XX市电子政务外网互联网区IPv6改造方案

XX市电子政务外网互联网区

IPv6改造方案

一、 项目概述

1.1 项目背景

从 2012 年开始，APNIC的IPv4地址池枯竭，亚太地区的电信运营商无法再获得批量 IPv4 地址。由于移动互联网、云计算、大数据、物联网、人工智能等新兴信息技术持续高速发展，对 IP 地址资源的需求异常旺盛，电信运营商持有的 IPv4 地址快速消耗，被迫大量采取NAT转换技术来应对IPv4地址缺乏的困境。IPv4 地址资源匮乏已经成为数字经济发展的制约因素。  

IPv6是由某公司网工程任务组（IETF）设计的第六版互联网核心协议，被称作下一代互联网协议，用来替代现行的IPv4协议，它主要解决IPv4地址短缺问题。2017年11月26日，中共某公司、某公司联合发文，正式发布《推进互联网协议第六版（IPv6）规模部署行动计划》，互联网向IPv6演进成为国家战略。

根据《关于推进国家电子政务外网互联网协议第六版（IPv6）改造工作的通知》（国办电政函【2018】70号）文件要求，2019年6月前完成各市地级政务外网IPv6改造方案编制，并开展工程实施，2020年底前，完成市地级政务外网IPV6改造，全面支持市地级以上政务部门IPv6门户网站部署。此项工作某公司要求列入年度重点工作任务落实，同时将适时对各级政务外网改造IPv6改造工作进行考核评估。而目前XX市政府电子政务网互联网区尚不支持IPv6技术，所以对其进行IPv6改造势在必行。

1.2 项目改造任务

本次改造主要工作：

1、XX市政府电子政务网互联网区，新增接入三条IPv6专线；

2、我公司提供互联网区IPv6改造使用的IP地址。

3、采用IPv6/IPv4双栈模式，本次改造以XX市政府电子政务网互联网区能够支撑IPv6业务部署为目标。

4、需版本升级市政务外网DMZ区2台某公司防火墙和1台网康IPS设备支持IPV6协议。

二、XX市电子政务外网IPv6改造技术选型

2.1 概述

      在我们现有的网络中，几乎所有网络都使用IP协议作为通信的地址协议，我们的网络使用IP来表示地址信息，每一个节点都应该分配一个唯一的地址，才能保证通信正常。现在正常使用的IP协议为版本4，用32位来表示，地址空间为65536×65536，结果约为42.9亿，需要说明的是，虽然地址共有42.9亿之多，但并不表示这些地址可以供42.9亿个节点使用，因为我们的地址是分网段的，也就是说即使在一个节点的情况下，分配地址时，也是分配一个网段而不是一个地址，所以这样就使得版本4的IP地址一下子变得空间陕小，再加了有相当一部分地址是不可用的，那么随着网络的迅速膨胀，IP ver4的地址空间变得几乎快耗尽了。在这样的情况下，出现了一些如VLSM子网技术，NAT网络地址翻译技术，试图来缓和地址空间的快速消耗。与此同时，人们也开发出了一个地址空间更为庞大的IP协议，这个协议拥有比IP ver4多出数倍的地址空间，来解决网络地址匮乏的问题，这个IP协议就是IP版本6，即IPv6。

2.2 方案简介

      目前我们使用的第二代互联网IPv4技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了中国及其他国家互联网的应用和发展。

      一方面是地址资源数量的限制，另一方面是随着电子技术及网络技术的发展，计算机网络将进入人们的日常生活，可能身边的每一样东西都需要连入全球因特网。在这样的环境下，IPv6应运而生。单从数字上来 说，IPv6所拥有的地址容量是IPv4的约8×10^28倍，达到2^128（算上全零的）个。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。

但是与IPv4一样，IPv6一样会造成大量的IP地址浪费。准确的说，使用IPv6的网络并没有2^128个能充分利用的地址。首先，要实现IP地址的自动配置，局域网所使用的子网的前缀必须等于64，但是很少有一个局域网能容纳2^64个网络终端；其次，由于IPv6的地址分配必须遵循聚类的原则，地址的浪费在所难免。

      但是，如果说IPv4实现的只是人机对话，而IPv6则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在，无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大。

2.3 应用

      IPv6的普及一个重要的应用是网络实名制下的互联网身份证/VIeID，目前基于IPv4的网络之所以难以实现网络实名制，一个重要原因就是因为IP资源的共用，因为IP资源不够，所以不同的人在不同的时间段共用一个IP，IP和上网用户无法实现一一对应。

      在IPv4下，现在根据IP查人也比较麻烦，电信局要保留一段时间的上网日志才行，通常因为数据量很大，运营商只保留三个月左右的上网日志，比如查前年某个IP发帖子的用户就不能实现。

IPv6的出现可以从技术上一劳永逸地解决实名制这个问题，因为那时IP资源将不再紧张，运营商有足够多的IP资源，那时候，运营商在受理入网申请的时候，可以直接给该用户分配一个固定IP地址，这样实际就实现了实名制，也就是一个真实用户和一个IP地址的一一对应。

      当一个上网用户的IP固定了之后，你任何时间做的任何事情都和一个唯一IP绑定，你在网络上做的任何事情在任何时间段内都有据可查，并且无法否认。

2.4 优势

与IPV4相比，IPV6具有以下几个优势：

1、IPv6具有更大的地址空间。IPv4中规定IP地址长度为32，最大地址个数为2^32；而IPv6中IP地址的长度为128，即最大地址个数为2^128。与32位地址空间相比，其地址空间增加了2^128-2^32个。

2、IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类（Aggregation）的原则，这使得路由器能在路由表中用一条记录（Entry）表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。

3、IPv6增加了增强的组播（Multicast）支持以及对流的支持（Flow Control），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QoS，Quality of Service）控制提供了良好的网络平台。

4、IPv6加入了对自动配置（Auto Configuration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。

5、IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，在IPV6中的加密与鉴别选项提供了分组的保密性与完整性。极大的增强了网络的安全性。

6、允许扩充。如果新的技术或应用需要时，IPV6允许协议进行扩充。

7、更好的头部格式。IPV6使用新的头部格式，其选项与基本头部分开，如果需要，可将选项插入到基本头部与上层数据之间。这就简化和加速了路由选择过程，因为大多数的选项不需要由路由选择。

8、新的选项。IPV6有一些新的选项来实现附加的功能。

2.5 安全性

现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危，每天上网开了实时防病毒程序还不够，还要继续使用个人防火墙，打开实时防木马程序才敢上网冲浪。诸多人把这些都归咎于IPv4网络。现在IPv6来了，它设计的时候充分研究了以前IPv4的各种问题，在安全性上得到了大大的提高。但是是不是IPv6就没有安全问题了？答案是否定的。

目前，病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了，因为IPv6的地址空间实在是太大了，如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机，就犹如大海捞针。在IPv6的世界中，对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。

所以，在IPv6的世界里，病毒、互联网蠕虫的传播将变得非常困难。但是，基于应用层的病毒和互联网蠕虫是一定会存在的，电子邮件的病毒还是会继续传播。此外，还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如，IPv6地址FF05::3是所有的DHCP服务器，就是说，如果向这个地址发布一个IPv6报文，这个报文可以到达网络中所有的DHCP服务器，所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。

另外，不管是IPv4还是IPv6，都需要使用DNS，IPv6网络中的DNS服务器就是一个容易被黑客看中的关键主机。也就是说，虽然无法对整个网络进行系统的网络侦察，但在每个IPv6的网络中，总有那么几台主机是大家都知道网络名字的，也可以对这些主机进行攻击。而且，因为IPv6的地址空间实在是太大了，很多IPv6的网络都会使用动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器，就可以得到大量的在线IPv6的主机地址。另外，因为IPv6的地址是128位，很不好记，网络管理员可能会常常使用一下好记的IPv6地址，这些好记的IPv6地址可能会被编辑成一个类似字典的东西，病毒找到IPv6主机的可能性小，但猜到IPv6主机的可能性会大一些。而且由于IPv6和IPv4要共存相当长一段时间，很多网络管理员会把IPv4的地址放到IPv6地址的后32位中，黑客也可能按照这个方法来猜测可能的在线IPv6地址。所以，对于关键主机的安全需要特别重视，不然黑客就会从这里入手从而进入整个网络。所以，网络管理员在对主机赋予IPv6地址时，不应该使用好记的地址，也要尽量对自己网络中的IPv6地址进行随机化，这样会在很大程度上减少这些主机被黑客发现的机会。

以下这些网络攻击技术，不管是在IPv4还是在IPv6的网络中都存在，需要引起高度的重视：报文侦听，虽然IPv6提供了IPSEC最为保护报文的工具，但由于公匙和密匙的问题，在没有配置IPsec的情况下，偷看IPv6的报文仍然是可能的；应用层的攻击，显而易见，任何针对应用层，如WEB服务器，数据库服务器等的攻击都将仍然有效；中间人攻击，虽然IPv6提供了IPsec，还是有可能会遭到中间人的攻击，所以应尽量使用正常的模式来交换密匙；洪水攻击，不论在IPv4还是在IPv6的网络中，向被攻击的主机发布大量的网络流量的攻击将是会一直存在的，虽然在IPv6中，追溯攻击的源头要比在IPv4中容易一些。

2.6 IPv4到IPv6的过渡技术

由于Internet的规模以及目前网络中数量庞大的IPv4用户和设备，IPv4到v6的过渡不可能一次性实现。而且，目前许多企业和用户的日常工作越来越依赖于Internet，它们无法容忍在协议过渡过程中出现的问题。所以IPv4到v6的过渡必须是一个循序渐进的过程，在体验IPv6带来的好处的同时仍能与网络中其余的IPv4用户通信。能否顺利地实现从IPv4到IPv6的过渡也是IPv6能否取得成功的一个重要因素。

实际上，IPv6在设计的过程中就已经考虑到了IPv4到IPv6的过渡问题，并提供了一些特性使过渡过程简化。例如，IPv6地址可以使用IPv4兼容地址，自动由IPv4地址产生；也可以在IPv4的网络上构建隧道，连接IPv6孤岛。目前针对IPv4-v6过渡问题已经提出了许多机制，它们的实现原理和应用环境各有侧重，这一部分里将对IPv4-v6过渡的基本策略和机制做一个系统性的介绍。

在IPv4-v6过渡的过程中，必须遵循如下的原则和目标：

·保证IPv4和IPv6主机之间的互通；

·在更新过程中避免设备之间的依赖性（即某个设备的更新不依赖于其它设备的更新）；

·对于网络管理者和终端用户来说，过渡过程易于理解和实现；

·过渡可以逐个进行；

·用户、运营商可以自己决定何时过渡以及如何过渡。

主要分三个方面：IP层的过渡策略与技术、链路层对IPv6的支持、IPv6对上层的影响

对于IPV4向IPV6技术的演进策略，业界提出了许多解决方案。特别是IETF组织专门成立了一个研究此演变的研究小组NGTRANS，已提交了各种演进策略草案，并力图使之成为标准。纵观各种演进策略，主流技术大致可分如下几类：

双栈策略　

双栈是在目前的IPv4协议栈基础上叠加IPv6协议栈，需要在相应网络设备、应用、软硬终端上开启IPv6协议栈，形成与现有IPv4流量转发独立的IPv6流量通道。具有双协议栈的结点称作“IPv6/v4结点”，这些结点既可以收发IPv4分组，也可以收发IPv6分组。它们可以使用IPv4与IPv4结点互通，也可以直接使用IPv6与IPv6结点互通。

双栈技术可以实现某公司向IPv6平滑迁移，其技术实现的重点主要在相关网元对IPv6的支持程度上。政务外网双栈承载需要出口设备支持IPv6并开启IPv6路由协议；核心交换机设备支持IPv6，开启IPv6路由协议，配置IPv4/IPv6双栈地址池，配置IPv6接入所需要的协议，包括PPPv6，SLAAC，DHCPv6等等。

隧道技术　

在IPV6发展初期，必然有许多局部的纯IPV6网络，这些IPV6网络被IPV4骨干网络隔离开来，为了使这些孤立的“IPV6岛”互通，就采取隧道技术的方式来解决。利用穿越现存IPV4因特网的隧道技术将许多个“IPV6孤岛”连接起来，逐步扩大IPV6的实现范围，这就是目前国际IPV6试验床6Bone的计划。

工作机理：在IPV6网络与IPV4网络间的隧道入口处，路由器将IPV6的数据分组封装入IPV4中，IPV4分组的源地址和目的地址分别是隧道入口和出口的IPV4地址。在隧道的出口处再将IPV6分组取出转发给目的节点。

隧道技术在实践中有四种具体形式：构造隧道、自动配置隧道、组播隧道以及6to4。

TB（Tunnel Broker，隧道代理）　

对于独立的v6用户，要通过现有的IPv4网络连接IPv6网络上，必须使用隧道技术。但是手工配置隧道的扩展性很差，TB的主要目的就是简化隧道的配置，提供自动的配置手段。对于已经建立起IPv6的ISP来说，使用TB技术为网络用户的扩展提供了一个方便的手段。从这个意义上说，TB可以看作是一个虚拟的IPv6 ISP，它为已经连接到IPv4网络上的用户提供连接到IPv6网络的手段，而连接到IPv4网络上的用户就是TB的客户。

协议转换技术　

其主要思想是在V6节点与V4节点的通信时需借助于中间的协议转换服务器，此协议转换服务器的主要功能是把网络层协议头进行V6/V4间的转换，以适应对端的协议类型。

优点：能有效解决V4节点与V6节点互通的问题。

缺点：不能支持所有的应用。这些应用层程序包括：① 应用层协议中如果包含有IP地址、端口等信息的应用程序，如果不将高层报文中的IP地址进行变换，则这些应用程序就无法工作，如FTP、STMP等。② 含有在应用层进行认证、加密的应用程序无法在此协议转换中工作。

传输层中继（TransportRelay）　

与SOCKS64的工作机理相似，只不过是在传输层中继器进行传输层的“协议翻译”，而SOCKS64是在网络层进行协议翻译。它相对于SOCKS64，可以避免“IP分组分片”和“ICMP报文转换”带来的问题，因为每个连接都是真正的IPV4或IPV6连接。但同样无法解决网络应用程序数据中含有网络地址信息所带来的地址无法转换的问题。

应用层代理网关（ALG）　

ALG是Application Level Gateway的简称，与SOCKS64、传输层中继等技术一样，都是在V4与V6间提供一个双栈网关，提供“协议翻译”的功能，只不过ALG是在应用层级进行协议翻译。这样可以有效解决应用程序中带有网络地址的问题，但ALG必须针对每个业务编写单独的ALG代理，同时还需要客户端应用也在不同程序上支持ALG代理，灵活性很差。显然，此技术必须与其它过渡技术综合使用，才有推广意义。

最终过渡方案选择

过渡技术	速度	灵活性	成本
双栈接入	快	高	高
配置隧道接入	慢	低	低
ISATAP隧道接入	慢	中	低

双栈是IPV4TOIPV6过渡主流策略，所有的过渡技术都是基于双栈实现的，不同的过渡策略各有优劣、应用环境不同，网络的演进过程中将是多种过渡技术的综合，根据XX市政府电子政务网互联网区的实际（IPV4和IPV6将会长期共存的状态）情况，因此双栈策略是解决IPV4向IPV6平滑过渡最佳方案。

三、建设方案

3.1 建设某公司

XX市政府电子政务网互联网区于2005年12月20日建成运行，将全市各个单位的信息资源进行共享融合，实现各单位之间资源共享。同时也有效降低了各单位建设系统需要的硬件投资和运维成本费用，有效节约了政府信息化运维管理成本。

XX市政务外网互联网出口区域部署1台政务外网交换机华为CE12808S，用于实现政务外网不同VPN区域与互联网出口之间的高速互联。同时，在市政务外网互联网出口区域与运营商互联网出口部署1台互联网出口交换机华为CE12808S用于将运营商3条互联网链路接入。政务外网核心交换机与互联网出口交换机支持虚拟化技术，采用相同配置并配置足够多的业务端口和模块，其中任意1台交换机出现设备故障时可由另1台交换机托管应用，快速恢复业务。

采用双机方式部署两台上网行为管理系统X康NI7100-AY，实现行为管理、应用控制、流量管控、信息管控、行为分析等功能。采用双机方式部署两台下一代防火墙X石网科SG6000-T5060，基于行为分析技术，帮助发现未知网络威胁。在攻击的全过程提供防护和检测，帮助有效抵御APT、DDoS、变种恶意软件攻击，全面降低网络风险。利用防火墙自身的负载均衡功能，解决多链路网络环境中流量分担的问题,充分提高多链路的带宽利用率。

XX市电子政务外网DMZ区整合电信运营商分配的IP公网资源，采用双机方式部署两台某公司防火墙用于DMZ区服务器互联网接入、安全访问策略控制等功能。采用双机方式部署两台思科4506交换机，在思科4506上合理划分网段，确保各服务器安全接入。采用旁挂方式部署1台X康审计设备，对服务器区WEB访问、论坛发帖等进行记录。在主用思科4506和主用某公司防火墙间串接1台网神入侵防御系统IPS，对网络恶意行为进行检测和防御。

为了保障XX市电子政务外网IPv6改造实施，不影响IPv4业务，对现有互联网区网络进行了前期调研。

3.1.1 网络设备现状调研表

区域	网元类型	设备厂家	设备型号	生命周期	数量	单位	是否支持双栈
市政务外网互联网出口区域	出口交换机	X为		正常运行	2	台	支持
	行为审计	X康		正常运行	2	台	支持
	防火墙	X石网科		正常运行	2	台	支持
	核心交换机	X为		正常运行	2	台	支持
市政务外网DMZ区	汇聚交换机	X科		即将退网	2	台	支持
	防火墙	某公司		正常运行	2	台	需升级
	行为审计	X康		正常运行	1	台	支持
	入侵检测	X康		正常运行	1	台	需升级

3.1.2 对信息系统现状调研表

系统名称	子系统/组件名称	系统功能简述	是否涉及公网IP	类型	设备/应用名称	设备功能说明	现网设备厂家	设备型号/软件版本	数量	单位
XX政府网站群系统	linux系统/组件	提供XX市政府及直属部门、党群单位网站服务	是	硬件	VMware虚拟化平台	服务器	DELL	VMware ESI主机	5	台

根据现网情况，将汇聚层的原有三层交换机更换为支持IPv4/IPv6的双栈设备。原有IPv4业务不产生任何变化，正常运行。

3.2 建设思路

n  网络和业务调研，收集政务网DMZ区设备现状和IPv6支持情况，统计不支持IPv6设备清单，并收集提供当前网络的用户数量、网络峰值流量等业务情况；

n  申请IPV6出口资源，使得网络出口链路支持IPv6；

n  优化现有网络架构，将相关业务进行平滑过渡割接。对现网较老旧和不支持IPv6设备进行替换升级，新购设备按照V6标准选型入网。对现网较老旧和不支持IPv6设备进行版本升级，升级后的设备满足IPV6标准，升级完成后的网络系统完全支持IPv4/IPv6双栈；

n  现网设备开启双栈，同时承载IPv4和IPv6互联网流量，互联网出口链路进行升级改造；

n  IPv6路由设计、路由策略、流量流向等与IPv4保持一致，业务承载方式与IPv4保持一致，双栈流量对现有的业务不产生影响；

n  实现自动化运维IT支撑系统、云管平台系统等应用的需求。

四、实施方案  4.1 电子政务IPv6地址规划

XX电信为了保障XX电子政府网出口安全，IPV6同样部署三条链路出口。为了实际流量的负载分担，在CE12804上启用策略路由根据不同的数据流通不同的链路进行发送，提高链路的利用效率。

互联地址:x.x.x.x

业务地址:

x.x.x.x

路由部分：

BRAS上面通过前缀列表+黑洞+network 下面宣告x..x.x.x:: /119整个大段，写2条静态路由如下分别为下行互联地址段和业务地址段

负载均衡上面写IPv6默认路由指向上行接口IPv6地址，写静态路由指向x.x.x.x

利旧原现网vlanif配置地址为x.x.xx下行服务器网关地址

写条默认路由指向上行：  

x:x:x:x:0000:0000:0000:0000/120//互联地址段

x:x:x:x:0000:0000:0000:0100/120//业务地址段

X:X:X:X:0000:0000:0000:0200/120//业务地址段

X:X:X:X:X:0000:0000:0300/120//业务地址段

X:X:5011:0010:0000:0000:0000:0400/120//业务地址段

X:X:5011:0010:0000:0000:0000:0500/120//业务地址段

X:X:5011:0010:0000:0000:0000:0600/120//业务地址段

X:X:5011:0010:0000:0000:0000:0700/120//业务地址段  

4.2 系统改造4.2.1 网络设备层

网络层改造条件已具备：所有硬件设备均需支持 IPv6，全部开启 IPv6 协议栈。

4.2.2 某公司防火墙4.2.2.1 完成目标

完成防火墙在现有IPv4相关配置不动的情况下实现IPv4/IPv6双栈协议运行

1.外网IPv4用户通过防火墙地址转换功能访问内部IPv4业务；

2.防火墙——核心交换机——IPv6服务器配置IPv6公网地址；

3.防火墙——核心交换机配置IPv6静态路由功能，实现外网IPv6用户可以直接访问IPv6服务器，从而可以直接访问IPv6服务器上的业务。

4.2.2.2 相关地址规划

设备名称	设备网口	IPv4地址	IPv6地址	备注
防火墙	外网口1	√	x	运行IPv4
	外网口2	X	√	运行IPv6
	内网口	√	√	运行IPv4/IPv6双栈
核心交换机	上联口（至防火墙）	√	√	运行IPv4/IPv6双栈
	下联口1（至IPv4服务器）	√	x	运行IPv4
	下联口2（至IPv6服务器）	X	√	运行IPv6
IPv4服务器	以太网口	√	x	运行IPv4
IPv6服务器	以太网口	X	√	运行IPv6

4.2.2.3 实现步骤

1.对目前现有运行某公司防火墙进行软件版本升级，升级至支持IPv6功能版本；

2.防火墙现有IPv4相关功能保持不变；

3.防火墙外部接口新增一条IPv6接入链路，配置公网IPv6地址，内部接口配置ipv4/IPv6双栈IP地址；防火墙配置IPv6静态路由功能，IPv6默认路由指向IPv6网关，IPv6服务器网段下一条指向核心交换机；

4.防火墙配置IPv6访问控制功能，实现IPv6网络之间的访问控制。

4.2.3 网康上网审计IPS系统

目前在用网康上网行为管理（NI7000-10），设备软件版本(8.1.0.13)的方式支持IPv6，实现IPv4/IPv6双栈运行 ，不需要增加配置。

目前在用网神入侵防御系统SECIPS3600，设备软件版本(V5.0)的方式不支持IPv6，实现IPv4/IPv6双栈运行。需要升级，前期可以旁挂。

4.2.4 DNS服务器

   目前，运行的DNS服务器支持hefei.gov.cn域名的IPv4地址解析。拟计划新增IPv6 DNS服务器，增强DNS健壮性。DNS服务器易遭受攻击，需重点保护。建立新的IPv6 DNS服务器，增加IPv6域名记录。配置IPv6 DNS服务器：

4.2.4.1 安装 BIND

1.在 CentOS 中，通过命令行进行安装：

#yum –y install bind system-config-bindbind-chroot

出于对安全性的考虑完成安装后，需要/usr/share/system-config-bind/profiles/Default，复制named.conf到 /var/named/chroot/etc/。

复制主配置文件：

复制正反解文件：

ROOT 服务器地址设置：

2.重启 BIND 服务

command: # /etc/init.d/named restart

    3.确认开启 Port

确认 IPv4 和 IPv6 端口 port53 和port953 是否都开启， port953 是rndc 使用端口，rndc 监控BIND 启动与否的工具，所以检查端口 953 Listen 状况就可以知道 DNS 服务是否开启。

Command:# netstat –utlnp | grep named

4.2.4.2 设置 BIND 主配置文件

BIND 的主配置文件在/etc/named.conf，存储了大量 BIND

	file:///C:/Users/zt/AppData/Local/Temp/msohtmlclip1/01/clip_image011.jpg

自身的设置信息。设置 Options 区域的参数，Options 定义了全局配置选项，需要配置的参数如图：

listen-on port 53 {any;};

表示 BIND 将在 53 端口监听，any 选项说明DNS 将对所有来源的地址监听并进行 DNS 查询。

-directory “/var/named”；

指定了服务器区（zone）配置文件工作目录。

-dump-file: statistics-file:memstatistics-file:

规定了一些相关资料统计存放的文件名称和路径地址。

-allow-query{any;};

设置可以使用本台服务器 DNS 服务的客户端地址；本例设置为 any，向所有用户开放。

-allow-transfer{none;};

指定可以进行查询的 Slave DNS。本例设置为 none，表明没有可以查找的 Slave DNS。

设置区（zone）参数区声明是配置文件中最重要的部分Zone 语句的语法格式为

zone “zone-name” IN{

type  #子句

file   #子句其他子句

}；

参数说明

type master|hint|slave。

-     master：声明一个区为主域名服务器。

-     hint：声明一个区为启动时初始化高速缓存的域名服务器。

-     slave：声明一个区为辅助域名服务器。

-     file “filename”：声明区文件的文件名。

本例创建正向查找区域【labtest2.ipvt.cn】和反向查找区域【30.172.in-addr.arpa】。

file:///C:/Users/zt/AppData/Local/Temp/msohtmlclip1/01/clip_image013.jpg

4.2.4.3 配置 BIND 主配置文件 IPv6 DNS 参数

在主配置文件/var/named/chroot/etc/named.conf 中加入

IPv6 相关参数。

    options 区域：

加入 listen-on-v6{any;}，启动在 IPv6 网络上监听端口 53。

创建IPv6 反向查找区域：

在主配置文件/var/named/chroot/etc/named.conf中建立IPv6 反向查找区域。

	file:///C:/Users/zt/AppData/Local/Temp/msohtmlclip1/01/clip_image014.jpg

设置说明：

-zone  “4.0.0.0.f.1.2.0.8.a.d.0.1.0.0.2.ip6.arpa” 为 IPv6

地址反向查找区域的名称。

-file “name.IPv6.reverse.zone”是IPv6 反向查找区域文件名称

4.2.5.4 设置 IPv6 DNS记录

1.设置正向查找记录（AAAA记录）

IPv6 的正向查找记录设置方式是在IPv4 正向查找区域文件中增加 IPv6 的记录。

	file:///C:/Users/zt/AppData/Local/Temp/msohtmlclip1/01/clip_image016.jpg

设置 IPv6 正向查找记录

设置说明：

nw2 IN    AAAA

2001:da8:21f:4:7ae7:d1ff:fef8:9a3e （创建主机名到IPv6 地址的映射）

www IN  AAAA

2001:da8:21f:4:7ae7:d1ff:fef8:9a3e （创建域名到IPv6 地址的映射）

2.设置反向查找记录

之前在 named.conf 中新建了 IPv6 反向查找区域，现在可以对文件进行设置。

输入命令：

vim /var/named/chroot/var/named/name.IPv6.reverse.zone

	file:///C:/Users/zt/AppData/Local/Temp/msohtmlclip1/01/clip_image018.jpg

反向查找记录

3.测试 IPv6 AAAA 记录

重新启动 DNS 服务，输入命令：

/etc/init.d/named restart

	file:///C:/Users/zt/AppData/Local/Temp/msohtmlclip1/01/clip_image020.jpg

使用 nslookup 测试 IPv6 正向查找记录。

测试 IPv6 正向查找记录

测试 IPv6 反向查找记录

4.2.5 业务系统层

设备层改造后，开始对前后台业务管理系统、数据库系统、网络安全系统、应用系统，全部启用 IPv6 协议，对网站代码不能运行 IPv6 协议栈的部分进行修改。

4.3 IPv6网络业务测试

改造完毕后对业务进行测试主要分为业务测试和网络测试。

业务测试：测试IPV6互联网的连通性，按照下表进行测试。

资源名称	ip	资源归属
XX测速网站	[url=http://[2409:8030:0:2107::13]:4080/]http://[2409:8030:0:2107::13]:4080/[/url]	XX移动
XXDNS	2409:8030:2000::1  2409:8030:2000::2	XX移动
贵州DNS	2409:806a:2000:2000::1	XX移动
黑龙江dns	240c::6666 | 240c::6644	XX移动
陕西测试	http://ipv6.sx.chinamobile.com/
某公司	http://ipv6.ahta.gov.cn	某公司

网络测试：除了进行互联互通性方面外，更进一步进行移性、安全性、可管理性等方面的测试。按照下表进行测试：

	测试
ICMPv6 Echo	完全测试
地址自动分配和冲突检测	完全测试
路由器公告前缀的发现机制	完全测试
路由器公告前缀的生命周期	完全测试
路由器重定向	完全测试
路径MTU和分片	完全测试
路由报头处理	完全测试

4.4 应急预案

割接过程中如遇到设备异常、流量异常或重大故障投诉，首先确认割接操作步骤、脚本是否有问题，并进行紧急故障恢复（包括协议、链路、设备重启等），若20分钟内无法解决问题，则回退到割接前状态。

割接过程中可能遇到问题及应对策略包括：

1、冗余配置的硬件出现问题

电子政务网网路由器、交换机基本采用全冗余性配置，包括电源、路由引擎、交换引擎等，若冗余配置的硬件中其中之一出现问题，设备仍可以正常运行，在征得用户项目经理同意后，割接继续进行；否则回退至割接前状态，等待故障硬件的替换。

2、线卡出现问题

母卡（FPC）或接口卡（PIC）等接口板出现问题，由于全网采用全冗余设计，部分硬件故障仍能保证对端节点网络正常运行，在征得用户项目经理同意后，割接继续进行；否则回退至割接前状态，等待故障硬件的替换。

3、链路出现问题

如果多条链路中部分链路在割接时出现问题，如传输故障、尾纤故障等，可先通过测量将流量调整至其它链路。

4、路由出现问题

在割接过程中，可能会出现路由问题，如果在割接申请的时间内不能解决问题，或该问题可能会造成其它影响，则回退至割接前状态。

五.施工计划5.1 分工界面

项目实施主要参与者为各厂商和具体责任分工界面为：

	工程进展	客户	某公司	厂商
1.工程准备阶段
工程准备阶段	项目组筹备	参与	主要责任	参与
	/工程规划
	工程环境调查	主要责任	参与	参与
	产品到货	参与	主要责任	参与
	签收	主要责任	参与	参与
	安装环境准备：网络准备/系统准备	主要责任	参与	参与
2.工程实施阶段
所有产品	网络准备	主要责任	参与	参与
	应急计划准备	参与	参与	主要责任
	应急及备份	参与	参与	主要责任
	提起安装申请	参与	主要责任	参与
	安装批准	主要责任	参与	参与
	安装/调试	参与（提供访问控制关系）	主要责任（具体实施、总体协调）	主要责任（提供技术支持）
	工程文档		主要责任
3.工程验收阶段
工程验收	验收文档准备	参与	主要责任
	验收	参与	主要责任
	验收文档提交	参与	主要责任
	验收签署	主要责任	参与
4.试运行～终验
初验	初验完成	主要责任（安全系统日常运营维护）	主要责任（技术支持）	主要责任（技术支持）
	～试运行
终验	终验后	主要责任（系统运营维护）	参与（技术支持）	参与（技术支持）

5.2 项目里程碑目标

2019年12月底前完成项目建设各个阶段及各项建设内容的方案制定，完成硬件设备和软件系统的安装、配置、调试、测试、总体联调、试运行、验收，直至系统正式运行。制定明确的培训范围、培训内容和培训计划。在用户单位合适的时间内完成对用户现场管理培训、原厂商培训的范围和内容，并保证有足够的人力和物力确保系统安全稳定的运行。

5.3 项目实施计划安排

根据整个工程的网络覆盖及网络技术要求，我们拟出工程实施进度安排如下表：

实施阶段	实施步骤	实施内容	时间范围
一、项目准备	1	现网网络设备调研	2019年2月20日
	2	系统设备调研	2019年2月20日
	3	电信IPv6数据规划	2019年2月20日
	4	新增汇聚交换机采购、割接	2019年5月
	5	实施工程师人员准备	2019年6月
二、设备调试	6	割接方案审核	2019年7月
	7	完成出口线路改造（支持IPV6）	2019年8月
	8	防火墙及交换机升级，增加IPv6配置	2019年9月
	9	服务器和终端增加IPv6地址	2019年9月
	10	业务测试	2019年10月
三、试运行及调优	13	网络优化	2019年11月
四、验收	14	IPV6应用测试、验收	2019年12月

5.4 项目成员

单位名称	姓名	职务	电话	E-mail
信息中心		信息化基础部部长
		工程师
		工程师
XX电信		项目经理
		技术负责人
		实施人员
		实施人员

谢谢楼主分享。

感谢分享，非常实用

为楼主点赞，希望楼主多多分享干货！

感谢分享，非常实用!

感谢楼主分享，非常有用。

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

感谢分享，很有用处，最近也在做IPv6改造，正无从下手，看了这个有点心得了

感谢分享，非常实用感谢分享，非常实用感谢分享，非常实用

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~