企业上云IPv6解决方案与应用白皮书（2024）.docx

《企业上云IPv6解决方案与应用白皮书（2024）.docx》由会员分享，可在线阅读，更多相关《企业上云IPv6解决方案与应用白皮书（2024）.docx（94页珍藏版）》请在课桌文档上搜索。

1、目录fi三m1.I.IPv6?511.1.631.2.峥IPv66Ig蜘痛点1012.1.IPv6改造技7腰求10122.Ik1.kIPv631.iSfifS102台6案212 .1.1.云上IPv6&IPv4双栈场景143 .12IPv6toIPv41.ftiSS162.2. IPv6专有方案192.3. IPv6213.1.包侬有IPv6ittfi9ECS23311tt实胧ffi1.i木233.1.2.部署基础环境253.1.3.冽园IPv609性3631.33I432.1.最佳实践概述433.2.2.构颗45323.百一：增腋持IPv6膝网S1.B603.2.4.方缸：诩C1.B到N1.

2、B封寺IPv6633.2.5.7g三:全现口速GA673.3.应用IPv6安全防护最佳实践703*3.17033.2. 构建演示7033.3. 方案架构说明70334.721.企业上云IPv6支持概述1.1.什么是IPv6?IPv6（InternetProtocoIVersion6,互联网协议版本6）是网络层协议的第二代标准协议,也幡为IPng（IPNextGeneration,下办议）.IPv6不仅解决IPv4地址空间不足的问题，还在IPv4协议的盅出上进行了T改进，例如，画！扩展头提高IPv6协议的可犷展性、内JS安全性解决IPv6可以为互联网和物联网提供更加广泛的连接,实现万物互联，抄登

3、数字化基础设施，促进物联网、无阳的扩展能力更好的移动支持wnx*mtwiMKM便捷的用户接入A巨炳工I1.互联网、人工智能等新应用,新领域的创新,在5G、物联网等新兴领域飞速发展的今天J86防烟魅力不断展现，IPv6协议获得了更加广场的发展空间。金丽科9i三fjB6.WiaKariacwiJB-711 EoemewW久WIXe三11三MmaGF1.3MM余投术产业创新发的丽 .3.2KSMMB1.t*y*ttMM*9隼，豆NWQBMVMIABM.ftttB三KXf1.NRWIMX.网络安全财强化的迫切H要 日怆,/1兴#T三WWW4WR.Bi1.R力XM三三M三KK*ABWH三W*.台一零孝彳

4、EaB包充足的地址空间IPv6ityit6S128h渴（16邦），可以3.41038个ft1.防物牌砺并，IPv6具有足够大的地址空间，可以为每一个具有联网需求的终端提供IPv6地址，而不用担心地址耗尽，极大地博强了互联网的服务能力.层次化的地址结构IPv6的地址空间采用了层次化的地址结构，地址群更加更捷，且有利厅路由快速直找，借助路由鬃合,还可以俄碱少IPv6路由表占用的系统资源.IPv6地址使用多层等级结构.地址注三机构分配IPv6地址范围后，服务提供商、组织机构可以根抿各自的需要在该IPv6地址范围内分层级、更加翩ft划分地址范围，以省理所辖范围内的地址分布.如图1所示，IPv6地址由以

5、下几部分组成:网络前缀：由CNNIC（ChinaInternetNetworkInformationCenter,中国互联网络信息中心）和ISP触子网ID（企业可管理地址空间）：企业和组织机构根据需要分层级划分地址范围.例如,先根地域分别为省、市分配地址范围,再按照业务类型分配地址范围.接口ID:网络中主机的标试IPv6地址结构MaMav4WMBM9JIIPv6前缀分配用户和使用场景I前弟长工用途和使用场角/12IANA分的区蝌络中心RIRs/32R1.RZUR分纪给右ASN的运管商、互政网公司.大生企业/40.44,48运管曲站由和敢捉中心的大型企业分配的前缀.48页普曲向中小存户分配的常见

6、前缀长度./56宽帝旭包商毋东寂用户和小组企业分配的,小前搔氏度/64末整设随孑网./127路由踹点对方笛络简化报文头IPv4头中字叫成懿旌斯瓢文头,砌了IPv6邮报娱IPv6触固定长邮基本报文头，从而简化了转发设备对IPv6报文的5三,提高了转发效率.尽管IPv6地址长度是IPv4地址长度的四倍，但IPv6基本报文头的长度只有40字节，为IPv4报文头长度（不包1舌选项字段）的两倍.灵活的手展头IPv6取消了IPv4报文头中的选项字段，并引入了多种扩展报文头，在提高处酗率的同时还大大增强了IPv6的灵活性,为IP协议提供了良好6晰展能力.IPv4报文头中的选项字E多只有40字节，而IPv6扩

7、题文随大小只髀J1.PV6报改啪限制.IPv6扩展头类型IPv6三寺的扩展头如表1所示.扩展头使得IPv6协议具有良好的扩展性,根据业务需要，IPv6不仅可以定义新的扩展头，还可以在已有扩展头中定义新的子扩展头。IPv6步展头的报文格式IPv6报文可以携带0个、1个或多个扩展头.如图3所示JPV6通过Nextheader字段标明下f广展头的类型.例如，IPv6基本报文头中的Nextheader字段取值为43时,表示紧跟SIPv6基本报文头后的扩展头为路由头；路由头中的Nextheader字段取值为44时，表示路由头后的扩展头为分段头.强大的邻居发现协议IPv6的邻居发现协议是通过一组ICMPv

8、6（InternetContro1.MessageProtoco1.forIPv6,叭6互联网控制消息协议）消息实现的，管理若邻居节点间（即同一链路上的节点）信息的交互.它代替了ARP（AddressReso1.utionProtoco1.,地址解析协议）、KMPv4路由黑发网口ICMFM更定向消息,并提供了一系歹惧他功能：- 地址解析：获取间一他路上邻居节点的蟒路层地址,功能与IPv4的ARP相同.- 邻居可达性检测I：在获取到邻居节点的链路层地址后，中颔I邻居节点的状态，验证邻居节点是否可达.- 正安地如颔J:当节点获取IPv6地址后，脸证该地址是否已被其他节点使用，与IPv4的免费ARP

9、功能t醐.- 路由器发现/前缀发现：节点获取邻居路由器的信息所在网络的前缀、以及其他配置参数,节点获取到所在网络1例后,可以才虢该前缀自动生成IPv6地址，该过程称为IPv6地址无状态自动配置.重定向功能：当网络中存在更优的路径时，路由器向主机发送!CMPv6重定向报文,通知主机选择更好的下TtB行后续报文的发选该功能与IPv4的ICMP重定向消息的功能相同.IPv4I办议本身内置安全住供加密、认证等安全功能，硒与其帔全协议（如IPSeC）配合使用,或由应用枷义来提供安全性，熠加了应用协议设计的与杂度IPv6伤议在设计时便充分考虑了安全问越.在IPv6伤议中定义了ESP头和i人证头，通过ESP

10、头和i人i三为报文解提供M踊J安全!先基于IPv61办议的应用可以三疑卷须IPv6协议的安全功能，为解决网络安全问国S供了标准，并提高了不同IPv6应用之间的互操作性.1.1.1.IPv6向IPv4过渡很多人有疑问.从IPv6协议发明颤在已经过去了超过三十年,IPv6过渡还未完成.因为IPv6向IPv4过渡涉及到网络.数据中心、云平台、应用系统等多个层面的改造.就好比在高空飞机上更换引擎，很难一步到位.另外由于互联网的特性,IPv6应朦顺模螂需要互联网整个生态逐步升级到IPv6才能达至物探.Pv4f5）IPv6演迸的三个阶段业内的一个共识是IPv4向IPv6演进需要三个阶段：IPv6发展初期：

11、在IPv6发展初期，互联网应用和网络以IPv4占主导地位,部分IPv6示范网络以“孤岛”的方式存在，IPv6的孤岛往往通过IPv6inIPv4的隧道来进行询言.户仍然大.存在.这个时期是IPv6与Pv4共存时期，支持IPv6的网络和应用通常以双栈形式存在,也出现了部分纯IPv6的网络?的用，而纯IPv6SMIPv4的通信通过胡泽网关设备来进行转换.IPv6与IPv4共存：当IPv6规模持续扩大，大;济的用己5螭IPv6,这徒恨IPv4业务和用IPv6占主导独位阶段：当IPv6蝌照制妍大，逐步进入IPv6-on1.y阶段.这个阶段大部分网翱!业务应用都支持1%侬栈或单栈方式）,兄网下部分IPv4

12、网络,需要考虑IPv4访问IPv6单栈业务或IPv4的孤岛互联.2017年，中共中央办公厅、国务院办公厅印发了推进互联网协议第六版（IPv6）规模部署行动计划（以下简称“行动计划”），整个行动计划分为三个阶段，第T介段到2018年末，我国IPv6活跃用户数将达到2亿，在互联网用户中的占t次低于20%,国内用户量排名前50位的商业网站全面支持IPv6;第二阶段到2020年末,IPv6活跃用户数超过5亿；第三阶段到2025年末,网络、应用、终端全面支持IPv6.每个阶段都明确规定了各个阶段标准要求.家IPv6发展监则平台的,蟀2024年5月，蜩IPv672.70%,我国IPv6活跃用户达到7.94

13、亿.从网络流1悟，移动网IPv6总流St占全网移动网总流量的64.56%,仅从这两端标看,移动互联网IPv6已经超过了IPv4,向若IPv6主导阶段迈进.然而从阿里巴巴视角，IPv6固网酬&率、IDCIPV6流景占比、云平台IPv6开启占比几项指标看，IPv6过渡还处于胆坡阶段.头部企业IPv6改造效果显著，但是大长尾中小企业还未真正用上IPv6.1.2.业务IPv6改造要求和痛点121.IPV6改造技术要求IPv6改造是一个复杂的系统工程，涉及整个技术链的协议才新级,在进行改造时，需要从业务的角度至点考虑“常、皆、云这三个关聊分,端（客户境与服务巷战）:这一部分包含了移动应用、Web客户端和

14、服务器的改造工作，主要涉及终端对1Pv4IPv6双栈网络适配,以及网络接A架构,是应用开发者需要密切关注的保。内容.管（网络传输部分）：主要涉及公网和内网的传输，特别是运营商提供的网络的务.这里的挑战在于，内网和公网磁入方式都需要外部公网运营商和内部接入网元的支持和配合来完成IPv6的转乳云（云端基础设施）：包括IDC、CDN.DNS等应用部署环境以及云B弗和中间件.此部分是应用运行环境的核心，涉及应用基础设施的IPv6升级改造.IPv6是整个技术链路的升级数据中心彳腑用改造的具体技术要求请参考由推进IPv6规模部署手晦用专家委组织编撰的，:数据心及应用辍IPv6班留8南.12.2.企业IPV

15、6改造的痛点如今越来越多的企业砥云平台来实现自身业务的数字化转型，IPv6的郃著和应用也融入了这些企蟠字化特型过程中，对云上的企业在IPv6改造主要有一下几个痛点：业务连坡性保障：IPv6改造涉及运营商线路和地址申请、网络/计算/存储等IT省出设施新建或升级、应用程序代用逻辑更改等事项，升级难度大、爰杂度高，如何保障业务朝性?由间内支改造周期提速：国家推进IPv6规模部罟彳元娓速，企业网站系统、互联网APP等难以在持IN6访问，如何压缩改造fi升级费用、集成员务赘用等综合成本高昂.投费成本受控：运营商线路费用、T基础设施软/硬件新5原雕资赧彳疆保护,如何本增效?基于云平台的应用系统IPv6Z曙

16、可以显著降低云上企业IPv6的使用成本，更快更容易的获取IPv6能力.企业IPv6升级改造场景，可根据应用系统的所在位置分为云上和云下两类部署环境，根据改造方式分为转换过渡和双栈共存两条技术路线.IPv6解决方案可适用于如下3类典型场景： 场景一：云上应用系统进行1Pv6v4双桂改造. 场加二：云上面向公众努的互联网应用系统具备IPv6访问能力. 场景三：自建数物中心内面向公众务的互联网应用系统具备IPv6访问能力.1.3.云平台IPv6能力作为歪要的应用基i;三施，大型云计算平台作为对IPv6的支持对IPv6规模部署*1.三用至关里要,能够帮助用户使用IPv6简化网络架构,不受IPv4空间的

17、限制.并且能够显著地阳氏IPv6技术部署和使用的门槛，快速部署IPv6满足合规要求，同时降低IPv6应用风睑以阿里云举例，阿里云磔、计算,存储、数据库、CDN、DNS,妗、中I0要的产雌核心产品已经支持IPv6.下面是一些核心云产品对IPv6能力介绍.要使用IPv6服务,首先需要DNS支持IPv6解析.当用户访问互联网时,访问的请求会信倒达DNS,DNS会根据访问域名亘询并返回正确的IP1.IPv6时代，阿里云解析DNS依然作为云计邯及务的入口，IW支持IPv4和IPv6双栈，用户彳析设置中通过设置AAAA记录，可以实现访问者通过IPv6地址访问网站.注：云解析DNS服务器集群中的DNS服务器

18、也已全面支持IPv6.ECS云服名器支持IPv6ECS云服务器是企业上云用的最多的云球出产品.在IPv6改造过程中，用户.急需为期其电买部署的ECS开通IPv6,分配IPv6地址.阿里云ECS支持用户由璇了IPv6网段的VPC和交换机下创建带有IPv6地址的ECS实例.并支持ECS通过IPv6地址通信、为ECS实例分配IPv6地址、KSIPv6地址等.VPC和Pv6蹴支持IPv6专有网络VPC(Virtua1.PrivateC1.oud)是用户基于阿里云创建的自定义私有网组不同的专有网络之间二期隔黑，用户可以在自己创建的专有网络内创建和管理云产品实例，比如ECS、S1.B,RDS等.如果需要在

19、VPC中进行IPv6私网通信，您可以在开通了IPv6网段的VPC和交换机下酶带有IPv6地1廓)ECS实例，同一VPC下的ECS实例首髅通过IPv6地址相互通信.如果VpC需要IPv6公网访问,需要借助IP6网关(IPv6Gateway).IPv6网关是VPC的一个IPv6流量网关.默认申请的IPv6地址只具备IPv6私网通信能力，您可以通过在IPv6网关中为IPv6地址开通IPv6公网带宽,使其具备公网通信能力，并且可以设置仅主动出规则,使IPVe地址仅可主动访问公网.负载均衡S1.B支持IPv6公网入口会优先支持IPv6,快速提升公网流占比，负载均衡S1.B长期以来都是关健业务系统的公网入

20、口,它可以对多台ECS进行流量分发，提高业务系统的可用性和处理能力.负载均衡S1.B封寺IPv6从产品上看主要有两点：首先，采用了独立的IPv6类型S1.B,独立的IPv6类型的S1.B实例和IPv4的S1.B实例性的物能没有差异，用户只需要在购买S1.B时选择IPv6类型，就可以快速创建fIPv6的S1.B实例,其次,IPv6类型的S1.B和后端的ECS通信还采用IFM和网地址.CDN服务支持IPv6CDN内容分发网络(ContentDe1.iveiyNetwork),解决聆地域聆运营商网络性能可题,提供定快速的加速0册.CDN是互联网的流量入口，阿里云CDN团队从2017年起就启动了IPv

21、6的改造，积极撑蛔EIPv6改造中投入相关资源,从节点部署、节点网络架内改造、IPv6功能封寺.IPv6调度能力完善、I&6全链路监控方案、IPv6质量评测体系建设等方面持续打磨，投入物理资源、人力资源，推动IPv6整体能力不断向IPv4靠近.截止目前累计完成了近千个节点的IPv6改造升级,IPv6合螂超过90%,超过工信部的蛉收标准,在产品化上,国顺CDN产品和全物脸产品率先选1由全球IPv6Forum论坛发布的IPv6Enab1.edCDN.WAFA第支持IPv6骈户以IPv6进行通信时，还有T关键酝服务即Web应用防火墙,它负责对网或者APP的业务流量进行愁意特征识S吸防护，将正常、安全

22、的流贵回源到服务器,当我们运行IPv6协议时，必须升级到对IPv61.Pv4双栈的防沪能力，滥免网海艮务器被恶意入侵，保婶业务的核心级安全，解决因恶意攻击导致的月睦器性能异常问甑阿里云WAF已经湖T8升级IPv6功能，在WAF控制台的被防护域名下,直接打IPv6状态开关即可.DDOS服务弼IPv6同样更要的还有阿里云DDoS防护服务，它是以阿里云潼差全球的DDoS防护网络为督出，结合阿里巴巴自研的DDoS攻击检财晒能防护体系,向用户提供可曾理的DDoS防护服务.同样需要增加IPv6的制户能力，自动快速地缓解网络攻击对业务造成的延迟增加、访问受限、业务中断等影响，从而减少业务损失，降低昔在DDO

23、S攻击风险.如需对IPv6地址进行DDoS防护,可以开通DDoS防护包中的IPv61办议，防护对象设S为IpV6转换服领地此AC1.耨白名单及安全策略支持IPv6确保IPv6安全体系防护的性与磁性，对防火墙、入侵检M行为审计、流*涛僻进行级以支持IPv6环境下的正常工作.寇若IPv6的发展,IPv6的地址数量将远远超过IPv4,现有的AC1.黑白名单容量将无法满足,需要提前进行扩容改造.对于IPv6安全防护能力存在风险的节点，应进行网络安全设升级或替换.从应用业务层面以及安全管理层面格亍Pv6安策珞制定与配置,保证Pv6的安全策略包含了所有的IPv4策略.其他云产品支持IPv6除了上面提到产品

24、外，还有很多其它产品也已经完成了支持，如对盆存储0SS、数揖库RDS等.2.云平台IPv6解决方案2.1.IPv6公有云解决方案现阶段，企业上云后的IPv6升级改造场景，可总结为如下2类：IPv6交互.对6&4双栈：云Jbjs用系统进行IPv6v4双栈改造，从而实现“客户端到服蝴”的全于6&4双栈场景,需全链路涉及的各组件均的寺并启用IPv61议假6to4转换：云上应用系统保持IPv4协议栈不变,但需具番公网可达的IPv6地址，使IPv6客户端访!句可达.对于6to4转换场景，通常是在公网访问入口处进行协议转换.即如果云上应用系统使用负载均衡S1.B作为公网入口，可基于S1.B实现转换.2.1

25、.1. 云上IPv6&IPv4双栈场景云上师&I84双栈RJts如图所示，该方案涉及负载均衡S1.B.专有网络VPC转发路由器TR（企业版）、高速通道等多款硝产品够VPC及交换机开通IPv6阿里云VPC文寺IPv4和IPv6协议.默认情况下，VPC使用IPv4寻址协戈对于双战场景,用户需开通IPv6寻址协议.机的IPv6网段臃默认开通IPv6后，系统将为VpC分配掩码为/56的IPv6GUA网段，VPC中每住为64/.VPC41去仇开通IPv6的方法请参考帮助文档，ECSHiSIPv6用户可在开通了IPv6网段的VPC矛国横机下创建带有IPv6地址的ECS实例，并为实例fi三IPv6地址、公网

26、开通公网开通场景1：ECS直接与互联网进行双向交互ECS配置IPv6地址后，VPC中的IPV6地址只具笛私网通信能力.如果ECS需要主动访f可互联网M被互联网访问，则需为IPv6地址开通公网带宽，使其具制IPv6公网通信能力.当VPC开通IPv6后，系统将为VPC自动创建1个!Pv6网先IPv6网关是该VPC的IPv6互联网流JR网关.用户可以在IPv6网关上，开通并管理本VPC内IPv6地的公网带制.开通公网带宽后,IPv6地址可以与公网连通,用户可以为IPv6地址腱仅主动出规则.使该ECS可以主动发起IPv6访问,但不允许客户端通过互联网访问ECS的IPv6地址：公网开通场景2:ECS借助

27、负载均衡S1.B,向互联网发布服务如果应用系统借助负载均衡S1.B面向互联网发布服务,供IPv6客户端访问，则需使用应用型负载均衡ira).A1.B（七层负载均衡）或网络型负载均衡N1.B（四A1.B和N1.B,封寺双桂协议版本,可接收客户端的IPv6访问请求并将请求以IPv6协议转发至后i三康.私网互通转发路由器TR（企业版）已支持IPv6协议，取现云上不同VPC之间，以及云上VPC与云下数据中心之间的IPV6私网互通.注意：如需实现云上VPC与云襁画中D之J瞄IPv6私网ES,需确（呆南！通道-物理口支持IPv6,VPC开通IPv6的方法:http%hoIPa1.iyn,comrhipv6

28、gntewMtfWgUidr/m;Ibkv6fzhipv6-gatewayuief-9ujeenab1.e-v6-fx-a-vswitch-1.,ECS分配|际IPv6地址的方法.httpWhdp.Hzhecyusergude3tep1.create3-vpjthatRppUipv6addresi!ngG开售和管理I内6公网帝宽的方法httpsyhe1.p.fcyun.cc11zhpv6gatwayiCrguidc11abk?andmanage*ipt6-internetbandwdth,创建和管理仪主动出规则的方宓httpshe1.ph加nxrVzhpv6g3tev，dy/usggude/c

29、red1.aand-mana9e-arv0/es，oc1.yruie开通双在版本A1.B实例的方法：httpWhc1p.aiiyun.coapp1.i8tionkdba1.ancefgettngft6rtedimptement1.oadba3nngff-pv6-servicesQ开智双栈而本N1.B实例的方法：httphe1.p.afcyun.cxzh1.bnctwork1.oadba1.iinccr/g?ttingstartCdzn1.bquicktyimp1.cments1.oadba1.ancing-for-ipv6-&ervices建议用户在开通高速通道物理专线端口时，至少勾选【高级配

30、首】中的IPv6和MPBGP-v6选项.如下图所示：wXffiEB，/R?力HJi选撵器口程级耗力VBRWS支持基于VBA的度的甯宽阳遽Ie力QIPv6Dbfd支挎牌发点N间故用楼刖的网缗的议恁力MPBGP-MP-BGPffi议，力QMPBGP-Ve克持MP-BGP6-力E9VBR-HA支持快速醐Sta2.1.2. IPV6TOIPV4转换场景实现IPv6toIPv4的转换，需在“晨靠近客户端侧的流.人口位Sir进行转换.如果待支持IPv6的应用麴E使用了CDN、DDoS.WAF等产品ISM,则需选择其中最东近客户慨I购产品开启IPv6屣能力，可为云上业务麴限供IPv6地址,承接IPv6客户诺

31、访问，并将访问谙求转换为IPv4协议转发至后就IPv6Sf户滤-ONS阿里云IPv4VPCINdECS部署于阿里云的应用系统进行6to4转换如果待胡叭6的应用系与于阿里云,且未使用上述CDDDoS.WAF铲品0陶,贝何ifgtIPv6S1.B翊!IPv6骸.型负载均衡N1.B吸传统型负载均衡C1.B,均具备IPv6toIPv4的协议转换BDIfMECS4C1.B不支持双栈协议版本，IPv6实例和IPv4实例相互独立，因此需同时部署IPv6实例和IPv4实例，从而分品悔载IPv6流酬口IPv4题1.f40N5断ZM-叭6DNUI析*P63t1.A1.B和N1.B支持双栈协议版本好开通双程收本A1

32、.B实例的方法.httsbe1.p.a1.iyuacomzhsbapp1.icatio-oad-ba1.ancergett11g-sUjrtedimp1.ement-1.oad-bd1.afjngforiv6sefvkesn开通双栈版本N1.B实例的方法：https*bff1.p.aiiyunCOnVZhdbnncing-foripv6ervic*su开SiIPv6C1.B实例方法:httpsJhea1.iyn,8zhdbdassic1.oadbahncegserQuidevefvwofipv6dbinsances,可同时接收客户端的IPv6及IPv4访问请求，雌使用C1.B门进行转换，支助f

33、施1.0N5阿里云ItMDNSM1.Fad-ba1.ceng-StaftedZimpIement-1.oad-b1.anc三ngforipv6xrviespm2c4g.1.1.18%23Q0177d3c96cFRh6uA1.B技UtXftMiie中心嵌务储的方法https:/he1.p.aycxVzhsbappaton-1.oad-baareruse-casesspecfy-anonpremises-Sver-asa-backc*rxisrverofa1.b7pm-a2c4g.111866230.019491dc6B0S6Kr15 开通双It1.S本N1.B实方法：httpszhs1.bnet

34、enti-1.oad-ba1.ancing-for-ipv6-servkes7spm=a2c4g.1.1.1.866230.0.6f9f934fQdHYiY16 N1.B挂J4触中t15务塞的方法：httpsyzhs1.bnetric-1.d-baiancerme-casesadd-sera1.iyuncom/zh/ga/use-caseVdccc1.eratf1.anipv4w*rvicefcx-ipv6c1.ients?spn-a2c4g11186623.0.0939e5d85M12yO6以IPv4协议转位据中C内的服务器.2.2.IPv6专有云解决方案专有云是云计算技术的一种部署形态，目

35、的是在客户的自有环境f全栈云平台.专有云服务的政企客户不仅要求云平台的功能，还要安全可靠，满足业务艇性、金融监管,等保2.0等对业务无中断、数娓无丢失的要求专有云平台上承载着大量重要信息系统，政企业务逐步向若平台化、服务化数挺化、智能化.自动化的方向发展，并以安全构建起政企对于专有云技术实力的信心.专有云部等形态满足了客户核心数挺自持，并符合“数财出笞、.缴不出机厉等管瞰求.专有云服务的客户需要;龊相关部委、行业监管的要求,IPv6就是一项击要的国家战络。专有云是独立部署在客户数据中心的云平台，随着数字化时代的快速发展，数据中心作为信息处理和存储的核心，扮演者至关正要的角色.然而，传统的IPv

36、4网络面I能日益严峻硼赋，主要表现在地址资源枯汨、网翎附卜豆杂等方面.这些问题严更制约了数据中心网络的发展和犷展,因此迫切需要采取行动来解决.在这一背景下，蟠中心IPv6改造成为了必然选择.改造主要涉及两个关键方面：网络基础设题的用系统.专有云平台作为客户数据的云平台基础设施,需要对IAAS层网络进行升级不时讹，以确保其完全支持IPv6功能，并拓!卜结构进行调整，以适应IPv6的S曙需求在应用系统方面，需要对云平台上螂的各种应睇划，专有云平台可的（1服务进行调整和优化，以确保其能够画I版行在IPv6环境中.通过综合考朗畛以蟒螭IPv6it,为耕的碘冽8簸簸棚1.专有云平台IPv6解决方案改造是

37、一项复杂而关键的工程，通过对IAAS层基础设施的升级和优化，以及对应用系统的调整和优化，专有云平台可以更好地适应IPv6的发展趋势,提升网络性鲂和可用性,为未来的网络发展费定坚实基础.专有云平台的IPv6解决方案是基于IPv6dPv4双栈的方案,从用户视角通过!Pv6IPv4双栈的方式访问云平台业务的链路图，当然这里的前:基础设施层已经完成了相应的能力支持.当用户AS卜网访问时用户可以邮v6v4不同的访问路径，经过DDoS、WAF,防火墙等一些列69安全防I闩昔施到达云平台。云平台边界分别通过S1.B和VPCGW松卜提供了IPv4和IPv6的夕网访问能力.云平台内部云主机也都却IPv6和IPv

38、4双栈，可以满足云下用户至店上服务全链路实现IPv68dPv4双栈，用户的业务是部署在云上ECS,实际上用户直接访问相应的云月粉,比如j雌库、存储等也是类似，这芍味着对应的云!的也都提供IPv68dPv4的双栈能力.上图中右则部分用户从云下IDC通过专线方式访问到云上也是类似.IPv6演进改造是一个长期、分阶段、分系统逐步升级的过程,结合上面专有云IPv6IPv4双栈方案的介绍，故践中挪豳IPv6域鲂为三个阶E殳：第一阶段,通过云平台S1.B负载均衡完成6to4的能力改造,实现互联网用户的IPv6接入云内服务的能力,同H物涉互联砌的Ipv6的安领游能力,平台恻对DDOS.WAF、CFW产品进行

39、IPV6防护能力升第二W段，是在第T介段a三i,继续对云平台的ECS.VPC以及S1.B进行Ipv6能力改升级造，配合客户应用系统的Ipv6改造,实现互联网用户通过Ipv6访问平台内的Ipv6B，即6to6,同时云平台内的资源可以基于Ipv6网关主动访）可互联网，第三阶段，主要是将1.pv6能力范围好于扩大，实现云内资源之间以及与云下IDC之I,现IPv6互访能力，平台则主要还是对平台内的相关云产品以及IDC并网专线进彳1.pv6能力的改造升级实现.基于上述三个阶段的改造实施，整个云平台已经具备了互联网侧、云内、云下IDC等多场景下的11MIPv6断魅臃力.2.3.IPv6云安全解决方案随着I

40、Pv6为议的迅速普及，新的网络环境以及新兴领域均面临着新的安全挑战企业业务IPv6改造不仅仅是域名和网站支持IPv6,还需要有效的防范IPv6安全风脸,尤其是对关系国计民生的单位如金融、交通、能晾、政务等行业.IPv6线路需要提供不肝IPv4线路现有的安全防护能力，如访问控制功眼入侵检测防御功能、流分析清洗功能.WEB应用防护功能等.户包来支持86安邹即功省区对于上云的客户，可以腐其上云的不同阶E殳来部署WAF集群和高I基本方案是通过接入WAF企业版&高防防护包，通过7层反向代理同时支持IPv4和IPv6协议.不gKW*户海站业努逻辑描述：IPv6用户在浏览器中输入要访问的域名.浏览器向DNS云解析B员务器请求对应域名的解析。EDNS云解析将域名的解析权交给CNAME指向的WAFDNS月器.