IPv6产生背景
1、IPv4地址数量不足 IPv4地址采用32比特标识,理论上能够提供的地址数量是43亿(由于地址分配的原因,实际可使用的数量不到43亿)。另外,IPv4地址的分配也很不均衡:美国占全球地址空间的一半左右,而欧洲则相对匮乏;亚太地区则更加匮乏。与此同时,移动IP和宽带技术的发展需要更多的IP地址。目前IPv4地址已经消耗殆尽。
2、互联网骨干路由器的路由表条目过多 由于IPv4发展初期缺乏合理规划,造成许多IPv4地址分配不连续问题,不能有效聚合路由,导致当今互联网骨干设备BGP路由表非常庞大,已经达到数十万条的规模,影响数据包的转发效率。
IPv6优势
1、地址空间巨大:采用128位,128位的地址结构使IPv6理论可以拥有2的128个地址。 2、报文格式简化:IPv6和IPv4相比,去除了IHL、Identifier、Flag、Fragment Offset、Header Checksum、Option、Paddiing域,只增加了流标签域,因此IPv6报文头的处理较IPv4更为简化,提高了处理效率。新增扩展头的概念。
3、支持即插即用:设备连接到网络中,可以通过地址自动配置方式使主机自动发现网络并获取IPv6地址,大大提高了内部网络的可管理性。
4、支持层次化网络结构:巨大的地址空间使得IPv6可以方便的进行层次化网络部署。层次化的网络结构可以方便的进行路由聚合,提高了路由转发效率。
5、更好的安全保障:IPv6中,网络层支持IPSec的认证和加密,支持端到端的安全。
6、对QoS(Quality of Service)的支持:IPv6新增了流标记域,提供QoS保证。
在主流依然是IPv4情况下,如何基于IPv4实现IPv6?
阿里云IPv6解决方案
- 使用阿里云负载均衡CLB实现IPv6。
- 使用阿里云IPv6网关实现IPv6。
- 使用阿里云WEB应用防火墙实现IPv6。
- 使用阿里云全球加速GA实现IPv6.。
- 使用阿里云IPv6 DDOS实现IPv6。
准备环境
产品\地域 |
上海(华东2) |
专有网络VPC |
ztf_test |
交换机 |
ztf_test |
可用区 |
可用区B |
安全组 |
ztf_test |
云服务器ECS |
ztf_test |
ECS公网IPv4地址 |
106.15.187.227 |
负载均衡CLB |
ztf_test |
负载均衡IPv6地址 |
2408:4002:1f10::3b9 |
IPv6网关IPv6地址 |
2408:4002:10f9:1500:e46f:a165:4515:8962 |
Web应用防火墙 IPv6地址 |
2048:4000:300::117 |
全球加速GA IPv6地址 |
2048:4006:1f10::d0 |
DDOS高防IP IPv6地址 |
2405:e000:1003::e6cc:8470 |
创建专有网络VPC
创建上海地域专有网络VPC,名称:ztf_test,并创建可用区B交换机,名称:ztf_test。
创建关联VPC安全组,名称:ztf_test。
创建云服务器ECS
创建云服务器ECS,地域:上海,名称:ztf_test,可用区:可用区B。
在ECS中,编写IPv6测试HTML网页文件。
安装IIS服务。
添加网站。
测试IPv4网站是否可以访问。
IPv6负载均衡实现IPv6
创建上海地域IPv6负载均衡,本文测试规格:标准型I,名称:ztf_test。
创建后端虚拟服务器组并添加已创建的ECS,监听80端口。
测试IPv6访问。
到此,成功利用IPv6负载均衡实现IPv4转换,在该模式下,IPv4通过负载实现,IPv4通过ECS自带IPv4地址实现。下文将通过IPv6网关实现IPv6/IPv4双栈服务器。
IPv6网关模式实现IPv6
在专有网络VPC开启IPv6,开启的同时会创建IPv6网关。
跟随创建的IPv6网关,下一步需要在管理中开通IPv6公网带宽。
开通IPv6公网带宽
开通后,将自动分配关联ECS实例IPv6地址,如没有自动分配可以参考如下文档进行手动操作:配置IPv6地址(windows)配置IPv6地址(Linux)
测试IPv6访问。
到此,使用IPv6网关模式实现IPv6已经完成,在该模式下,需要创建IPv6网关产品,该产品为后付费模式,即会产生按量计费账单,需要事先保证余额充足,预付费模式建议使用IPv6负载均衡/Web应用防火墙/DDOS高防IP/全球加速GA。下文将Web应用防火墙实现IPv6。
Web应用防火墙实现IPv6
开通Web应用防火墙并配置源站信息。
PS:需开通Web应用防火墙企业版及以上才支持IPv6功能。
本文使用域名:luminjie.com。
源站信息配置完成后,在控制台开启IPv6。
开启之后,本地运行win+R,执行CMD进入命令行界面,
执行:nslookup -qt=aaaa luminjie.com 查看IPv6是否生效。
测试出来具备IPv6地址,到此利用WAF实现IPv6完成,在改模式下,既可以实现安全防护,又可以实现IPv6,对有安全性要求较高的业务建议用此模式。下文将通过全球加速GA实现IPv6。
全球加速GA实现IPv6
购买全球加速GA实例,并购买基础带宽。本文实例为:小型I,带宽为:2M。
创建节点并添加终端节点服务器。
配置监听添加终端节点组。
添加加速区域,本文以成都为例。
加速区域添加完成后,将生成IPv6地址,去域名控制台配置解析即可。
本地运行win+R,执行CMD进入命令行界面,
执行:nslookup -qt=aaaa luminjie.com 查看IPv6是否生效。
浏览器测试访问效果。
利用全球加速GA成功实现IPv6,在该模式下,可实现加速跟IPv6双功能。下文将通过高防IP实现IPv6。
DDOS高防IP实现IPv6
创建IPv6 DDOS,创建完成后,控制台将分配IPv6地址。
做域名接入,本文还是以:luminjie.com域名为例。
域名接入完成后,控制台生成cname地址,去域名控制台配置解析即可。
本地运行win+R,执行CMD进入命令行界面,
执行:nslookup -qt=aaaa luminjie.com 查看IPv6是否生效。
成功利用DDOS高防实现IPv6,在此模式下,可实现IPv6层面的DDOS防御,如客户同时配置了IPV4解析,那么IPv4不具备DDOS防御。
以上通过IPv6负载均衡/IPv6网关/Web应用防火墙/全球加速GA/DDOS高防IP实现了IPv6,如有IPv6改造需求,可通过以上方式任意一种实现。
