Makito Lay, Network Analyst and Technical Trainer at APNIC, delivered a presentation in Mandarin on 'IPv6 deployment and best practices' at the Next Generation DNS Summit 2025 held in Beijing, China on 26 June 2025.

1. v1.2
1
IPv6部署与最佳实践
讲者：Makito Lay（赵明辉）
中国北京市 | 2025/06/26

2. v1.2
2
关于我
• Makito Lay（赵明辉）
– 于亚太互联网信息中心（APNIC）担任网络分析师 / 技术培训师
– 经历：
• 台湾网路维运社群（TWNOG）多方利害关系人小组（MSG）成员
• 柬埔寨网路维运社群（KHNOG）执行委员会共同主席
• 加入APNIC前于ISP与电信行业服务18年
• 20年前曾经是程序员
– 专业认证：思科CCIE # 47682、Juniper JNCIP-SP、MikroTik MTCINE
– 关注领域：BGP、MPLS、IPv6、编码与数据库
– 电子邮件：makito.lay@apnic.net
– LinkedIn：https://www.linkedin.com/in/ogawamakito

3. v1.2
3
全球IPv6使用现况
资料来源：https://stats.labs.apnic.net/ipv6 (2025/06/16)
支持率：39.98%
偏好率：37.89%

4. v1.2
4
全球IPv6使用现况
资料来源：https://stats.labs.apnic.net/ipv6/XA (2025/06/16)
支持率：39.98%
用户的网络支持IPv6
偏好率：37.89%
用户优先使用IPv6上网

5. v1.2
5
亚洲IPv6使用现况
资料来源：https://stats.labs.apnic.net/ipv6/XD (2025/06/16)
支持率：46.17%
用户的网络支持IPv6
偏好率：42.97%
用户优先使用IPv6上网

6. v1.2
6
为何要部署IPv6？
• IPv4不足以满足日益增长的需求。
– 地球的人口远超过IPv4地址的总数
– 每个人可能拥有多台设备
• IPv4地址即将耗尽。
– 各单位不久后将无法申请新的IPv4地址
– 需要租赁或购买（每个地址约40到60美元）
• 理论上路由器转发IPv6的效率高于IPv4。
• IPv6提供端到端连接。
– 无需网络地址转换（NAT）

7. v1.2
7
IPv6部署步骤
1. 进行网络评估
2. 优化现有网络
3. 申请IPv6地址空间
4. 制定IPv6编址计划
5. 实施IPv6网络部署
6. 选择IPv6转接服务
7. 为用户启用IPv6

8. v1.2
8
进行网络评估
• 现网设备与配置是否有被妥善记录？
• 现网设备与链路是否支持IPv6？
– 若不支持，软硬件升级的条件与开销为何？
• 若无法升级，则需考虑更换新设备
• 升级或更换设备对服务的影响。
– 是否能在维持IPv4正常运行的同时无缝启用IPv6？
– 新版本软件功能是否兼容旧版本？
• 应制定能循序渐进部署IPv6的计划。

9. v1.2
9
优化现有网络
• 移除未使用或冗余的配置。
• 关闭并清理未使用的接口。
• 检查当前路由协议配置是否合理。
– IGP（OSPF、IS-IS等）开销
– BGP导入与导出政策
– 主要路径与备用路径是否能按预期运行
• 利用此次契机优化升级现网，实施行业最佳实践。
– 在不造成额外负担（如服务中断）的前提下

10. v1.2
10
申请IPv6地址空间
• 向CNNIC或APNIC申请IPv6地址空间。
• 运营商一般可获得/32，其它企业则可获得/48。
– 可视需求申请更大地址空间
• 计算地址需求时，应摒弃IPv4以用户数量为核心的传统思维。
– 不再关注每个网段的用户数，而是关注需要多少个网段
– 通常情况下，每个局域网使用一个/64网段
/12
APNIC Allocation
Portable
Portable
/48
Assignment
/48 - /64
Assignment
APNIC Allocation
/48 - /64
Assignment
Non-Portable Non-Portable
/40
/32
Member Allocation
Non-Portable
/12
Sub-allocation

11. v1.2
11
制定IPv6编址计划：运营商（1）
• 将/32地址空间的最前端分配给基础设施使用。
• 以2001:DB8::/32为例：
– 2001:DB8:0000::/40为基础设施专用地址段
网段 用途 备注
2001:DB8:0000::/48 环回地址 每个接口使用/128
2001:DB8:0001::/48 点对点链路 为每条链路保留/64，使用
/127配置，若设备不支持
/127则用/126
2001:DB8:0002::/48 内部服务器与NOC 每个局域网使用/64
2001:DB8:0003::/48 对外服务器 每个局域网使用/64

12. v1.2
12
制定IPv6编址计划：运营商（2）
• 客户地址管理建议：
– 家庭用户可指派/56或/60
– 企业则依需求指派一个或多个/48
– 应分散规划于运营商/32的不同区段，避免集中，以便灵活进行流量调度
• IPv6全球路由表可接受最长前缀为/48

13. v1.2
13
制定IPv6编址计划：企业（1）
• 将/48地址空间的最前端分配给基础设施使用。
• 以2001:DB8:8001::/48为例：
– 2001:DB8:8001:0000::/52为基础设施专用地址段
网段 用途 备注
2001:DB8:8001:0000::/56 环回地址 每个接口使用/128
2001:DB8:8001:0100::/56 点对点链路 为每条链路保留/64，使用
/127配置，若设备不支持
/127则用/126
2001:DB8:8001:0200::/56 内部服务器与NOC 每个局域网使用/64
2001:DB8:8001:0300::/56 对外服务器 每个局域网使用/64

14. v1.2
14
制定IPv6编址计划：企业（2）
• 用户地址管理建议：
– 每个局域网分别使用一个/64网段
• 可同时支持SLAAC（无状态）与DHCPv6（有状态）地址配置
– 以2001:DB8:8001::/48为例划分：
• 除2001:DB8:8001:0000::/52外，可作为用户地址段
• 若网络部署覆盖多个地区，可为各地分别申请/48地址空间。
– 不同地区可按实际需求使用不同的转接服务
2001:DB8:8001:XYZZ::/64 2001:DB8:8001:YYZZ::/64
或
X = 大楼、Y = 部门、Z = VLAN

15. v1.2
15
实施IPv6网络部署（1）
• 依现网环境使用不同的部署策略。
– 纯IPv4
→ 双栈部署，所有设备与链路皆启用IPv6
– MPLS
→ 可选择仅于网络边缘部署IPv6，核心维持MPLS转发
• 部署可从核心或边缘开始，但须覆盖所有节点，避免遗漏。
• 确保现有IPv4服务稳定运行作为优先考量。

16. v1.2
16
实施IPv6网络部署（2）
• 配置支持IPv6的路由协议。
– OSPFv2
→ 配置新的路由协议OSPFv3
– IS-IS
→ 在现有的IS-IS协议中启用多拓扑（Multi-Topology）以及IPv6地址族
– IPv4与IPv6的网络拓扑及路由信息实现隔离
– BGP
→ 基于IPv6建立新的邻居会话，并使用IPv6 Unicast地址族
– IPv4与IPv6使用独立的邻居会话与地址族，确保互不干扰
• 应尽量保持各路由协议中IPv4与IPv6配置一致。
– IGP开销与网络类型、 BGP导入与导出策略、邻居关系、路由信息

17. v1.2
17
选择IPv6转接服务
• 优先选择支持双栈且依带宽收费的服务提供商。
– 采用由同一业者同时提供的IPv4与IPv6服务具有以下优势：
• 无需建设独立链路，避免额外开销
• 可共用带宽，提高利用效率
• 路由策略基本一致，便于统一管理与运维
• 优先使用原生IPv6接入方式。
– 以确保网络性能与稳定性
– 若无法获得原生IPv6，可考虑通过隧道技术（如6in4）实现IPv6连接
• 目前多数国际运营商已支持原生IPv6的双栈网络服务。
– 许多业者不针对IPv6额外收费

18. v1.2
18
为用户启用IPv6（运营商）
• 行动用户：
– 多数手机已支持双栈
– 若有大量旧版Android或iOS用户，可考虑使用464XLAT
• 企业用户：
– 企业路由器多已支持双栈
– 新增IPv6地址与路由即可启用双栈
• 家用宽带：
– 客户端设备须支持双栈
– 可沿用PPPoE
– 结合DHCPv6-PD为客户局域网指派IPv6前缀

19. v1.2
19
为用户启用IPv6（企业）
• 于局域网启用IPv6：
– SLAAC
• 无状态地址配置
• 无服务器需求，用户设备自行生成IPv6地址
• 适用于一般上网环境
– DHCPv6
• 有状态地址配置
• 须使用DHCPv6服务器指派地址给用户
• 适合需要复杂权限管理或访问控制的网络环境
• 仅于内网提供服务的设备可选择不使用IPv6。
– 内部系统服务器、IP电话、打印机、门禁系统、监控摄像头等

20. v1.2
20
IPv6整体安全（1）
• IPv6比IPv4安全？
– 原生支持IPSec，但默认情况下不启用
– 互联网上大部分的IPv6数据包都没有加密
• IPv6用户使用公网地址，不如IPv4安全？
– 适当的防火墙配置可有效抵挡来自外部的攻击
– IPv4中常用的NAT本质上也是一种防火墙功能

21. v1.2
21
IPv6整体安全（2）
• IPv6地址数量庞大，难以被全面扫描？
– 许多IPv6地址会遵循特定的序列或规则，并非随机生成
• 序列数字：
– 2001:DB8::1、 2001:DB8::2、 2001:DB8::3
• 有特殊意义的数字：
– 2001:DB8::168（一路发）、2001:DB8::888（发发发）、2001:DB8::520:1314（我爱你一生一世）
• 英文单字：
– 2001:DB8::BEEF（牛肉）、2001:DB8::CAFE（咖啡厅）、2001:DB8::F00D（食物）
• 汉语拼音：
– 2001:DB8::FADA:CA1（发大财）、2001:DB8::BA0:BE1（宝贝）
– 人为因素常常是安全体系中最薄弱的一环
– 攻击者很可能无需扫描所有地址

22. v1.2
22
IPv6整体安全（3）
• 实际上，IPv6没有比较安全，也没有比较不安全。
– 关键在于以同等的重视来保障其安全
– 部分管理员启用IPv6后却忽视了其安全管理
• IPv6安全政策必须与IPv4一致？
– 整体政策目标应大同小异，但仍须考虑某些IPv6专用协议
– 邻居发现协议（NDP）是IPv6中至关重要的核心机制
• 使用特定的ICMPv6类型：133、134、135、136、137等
• 针对NDP的攻击：
– 伪造邻居发现协议（NDP Spoofing）
– 针对重复地址检测的拒绝服务攻击（DAD DoS）
– 恶意的路由器通告（Rogue RA）
– 路由器通告洪水攻击（RA Flooding）

23. v1.2
23
IPv6路由安全（1）
• 仅发布自身与下游客户的路由。
– IPv6全球路由表可接受最长前缀为/48
• 应过滤来自互联网的BGP路由，并阻挡下列路由：
– 自身地址
– 被保留的地址
• 例如：100::/64（黑洞）、2001:DB8::/32（文档示例）、3FFF::/20（文档示例）
– 特殊用途地址
• 例如： FC00::/7（唯一本地）、FE80::/10（链路本地）、FF00::/8（组播）
– 未被分配的地址（Bogon或Martian）
• 列表可参考：https://www.team-cymru.com/bogon-networks

24. v1.2
24
IPv6路由安全（2）
• 配置单播反向路径转发
（uRPF），防止源地址伪造。
– 仅接收和转发源地址在路由表中可达
的数据包
– 配合远程触发黑洞路由（RTBH），
缓解分布式拒绝服务（DDoS）攻击
• 通过BGP将攻击源或受害者地址指向黑洞
（如Null0）
• 边界路由器检测到源地址路由为黑洞时，
其uRPF自动丢弃该流量
• 边界路由器检测到目标地址路由为黑洞时，
直接丢弃流量
Attack Traffic
Signalling

25. v1.2
25
IPv6路由安全（3）
• 利用资源公钥基础设施（RPKI）防止路由劫持。
路由来源验证（ROV）
验证接收的BGP路由，确保路由来源可信
路由来源授权（ROA）
为自身路由创建数字签名，证明合法性
– ROA创建须与BGP宣告匹配：
• 前缀（Prefix）
• 来源AS号（Origin AS）
• 最大宣告长度（Max. Length）
– Most Specific Announcement (MSA)
– 针对任播等多来源前缀，可分
别为各来源AS号创建ROA
– 基于ROV状态的路由政策：
• 有效（VALID）
– 应设较高LOCAL_PREF
• 无效（INVALID）
– 应丢弃或设较低LOCAL_PREF
– 当执行丢弃INVALID路由时，须确保路由表中
无缺省路由（::/0）
• 未知（UNKNOWN / NOT FOUND）
– 可维持默认LOCAL_PREF

26. v1.2
26
APNIC的服务与支持
技术讨论
APNIC Academy Technical Assistance Platform (TAP)
https://academy.apnic.net/technical-assistance
一般咨询
APNIC Help Centre
https://help.apnic.net/s
培训资源
APNIC Academy
https://academy.apnic.net

27. v1.2
27
谢谢大家的聆听！
IPv6部署与最佳实践