6月26日，以“网络根基 中国贡献”为主题的第四届下一代DNS发展论坛在京举行。在同期活动“推进规模部署 促进实数融合”——IPv6与互联网基础技术应用论坛上，亚太互联网络信息中心（APNIC）技术专家Makito Lay赵明辉，围绕部署IPv6的最佳实践和建议，结合不同场景使用案例进行了分享。

　　Makito Lay介绍，数据显示，当前全球IPv6支持率达39.98%，偏好率37.89%，其中亚洲地区支持率高达46.17%，偏好率42.97%。这里“偏好率”是指用户网络同时拥有IPv6和IPv4时，用户优先使用IPv6的比例。

　　随着全球人口超过IPv4地址总量，IPv4已无法满足现在的需求，全球五个区域互联网注册机构中，仅亚太地区以及非洲地区仍可申请IPv4地址，IPv6的升级成为必然选择。Makito Lay表示，路由器转发IPv6的效率高于IPv4，IPv6也有支持SRv6场景的使用，部署IPv6需遵循七大核心步骤。

　　第一步，进行网络评估。需提前全面评估现有网络对IPv6的支持能力，明确软硬件升级需求及潜在成本，如需升级“要不要花钱？或者造成服务中断？”，确保新旧系统兼容，避免服务中断，要制定循序渐进的迁移计划。

　　第二步，优化现有网络。移除未使用或冗余的配置，关闭并清理未使用的接口，并检查当前路由协议配置是否合理，如IGP（OSPF、IS-IS等）开销、BGP导入与导出政策，及主要路径与备用路径是否能按预期运行等，利用此次契机优化升级现网，在不造成额外负担（如服务中断）的前提下提升效率。

　　第三步，申请IPv6地址空间。向CNNIC或APNIC申请IPv6地址空间，运营商默认可获/32地址段，企业用户可获/48，但可依实际需求申请更大的地址空间。以新加坡为例，2022年并不在全球IPv6地址持有量前十名，2025年因华为新加坡公司通过申请/17地址段，推动新加坡 IPv6 地址持有量跃居全球第三名。特别需要注意的是，计算IPv6地址需求时，应摒弃IPv4以用户数量为核心的传统思维，不再关注每个网段的用户数，而是关注需要多少个网段，通常情况下，每个局域网使用一个/64网段。

　　第四步，制定IPv6编址计划。地址分配需细化至每一个局域网（/64段），运营商以/32段为基础，基础设施用前段地址。家庭用户考虑分配/56段或/60段，避免Wi-Fi多SSID场景下地址不足。企业按需求申请分配一个或多个/48段，比如多地点可能需要多个/48段。此外，为提高网络灵活性与调度能力，客户地址应分散在运营商/32内的不同区段，避免集中。值得注意的是，鉴于中国的国情与管理要求，若国际通行的编址方式不完全适用，运营商亦可在确保合规的前提下，制定更契合国内实际需求的编址计划。

　　另一方面，Makito Lay还提到，如果企业默认收到/48，可将前面的部分作为基础设施使用。此做法与运营商的编址逻辑相似，主要区别在于地址规模不同，企业通常设备数量相对较少，因此对地址空间的需求也较为有限。企业内部的用户地址管理考虑每一个局域网用/64的网段，从而同时支持SLAAC无状态和DHCPv6有状态的地址配置。在按需进行跨地域网络部署时，可以分别为每个地区申请/48地址，就可以在本地使用不同的转接服务，不需要将所有的流量集中至单一点。

　　第五步，实施IPv6网络部署。依据现网环境使用不同的部署策略：纯IPv4网络可以采用双栈部署，所有设备与链路皆启用IPv6；MPLS网络可以选择仅于网络边缘部署IPv6，核心维持MPLS转发。Makito Lay强调，部署可从核心或边缘开始，但须覆盖所有节点，避免遗漏，并且要确保现有IPv4服务稳定运行作为优先考量。

　　谈及路由协议需同步升级，Makito Lay表示，如果目前有OSPFv2可以启用OSPFv3，现有IS-IS则在该协议中启用多拓扑以及IPv6地址族。BGP的部分则基于IPv6地址建立新的邻居会话，并使用IPv6 Unicast地址族。此种路由协议配置方式可确保IPv4与IPv6独立运行，互不干扰。此外，建议保持路由协议中IPv4与IPv6配置以及路由表的一致性。如IPv4有100条路由，IPv6也应有相同数量的路由。

　　第六步，选择IPv6转接服务。优先选择支持双栈且依带宽收费的服务提供商，避免按地址计费模式，以实现IPv4与IPv6资源共享，提高应用的效率。Makito Lay推荐原生IPv6接入，以确保网络性能与稳定性。若无法获得原生IPv6转接服务，可考虑通过隧道技术（如6in4）实现IPv6连接。

　　第七步，为用户启用IPv6。在运营商侧，移动设备已普遍支持双栈，若有大量使用旧版Android或iOS系统的用户，可考虑使用 464XLAT 过渡方案；企业路由器多已经支持双栈，新增IPv6地址与路由即可启用；家用宽带需确保终端设备支持双栈，可延用PPPoE。在企业侧，企业在局域网里启动IPv6，可用以下两种地址配置方式之一：采用SLAAC无状态配置时，无需依赖服务器，终端设备可自动生成IPv6地址，这种技术适用于一般的上网环境；另一种方式则是使用DHCPv6服务器专门指定谁使用某IP，适合比较复杂或者访问控制的环境。而有一些设备只在内网提供服务，如内部服务器、IP电话、打印机、门禁系统、摄像头，可暂缓IPv6升级。

　　在安全性部分，Makito Lay强调，与IPv4相比，IPv6并没有比较安全或比较不安全，其安全需与IPv4同等重视。整体上，在配置防火墙以防范外部攻击时，应特别考虑IPv6特有的协议。例如，邻居发现协议（NDP）是IPv6中关键的核心机制，依赖特定的ICMPv6类型，如133、134、135、136、137等。在加强安全防护的同时，需确保不会误阻这些必要的ICMPv6类型，以免影响网络正常运行。

　　从路由安全层面，Makito Lay提出，可考虑仅发布自身与下游客户的路由，IPv6全球路由表可接受最长前缀为/48，应过滤来自互联网的BGP路由，并阻挡自身地址、被保留的地址、特殊用途地址及未被分配的地址等路由，还可以配置启用单播反向路径转发（uRPF）防止源地址的伪造，仅接收和转发源地址在路由表中可达的数据包，并配合远程触发黑洞路由（RTBH），缓解分布式拒绝服务（DDoS）攻击。此外，建议使用资源公钥基础设施（RPKI）防止路由劫持。RPKI的实施包括路由来源授权（ROA），为自身路由创建数字签名，证明合法性，以及路由来源验证（ROV），验证接收的BGP路由，确保路由来源可信。（记者 王一涵）