信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“網(wǎng)信重慶”。

網(wǎng)信辦、國(guó)家發(fā)展改革委、工業(yè)和信息化部《深入推進(jìn)IPv6規(guī)模部署和應(yīng)用2024年工作安排》，推動(dòng)我市各級(jí)黨政機(jī)關(guān)、事業(yè)單位、國(guó)有企業(yè)用于互聯(lián)網(wǎng)訪問(wèn)的辦公網(wǎng)絡(luò)率先開(kāi)通IPv6，示范帶動(dòng)全社會(huì)企業(yè)機(jī)構(gòu)積極使用IPv6。重慶市委網(wǎng)信辦組織編制了《互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)IPv6改造指南（1.0）》，為各單位辦公網(wǎng)絡(luò)IPv6改造提供參考。

目錄

第一章 概述

1.1政策背景

1.2基本原則

第二章 互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)全程全網(wǎng)基本結(jié)構(gòu)

2.1互聯(lián)網(wǎng)系統(tǒng)基本結(jié)構(gòu)

2.2辦公網(wǎng)絡(luò)典型組網(wǎng)拓?fù)?/p>

第三章 互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)IPv6功能檢測(cè)

3.1辦公網(wǎng)絡(luò)IPv6檢測(cè)流程

3.2終端檢測(cè)

3.3檢測(cè)運(yùn)營(yíng)商提供接口檢測(cè)

3.4防火墻檢測(cè)

3.5路由器檢測(cè)

3.6交換機(jī)檢測(cè)

第四章 辦公網(wǎng)絡(luò)IPv6升級(jí)方案

4.1 IPv6地址規(guī)劃

4.2 VLAN規(guī)劃

4.3主要設(shè)備配置參考

4.4實(shí)施步驟

4.5驗(yàn)收測(cè)試

第五章 常見(jiàn)問(wèn)題和解決方案

5.1網(wǎng)絡(luò)設(shè)備問(wèn)題

5.2 DNS解析問(wèn)題

5.3地址分配問(wèn)題

5.4安全問(wèn)題

5.5網(wǎng)站訪問(wèn)問(wèn)題

致謝

第一章 概述

隨著全球互聯(lián)網(wǎng)的快速發(fā)展和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，互聯(lián)網(wǎng)協(xié)議第六版（IPv6）作為下一代網(wǎng)絡(luò)協(xié)議，不僅能夠提供幾乎無(wú)限的IP地址資源，還能支持更高效的網(wǎng)絡(luò)配置、更安全的網(wǎng)絡(luò)連接以及更廣泛的異構(gòu)網(wǎng)絡(luò)接入。鑒于IPv4地址資源耗盡，IPv6部署應(yīng)用已成為個(gè)人、家庭、單位和企業(yè)等全社會(huì)互聯(lián)網(wǎng)用戶（以下簡(jiǎn)稱用戶）的迫切需求。

本指南以典型辦公網(wǎng)絡(luò)為對(duì)象，提供較為全面的IPv6改造框架，幫助用戶基于現(xiàn)有的辦公網(wǎng)絡(luò)架構(gòu)和主流終端設(shè)備評(píng)估當(dāng)前網(wǎng)絡(luò)狀態(tài)，并在IPv6升級(jí)改造過(guò)程中提供實(shí)用參考，在最小化影響現(xiàn)有業(yè)務(wù)的情況下實(shí)現(xiàn)辦公網(wǎng)絡(luò)平滑升級(jí)至IPv6。

本指南主要針對(duì)常見(jiàn)互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)環(huán)境，提供基于廣泛使用的網(wǎng)絡(luò)設(shè)備及其操作界面示例，以指導(dǎo)用戶進(jìn)行IPv6網(wǎng)絡(luò)狀態(tài)評(píng)估、配置和升級(jí)。對(duì)特殊網(wǎng)絡(luò)架構(gòu)或特種設(shè)備，建議尋求專業(yè)的技術(shù)支持和定制化的解決方案。

1.1政策背景

中共中央辦公廳、國(guó)務(wù)院辦公廳于2017年印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，中央網(wǎng)信辦、國(guó)家發(fā)展改革委、工業(yè)和信息化部于2021年印發(fā)《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，各地區(qū)、各部門(mén)結(jié)合實(shí)際認(rèn)真貫徹落實(shí)，加快促進(jìn)互聯(lián)網(wǎng)升級(jí)演進(jìn)，推動(dòng)IPv6部署應(yīng)用取得顯著進(jìn)展。

中央網(wǎng)信辦、國(guó)家發(fā)展改革委、工業(yè)和信息化部于印發(fā)《深入推進(jìn)IPv6規(guī)模部署和應(yīng)用2024年工作安排》明確黨政機(jī)關(guān)互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)IPv6改造升級(jí)發(fā)展目標(biāo)，并要求示范帶動(dòng)全社會(huì)企業(yè)機(jī)構(gòu)積極使用IPv6。

1.2基本原則

鑒于IPv6網(wǎng)絡(luò)演進(jìn)是一個(gè)長(zhǎng)期過(guò)程，IPv4網(wǎng)絡(luò)仍在廣泛使用，綜合業(yè)務(wù)運(yùn)行、改造成本等因素，本指南提出如下基本原則：

（1）雙棧優(yōu)先。網(wǎng)絡(luò)改造原則上采用IPv4/IPv6雙棧方式，鼓勵(lì)有條件的用戶采用IPv6單棧方式。

（2）最小變動(dòng)。網(wǎng)絡(luò)改造應(yīng)基于既有設(shè)備和網(wǎng)絡(luò)，盡可能讓網(wǎng)絡(luò)架構(gòu)最小改動(dòng)及設(shè)備最少替換。

（3）安全平穩(wěn)。網(wǎng)絡(luò)改造應(yīng)統(tǒng)一規(guī)劃、因地制宜、分步實(shí)施、安全穩(wěn)妥，基礎(chǔ)設(shè)施先行，終端和應(yīng)用逐步改造，保障業(yè)務(wù)平滑切換。

第二章 互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)全程全網(wǎng)基本結(jié)構(gòu)

2.1互聯(lián)網(wǎng)系統(tǒng)基本結(jié)構(gòu)

圖2-1互聯(lián)網(wǎng)系統(tǒng)基本結(jié)構(gòu)圖

互聯(lián)網(wǎng)系統(tǒng)可以分為三部分，分別為用戶接入側(cè)，運(yùn)營(yíng)商網(wǎng)絡(luò)和互聯(lián)網(wǎng)。其中用戶接入側(cè)根據(jù)用戶場(chǎng)景分為辦公網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)等。本指南討論重點(diǎn)為典型辦公網(wǎng)絡(luò)IPv6的檢測(cè)和改造。

2.2辦公網(wǎng)絡(luò)典型組網(wǎng)拓?fù)?/strong>

辦公網(wǎng)絡(luò)一般由出入口設(shè)備、匯聚層設(shè)備、接入層設(shè)備和各類終端組成，網(wǎng)絡(luò)設(shè)備一般包括防火墻、路由器、二/三層交換機(jī)等，終端一般包括辦公電腦、手機(jī)、平板等。下圖是典型的辦公網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)：

圖例：

①運(yùn)營(yíng)商提供接口，一般為光纖專線。

②出入口設(shè)備，一般為防火墻、出口路由器、三層交換機(jī)等。

③匯聚層設(shè)備，一般為路由器、三層交換機(jī)等。

④接入層設(shè)備，一般為二層接入交換機(jī)、無(wú)線AP等。

⑤各類終端，一般包括辦公電腦、手機(jī)、平板等。

第三章 互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)IPv6功能檢測(cè)

3.1辦公網(wǎng)絡(luò)IPv6檢測(cè)流程

辦公網(wǎng)絡(luò)進(jìn)行IPv6升級(jí)改造前，應(yīng)先檢測(cè)辦公網(wǎng)絡(luò)是否支持IPv6。針對(duì)不同層級(jí)設(shè)備，需具備相應(yīng)的IPv6功能：

備注：?jiǎn)挝?企業(yè)用戶應(yīng)結(jié)合自身辦公網(wǎng)絡(luò)結(jié)構(gòu)，按照上表功能需求逐級(jí)檢測(cè)。

圖3-1檢測(cè)流程圖

說(shuō)明：本檢測(cè)流程，僅對(duì)設(shè)備是否支持IPv6協(xié)議進(jìn)行核實(shí)，并通過(guò)配置IPv6地址進(jìn)行驗(yàn)證，IPv6相關(guān)功能需進(jìn)一步進(jìn)行檢測(cè)。

3.2終端檢測(cè)

將終端接入辦公網(wǎng)絡(luò)，檢測(cè)是否支持IPv6協(xié)議并訪問(wèn)IPv6網(wǎng)站。

3.2.1固定終端檢測(cè)

（1）電腦終端打開(kāi)網(wǎng)卡設(shè)置，查看是否有IPv6協(xié)議棧——“Internet協(xié)議版本6(TCP/IP6)”（以windows和統(tǒng)信UOS為例）。windows網(wǎng)卡設(shè)置和統(tǒng)信UOS網(wǎng)卡設(shè)置如下圖：

（2）通過(guò)運(yùn)行ipconfig/all命令或Ping命令，查看是否已獲取公網(wǎng)IPv6地址，或訪問(wèn)支持IPv6協(xié)議網(wǎng)站（如test-IPv6.com、ipw.cn）進(jìn)行檢測(cè)。

①檢測(cè)結(jié)果支持情況如下：

運(yùn)行ipconfig/all命令，查看固定終端已獲取公網(wǎng)IPv6地址、網(wǎng)關(guān)和DNS服務(wù)器。運(yùn)行截圖如下：

對(duì)支持IPv6網(wǎng)站運(yùn)行Ping命令，可通過(guò)DNS域名解析為IPv6地址并且能Ping通。運(yùn)行截圖如下：

訪問(wèn)test-IPv6.com，IPv6連接測(cè)試均通過(guò)；訪問(wèn)ipw.cn，顯示IPv6狀態(tài)正常。檢測(cè)截圖如下：

通過(guò)瀏覽器打開(kāi)IPv6網(wǎng)站，可以在通過(guò)瀏覽器查看遠(yuǎn)程地址是IPv6地址（檢驗(yàn)方式：打開(kāi)瀏覽器訪問(wèn)網(wǎng)頁(yè)，之后按F12，再按F5刷新頁(yè)面，隨便定位到其中一個(gè)目錄文件，查看【網(wǎng)絡(luò)】中【標(biāo)頭】屬性中的【遠(yuǎn)程地址】）；網(wǎng)頁(yè)截圖如下：

②檢測(cè)結(jié)果不支持情況如下：

運(yùn)行ipconfig/all命令，固定終端僅能獲取IPv4地址、網(wǎng)關(guān)和DNS服務(wù)器。運(yùn)行截圖如下：

訪問(wèn)test-IPv6.com，IPv6連接測(cè)試不通過(guò)；訪問(wèn)ipw.cn，顯示采用IPv4訪問(wèn)。檢測(cè)截圖如下：

3.3.2移動(dòng)終端檢測(cè)

安卓/鴻蒙終端：設(shè)置——關(guān)于手機(jī)——狀態(tài)信息。

IOS終端：設(shè)置——無(wú)線局域網(wǎng)——已加入的辦公網(wǎng)絡(luò)后的“?”——下滑至底部。

①檢測(cè)結(jié)果支持情況如下：

移動(dòng)終端正常獲取公網(wǎng)IPv6地址。安卓/鴻蒙終端及IOS終端截圖如下：

訪問(wèn)test-IPv6.com，IPv6連接測(cè)試均通過(guò)；訪問(wèn)ipw.cn，顯示IPv6狀態(tài)正常。檢測(cè)截圖如下：

②檢測(cè)結(jié)果不支持情況如下：

移動(dòng)終端只能獲取IPv4地址，不能獲取公網(wǎng)IPv6地址。安卓/鴻蒙用戶界面及IOS用戶界面截圖如下：

訪問(wèn)test-IPv6.com，IPv6連接測(cè)試不通過(guò)；訪問(wèn)ipw.cn，顯示采用IPv4訪問(wèn)。檢測(cè)截圖如下：

3.3檢測(cè)運(yùn)營(yíng)商提供接口檢測(cè)

在互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)出口，使用筆記本電腦直接連接運(yùn)營(yíng)商提供的接口鏈路，并在網(wǎng)卡上配置運(yùn)營(yíng)商分配的接口IPv6地址或通過(guò)撥號(hào)獲取IPv6地址，然后ping運(yùn)營(yíng)商提供的IPv6網(wǎng)關(guān)地址，并訪問(wèn)支持IPv6協(xié)議網(wǎng)站（如test-IPv6.com、ipw.cn）。若能正常訪問(wèn)，說(shuō)明運(yùn)營(yíng)商提供的IPv6接口鏈路和地址資源正常。

①檢測(cè)結(jié)果支持情況如下：

電腦設(shè)置為運(yùn)營(yíng)商提供的IPv6地址后，可正常ping通對(duì)端IPv6地址。運(yùn)行截圖如下：

電腦端訪問(wèn)test-IPv6.com，IPv6連接測(cè)試均通過(guò)；訪問(wèn)ipw.cn，顯示IPv6狀態(tài)正常。檢測(cè)截圖如下：

②檢測(cè)結(jié)果不支持情況如下：

電腦設(shè)置為運(yùn)營(yíng)商提供的IPv6地址后，不能正常ping通對(duì)端IPv6地址。運(yùn)行截圖如下：

3.4防火墻檢測(cè)

登錄防火墻配置界面，在全局配置里面打開(kāi)IPv6協(xié)議，任選一個(gè)空閑端口上配置IPv6地址，若能成功配置，說(shuō)明該設(shè)備支持IPv6。

以華為USG系列防火墻為例，開(kāi)啟防火墻任意端口的IPv6功能，并配置IPv6地址。

通過(guò)查看命令，可以看到防火墻端口已配置IPv6地址，說(shuō)明防火墻支持IPv6協(xié)議。

3.5路由器檢測(cè)

登錄路由器配置界面，在全局配置里面打開(kāi)IPv6協(xié)議，任選一個(gè)空閑端口上配置IPv6地址，若能成功配置，說(shuō)明該設(shè)備支持IPv6。

以華為AR系列路由器為例，開(kāi)啟路由器任意端口的IPv6功能，并配置IPv6地址。

通過(guò)查看命令，可以看到路由器端口已配置IPv6地址，說(shuō)明路由器支持IPv6協(xié)議。

3.6交換機(jī)檢測(cè)

登錄交換機(jī)配置界面，在全局配置里面打開(kāi)IPv6協(xié)議，進(jìn)入VLAN接口，配置IPv6地址，若能成功配置，說(shuō)明該設(shè)備支持IPv6。

以華為S3700交換機(jī)為例，開(kāi)啟交換機(jī)IPv6功能，并在VLAN端口配置IPv6地址。

通過(guò)查看命令，可以看到交換機(jī)VLAN端口已配置IPv6地址，說(shuō)明交換機(jī)支持IPv6協(xié)議。

第四章辦公網(wǎng)絡(luò)IPv6升級(jí)方案

4.1 IPv6地址規(guī)劃

在IPv6網(wǎng)絡(luò)改造過(guò)程中，IPv6地址規(guī)劃將決定網(wǎng)絡(luò)與ISP互聯(lián)的規(guī)劃、路由規(guī)劃、AS規(guī)劃、NAT規(guī)劃等，同時(shí)也對(duì)網(wǎng)絡(luò)的兼容性、可擴(kuò)展性產(chǎn)生決定性影響，是IPv6網(wǎng)絡(luò)改造的第一步也是最重要的一步。

4.1.1規(guī)劃原則

（1）IPv6地址劃分應(yīng)有層次性，便于簡(jiǎn)化路由表。IPv6地址分配要盡量給每個(gè)區(qū)域分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。

（2）IPv6的地址分配需要有足夠的靈活性和可管理性，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)以及各種特殊的業(yè)務(wù)的需要，地址使用兼顧到近期的需求與遠(yuǎn)期的發(fā)展以及網(wǎng)絡(luò)的擴(kuò)展，預(yù)留相應(yīng)的地址段。安全層面，盡可能實(shí)現(xiàn)IPv6地址的分配記錄和歷史審計(jì)。

（3）子網(wǎng)網(wǎng)段地址要連續(xù)，便于聚合，并盡量使IPv6地址與原來(lái)的IPv4地址有一定對(duì)應(yīng)關(guān)系，要預(yù)留作為L(zhǎng)oopback地址的網(wǎng)段。

（4）每個(gè)子網(wǎng)中最小一個(gè)IPv6地址建議作為該子網(wǎng)的網(wǎng)關(guān)地址。

（5）各安全設(shè)備帶外管理口配置IPv6地址，統(tǒng)一接到管理交換機(jī)上，實(shí)現(xiàn)帶外管理。

4.1.2規(guī)劃案例

一般我們獲取的IPv6地址為48或者64位，將該/48或/64位地址段劃分出多個(gè)/64位地址段，用于提供給用戶終端及辦公網(wǎng)絡(luò)各類業(yè)務(wù)，終端通過(guò)配置自動(dòng)獲取對(duì)應(yīng)IPv6地址；單獨(dú)選擇某個(gè)/64網(wǎng)段繼續(xù)劃分，劃分出多個(gè)/127的段，用于提供給設(shè)備鏈路互聯(lián)端口，對(duì)于設(shè)備鏈路互聯(lián)地址，上聯(lián)設(shè)備釆用較小號(hào)IP地址，下連設(shè)備釆用較大號(hào)IP地址；劃分出多個(gè)/128的段，提供給設(shè)備環(huán)回接口，用于網(wǎng)管對(duì)設(shè)備進(jìn)行管理。

運(yùn)營(yíng)商分配給企業(yè)分配的IPv6業(yè)務(wù)地址段為240E:250:2814::/48，實(shí)際使用時(shí)需要進(jìn)一步將該整個(gè)大段劃分成各個(gè)小段的地址分配給企業(yè)內(nèi)的有線、無(wú)線終端用戶，以及一些其他的IPv6業(yè)務(wù)終端。

有線和無(wú)線用戶的IPv4和IPv6網(wǎng)關(guān)都部署于核心交換機(jī)上，由核心交換機(jī)統(tǒng)一進(jìn)行IPv4和IPv6地址的分配；在IPv6地址分配上，可在交換機(jī)上配置IPv6無(wú)狀態(tài)自動(dòng)配置、或者使用DHCPv6地址分配的方式。

（1）主要遵從四個(gè)原則：唯一性、可擴(kuò)展性、連續(xù)性、實(shí)用性；

（2）設(shè)備管理及互聯(lián)地址：使用240E:250:2814:1::0/64網(wǎng)段；

（3）Loopback地址規(guī)劃，使用整段連續(xù)IP地址，也使用240E:250:2814:1::0/64網(wǎng)段；

（4）IPv6業(yè)務(wù)網(wǎng)關(guān)統(tǒng)一設(shè)定為網(wǎng)段的第一位,即::1；

（5）在完成IP地址規(guī)劃之后，既可以配置靜態(tài)IP地址，也可以使用DHCP服務(wù)器動(dòng)態(tài)分配IP地址，根據(jù)實(shí)際需求考慮。

4.2 VLAN規(guī)劃

4.2.1規(guī)劃原則

IPv6組網(wǎng)VLAN，原則上直接復(fù)用IPv4網(wǎng)絡(luò)VLAN，構(gòu)建雙棧。

4.2.2規(guī)劃案例

業(yè)務(wù)地址以vlan信息為依據(jù)，將vlan信息與IPv6地址前綴進(jìn)行關(guān)聯(lián)，構(gòu)建每個(gè)vlan獨(dú)立的IPv6地址前綴，各個(gè)子網(wǎng)段為不同業(yè)務(wù)vlan進(jìn)行地址分配。

例如，下列規(guī)劃vlan20N中的數(shù)字20N，代表“2號(hào)樓N層”，與用戶IPv6地址中的前綴關(guān)聯(lián)對(duì)應(yīng)：

4.3主要設(shè)備配置參考

4.3.1基本功能和配置命令參考

（1）配置接口的全球IPv6單播地址

ipv6 address命令用來(lái)手工配置接口的全球單播地址。

（2）配置接口網(wǎng)關(guān)地址

gateway命令用來(lái)配置接口的網(wǎng)關(guān)地址。

（3）配置DNS

dns server命令用來(lái)配置域名服務(wù)器。

（4）配置靜態(tài)路由

ip route-static命令用來(lái)配置單播靜態(tài)路由。

ip route-static 0.0.0.0 0.0.0.0命令用來(lái)配置缺省路由。

（5）配置DHCP服務(wù)

dhcpv6 prefix-pool命令用來(lái)創(chuàng)建DHCPv6前綴池并進(jìn)入前綴池視圖。

prefix命令用來(lái)配置DHCPv6地址前綴/前綴長(zhǎng)度。

dhcpv6 pool命令用來(lái)創(chuàng)建DHCPv6地址池并進(jìn)入地址池視圖。

prefix-pool命令用來(lái)將DHCPv6地址池與DHCPv6前綴池進(jìn)行綁定。

dhcpv6 pool命令用來(lái)指定接口下使用的DHCPv6地址池。

（6）其他功能

使用dhcrelay命令進(jìn)行DHCP中繼配置，若采用DHCPv6進(jìn)行有狀態(tài)地址分發(fā)和管理，需在交換機(jī)上進(jìn)行中繼命令配置，且需將地址池配置到server上。

需要注意的是：DHCPv6的中繼是將IPv6地址的下發(fā)任務(wù)交由DHCPv6 Server來(lái)執(zhí)行，該組網(wǎng)結(jié)構(gòu)是將DHCPv6地址池從核心交換機(jī)上移動(dòng)至服務(wù)器上，一般在稍微大型一點(diǎn)的網(wǎng)絡(luò)中會(huì)采用。

4.4實(shí)施步驟

升級(jí)改造可分為三個(gè)階段：準(zhǔn)備階段、規(guī)劃階段和實(shí)施階段。相關(guān)工作內(nèi)容如下：

4.4.1準(zhǔn)備階段

4.4.2規(guī)劃階段

4.4.3實(shí)施階段

4.5驗(yàn)收測(cè)試

4.5.1測(cè)試IPv6網(wǎng)絡(luò)互聯(lián)互通

4.5.2測(cè)試終端IPv6地址獲取

第五章常見(jiàn)問(wèn)題和解決方案

5.1網(wǎng)絡(luò)設(shè)備問(wèn)題

（1）出口設(shè)備IPv6流表不足導(dǎo)致卡頓丟包，大部分出口設(shè)備（例如防火墻）在轉(zhuǎn)發(fā)IP流量時(shí)，IPv4和IPv6采用不同的表項(xiàng)，對(duì)應(yīng)的性能容量也不同，常規(guī)網(wǎng)絡(luò)設(shè)備的性能優(yōu)化偏向于支撐IPv4的高并發(fā)流量，對(duì)于IPv6可能存在表項(xiàng)和容量較少。

解決方案：改流表設(shè)備容量，調(diào)高線卡IPv6流表容量；或更換高性能出口網(wǎng)絡(luò)設(shè)備。

（2）互聯(lián)網(wǎng)出口設(shè)備使用ADSL撥號(hào)鏈路，可能出現(xiàn)因設(shè)備不支持ADSL撥號(hào)后獲取的IPv6地址，導(dǎo)致IPv6無(wú)法開(kāi)通。

解決方案：ADSL先通過(guò)光貓進(jìn)行撥號(hào)，在撥號(hào)獲取IPv6地址后，再通過(guò)動(dòng)態(tài)地址分配給內(nèi)網(wǎng)設(shè)備。

（3）終端設(shè)備軟件版本老舊，例如Android系統(tǒng)8.0、鴻蒙OS系統(tǒng)3.0、IOS 9及之前的版本是不支持IPv6的。

解決方案：通過(guò)各類終端設(shè)備自帶的軟件更新功能，將系統(tǒng)更新至最新版本。

5.2 DNS解析問(wèn)題

（1）DNS服務(wù)器不回應(yīng)IPv6的AAAA解析請(qǐng)求，終端等待AAAA回應(yīng)超時(shí)，導(dǎo)致IPv4和IPv6雙棧訪問(wèn)慢問(wèn)題。

解決方案：更換支持AAAA請(qǐng)求響應(yīng)的DNS服務(wù)器，比如61.128.128.68、114.114.114.114等。

（2）終端配置IPv6雙棧后，訪問(wèn)互聯(lián)網(wǎng)的流量?jī)?yōu)先走IPv6，出口負(fù)載均衡失效造成鏈路擁塞。

解決方案：通過(guò)配置策略路由、用戶路由以及應(yīng)用路由等方式進(jìn)行IPv4/6流量調(diào)度實(shí)現(xiàn)負(fù)載均衡。

5.3地址分配問(wèn)題

（1）部分安卓系統(tǒng)手機(jī)不支持DHCPv6，導(dǎo)致部分用戶無(wú)法獲取IPv6地址。

解決方案：對(duì)用戶端開(kāi)啟無(wú)狀態(tài)IPv6地址獲取。

（2）IPv6路由選路問(wèn)題，若企業(yè)存在多家運(yùn)營(yíng)商出口鏈路，可能出現(xiàn)流量負(fù)載不均問(wèn)題，即大部分流量走向支持IPv6的出口專線。

解決方案：配置出口設(shè)備NAT66或者IPv6策略路由實(shí)現(xiàn)多鏈路的負(fù)載均衡效果。

5.4安全問(wèn)題

（1）IPv4與IPv6均存在共性的安全問(wèn)題，且由于IPv6協(xié)議頭部包含一些特有的標(biāo)簽及擴(kuò)展頭部，因此IPv6還有一些特有的威脅攻擊方式（如：RH0攻擊、洪水攻擊），在此基礎(chǔ)上，需要一并考慮IPv6安全。

解決方案：部署IPv6后，需要及時(shí)對(duì)安全設(shè)備進(jìn)行防護(hù)策略調(diào)整，避免出現(xiàn)安全事件。

（2）IPv6部署后，內(nèi)網(wǎng)主機(jī)都直接暴露在互聯(lián)網(wǎng)上，沒(méi)有NAT保護(hù)，需要注意網(wǎng)絡(luò)的安全防護(hù)。

解決方案：配置出口設(shè)備NAT66，增加IPv6安全防火墻設(shè)備和策略。

5.5網(wǎng)站訪問(wèn)問(wèn)題

（1）“天窗問(wèn)題”，IPv6單棧訪問(wèn)IPv6網(wǎng)頁(yè)，網(wǎng)頁(yè)中包含其他網(wǎng)站內(nèi)容的外鏈不支持IPv6時(shí)，出現(xiàn)部分信息無(wú)法顯示。

解決方案：用戶端使用IPv4/v6雙棧地址訪問(wèn)頁(yè)面；web服務(wù)端可通過(guò)DNS代理實(shí)現(xiàn)IPv6轉(zhuǎn)IPv4功能。

（2）終端開(kāi)啟IPv4/6雙棧并配置IPv6地址，IPv6實(shí)際無(wú)法訪問(wèn)互聯(lián)網(wǎng)，因大部分IPv4 DNS默認(rèn)支持IPv6解析，流量默認(rèn)優(yōu)先IPv6后導(dǎo)致打開(kāi)網(wǎng)頁(yè)慢。

解決方案：檢查IPv6到互聯(lián)網(wǎng)不通的原因，在解決問(wèn)題之前關(guān)閉用戶IPv6協(xié)議棧。