首頁(yè)
技術(shù)博文
互聯(lián)網(wǎng)
IPv6系列應(yīng)用篇——數(shù)據(jù)中心IPv4/IPv6雙棧架構(gòu)探討

IPv6系列應(yīng)用篇——數(shù)據(jù)中心IPv4/IPv6雙棧架構(gòu)探討

【IPv6應(yīng)用】本文主要介紹數(shù)據(jù)中心IPv4/IPv6網(wǎng)絡(luò)雙棧架構(gòu)的一些實(shí)踐，主要聚焦IPv6組網(wǎng)下的PXE裝機(jī)及IPv6服務(wù)器雙歸冗余架構(gòu)的實(shí)現(xiàn)。

發(fā)布時(shí)間：2019-03-29
點(diǎn)擊量：
點(diǎn)贊：

分享至

我想評(píng)論

背景

2017年，工業(yè)和信息化部發(fā)布了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知，從國(guó)家層面推動(dòng)下一代IP技術(shù)——IPv6的普及和應(yīng)用。目標(biāo)到2020年末，IPv6活躍用戶數(shù)超過(guò)5億，在互聯(lián)網(wǎng)用戶中的占比超過(guò)50%，新增網(wǎng)絡(luò)地址不再使用私有IPv4地址。這就要求從互聯(lián)網(wǎng)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等各個(gè)維度推動(dòng)IPv6的改造和建設(shè)。

互聯(lián)網(wǎng)業(yè)務(wù)的IPv6改造不會(huì)一蹴而就，這還受限終端及運(yùn)營(yíng)商網(wǎng)絡(luò)的IPv6能力，所以IPv4業(yè)務(wù)和IPv6業(yè)務(wù)并存將會(huì)持續(xù)很長(zhǎng)時(shí)間。而數(shù)據(jù)中心作為應(yīng)用基礎(chǔ)設(shè)施的重要部分，需要同時(shí)支撐IPv4業(yè)務(wù)和IPv6業(yè)務(wù)，雙棧部署是最重要的技術(shù)手段。今天就跟大家聊聊數(shù)據(jù)中心IPv4/IPv6網(wǎng)絡(luò)雙棧架構(gòu)的一些實(shí)踐。雙棧部署涉及很多方面，由于受限文章長(zhǎng)度，本次主要聚焦IPv6組網(wǎng)下的PXE裝機(jī)及IPv6服務(wù)器雙歸冗余架構(gòu)的實(shí)現(xiàn)。

在展開具體分析之前，先帶大家先回顧IPv6地址分類（含規(guī)劃建議）和IPv6地址的分配原則，幫助大家更好的理解本文內(nèi)容。

IPv6地址分類及規(guī)劃建議

數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)主要使用IPv6單播地址，涉及服務(wù)器業(yè)務(wù)地址、服務(wù)器管理地址、交換機(jī)互聯(lián)地址、交換機(jī)管理地址的分配。

IPv6單播地址可分為全球單播地址、唯一本地地址以及鏈路本地地址，如下圖所示。

▲圖一 IPv6單播地址分類

• 服務(wù)器業(yè)務(wù)地址、服務(wù)器管理地址以及交換機(jī)管理地址建議采用唯一本地地址，并使用64位掩碼長(zhǎng)度。

1、空間大：

（1）64位掩碼空間擁有2,814,749億個(gè)地址空間。

2、節(jié)省交換機(jī)硬件表項(xiàng)：

（1）交換機(jī)用于存放表項(xiàng)的硬件資源十分有限；

（2）64位掩碼的網(wǎng)段路由相比128位掩碼的主機(jī)路由，需要更小的匹配域（源IP、目的IP），消耗更少的硬件資源。

使用64位掩碼的網(wǎng)段也會(huì)帶來(lái)一些小問(wèn)題，我會(huì)在IPv6服務(wù)器雙歸冗余架構(gòu)章節(jié)詳細(xì)介紹。

• 交換機(jī)互聯(lián)地址建議使用唯一本地地址。

1、唯一本地地址空間足夠大，這個(gè)上面已說(shuō)明；

2、OSPF、BGP等路由協(xié)議對(duì)鏈路本地地址的支持還不夠成熟。

IPv6地址分配原則

如下圖所示，IPv6地址分配方式可分為手工配置和自動(dòng)配置，自動(dòng)配置又分為有狀態(tài)地址自動(dòng)分配（DHCPv6）以及無(wú)狀態(tài)地址自動(dòng)分配。

▲圖二 IPv6地址配置方式

有狀態(tài)地址分配方式和DHCPv4類似，依賴DHCPv6協(xié)議從DHCPv6 Server的地址池中獲取可用的IPv6地址，而無(wú)狀態(tài)地址自動(dòng)配置擺脫了復(fù)雜的DHCPv6協(xié)議，依賴ND（Neighbor Discovery，鄰居發(fā)現(xiàn)）協(xié)議即可完成地址自動(dòng)配置。下圖是服務(wù)器無(wú)狀態(tài)地址自動(dòng)配置的過(guò)程：

▲圖三無(wú)狀態(tài)地址自動(dòng)配置過(guò)程

• 服務(wù)器主動(dòng)發(fā)送RS（Router Solicitation，路由器請(qǐng)求）報(bào)文，RS報(bào)文的源IP是服務(wù)器的Link-local地址，目的IP是組播IP；

• 交換機(jī)收到RS報(bào)文后，進(jìn)行RA（Router Advertisement，路由器公告）報(bào)文的封裝及發(fā)送，源IP是網(wǎng)關(guān)的Link-local地址，目的IP是組播IP。需要重點(diǎn)關(guān)注的是RA報(bào)文的M標(biāo)志位以及O標(biāo)志位，M標(biāo)志位的值為0，服務(wù)器才會(huì)走無(wú)狀態(tài)地址配置流程；

• 服務(wù)器收到RA報(bào)文后，會(huì)將RA報(bào)文的源IP設(shè)置為默認(rèn)網(wǎng)關(guān)，并解析RA報(bào)文的M、O標(biāo)志位，如果M標(biāo)志位為0則解析RA報(bào)文攜帶的路由前綴內(nèi)容，接口ID使用EUI-64格式生成。

RA報(bào)文中M以及O標(biāo)志位的具體含義如下：

• M：管理地址標(biāo)志位（Managed Address Configuration)。
1、置0表示無(wú)狀態(tài)地址分配，客戶通過(guò)無(wú)狀態(tài)協(xié)議獲取IPv6地址；

2、置1表示有狀態(tài)地址分配，客戶端通過(guò)有狀態(tài)協(xié)議（DHCPv6）獲取IPv6地址。

• O：其他狀態(tài)標(biāo)志位（Other stateful Configuration）。
1、置0表示客戶端通過(guò)無(wú)狀態(tài)獲取除地址外的其他配置信息；

2、置1表示客戶端通過(guò)有狀態(tài)獲取其他配置信息（如DNS、SIP服務(wù)器等）；
若M標(biāo)志位為1，則O標(biāo)志位也必須為1。

相比有狀態(tài)地址自動(dòng)配置，無(wú)狀態(tài)地址自動(dòng)配置的優(yōu)勢(shì)如下：

• 真正的即插即用

主機(jī)連接到一個(gè)沒(méi)有DHCP服務(wù)器的網(wǎng)絡(luò)時(shí)，無(wú)須手動(dòng)配置地址等參數(shù)即可訪問(wèn)網(wǎng)絡(luò)；

• 網(wǎng)絡(luò)遷移方便

當(dāng)一個(gè)站點(diǎn)的網(wǎng)絡(luò)前綴發(fā)生變化時(shí)，主機(jī)能夠方便地進(jìn)行重新編址而不影響網(wǎng)絡(luò)連接；

• 降低網(wǎng)絡(luò)復(fù)雜度

不需要部署獨(dú)立的DHCPv6服務(wù)器，所以簡(jiǎn)化了網(wǎng)絡(luò)規(guī)劃及運(yùn)維難度；

• 提高網(wǎng)絡(luò)可靠性

服務(wù)器地址獲取不依賴集中的DHCPv6服務(wù)器，從而提高整體的可靠性。

IPv6服務(wù)器PXE裝機(jī)方式

在數(shù)據(jù)中心內(nèi)部，服務(wù)器裝機(jī)是必不可少的環(huán)節(jié)，傳統(tǒng)的PXE（Preboot Execute Environment，預(yù)啟動(dòng)執(zhí)行環(huán)境）裝機(jī)流程如下：

▲圖四傳統(tǒng)PXE裝機(jī)示意圖

整體分兩個(gè)階段：

• PXE階段：

服務(wù)器需要通過(guò)DHCP協(xié)議獲得配置信息，包括IP地址，默認(rèn)網(wǎng)關(guān)以及File Server地址。

• 安裝階段：

服務(wù)器請(qǐng)求File Server的軟件鏡像以及配置信息，下載完成后通過(guò)內(nèi)嵌裝機(jī)軟件，完成系統(tǒng)安裝，配置下發(fā)等一系列動(dòng)作。

對(duì)比IPv4的PXE裝機(jī)流程，有狀態(tài)地址自動(dòng)配置環(huán)境下的IPv6服務(wù)器裝機(jī)變得更加復(fù)雜。

當(dāng)然你可以繼續(xù)沿用現(xiàn)有的IPv4網(wǎng)絡(luò)對(duì)IPv6服務(wù)器進(jìn)行裝機(jī)，不過(guò)考慮到最終要演進(jìn)到IPv6 only，IPv6裝機(jī)是必不可少的。下面具體闡述有狀態(tài)地址自動(dòng)配置環(huán)境下IPv6服務(wù)器裝機(jī)復(fù)雜在哪里？

▲圖五 IPv6有狀態(tài)PXE裝機(jī)

有狀態(tài)地址自動(dòng)配置環(huán)境下的IPv6 PXE裝機(jī)也分為兩個(gè)大階段：

• PXE階段：

1、服務(wù)器需要通過(guò)ND（Neighbor Discovery，鄰居發(fā)現(xiàn)）協(xié)議或者DHCPv6協(xié)議獲取IP地址；

2、通過(guò)ND協(xié)議完成服務(wù)器的“默認(rèn)網(wǎng)關(guān)”配置；

3、通過(guò)DHCPv6 完成File Server地址配置。

• 安裝階段：

拿到File Server地址配置后，通過(guò)TFTP或者FTP下載鏡像以及配置信息，通過(guò)內(nèi)嵌裝機(jī)軟件完成系統(tǒng)安裝。

IPv6服務(wù)器PXE裝機(jī)的復(fù)雜主要體現(xiàn)在需要同時(shí)依賴ND協(xié)議及DHCPv6的有狀態(tài)地址自動(dòng)配置兩種技術(shù)。

• 必須依賴ND協(xié)議獲取默認(rèn)網(wǎng)關(guān)的相關(guān)配置

1、默認(rèn)網(wǎng)關(guān)信息必須依賴ND協(xié)議的RA消息：

（1）RA消息的源IP（默認(rèn)是網(wǎng)關(guān)的Link-local地址）是下聯(lián)服務(wù)器的默認(rèn)網(wǎng)關(guān)。

2、必須通過(guò)RA消息中O標(biāo)志位獲取DHCPv6 Server信息。

• 需要依賴DHCPv6服務(wù)器獲取File Server地址等信息

服務(wù)器必須向DHCPv6 server獲取File server地址以及DNS等信息。

從上面的過(guò)程不難看出，ND協(xié)議是對(duì)于IPv6主機(jī)是必不可少的組件，所以要降低IPv6服務(wù)器PXE裝機(jī)的復(fù)雜度，只能想辦法實(shí)現(xiàn)去掉DHCPv6協(xié)議。

深入分析有狀態(tài)PXE裝機(jī)方案，只需要解除通過(guò)DHCPv6獲取File Server地址配置這一個(gè)限制即可。具體就是通過(guò)RA+DNS的方式實(shí)現(xiàn)，這個(gè)方案我們稱之為無(wú)狀態(tài)地址裝機(jī)方案。

• 定義RA消息的URL Option擴(kuò)展屬性，攜帶File Server的域名；

• 主機(jī)通過(guò)RA消息獲得DNS 服務(wù)器地址（DNS服務(wù)器地址手工配置在交換機(jī)）；

• 通過(guò)DNS域名解析，獲得File Server的地址。

基于無(wú)狀態(tài)地址自動(dòng)配置的IPv6服務(wù)器PXE裝機(jī)整體流程如下圖所示：

▲圖六 IPv6無(wú)狀態(tài)PXE方案

服務(wù)器發(fā)送RS報(bào)文請(qǐng)求，交換機(jī)應(yīng)答RA（啞終端則等待設(shè)備定期發(fā)送RA），服務(wù)器根據(jù)RA報(bào)文完成自動(dòng)配置，包括：IP地址、默認(rèn)網(wǎng)關(guān)、DNS Server、以及File Server的URL；

• 服務(wù)器獲取地址后，發(fā)送DAD報(bào)文進(jìn)行地址沖突檢測(cè)；

• 服務(wù)器發(fā)送NS報(bào)文請(qǐng)求網(wǎng)關(guān)ND，交換機(jī)通過(guò)NS報(bào)文學(xué)習(xí)服務(wù)器ND信息，并發(fā)送NA應(yīng)答；

• 服務(wù)器向DNS Server發(fā)送域名解析URL請(qǐng)求，然后從File Server下載bootfile，執(zhí)行裝機(jī)。

顯然基于無(wú)狀態(tài)地址的IPv6 PXE裝機(jī)方案去掉了繁重的DHCPv6協(xié)議，不需要額外消耗DHCP Server資源，更簡(jiǎn)單、更輕量，也簡(jiǎn)化了網(wǎng)絡(luò)的規(guī)劃。有狀態(tài)的DHCPv6裝機(jī)方案，地址池的計(jì)算、管理全部在DHCPv6服務(wù)器端，這種方式出錯(cuò)成本很高，即DHCP服務(wù)器的地址池維護(hù)分配如果出現(xiàn)問(wèn)題，整個(gè)集群的服務(wù)器PXE裝機(jī)都會(huì)受影響，而無(wú)狀態(tài)地址裝機(jī)則更為簡(jiǎn)單，簡(jiǎn)單意味著可靠和穩(wěn)定。

IPv6服務(wù)器雙歸冗余架構(gòu)

在聊IPv6服務(wù)器雙歸冗余架構(gòu)之前，我們先看看IDC雙棧方案的整體組網(wǎng)架構(gòu)。

▲圖七 IDC雙棧方案架構(gòu)示意圖

• 接入、匯聚、核心交換機(jī)之間建立雙棧EBGP鄰居；

• 直連端口配置雙棧地址，IPv4 的BGP Session承載IPv4路由，IPv6 的BGP session承載IPv6路由；

• 服務(wù)器上行雙歸到接入交換機(jī)，兩臺(tái)接入交換機(jī)為一組，接入交換機(jī)實(shí)現(xiàn)去堆疊方案（類似IPv4下的去堆疊，具體參見【第六期】如何實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)“去”堆疊。

IPv6服務(wù)器雙歸冗余架構(gòu)就是IPv6環(huán)境下的接入交換機(jī)去堆疊，與IPv4下的去堆疊組網(wǎng)目標(biāo)一致，但是具體細(xì)節(jié)上又有很多的不同。

• 廣播風(fēng)暴抑制

1、在IPv6的去堆疊方案中，最重要的是避免廣播風(fēng)暴，需要在接入交換機(jī)下聯(lián)口開啟風(fēng)暴抑制功能；

2、IPv4場(chǎng)景組要指定隔離廣播、組播、未知單播報(bào)文；

3、IPv6取消廣播的概念，只需隔離組播報(bào)文。

• 二層隔離+網(wǎng)關(guān)代答

1、IPv4在二層隔離的場(chǎng)景下，同子網(wǎng)內(nèi)主機(jī)的互通采用ARP Proxy方案，即ARP代答，對(duì)于主機(jī)ARP請(qǐng)求的任何IP地址都應(yīng)答網(wǎng)關(guān)的MAC地址；

2、IPv6在二層隔離的場(chǎng)景下，同子網(wǎng)內(nèi)主機(jī)的互通有兩種方案：

（1）部署ND Proxy來(lái)實(shí)現(xiàn)代答，類似IPv4的ARP Proxy方案；

（2）通過(guò)RA消息（L-bit）標(biāo)識(shí)置為0，通告下連地址段前綴為“off-link”，即非直連網(wǎng)段，所有報(bào)文的轉(zhuǎn)發(fā)都必須通過(guò)網(wǎng)關(guān)。

ND Proxy方案詳解

ND Proxy方案的復(fù)雜度在交換機(jī)側(cè)，不依賴于服務(wù)器的協(xié)議棧。

交換機(jī)需要實(shí)現(xiàn)同網(wǎng)段通信走三層轉(zhuǎn)發(fā)。即交換機(jī)對(duì)服務(wù)器發(fā)出所有NS請(qǐng)求，都以網(wǎng)關(guān)的MAC地址進(jìn)行應(yīng)答，并在硬件出方向不轉(zhuǎn)發(fā)服務(wù)器的NS報(bào)文，包括目的服務(wù)器和源服務(wù)器是同網(wǎng)段。

ND-Proxy網(wǎng)關(guān)代答詳細(xì)流程如下圖：

▲圖八 ND-proxy代答時(shí)序圖

• 服務(wù)器S1主動(dòng)發(fā)NS報(bào)文來(lái)獲取服務(wù)器S2的MAC地址；

• 交換機(jī)配置了ND Proxy，所以NS報(bào)文直接被上送到CPU，判斷本機(jī)是否存在S2的ND表項(xiàng)，如果存在則直接代答NA報(bào)文；

• 如果不存在S2的ND表項(xiàng)，為了確保S2當(dāng)前是真實(shí)在線的，交換機(jī)CPU會(huì)主動(dòng)發(fā)源IP是網(wǎng)關(guān)IP、目的IP是服務(wù)器S2的NS報(bào)文；

• S2收到NS后應(yīng)答NA報(bào)文，交換機(jī)收到S2的NA報(bào)文后在本地生成S2的ND表項(xiàng)并代答NA報(bào)文給S1；

• 如果S2發(fā)生故障或者不在線，則網(wǎng)關(guān)不會(huì)代答NA報(bào)文給服務(wù)器S1，否則會(huì)造成黑洞丟包。

設(shè)置硬件出方向不轉(zhuǎn)發(fā)NS報(bào)文的原因是避免ND表項(xiàng)泄露。

這個(gè)問(wèn)題跟IPv4場(chǎng)景的去堆疊場(chǎng)景類似，如果不做出方向ARP報(bào)文的抑制會(huì)導(dǎo)致ARP泄露，從而導(dǎo)致服務(wù)器雙掛變單掛的故障場(chǎng)景下，部分業(yè)務(wù)流會(huì)一直斷流。

▲圖九 Server1雙掛變單掛示意圖

如上圖所示，如果不做ARP或者ND在出方向的抑制，當(dāng)廣播風(fēng)暴抑制不生效時(shí)，S2會(huì)學(xué)到S1的ARP以及ND記錄，則S2發(fā)往S1的報(bào)文封裝的MAC地址是S1的真實(shí)MAC地址，而不是網(wǎng)關(guān)的MAC地址，當(dāng)S1發(fā)生單上聯(lián)口故障時(shí)，S2到S1走交換機(jī)-1的流量會(huì)被全部丟棄。

接入交換機(jī)硬件出方向應(yīng)用ARP抑制完全沒(méi)問(wèn)題，但是出方向應(yīng)用NS抑制會(huì)帶來(lái)新問(wèn)題，即同一臺(tái)接入交換機(jī)下其他服務(wù)器無(wú)法收到DAD報(bào)文，導(dǎo)致DAD（Duplicate Address Detection，重復(fù)地址檢測(cè)）檢測(cè)失效。為解決此問(wèn)題，交換機(jī)需要實(shí)現(xiàn)DAD報(bào)文學(xué)習(xí)ND的功能。流程如下圖所示：

▲圖十 DAD報(bào)文學(xué)習(xí)ND流程圖

• 當(dāng)交換機(jī)收到DAD報(bào)文時(shí)，會(huì)查看本機(jī)是否存在請(qǐng)求目的地址的ND表項(xiàng)；

• 如果沒(méi)有則創(chuàng)建ND表項(xiàng)，并把ND狀態(tài)置為Stale；

• 如果存在ND表項(xiàng)，則比較DAD報(bào)文的源MAC和該ND表項(xiàng)的MAC；

• 如果MAC不同，則說(shuō)明檢測(cè)到重復(fù)地址，發(fā)送NA報(bào)文通知發(fā)送端IP地址重復(fù)，IP地址不可用。

L-bit網(wǎng)關(guān)代答方案詳解

基于L-bit的網(wǎng)關(guān)代答方案，通過(guò)RA報(bào)文中攜帶指定Prefix的off-link屬性，使下聯(lián)主機(jī)對(duì)與該P(yáng)refix同網(wǎng)段的通信請(qǐng)求，必須先經(jīng)過(guò)網(wǎng)關(guān)。L-bit方案依賴服務(wù)器主機(jī)的協(xié)議棧行為，不是所有的服務(wù)器OS都天然支持。

L-bit網(wǎng)關(guān)代答方案的詳細(xì)原理如下：

• 交換機(jī)上關(guān)閉RA抑制功能；

• 周期性通告RA消息給直連服務(wù)器，交換機(jī)配置指定前綴的On-link Flag為0；

• 主機(jī)收到RA后，通過(guò)解析指定前綴的On-link-flag是否為0；

• 如果On-link-flag為0，則表示到此前綴的所有流量直接發(fā)給默認(rèn)網(wǎng)關(guān);

服務(wù)器同時(shí)通過(guò)解析RA報(bào)文獲取默認(rèn)網(wǎng)關(guān)IP，并查詢ND表項(xiàng)，發(fā)往此前綴的所有流量的目的MAC會(huì)被封裝成默認(rèn)網(wǎng)關(guān)MAC。

簡(jiǎn)單對(duì)比ND-Proxy以及L-bit這兩種網(wǎng)關(guān)代答方案：

▲表一兩種網(wǎng)關(guān)代答方案優(yōu)劣對(duì)比

顯然在服務(wù)器OS滿足要求的前提下，L-bit方案更好。不過(guò)網(wǎng)絡(luò)無(wú)法對(duì)業(yè)務(wù)服務(wù)器灌裝版本做嚴(yán)格的要求，所以建議采用ND-Proxy方案、L-bit方案同時(shí)開啟。如果服務(wù)器OS支持L-bit能力，則不會(huì)走到ND-Proxy的代答流程；如果服務(wù)器OS不支持L-bit，交換機(jī)的ND-proxy功能可以保證代答轉(zhuǎn)發(fā)。

在第一章節(jié)講IPv6地址規(guī)劃時(shí)，我們遺留了一個(gè)問(wèn)題，即采用64位掩碼長(zhǎng)度網(wǎng)段的問(wèn)題，其實(shí)這也不算是問(wèn)題，只是在服務(wù)器雙歸部署時(shí)，需要進(jìn)行一些特殊的處理，這就牽扯到一個(gè)重要的特性——ND指定前綴轉(zhuǎn)路由。

在理解ND指定前綴轉(zhuǎn)路由概念之前，我們先要講一下關(guān)于去堆疊場(chǎng)景ARP/ND轉(zhuǎn)主機(jī)路由的需求。如果一組接入交換機(jī)各自發(fā)布相同的主機(jī)網(wǎng)段路由，那么當(dāng)其中一臺(tái)接入交換機(jī)與某臺(tái)主機(jī)的上行鏈路故障時(shí)，訪問(wèn)這臺(tái)主機(jī)的流量可能會(huì)丟失一半的流量。只有把ARP/ND轉(zhuǎn)成主機(jī)路由，面對(duì)上面的問(wèn)題，接入交換機(jī)在發(fā)現(xiàn)下行連接某個(gè)主機(jī)的鏈路故障時(shí)，它會(huì)快速撤銷其對(duì)應(yīng)的主機(jī)路由，就不會(huì)發(fā)生斷流問(wèn)題了。這里面的關(guān)鍵就在于ARP/ND生成的主機(jī)路由是如何占用硬件表項(xiàng)的？

• IPv4環(huán)境：

1、接入交換機(jī)會(huì)把ARP轉(zhuǎn)成32位長(zhǎng)度的主機(jī)路由；

2、IPv4主機(jī)路由表項(xiàng)是復(fù)用ARP硬件表項(xiàng)資源的；

3、所以并沒(méi)有因?yàn)樯芍鳈C(jī)路由占用雙份的資源。

• IPv6環(huán)境：
1、ND轉(zhuǎn)成的主機(jī)路由算是網(wǎng)段路由，占用交換機(jī)ALPM表項(xiàng)；

2、ND本身占用的是L3_entry表項(xiàng)；

3、ND轉(zhuǎn)成的主機(jī)路由與ND表項(xiàng)不復(fù)用；

如果直接把ND轉(zhuǎn)成對(duì)應(yīng)128位長(zhǎng)度的主機(jī)路由，一條128位的主機(jī)路由在ALPM硬件資源中需要占用兩個(gè)表項(xiàng)（210 bit），對(duì)于本來(lái)就緊張的APLM硬件資源就是極大的浪費(fèi)。

所以，在IPv6服務(wù)器雙歸冗余架構(gòu)下，為了最大化節(jié)約交換機(jī)ALPM硬件表項(xiàng)的資源，需要壓縮ND轉(zhuǎn)成的主機(jī)路由長(zhǎng)度，指定ND轉(zhuǎn)成主機(jī)路由的前綴長(zhǎng)度，這就是ND指定前綴轉(zhuǎn)路由。而64位掩碼長(zhǎng)度是最優(yōu)的選擇，因?yàn)?4位掩碼長(zhǎng)度的網(wǎng)絡(luò)路由在ALPM硬件資源中只占用一條表項(xiàng)（105 bit）。這也就是在第一章講IPv6地址規(guī)劃時(shí)，為什么建議采用64位掩碼長(zhǎng)度的原因。

下面我們舉個(gè)例子來(lái)說(shuō)明。

假設(shè)終端的IPv6地址為fc00:1:1010:35::1124，按照統(tǒng)一的64位網(wǎng)段規(guī)劃，接入交換機(jī)學(xué)到ND后轉(zhuǎn)fc00:1:1010:35::1124/64網(wǎng)絡(luò)路由，按照下聯(lián)48臺(tái)服務(wù)器，每臺(tái)服務(wù)器1虛30的能力來(lái)計(jì)算，直連ND表項(xiàng)的數(shù)量為48*30 = 1440個(gè)，只占ALPM表容量的1%左右（以Broadcom Trident3估算），假設(shè)一個(gè)POD有30組接入交換機(jī)，那么每臺(tái)接入交換機(jī)上從網(wǎng)絡(luò)學(xué)到ND轉(zhuǎn)成64位掩碼長(zhǎng)度的網(wǎng)絡(luò)路由會(huì)占用了29 * 1% = 29%的ALPM硬件資源，設(shè)想下，如果不壓縮ND轉(zhuǎn)成的主機(jī)路由長(zhǎng)度，那么從網(wǎng)絡(luò)學(xué)到的128位主機(jī)路由就會(huì)很輕易的用掉58%的ALPM硬件資源。

總結(jié)

本文重點(diǎn)針對(duì)IPv4/IPv6雙棧環(huán)境下的地址規(guī)劃、PXE裝機(jī)及服務(wù)器雙歸部署進(jìn)行了簡(jiǎn)單的討論。總結(jié)起來(lái)，因?yàn)镮Pv6相關(guān)協(xié)議及地址長(zhǎng)度的變化，再疊加原有的IPv4，IPv4/IPv6雙棧架構(gòu)對(duì)網(wǎng)絡(luò)運(yùn)維、網(wǎng)絡(luò)安全，以及交換機(jī)硬件表項(xiàng)都帶來(lái)不小的挑戰(zhàn)，部署雙棧后如何應(yīng)對(duì)這些挑戰(zhàn)，后面會(huì)繼續(xù)跟大家分享。

附專業(yè)術(shù)語(yǔ)解釋：