【51CTO.com 綜合報道】園區(qū)網(wǎng)絡(luò)是支撐企業(yè)業(yè)務(wù)的核心網(wǎng)絡(luò)。在一個園區(qū)網(wǎng)絡(luò)中，內(nèi)部的終端數(shù)量龐大，業(yè)務(wù)種類豐富。在園區(qū)網(wǎng)從IPv4升級為IPv6/IPv4雙棧網(wǎng)絡(luò)中，如何考慮所涉及的網(wǎng)絡(luò)設(shè)備、安全以及無線用戶接入等方面的部署？

一、 IPv6園區(qū)網(wǎng)的整體結(jié)構(gòu)

IPv6園區(qū)網(wǎng)建設(shè)經(jīng)過了多種方案的變化演進，從早期的使用隧道接入到部分網(wǎng)絡(luò)采用雙棧組網(wǎng)，再到現(xiàn)在的以雙棧組網(wǎng)為主。這樣的變化是由IPv6業(yè)務(wù)的開展及網(wǎng)絡(luò)設(shè)備的不斷創(chuàng)新所推動的。

圖1. 典型的園區(qū)網(wǎng)絡(luò)

圖1是一個典型的園區(qū)網(wǎng)組網(wǎng)方式，將一個園區(qū)網(wǎng)絡(luò)分為接入、匯聚、核心的層次性結(jié)構(gòu)。一般的網(wǎng)絡(luò)設(shè)計中，接入層網(wǎng)絡(luò)為二層網(wǎng)絡(luò)，用戶的網(wǎng)關(guān)設(shè)置在匯聚層。核心層起到互連匯聚層做高速轉(zhuǎn)發(fā)。在功能模塊的劃分中，園區(qū)網(wǎng)絡(luò)主要由網(wǎng)絡(luò)出口、數(shù)據(jù)中心及用戶接入三大部分組成。

將該類型組網(wǎng)升級為雙棧網(wǎng)絡(luò)時，常規(guī)選擇采用雙棧部署，從匯聚層到核心層網(wǎng)絡(luò)開始升級，然后根據(jù)網(wǎng)絡(luò)的情況，升級防火墻等附加的業(yè)務(wù)設(shè)備；在另外的一些情況中，可以采用雙棧網(wǎng)絡(luò)為主、隧道技術(shù)為補充的升級方式。在一個雙棧網(wǎng)絡(luò)升級后，原有的應(yīng)用服務(wù)器可能無法同網(wǎng)絡(luò)一起一步到位升級為雙棧服務(wù)器，在這種情況下如果有一部分純IPv6用戶需要訪問IPv4的服務(wù)器，需要在網(wǎng)絡(luò)中部署NAT-PT設(shè)備，進行IPv6，IPv4的協(xié)議轉(zhuǎn)換。

可見，將一張僅支持IPv4的園區(qū)網(wǎng)升級為支持IPv6/IPv4雙棧的網(wǎng)絡(luò)，涉及到多項網(wǎng)絡(luò)技術(shù)，面臨著多種升級方式的選擇。在這種情況下，對園區(qū)網(wǎng)絡(luò)進行IPv6技術(shù)升級前，需要制定詳細的升級流程：

1) 制定網(wǎng)絡(luò)設(shè)備的升級計劃。

2) 評估網(wǎng)絡(luò)中的現(xiàn)有產(chǎn)品對IPv6的支持情況。

3) 評估網(wǎng)絡(luò)中需要升級到雙棧的網(wǎng)絡(luò)服務(wù)。

4) 制定IPv6地址的分配方案。

5) 制定詳細的IPv6網(wǎng)絡(luò)升級方案。

6) 在升級后進行必需的IPv6技術(shù)培訓(xùn)。

通過上述的IPv6升級步驟，逐步的將園區(qū)升級為IPv6/IPv4雙棧網(wǎng)絡(luò)，滿足現(xiàn)階段的雙棧用戶的接入需求。 #p#

二、 IPv6園區(qū)網(wǎng)的部署

1. 雙棧模式的園區(qū)網(wǎng)骨干部署

在雙棧模式的園區(qū)網(wǎng)的骨干網(wǎng)絡(luò)進行建設(shè)時，遵循分層的網(wǎng)絡(luò)建設(shè)模式。主要關(guān)注匯聚層與核心層的IPv6技術(shù)部署。

  圖2. 雙棧園區(qū)網(wǎng)示意圖

部署IPv6后的雙棧園區(qū)骨干網(wǎng)如圖2所示，在核心層和匯聚層使用雙棧交換機，接入層可使用現(xiàn)有的二層接入交換機組網(wǎng)或者將不支持IPv6的三層交換機降為二層使用，用以保護歷史投資。根據(jù)用戶帶寬的需要，選用“百兆到桌面”或“千兆到桌面”的模式。

在升級后，IPv6網(wǎng)絡(luò)部分與原有園區(qū)網(wǎng)IPv4部分融合，園區(qū)網(wǎng)中雙棧用戶可以同時訪問IPv6和IPv4網(wǎng)絡(luò)。對于雙棧終端，IPv4網(wǎng)關(guān)和IPv6網(wǎng)關(guān)均部署在匯聚三層交換機上。由于網(wǎng)內(nèi)所有三層設(shè)備均是雙棧設(shè)備，既運行IPv4也運行IPv6路由協(xié)議。不同協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)路徑可能一致，也可以不同。

為提高網(wǎng)絡(luò)的可靠性，匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯(lián)實現(xiàn)鏈路冗余；匯聚設(shè)備作為用戶接入點網(wǎng)關(guān)設(shè)備，通過運行VRRP協(xié)議實現(xiàn)網(wǎng)關(guān)冗余；核心節(jié)點采用雙核心部署保證節(jié)點冗余。

在使用了雙棧技術(shù)的網(wǎng)絡(luò)中，所有雙棧的終端用戶都有明確的IPv6數(shù)據(jù)轉(zhuǎn)發(fā)路徑，IPv6與IPv4層面的數(shù)據(jù)路徑明確，便于網(wǎng)絡(luò)管理及故障定位。雙棧模式的IPv6園區(qū)網(wǎng)絡(luò)建設(shè)是目前最為常見的模式。 #p#

2. 雙棧園區(qū)網(wǎng)中的隧道技術(shù)部署

一些園區(qū)網(wǎng)的用戶由于預(yù)算、技術(shù)等方面的原因無法部署雙棧園區(qū)網(wǎng)或只能將部分園區(qū)網(wǎng)升級為雙棧網(wǎng)絡(luò)，這種情況下可以在園區(qū)網(wǎng)中采用隧道技術(shù)作為補充，將純IPv6終端接入IPv6廣域網(wǎng)絡(luò)。  

圖3. ISATAP隧道部署

對于雙棧終端，IPv4網(wǎng)關(guān)部署在匯聚層交換機上。駐地網(wǎng)內(nèi)所有三層設(shè)備由于均是IPv4設(shè)備，不能完成對IPv6報文的轉(zhuǎn)發(fā)，因此需要部署客戶端到出口路由器的自動隧道來完成。在部署中采用較多的是ISATAP自動隧道。在自動隧道的部署中，需要考慮設(shè)備的性能，如果網(wǎng)絡(luò)中有較多的IPv6用戶需要接入，可以增加隧道終結(jié)路由器的數(shù)量，以保證IPv6報文的轉(zhuǎn)發(fā)能力。

使用隧道技術(shù)進行IPv6部署能夠保護原有的設(shè)備投資，原有網(wǎng)絡(luò)拓撲和路由幾乎無需調(diào)整，只需要增加隧道終結(jié)的設(shè)備就能夠使客戶端訪問廣域的IPv6資源。

隧道技術(shù)屬于過渡技術(shù)，不是最終的理想方案。隧道兩端點設(shè)備需要花費額外的系統(tǒng)開銷。而且在網(wǎng)絡(luò)中部署隧道技術(shù)后，IPv6用戶進行的IPv6資源訪問只能通過隧道進行，無法像通常情況下，利用匯聚層及核心層網(wǎng)絡(luò)進行高速的轉(zhuǎn)發(fā)，同時，IPv6用戶之間的互訪的開銷也非常大。隧道技術(shù)不適合大規(guī)模IPv6的用戶進行接入，只適合在過渡網(wǎng)絡(luò)中，滿足小部分用戶的IPv6訪問。 #p#

3. 雙棧園區(qū)網(wǎng)中的IP地址劃分

良好的地址劃分，能夠保證后續(xù)網(wǎng)絡(luò)部署的穩(wěn)定性及可維護性。IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用以及方便有效的管理網(wǎng)絡(luò)的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。根據(jù)最新的IPv6 RFC4291，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，但協(xié)議并沒有明確規(guī)定其各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。這樣，相比IPv4的地址劃分，在IPv6的地址劃分上的靈活性更強。

IP地址的分配與網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配通常在工程實施時統(tǒng)一規(guī)劃實施，遵循以下分配原則： 

◆地址資源應(yīng)全網(wǎng)統(tǒng)一分配； 

◆地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡化路由表；

IP地址分配要盡量給每個物理區(qū)域分配連續(xù)的IP地址空間；在每個城域網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。 

◆IP地址的規(guī)劃與劃分需要考慮到網(wǎng)絡(luò)的發(fā)展要求；

地址使用兼顧到近期的需求、遠期的發(fā)展以及網(wǎng)絡(luò)的擴展，預(yù)留相應(yīng)的地址段。IP地址的分配需要有足夠的靈活性，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)以及各種特殊的業(yè)務(wù)要求、滿足各種用戶接入的需要。 

◆充分合理利用已申請的地址空間，提高地址的利用效率；

IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。

在園區(qū)網(wǎng)進行IPv6地址劃分時，可以根據(jù)功能劃分為三類地址：

1) 公共服務(wù)器地址，如DNS，EMAIL，F(xiàn)TP等。

2) 網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址

根據(jù)IETF IPv6工作組的建議，IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。由于目前OSPFv3中ROUTER ID要求是IPv4地址，所以在采用OSPFv3作為路由協(xié)議的網(wǎng)絡(luò)中，即使是純IPv6的網(wǎng)絡(luò)也必須要求每個網(wǎng)絡(luò)設(shè)備擁有IPv4地址。

3) 用戶終端的地址

用于最終用戶接入的地址，可以根據(jù)物理位置進行劃分用戶的接入網(wǎng)段，也可以根據(jù)用戶所屬的邏輯位置，如部門類型，職務(wù)等進行劃分。 #p#

4. 雙棧園區(qū)網(wǎng)中的安全考慮

網(wǎng)絡(luò)安全策略的總體目標是保護網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護日常園區(qū)網(wǎng)的正常使用。在IPv6/IPv4的網(wǎng)絡(luò)中，不僅要考慮針對IPv4的接入層，匯聚層的安全防御，同樣也要考慮在設(shè)備升級為雙棧設(shè)備后，針對IPv6協(xié)議族的攻擊帶來的安全問題。

在雙棧園區(qū)網(wǎng)中的網(wǎng)絡(luò)設(shè)備自身的安全風(fēng)險主要有：

1) 網(wǎng)絡(luò)設(shè)備的安全及網(wǎng)絡(luò)協(xié)議安全

網(wǎng)絡(luò)設(shè)備的安全風(fēng)險主要指設(shè)備對外提供的網(wǎng)絡(luò)服務(wù)風(fēng)險，網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問的風(fēng)險，設(shè)備訪問密碼安全等對于網(wǎng)絡(luò)設(shè)備相關(guān)的安全風(fēng)險。網(wǎng)絡(luò)協(xié)議安全主要指動態(tài)路由協(xié)議，VRRP協(xié)議等網(wǎng)絡(luò)的安全問題。在IPv6網(wǎng)絡(luò)中，部分網(wǎng)絡(luò)協(xié)議的安全性得到了提高，如OSPFv3可以IPSec進行協(xié)議報文的保護。

2) 用戶的非法訪問

用戶非法訪問的風(fēng)險主要指IPv4/IPv6雙棧用戶對資源的非法訪問。低權(quán)限的用戶非法訪問高權(quán)限的資源等風(fēng)險。

3) 接入層攻擊及非法用戶接入

在接入層防止ND攻擊及對用戶進行身份認證防止非法用戶接入網(wǎng)絡(luò)。  

圖4. IPv6園區(qū)網(wǎng)安全部署

針對以上安全風(fēng)險，在IPv6園區(qū)網(wǎng)中可以采用如下網(wǎng)絡(luò)安全技術(shù)：

1) 雙棧防火墻

專用的雙棧硬件防火墻/防火墻模塊，例如SecPath雙棧硬件防火墻/防火墻模塊，是IPv6/IPv4雙棧網(wǎng)絡(luò)中重要的安全設(shè)備，為網(wǎng)絡(luò)提供快速、安全的保護。首先，專用的軟硬件，設(shè)備自身安全性很高；其次，提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護內(nèi)部地址的私密性；第三，提供嚴格的安全管理策略，除了顯式被允許通過的數(shù)據(jù)，默認其他數(shù)據(jù)都是被拒絕的；第四，多層次的安全級別，為不同的安全區(qū)域提供差異化的安全級別；另外它還可以提供多樣的系統(tǒng)安全策略和日志功能。

2) 雙棧用戶認證

在用戶側(cè)首要解決的是“接入安全”的問題。為保證接入用戶的合法性，建議采用傳統(tǒng)的802.1x認證。用戶在通過認證后才可以正常訪問網(wǎng)絡(luò)。通過認證后，雙棧用戶的本地地址信息能夠上傳到認證服務(wù)器上，為后續(xù)的用戶審計提供了參考依據(jù)。

3) 接入層ND防攻擊

在IPv6網(wǎng)絡(luò)中，ARP協(xié)議被ND協(xié)議所替代，于是ND防攻擊就成為在IPv6網(wǎng)絡(luò)部署時一個必不可少的組成部分。目前ND防攻擊的主要功能有 

◆防欺騙攻擊：通過DHCP Snooping/手工配置等手段，建立其可信表項，配合ND異常報文過濾特性，對虛假的NA報文進行過濾。 

◆防DoS攻擊：通過限制網(wǎng)關(guān)上基于VLAN或端口的ND學(xué)習(xí)數(shù)量，保護網(wǎng)關(guān)上的ND表項避免遭受DoS攻擊。 

◆防DAD攻擊：防御的方法與欺騙攻擊相同，通過綁定表項進行偽造的ND報文過濾。 

◆防RA攻擊：利用RA TRUST特性，利用可信端口進行RA報文的轉(zhuǎn)發(fā)。 #p#

5. 雙棧園區(qū)網(wǎng)中的無線部署

當進行雙棧園區(qū)網(wǎng)的無線網(wǎng)絡(luò)部署時不僅需要考慮當前的普通IPv4網(wǎng)絡(luò)中的應(yīng)用，而且同時支持在IPv6網(wǎng)絡(luò)中應(yīng)用。

在IPv4/IPv6雙棧園區(qū)網(wǎng)或純IPv6園區(qū)網(wǎng)中，建議部署無線控制器＋FIT AP的集中式無線局域網(wǎng)。這種部署結(jié)構(gòu)對無線設(shè)備的功能進行了重新劃分，其中無線控制器負責(zé)無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FIT AP負責(zé)802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能。

在使用集中式無線網(wǎng)絡(luò)部署時，F(xiàn)it AP設(shè)備為零配置設(shè)備，對于AP和AC建立IPv4隧道還是建立IPv6隧道，由Fit AP自動進行選擇，接入控制器則同時可以支持IPv4隧道和IPv6隧道。

由于接入點為零配置設(shè)備，不能判斷當前接入的網(wǎng)絡(luò)為IPv4還是IPv6網(wǎng)絡(luò)。為了解決這一問題，以H3C的接入點為例，采用首先在IPv4網(wǎng)絡(luò)進行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點無法成功通過IPv4網(wǎng)絡(luò)和接入控制器建立鏈接，則接入點會切換到使用IPv6進行接入控制器的發(fā)現(xiàn)和鏈接處理。

無線用戶的報文是在AP與AC之間建立的CAPWAP隧道中進行的，骨干網(wǎng)絡(luò)是IPv4還是IPv6網(wǎng)絡(luò)對無線網(wǎng)絡(luò)是透明的，在無線局域網(wǎng)設(shè)備上對無線接入用戶數(shù)據(jù)也只進行二層轉(zhuǎn)發(fā)。雖然在AC和AP之間會通過CAPWAP數(shù)據(jù)隧道實現(xiàn)轉(zhuǎn)發(fā)，但是無論在接入點還是接入控制器都是根據(jù)二層信息實現(xiàn)轉(zhuǎn)發(fā)，而且CAPWAP隧道封裝的載荷也是二層協(xié)議報文。所以CAPWAP協(xié)議不會關(guān)心無線接入用戶的上層協(xié)議，同樣無線接入用戶也不需要關(guān)心CAPWAP數(shù)據(jù)隧道采用IPv4還是IPv6協(xié)議。

基于上述的實現(xiàn)，無論是在IPv6/IPv4雙棧網(wǎng)絡(luò)，或者是純IPv6網(wǎng)絡(luò)中，都能夠靈活的部署集中式無線網(wǎng)絡(luò)，從而實現(xiàn)無線用戶的隨時、隨地、隨心的接入。

圖5所示，在一個新建的IPv6/IPv4雙棧園區(qū)網(wǎng)絡(luò)中，使用基于IPv6的園區(qū)網(wǎng)提供WLAN接入服務(wù)。  

圖5. IPv6園區(qū)網(wǎng)無線局域網(wǎng)部署架構(gòu)

在IPv6/IPv4雙棧園區(qū)網(wǎng)中，對無線接入服務(wù)的部署上，與在單純的IPv4網(wǎng)絡(luò)中部署沒有任何差別，無線網(wǎng)絡(luò)為終端提供了接入到指定網(wǎng)絡(luò)的服務(wù)。在AC與AP之間既能夠基于IPv4建立CAPWAP隧道，完成對用戶的數(shù)據(jù)報文轉(zhuǎn)發(fā)，也可以基于IPv6建立CAPWAP隧道進行轉(zhuǎn)發(fā)。

對終端用戶而言，雖然沒有通過有線網(wǎng)絡(luò)和指定網(wǎng)絡(luò)連接，但是通過無線接入服務(wù)，無線客戶端如同直接連接到指定網(wǎng)絡(luò)中。所有的無線終端相關(guān)報文數(shù)據(jù)都會被接入控制器和接入點之間的隧道在無線終端和接入網(wǎng)絡(luò)之間進行轉(zhuǎn)發(fā)，而無線終端不需要關(guān)心隧道所穿越的網(wǎng)絡(luò)。

這樣，通過部署IPv6無線方案既可以滿足原有IPv4用戶的接入要求，又能夠滿足新的IPv6用戶的無線接入要求。#p#

6. 雙棧園區(qū)網(wǎng)中的管理部署

網(wǎng)絡(luò)管理需要實現(xiàn)的主要功能有：設(shè)備發(fā)現(xiàn)，拓撲管理，故障告警管理等功能。IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)相比，具有地址范圍大，地址比較難以記憶等特點，這些特點除了給網(wǎng)絡(luò)管理員帶來額外的難度外，給傳統(tǒng)網(wǎng)管也帶來很大的沖擊。比如，傳統(tǒng)的“路由＋子網(wǎng)掃描”發(fā)現(xiàn)方式在IPv6網(wǎng)絡(luò)中幾乎不具備任何可用性，因為在IPv6路由表中，下一跳地址很可能是一個本地地址，而網(wǎng)管是無法訪問本地地址的，傳統(tǒng)網(wǎng)管按照路由下一跳進行遞歸發(fā)現(xiàn)不具備可行性；另外，傳統(tǒng)網(wǎng)管進行子網(wǎng)掃描，用于發(fā)現(xiàn)子網(wǎng)內(nèi)的設(shè)備，但對于IPv6網(wǎng)絡(luò)，任何一個子網(wǎng)的地址空間非常大，比如一個前綴長度為64bit的子網(wǎng)，地址空間將達到1.8E19，執(zhí)行完這樣一個子網(wǎng)掃描將花費非常長的時間。這些問題給網(wǎng)絡(luò)管理的基礎(chǔ)即設(shè)備發(fā)現(xiàn)的方式帶來了很大的挑戰(zhàn)。

當前一些支持雙棧網(wǎng)絡(luò)管理的網(wǎng)管軟件在進行IPv6網(wǎng)絡(luò)拓撲發(fā)現(xiàn)時，通常會采用ND方式自動發(fā)現(xiàn)。該技術(shù)利用設(shè)備的ND信息，過濾出所有的全局IPv6地址，然后根據(jù)這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備。

采用ND方式自動發(fā)現(xiàn)，具有下述優(yōu)點（以H3C iMC智能管理中心為例）： 

◆兼容性好。本技術(shù)基于IPV6-MIB（RFC2452）實現(xiàn)，該MIB是公有的，只要第三方設(shè)備支持該MIB，iMC就可以支持該設(shè)備的自動發(fā)現(xiàn)。 

◆發(fā)現(xiàn)速度快。本技術(shù)對于每臺設(shè)備要做的工作是收集ND信息，然后過濾出所有全局IPv6地址，根據(jù)這些全局IPv6地址再次遞歸發(fā)現(xiàn)，直到發(fā)現(xiàn)完所有的網(wǎng)絡(luò)設(shè)備為止。這個過程計算量并不大，執(zhí)行會非常快。 

◆支持雙棧模式。IPv4的ARP公有MIB是RFC1213-MIB，iMC在自動發(fā)現(xiàn)時，同時讀取IPv4和IPv6的鄰居表，然后根據(jù)有效地址再次遞歸發(fā)現(xiàn)。因此iMC自動發(fā)現(xiàn)時，很好的支持了雙棧模式，既可以使用IPv4協(xié)議發(fā)現(xiàn)IPv4網(wǎng)絡(luò)，也可以使用IPv6協(xié)議發(fā)現(xiàn)IPv6網(wǎng)絡(luò)。

在完成設(shè)備發(fā)現(xiàn)后，后續(xù)基于設(shè)備的發(fā)現(xiàn)，進行拓撲的繪制及設(shè)備的告警管理，與在IPv4的網(wǎng)絡(luò)中，并未發(fā)生根本的變化，在此不詳細描述。

三、 結(jié)束語

在骨干網(wǎng)建設(shè)中，通過CNGI下一代互聯(lián)網(wǎng)工程的建設(shè)已經(jīng)能夠滿足國內(nèi)IPv6網(wǎng)絡(luò)的互連。而對于高校用戶，大企業(yè)用戶及政府等行業(yè)的用戶，通過將所屬的園區(qū)網(wǎng)建設(shè)為IPv6網(wǎng)絡(luò)完成最后一公里的用戶接入就成為重要的IPv6網(wǎng)絡(luò)建設(shè)工作。以上介紹了在部署雙棧園區(qū)網(wǎng)涉及到大量的技術(shù)點，從網(wǎng)絡(luò)升級的技術(shù)選擇到安全產(chǎn)品部署等等多個方面，在進行部署時，需要進行詳細的規(guī)劃，仔細的實施，才能夠收到滿意的效果。