ipv6改造背景
目前,全球互聯網面臨基於互聯網協議第四版(ipv4)的網絡地址消耗殆盡,且地址分配失衡的現實情況,而ipv6是全球公認的下一代互聯網商業應用解決方案,能夠提供充足的網絡地址和廣闊的創新空間。
ipv6改造拓撲
考慮到目前互聯網上主要是ipv4業務,而ipv4和ipv6會出現長期並存的情況,因此此次ipv6改造有雙棧模式和NAT64轉換兩種方式。
雙棧方式是在網絡設備上同時運行ipv4和ipv6兩種路由協議,同時對外部用戶提供ipv4和ipv6網絡訪問服務。
NAT64轉換是把來自ipv6源地址的訪問進行雙向地址轉換,即把源、目ip地址同時轉換為ipv4地址,來實現ipv4的服務地址對ipv6用戶提供服務。
此次NAT地址轉換需要在防火牆上進行,其外部設備均需啟用ipv6協議。
ipv6改造前期準備工作
1、申請運營商專線(支持雙棧協議)及ipv4和ipv6地址
2、對ipv6私網地址的規劃,包括互聯地址、業務地址
3、對路由器、交換機、防火牆進行雙棧協議改造
4、對負載均衡設備、DNS設備、流量分析設備分別進行雙棧協議改造
ipv6改造注意問題
1、在物理接口下需要啟用ipv6服務,ipv6 enable
例:interface t1/0/1
ipv6 enable
2、配置靜態路由時,要注意ipv6的地址書寫格式
例:ip route-static :: 0 運營商端公網ipv6地址,其中::代表全0。
3、可以對手動添加的靜態路由添加描述,方便日後查詢,使他人一看便知其作用。
例:ip route-static :: 0 運營商端公網ip地址 description TO_XX
ipv6改造中遇到的問題
1、在防火牆做ipv6的dnat轉換時,發現所做的轉換策略沒有命中數,策略無效。
例:dnat from ::/0 to ipv6公網地址 trans-to ipv6私有地址
當時查看該策略發現“::/0”實際上只是一個主機地址,相當於ipv4的“0.0.0.0”,並沒有代表整個ipv6地址段,導致了dnat的策略無效,無法正常訪問翻譯後的公網地址。
解決方法:
在防火牆已有的地址簿中直接調用ipv6地址,因為在地址簿中系統已經對ipv6進行了定義,所以直接調用即可。後來測試結果正常。
總結
以上就是在對互聯網出口進行ipv6改造時遇到的小問題和一些ipv6改造前期準備工作的小結。
感謝閱讀,歡迎在評論區中發表自己不同的觀點,若有其他問題請在評論區留言,喜歡的朋友請多多關注轉發支持一下。
相關推薦
