【技术圆桌】第15期-话题上篇: IPv6改造，聊一聊最佳改造方案 >>邀您参与讨论（奖励已发）

技术聊主资料▷ 某公司社区技术专家— —秦专（社区昵称：qff）（欢迎关注）秦专主要从事基础架构、网络安全相关业务，擅长基础网络、网络安全技术领域，熟悉某公司AF/AD/AC产品技术知识；本期受管理员邀请与大家一块聊聊“ IPv6改造，最佳改造方案”技术话题，欢迎感兴趣的社区伙伴参与探讨，如您相关产品方面的问题或建议，欢迎跟帖提问! 一起学习交流，精进技术！

---

一、话题背景介绍

IPv4不足之处

IPv4地址枯竭，地址数量约42.9亿，总量不足，分配不合理

内网NAT地址转换和动态分配，导致地址和身份不关联

路由表过长，降低转发效率

IPv4自身安全性问题，拒绝服务攻击，ARP欺骗等

缺乏对QoS有效支持

IPv6优势

近乎无限的地址空间（128位），新增根服务器

地址和身份一一对应，便于精准管理

简洁的报文头部

内置安全性，支持IPSec等

更好的QoS支持（流标签），5G支持（多归属特性）

政策驱动

近一两年监管部门均发布文件要求对国家电子政务外网、中央企业、金融服务机构等单位对门户网站、移动互联网应用、应用商店等服务器全面支持IPv6访问。

---

二、IPv6改造方案

1.互联网网络出口改造，仅在出口设备上NAT64，出口设备以下依然只跑ipv4，仅出口设备双栈；

2.全网改造，从出口到业务服务器全双栈；

3.业务边界改造，出口设备到数据中心的边界双栈，在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4；

---

三、本期圆桌话题围绕以下“2个问题”开展讨论

话题1、谈谈三种IPv6改造方案的优劣、适用场景；

话题2、除了以上三种改造方案，还有其他更优的改造方案吗？

如果你是基础网络方面的行家里手，亦或是你对基础网络很感兴趣，欢迎大家从技术的层面上对以上问题进行探讨。

欢迎跟帖留言我会不定期与大家进行回帖互动！

---

【讨论时间】

2020年10月12日---2020年10月25日 23：59

---

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出1位最佳回复者，赠送《IPv6技术精要》第2版一本；

书籍推荐：新手学习IPv6的快速入门教程，第2版是对第1版的全面颠覆，内容升级，以一种详尽而又通俗易懂的方式为读者展示部署、运维IPv6网络所需的各种知识和技能；

——本期最佳回复用户——

---

【参与规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除；

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行禁言警示；

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有AF/AD/AC相关产品问题，欢迎留言提问

【技术圆桌】第15期-话题下篇:通过负载均衡帮助客户快速实现IPv6支持 >>

话题1、谈谈三种IPv6改造方案的优劣、适用场景；
1.互联网网络出口改造，仅在出口设备上NAT64，出口设备以下依然只跑ipv4，仅出口设备双栈；
优点：改造实现简单，只需要出口网络设备和NAT设备支持双协议栈即 可，其他网络设备、安全设备以及业务系统无需调整。
缺点：端到端的安全性无法保证，在攻击溯源、流量审计等方面存 在较大隐患，难以定位和具体封堵攻击源； 原有运行逻辑，业务流程，防护层次被打破，运行监控体系 无法发挥效果。
场景：资金有限，业务老旧，不好搞的情况
2.全网改造，从出口到业务服务器全双栈；
优点：全面改造，最符合IPv6最终网络架构； 可实现端到端的网络安全性； 无需在NAT设备或业务负载均衡设备进行IPv4到IPv6的转换，增加转发 效率，简化运维。
缺点：网络改造难度大，工作量大，时间周期长； 需评估相关业务系统是否支持IPv6地址族转发能力，并进行相应改造。
场景：资金充足，时间充足。运维人员能力很强。大型网站。
3.业务边界改造，出口设备到数据中心的边界双栈，在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4；
优点：改造实现难度适中，只需要业务负载均衡及以上设备支持双协议栈即可， 其他网络设备及业务系统无需调整； 现有运行逻辑，业务流程，防护层次未发生改变，运行监控体系基本有效；能基本实现端到端的安全性法，可以进行攻击溯源、流量审计，能够定位 和具体封堵攻击源。
缺点：改造难度较方式一略大; 需要评估现网中网络、安全以及负载均衡设备对IPv6的 支持情况和性能压力;  需要考虑外网安全设备针对IPv6网络安全防护情况，是能够达到目前网络安全防护的要求。
场景：预算不够全部整改，内部部分老旧业务改造难度太大，改造时间有限，中等网站
话题2、除了以上三种改造方案，还有其他更优的改造方案吗？
新建IPV6区域。，兼顾IPv4的现有业务

坚持学习，坚持努力，坚持向大佬们学习！！！！！！！！！！！！！！！1

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

话题1、谈谈三种IPv6改造方案的优劣、适用场景
IPV6很大程度的解决了IPV4地址分配不足的问题

这是个宇宙话题。

testing 测试测试测试测试

IPv6协议标准自1998年12月诞生以来已20余年了，而且当初是为了解决IPv4地址枯竭而生，可是20多年过去了，身边的网络依然是IPv4。

IPv6推出这么多年了，给我的感觉却是迟迟不能落地。

打卡学习