央企IPv6深化部署解決方案

一、概述
結合央企“互聯網出口收斂”工作進展，同步推進IPv6深化部署工作。通過在互聯網出口的IPv6部署，以實現面向互聯網及社會公眾同時提供IPv6及IPv6入境訪問服務，以及企業內網用戶、終端及應用基于IPv6協議面向互聯網資源的出境訪問服務；通過對企業內網全網、全棧IPv6部署，實現全網范圍端-端的IPv6貫通，為企業各類系統和應用采用IPv6協議進行通信、數據交換和服務訪問等提供支持，構成企業IPv6部署及應用的主體部分。建立以“IPv6單棧為主體、IPv4過渡為輔助”的IPv6網絡基礎設施和應用支撐體系，并以IPv6為平臺持續推動IT基礎設施技術創新、應用融合創新。

二、部署方案
在充分利用現有基礎設施和應用體系資源基礎上，擬采用“出口網絡IPv6部署+新建IPv6網絡服務區”的混合型、演進式部署策略，升級范圍包括網絡邊界區、辦公區，以及新建IPv6網絡服務區部署明陽IPv4/IPv6協議交換平臺、明陽DDI集成服務平臺、明陽IPv6安全感知與主動防護平臺、明陽IPv6網絡及應用監測平臺，整體提升企業互聯網區IPv6深化部署程度，實現應用對外雙棧服務能力，使用戶終端具備IPv6訪問能力、網絡具備DDI集成管理能力、構建IPv6網絡安全預警系統。

1.IPv4/IPv6過渡支撐體系

按國家IPv6規模部署相關政策要求，在IPv6全面部署的同時，采用協議翻譯（Translation）技術，以IPv6流量承載IPv4服務，實現正在應用中且與IPv6不能直接兼容、或短期內難以升級的存量應用或系統，在IPv6環境下的兼容運行，合理利舊、保護投資。
對于企業互聯網出口、企業內網IPv6深化部署，在網站和WEB應用的IPv4/IPv6協議交換服務基礎上，通過在網絡邊界（邊緣）部署相應的協議翻譯服務，并與企業SD-WAN集成和分級部署，支持現有IPv4應用的過渡服務，有效提升IPv6流量占比，實現IPv6全網端到端覆蓋和貫通。

2.IPv6網絡DDI核心服務體系
IPv6網絡核心服務體系即DNS、DHCP、IPAM整合支持體系，主要用于建立IPv6環境下的核心網絡服務平臺，實現全網智能化DNS服務、多級IP地址規劃、自動分配和溯源管理服務。
對于企業互聯網出口（及互聯網出口收斂）、企業內網大規模、結構復雜 的IPv6新網絡環境，通過在集團總部數據中心、各接入單位分級部署DDI平臺是必要技術支撐，用以實現全網IPv6地址規劃、分級分域IP地址管理與自動分配、實時監管和溯源審計，以及域名多級規范解析服務和IPAM全周期管理服務。

3.IPv6部署監測體系
面向大型集團企業跨區域、跨單位、多層級、長周期的IPv6部署和應用工程，采用“集中平臺+分布探針”模式建立全面的IPv6部署監測考核體系，通過全網IPv6流量及各級應用系統IPv6支持情況、通信性能及質量的實時監測，針對國家IPv6有關考核的全面自檢，跟蹤整體IPv6部署、基礎設施與應用體系升級的進展情況。

4.IPv6安全及運維體系
隨著IPv6部署工作推進，需在企業現有安全體系基礎上，因應IPv6環境、安全威脅變化，建立IPv6全網態勢感知體系，實時分析網內異常流量、行為，實施基于策略的主動防御，應對0Day、APT等攻擊；需要采用全局性運維支持工具，以實現全網資源監控和運維維護，提高IPv6網絡運維自動化水平。

三、優點
該方案優勢在于充分考慮網絡的平滑演進性、技術先進性、網絡安全性以及運維一體化和改造徹底化。通過該實施方案可全面滿足國家IPv6單棧演進的最終部署要求，并充分發揮IPv6協議溯源、審計、精準定位及端端互聯優勢，有利于打通信息孤島，促進企業生產經營等相關數據融通及共享。