球路由表的重叠。

自 2007 年开始，情况有所改变，自那以后，企业可以采用类似于 IPv4的独立于提供商（provider-independent，PI）的地址分配方案。

采用了PI地址分配方案之后，企业在接入提供商时，便能继续沿用类似于现有IPv4的设计，这是一种具备冗余性，而又非常可靠的解决方案。

但是，IPv6 的发展还存在许多新的变数，对现有策略的调整也为业界所热议，上述因素都会对如何以多宿主的方式（使用 IPv6）连接到多家服务提供商产生影响。如今，仍然存在许多与该主题相关的有待解决的问题，读者除了要对标准机构所出台的标准加以关注以外，还需与自己的服务提供商保持密切联系，以随时留意上述变化。

只有IPv6报头的某些字段内置了QoS机制，预计将会使用这几个字段去区分隶属于不同类别的数据包，并把相关的数据包标识为数据流。设立这些 IPv6报头字段的意图是，能够让路由器之类的网络设备识别出相关数据流和流量类型，并会针对二者执行快速查找。实战中，对上述报头字段的使用则完全可选，这意味着除了对支持IPv6转发有最低程度的要求以外，大多数网络设备并不是非要支持QoS不可。

可是，IPv4报头也有在功能上类似于IPv6的字段，在用法上也几近相同，因此要说IPv6在对QoS的支持方面胜过IPv4，该论点是不能成立的。

确切说来，IPv6与IPv4谁都不比谁更安全，因为两者之间无法比较。IPSec是融入IPv6的与安全相关的主要机制。任何基于RFC且与标准兼容的IPv6实现都必须支持 IPSec，但对该功能启用与否则没有硬性规定。这也给人们带来了一种误解：IPv6默认就比IPv4安全。相反，要想在IPv6安全性方面有所建树，不但在实施上要精心规划，对系统和网络实施人员的素质也有极高的要求。

部署 NAT 就能提高安全性，这可算是一则笑话。部署 NAT只是为了解决IPv4地址短缺问题，而IPv6地址充裕，因此IPv6无需NAT。那些拿NAT当做安全特性的人们，会形成部署 IPv6 便会降低网络安全性的想法。可 NAT 在安全性方面并没有起到什么实际效果。通过隐匿来实现安全性（security through obscurity）的思路早已过时，其原因是：对于从Internet发起，入侵企业内网的常见攻击往往都不会针对第 3 层（针对可路由的 IP 地址发动攻击），而是针对第 4～7层。IPv6在设计时，便认为NAT是“多此一举”，RFC 4864则刊载了使用IPv6时的本地网络（LNP）防护概念；因此，就安全性而言，IPv6至少不逊于使用NAT的IPv4。

1995年以来，IETF成立了若干工作组，积极制定了与IPv6有关的草案和RFC。这些工作组涉及如下领域。

• 应用程序领域。

• Internet领域。

• 运维和管理领域。

• 实时应用和基础设施领域。

与IPv6相关的大多数标准都与Internet、网络管理和运维以及路由领域有关。以上三个领域仍然在IPv6的部署、管理、过渡、安全性，以及围绕IPv6地址展开的标准制定方面发挥着非常积极的作用。IPv6的实现，以及与其体系结构配套且基于标准的组件，在确保不同厂商的互操作性方面起到了关键性的作用。

IETF草案和RFC数量众多，更新频繁。应付IPv6发生变化的最佳做法是，经常了解IETF和其他制定相关标准的组织的动向。欲知与IPv6有关的更多详情，请访问http://www.ietf.org。

除了 IETF以外，IPv6论坛也在大力发展 IPv6就绪性徽标计划（IPv6 Ready logo program^①），该计划会针对与 IPv6有关的网络基础设施（路由器、主机、操作系统以及协议栈），展开对标准的遵守程度以及互操作性测试工作（conformance and interoperability testing）。通过证明 IPv6已经可用，且随时可用，来增强用户对 IPv6 的信心，是该计划的宗旨。IPv6 就绪性徽标委员会负责定义标准的遵守程度和互操作性的测试规范，以协助不同的厂商证明自己的产品已为IPv6做好了准备。访问http://www.ipv6ready.org可获得IPv6就绪性徽标的更多细节，以及已获得徽标（经过认证）的产品列表。

经过了标准化机构15年的“沉淀”，外加10余年的部署经验，如今，IPv6已被诸多服务提供商和大企业所采用。现在，IPv6 已发展成为健壮而又成熟的协议，对新型应用程序来说，可谓是创新之举。

在许多纵向联合型企业中，正在紧锣密鼓地部署IPv6，如表1-2所示。

最初，只有在设备制造商和研究领域才能见到IPv6的身影，其间诞生了IPv6的首个实现。其后，IPv6 的部署则成雨后春笋之势逐渐在纵向联合型企业中蔓延开来，其中的一些具体使用案例包括传感器网络、机械手（robotic arms）、环境控制以及传感器等，而其他的使用案例，无论与纵向联合型企业有没有关系，在本质上都是相同的。

在IPv6的启用方面，绝大多数企业都要历经以下三个阶段，如图1-3所示。

启用IPv6的企业所要历经的阶段一般被称为起步研究阶段。处在本阶段的企业都在研究 IPv6 是否管用、IPv6 所能带来的好处、IPv6 如何与自己的网络环境衔接、网络设备对IPv6支持还有什么空白，以及部署成本等。在本阶段，应通过在线资料向公司领导层灌输 IPv6的实用性，即使用 IPv6才能满足公司新业务发展的需求。对于公司的IT技术团队来说，在该阶段，则需要通过搭建实验环境、培训以及动手实验等环节，弄清IPv6的细节，以及IPv6与现有网络基础设施的瓜葛。许多处在该阶段的企业其实都并不清楚IPv6与自己有什么关系。

启用IPv6的企业所处的第二个阶段则名为试点/早期部署阶段。本阶段，在商业方面无论是否有上马IPv6的明确理由，都不应该再问“为什么要部署IPv6”之类的幼稚问题，而企业也已做出了部署IPv6 的决定。通常，在该阶段，考虑部署IPv6时，根本不需要有明确的商业理由，这与“先有客户再开店，还是先开店等客户”（getting our house ready for an unknown guest）的道理一样。那些曾维护过VoIP和IP电话的人们一定不会忘记，当上述技术的模式发生重大转变，且他们所维护的网络并没有及时开启高可用性（至少所开启的高可用性不足以满足语音的需求）和QoS时，他们是多么的狼狈。在拥有明确的商业理由之前，为IPv6投入时间、精力和资金往往是企业在未雨绸缪，如果想让自己狼狈，上述一切投入当然是可以避免的。在本阶段，企业还应针对IPv6 做出更为严肃的评估、开展培训，以及与不兼容IPv6的产品供应商进行正式的交涉。

启用IPv6的企业所要历经的最后一个阶段为生产阶段。在本阶段，企业正在寻求生产网络中高质量的IPv6部署。此时，即便不是全部，也至少是大半IT部件将要开始支撑IPv6网络，人们对IPv6的要求也逐渐等同于IPv4，或至少要求 IPv6 部署之后，不会对业务造成影响。在业务上（传递业务流量时），可能仍会牵涉到不兼容IPv6的设备（产品）或厂商，但企业已淘汰掉了那些没有“进取心”的设备提供商，并将大半业务（流量）割接到了支持IPv6的平台上。企业业务照常开展，但侧重于使用支持IPv6的应用和服务，并以此来作为自己的竞争优势。

在启用IPv6的整个发展历程中，对企业而言，要持之以恒地向员工灌输IPv6 （无论是技术还是业务）的理念，在发展阶段中的每一步，可能都需要从相关厂商采购搭建IPv6平台的一切所需。

历史经验表明，企业在启用IPv6时，总会遇到部署方面的问题——鉴于只有少量产品支持IPv6，而在自己的对等点部署IPv6的运营商也不多见，因此企业们纷纷打起了退堂鼓。服务提供商不部署IPv6的原因有二：其一，没有企业向其申请IPv6服务；其二，支持IPv6的产品风毛麟角。企业不生产支持IPv6的产品，是因为此类产品很少有企业或运营商去问津。于是，在某些情况下，便形成了一个恶性循环的怪圈，这一怪圈过去存在，现在仍然存在，因此必须要有敢于创新的企业出面，勇挑重担才能够打破这个怪圈。

从内容提供商的角度来看，Google可算是IPv6部署的龙头老大，正是Google推出了“trusted adopter”计划^①，链接为 http://www.google.com/ipv6。其他内容提供商和业界领先的网站也已针对自己的主机激活了IPv6，用户可通过IPv6访问这些网站的主机。这些网站包括Google (搜索和Gmail)、YouTube、Netflix、Comcast以及Facebook。

注释：^①译者在通过Google也没搜到该计划，因此只能保留原文不翻。

与商贸杂志、blog、设备供应商以及某些怀疑者所持观点相反，许多企业都已经或正在开展IPv6的部署。很多公司都没有对自己所部署的IPv6大张旗鼓地宣传，从而导致人们误以为IPv6尚未得到部署。这些公司行事低调的原因主要有两点：经济因素和安全性考虑（既未掌握所有基于IPv6的攻击矢量，严密的安全措施也未落实到位）。本书其余章节将会讨论IPv6的部署事宜及相关要素。

IPv6是下一代Internet协议，既可以解决IPv4地址短缺问题，也可以消除或减少一直沿用至今的NAT/PAT部署。取之不尽、用之不竭的IP地址是IPv6最主要的市场驱动力。这既保证了企业业务的连续性，也为Internet上的新型应用找到了新的出路。

IETF和其他标准化组织仍在评估新的解决方案，并同时制定着新的草案和RFC，以确保IPv6主机间的互操作性。

为了让新型应用程序迎接IPv6的大潮，大多数服务提供商、内容提供商以及诸多企业都计划或正在自己的网络基础设施中部署 IPv6（有些甚至已经完成了IPv6的部署）。

本书的主要目标是，为服务提供商或企业提供IPv6设计框架，以帮助这些单位利用现有的过渡技术平稳过渡到IPv6；此外，本书还介绍了将IPv6集成进上述单位现有网络基础设施的方法。

本章中的“注意”和“声明”^①列出了完全掌握 IPv6 技术和协议方面的一切所需。实施IPv6时，在设计方面，有许多要素都需要仔细斟酌，其中包括安全、QoS、高可用性、管理、IT培训以及应用程序支持。

注释：^①原文是“disclaimers”，据译者推测，这玩意儿可能是作者在正文中所给的链接。

以下列出的参考资料提供了与IPv6、Cisco设计建议、产品与解决方案以及业界动向有关的详细信息，与上述主题相关的技术文档可谓是浩如烟海。

图书在版编目（CIP）数据

IPv6在企业网络中的部署/（美）麦克法兰德（McFarland.S.）等著;孙余强,孙剑译.--北京:人民邮电出版社,2011.12

ISBN　978-7-115-26836-5

Ⅰ.①I…　Ⅱ.①麦…②孙…③孙…　Ⅲ.①企业—计算机网络—通信协议　Ⅳ.①TP393.18

中国版本图书馆CIP数据核字（2011）第229450号

Shannon McFarland, Muninder Sambi, Nikhil Sharma and Sanjay Hooda：IPv6 for Enterprise

Networks（ISBN：1587142279）

Authorized translation from the English language edition published by Cisco Press.

本书中文简体字版由美国Cisco Press授权人民邮电出版社出版。未经出版者书面许可，对本书任何部分都不得以任何方式复制或抄袭。

IPv6在企业网络中的部署

图书目录:

详情

图书摘要

相关图书

相关文章

相关课程