ipv6改造案例

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

精华，感谢楼主的分享。

感谢分享有助工资和学习！

政务网ipv6改造方案

1.   项目需求

1.1.   需求汇总

1、实现云时代政务外网访问业务区服务可具备IPv6转换能力

2、对IPv6业务进行安全防护

2.  解决方案

2.1.   方案介绍

1、客户新增一台ipv6转换设备实现无需网站业务改造，终端可以访问业务系统；

2、下一代防火墙，实现ipv6业务的安全防护；

2.2.   方案拓扑

2.3.   设备清单

设备名称	部署位置	型号	数量
应用负载	互联网出口	AD-1000-B1800-RW	1

2.4.   IP地址规划

该架构需要运营商提供两个网段的地址，需要申请一对ipv6互联地址，用于出口设备与运营商互联，还需要申请一段IPv6业务地址，用于IPv6和IPv4之间的转换，运营商写回指路由，目的为IPv6业务地址，下一跳为对应路由器接口地址，具体规划如下：

运营商互联地址	IPv6地址	防火墙互联地址	IPv6地址
运营商		防火墙

防火墙与IPv6转换设备的互联地址从运营商给的业务地址里面进行划分，子网掩码为127位即可；

IPv4互联地址只要能够和业务服务器通信即可；

设备名称	IPv6地址	IPv4地址	IPv4/6转换设备	IPv6地址	IPv4地址
防火墙			应用负载

2.5.   方案特色

1、不改变客户原来的拓扑环境，该设备旁路部署在出口防火墙上，应用负载，IPv6转换器都启用双栈，同时跑ipv4和ipv6协议；

2、转换设备的ipv4地址做dns代理去解析ipv6客户端请求过来的子链接，中间网络安全设备只要将服务器与翻译设备的ipv4地址打通即可。

3、出现故障，问题更容易地位。

3.  IPv6上线流程

3.1.    上线客户侧信息收集

名称：	山西发改委
业务名称	对外IPv6地址	服务器IPv4公网IP+端口	服务器政务外网IP+端口	对应域名
目录服务器
证书在线更新服务器
RA服务器
证书认证网关
数字签名服务器
电子签章服务器
密码机

3.2.   域名解析

在域名提供商上添加该域名对应的4A记录，入下图所示。

3.3.    IPV6转换器上配置

新建节点池

新建虚拟服务

配置接口IP地址，此接口配置同时配置ipv6和ipv4用于做转换接口。

3.4.    ipv6改造测试

找一台含有ipv4地址的终端，在浏览器上输入域名，首页能够打开，并且子链也可以正常打开，表示改造成功。如果打开失败查看AD调度策略和网络配置。

3.5.   Ipv6网站检测方法

登陆国家ipv6发展监测平台 https://www.china-ipv6.cn/#/checkTools  输入改造后的域名进行检测。

4.  回退方案

本次设备上线部署如果出现不可控的异常问题，在短时间不能解决的，应尽快恢复业务，照以下回退方案对网络进行还原，保证内网用户上网正常，待故障问题查明并有明确解决方案后，再根据修改后的方案进行实施。禁用域名提供商对应的V6解析，关闭AD对外v6地址。

1．将本次实施涉及变动的相关网线连接恢复至变更前状态，并确保用户网络恢复正常。

2．检查AD设备的配置信息，确认是否有错误的配置项。

3．检查设备网络连接信息，确认是否有接错线的情况。

4．重新梳理现网环境，排查故障原因。