IPv6企業(yè)部署實(shí)施技術(shù)指南第3部分：部署流程

IPv6企業(yè)部署實(shí)施技術(shù)指南第3部分：部署流程范圍本文件規(guī)定了IPv6企業(yè)部署實(shí)施技術(shù)指南的部署流程，在企業(yè)部署IPv6的準(zhǔn)備階段、外部階段和內(nèi)部階段。本文件適用于支持部署IPv6的企業(yè)。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。T/CSACAAAAIPv6企業(yè)部署實(shí)施技術(shù)指南第1部分：參考架構(gòu)T/CSACBBBBIPv6企業(yè)部署實(shí)施技術(shù)指南第2部分：改造目標(biāo)T/CSACDDDDIPv6企業(yè)部署實(shí)施技術(shù)指南第4部分：改造驗(yàn)證術(shù)語和定義下列術(shù)語和定義適用于本文件。

IPv6升級(jí)IPv6UpgradeIPv6升級(jí)是一項(xiàng)網(wǎng)絡(luò)戰(zhàn)略，旨在使網(wǎng)絡(luò)能夠支持和采用IPv6協(xié)議。這涉及到更新、配置和優(yōu)化網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以確保在IPv6環(huán)境中實(shí)現(xiàn)無縫的通信，并同時(shí)保持與IPv4網(wǎng)絡(luò)的互通性。

IPv6地址規(guī)劃IPv6AddressPlanningIPv6地址規(guī)劃是一項(xiàng)策略性活動(dòng)，用于確定在網(wǎng)絡(luò)中如何分配和管理IPv6地址。這包括確定IPv6子網(wǎng)的分配方案，以及如何為不同的網(wǎng)絡(luò)部署、設(shè)備和服務(wù)分配IPv6地址，以確保地址資源的合理分配和網(wǎng)絡(luò)路由的有效性。

IPv6設(shè)備兼容性IPv6DeviceCompatibilityIPv6設(shè)備兼容性是指網(wǎng)絡(luò)中各種硬件和軟件設(shè)備對(duì)IPv6協(xié)議的適應(yīng)性和互操作性。這包括確保路由器、交換機(jī)、防火墻和其他網(wǎng)絡(luò)設(shè)備能夠正確處理IPv6數(shù)據(jù)包，以確保IPv6通信的可靠性和穩(wěn)定性。DNS服務(wù)器一種將域名映射為某些預(yù)定義類型資源記錄的分布式互聯(lián)網(wǎng)服務(wù)系統(tǒng)，網(wǎng)絡(luò)中域名服務(wù)系統(tǒng)間通過相互協(xié)作實(shí)現(xiàn)域名到相應(yīng)資源記錄的解析?？s略語下列縮略語適用于本文件。AFRINIC：非洲互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（AfricanNetworkInformationCentre）ALG：應(yīng)用層網(wǎng)關(guān)（ApplicationLayerGateway）APNIC：亞太互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（Asia-PacificNetworkInformationCentre）ARIN：美洲互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（AmericanRegistryforInternetNumbers）DHCPv6：動(dòng)態(tài)主機(jī)配置協(xié)議第6版（DynamicHostConfigurationProtocolVersion6）DNS：域名系統(tǒng)（DomainNameSystem）DUID：DHCP唯一標(biāo)識(shí)符（DHCPUniqueIdentifier）HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）IGP：內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol）IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）ISP：互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvider）LACNIC：拉丁美洲和加勒比互聯(lián)網(wǎng)注冊(cè)中心（LatinAmericaandCaribbeanNetworkInformationCentre）LIR：本地互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（LocalInternetRegistry）MAC：媒體訪問控制地址（MediaAccessControlAddress）MTU：最大傳輸單元（MaximumTransmissionUnit）ND：鄰居發(fā)現(xiàn)（NeighborDiscovery）NDP：鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryProtocol）OSPFv3：開放最短路徑優(yōu)先協(xié)議第3版（OpenShortestPathFirstVersion3）PA：提供商聚合（ProviderAggregatable）PI：獨(dú)立提供商（ProviderIndependent）RIPng：下一代路由信息協(xié)議（RoutingInformationProtocolNextGeneration）RIPENCC：歐洲互聯(lián)網(wǎng)數(shù)字互聯(lián)網(wǎng)中心（RéseauxIPEuropéensNetworkCoordinationCentre）RIR：區(qū)域互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RegionalInternetRegistry）SLAAC：無狀態(tài)地址自動(dòng)配置（StatelessAddressAutoconfiguration）TCP：傳輸控制協(xié)議（TransmissionControlProtocol）ULA：唯一局部地址（UniqueLocalAddress）URL：統(tǒng)一資源定位符（Uniform/UniversalResourceLocator）VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）WWW：萬維網(wǎng)（WorldWideWeb）準(zhǔn)備階段計(jì)劃規(guī)劃在IPv6企業(yè)部署實(shí)施技術(shù)指南的部署流程的準(zhǔn)備和評(píng)估階段，應(yīng)該采取以下步驟來確保計(jì)劃的順利進(jìn)行：項(xiàng)目管理在啟動(dòng)IPv6企業(yè)部署實(shí)施技術(shù)指南的部署流程工作時(shí)，建議由專業(yè)的項(xiàng)目經(jīng)理負(fù)責(zé)組織工作。項(xiàng)目經(jīng)理的職責(zé)包括確保工作進(jìn)度按計(jì)劃進(jìn)行、協(xié)調(diào)不同團(tuán)隊(duì)的工作、監(jiān)督預(yù)算和資源分配等。此外，項(xiàng)目經(jīng)理應(yīng)定期與執(zhí)行發(fā)起人協(xié)商，以確保項(xiàng)目目標(biāo)與整體戰(zhàn)略保持一致。目標(biāo)確定在IPv6企業(yè)部署實(shí)施技術(shù)指南的部署流程中，需要明確定義項(xiàng)目的目標(biāo)。這些目標(biāo)將決定項(xiàng)目的優(yōu)先級(jí)和階段順序。根據(jù)目標(biāo)，可以確定內(nèi)部和外部階段的優(yōu)先次序，以確保項(xiàng)目按照正確的順序進(jìn)行。時(shí)間表制定IPv6企業(yè)部署實(shí)施技術(shù)指南的部署流程可能需要多次迭代，因此需要根據(jù)項(xiàng)目目標(biāo)和時(shí)間表將IPv6項(xiàng)目整合到其他架構(gòu)升級(jí)計(jì)劃中?？紤]到不同項(xiàng)目的時(shí)間表，建議在適當(dāng)?shù)臅r(shí)候?qū)Pv6項(xiàng)目納入其他架構(gòu)升級(jí)工作中。清單階段為了更好地理解準(zhǔn)備和評(píng)估階段的范圍，將問題劃分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施就緒狀態(tài)和應(yīng)用程序就緒狀態(tài)兩部分。網(wǎng)絡(luò)基礎(chǔ)設(shè)施就緒評(píng)估網(wǎng)絡(luò)設(shè)備IPv6就緒程度在這一階段，需要評(píng)估網(wǎng)絡(luò)設(shè)備的IPv6支持程度。這將有助于確定升級(jí)所需的工作量，包括設(shè)備的IPv6功能、配置和升級(jí)需求。要特別注意測(cè)試IPv6支持是否與默認(rèn)配置一致。網(wǎng)絡(luò)拓?fù)浜驮O(shè)備清單通過網(wǎng)絡(luò)發(fā)現(xiàn)和IP地址管理工具，了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及網(wǎng)絡(luò)中存在的設(shè)備。這將幫助您創(chuàng)建網(wǎng)絡(luò)設(shè)備和代碼版本清單，以確定哪些設(shè)備需要升級(jí)或更換。應(yīng)用準(zhǔn)備評(píng)估應(yīng)用程序IPv6支持評(píng)估內(nèi)部應(yīng)用程序的IPv6支持情況。這包括操作系統(tǒng)、固件、中間件和應(yīng)用程序軟件。對(duì)于外部供應(yīng)商提供的應(yīng)用程序，可能需要協(xié)商以獲得IPv6支持。通信方式分析分析特定應(yīng)用程序在網(wǎng)絡(luò)上的通信方式，以確定它們與IPv6的兼容性。應(yīng)用程序應(yīng)避免使用特定IP地址系列的指令，并確保在IPv6環(huán)境下正常工作。代碼修改和移植對(duì)于使用特定IP版本的API的應(yīng)用程序，可能需要進(jìn)行代碼修改，以確保其支持IPv6。建議應(yīng)用程序開發(fā)人員使用IPv6移植工具來查找需要更新的代碼。培訓(xùn)為了成功實(shí)施IPv6升級(jí)，對(duì)經(jīng)常涉及地址操作的人員進(jìn)行培訓(xùn)非常重要。培訓(xùn)應(yīng)基于項(xiàng)目需求，以確保所有相關(guān)方都具備所需的IPv6知識(shí)和技能。安全政策在IPv6部署中，安全性是至關(guān)重要的。必須確保IPv6網(wǎng)絡(luò)的安全性，包括網(wǎng)絡(luò)建設(shè)、政務(wù)數(shù)據(jù)和平臺(tái)的安全。在IPv6安全政策中，應(yīng)考慮與IPv4相似的安全問題，但還需注意IPv6的一些特定問題，如地址隱私擴(kuò)展、擴(kuò)展報(bào)頭和雙協(xié)議棧環(huán)境的安全性。在這個(gè)準(zhǔn)備和評(píng)估階段，項(xiàng)目管理、設(shè)備和應(yīng)用程序準(zhǔn)備、培訓(xùn)和安全政策都是關(guān)鍵因素，將有助于確保IPv6升級(jí)的成功和順利進(jìn)行。路由路由協(xié)議選擇在考慮IPv6路由協(xié)議時(shí)，應(yīng)該首先評(píng)估網(wǎng)絡(luò)中已有的運(yùn)行策略。有多種支持IPv6的路由協(xié)議可供選擇，包括IGP（IS-IS、OSPFv3）和下一代路由信息協(xié)議（RIPng）。為了保持IPv4和IPv6操作的一致性，可以考慮繼續(xù)使用與IPv4相同系列的協(xié)議。例如，如果在IPv4中使用OSPFv2，那么在IPv6中使用OSPFv3可能是合理的選擇，盡管需要注意它們之間的差異。另一種選擇是在IPv4和IPv6之間運(yùn)行不同的路由協(xié)議。這會(huì)帶來一個(gè)重要的設(shè)計(jì)問題，即長期內(nèi)是否要支持一個(gè)IGP或兩個(gè)不同的IGP。地址計(jì)劃IPv6地址分配原則IPv6地址分配應(yīng)遵循與IPv4同樣重要的保護(hù)原則。一種常見的建議是分配一個(gè)較大的單一地址塊，而不是多個(gè)不連續(xù)的小塊，因?yàn)閱我粔K只占用路由表中的一個(gè)條目，從而提高了路由的效率。此建議在[RFC5375]中有所提及。對(duì)于ULA的使用需要仔細(xì)考慮其支持程度，特別是在多地址和多播情況下，以及評(píng)估對(duì)ULA的需求強(qiáng)度。地址類型選擇管理員需要評(píng)估從本地互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（LIR，如ISP）、區(qū)域互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RIR，如AfriNIC、APNIC、ARIN、LACNIC或RIPE-NCC）或國家互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（NIR，在某些國家運(yùn)行）申請(qǐng)地址空間的選項(xiàng)。通常的分配方式是從ISP獲取提供商聚合（PA）地址空間，但這意味著在更換提供商時(shí)需要重新編號(hào)。另一種選擇是申請(qǐng)獨(dú)立提供商（PI）空間，這可能需要額外的費(fèi)用，但允許更靈活地使用前綴，并在更換ISP時(shí)避免重新編號(hào)（但需要注意，PI空間仍然無法避免由于空間用完、合并或其他內(nèi)部原因而導(dǎo)致的重新編號(hào)）。地址類型的選擇應(yīng)根據(jù)路由需求來確定，因?yàn)樗赡軙?huì)影響是否需要應(yīng)用新的路由技術(shù)，以及可能會(huì)限制未來的靈活性。地址前綴分配每個(gè)網(wǎng)絡(luò)位置或站點(diǎn)都需要一個(gè)前綴分配。一般來說，根據(jù)RFC5375和[RFC6177]的歷史指南，建議每個(gè)站點(diǎn)至少獲得一個(gè)/48前綴。這不僅有助于簡化規(guī)劃，還允許站點(diǎn)將其前綴用于本地連接。對(duì)于終端系統(tǒng)的地址分配，可以使用手動(dòng)配置的地址（對(duì)服務(wù)器常見），也可以為客戶端系統(tǒng)使用無狀態(tài)地址自動(dòng)配置（SLAAC）或DHCPv6。然而，DHCPv6現(xiàn)在已經(jīng)非常成熟，因此可以使用有狀態(tài)的DHCPv6為工作站尋址。有狀態(tài)的DHCPv6允許管理員使用額外的配置選項(xiàng)，并且通過系統(tǒng)日志可以了解哪個(gè)系統(tǒng)在任何給定時(shí)間擁有哪個(gè)地址。這種責(zé)任模型在IPv4管理中很常見，不過DHCPv6主機(jī)是通過DHCP唯一標(biāo)識(shí)符（DUID）而不是MAC地址來識(shí)別的。為了實(shí)現(xiàn)與SLAAC相當(dāng)?shù)呢?zé)任，可以使用監(jiān)控系統(tǒng)從交換機(jī)和路由器設(shè)備中獲取IP/MAC映射。DNS記錄更新任何網(wǎng)絡(luò)的一個(gè)常見部署考慮因素是如何更新主機(jī)DNS記錄。通常，這可以由主機(jī)發(fā)送DNS更新或由DHCP服務(wù)器更新記錄來完成。如果主機(jī)和DNS服務(wù)器之間有足夠的信任，主機(jī)可以更新DNS記錄（可以使用SLAAC進(jìn)行尋址）。否則，可以將DHCPv6服務(wù)器配置為更新DNS服務(wù)器。需要注意的是，具有更可控環(huán)境的網(wǎng)絡(luò)可能需要在網(wǎng)段上禁用SLAAC，并強(qiáng)制終端主機(jī)只使用DHCPv6。點(diǎn)對(duì)點(diǎn)鏈接和虛擬網(wǎng)絡(luò)對(duì)于數(shù)據(jù)中心或服務(wù)器機(jī)房，每個(gè)VLAN可以考慮分配/64前綴。一些管理員保留一個(gè)/64，但配置了一個(gè)小的子網(wǎng)，如/112、/126或/127，以防止惡意設(shè)備連接并獲取號(hào)碼。另一種方法是監(jiān)控流量，以發(fā)現(xiàn)意外的地址或鄰居發(fā)現(xiàn)（ND）表中的新條目。地址可以在服務(wù)器上手動(dòng)配置，也可以在DHCPv6服務(wù)器上保留，DHCPv6服務(wù)器還可以同步正向和反向DNS。不建議在服務(wù)器上使用SLAAC，因?yàn)樾枰獙A定時(shí)器與DNS生存時(shí)間（TTL）同步，以確保DNS條目與地址同時(shí)過期。如果不使用NDP的點(diǎn)對(duì)點(diǎn)鏈接，也可以考慮使用/127（參見[RFC6164]）。避免可變長度子網(wǎng)掩碼（VLSM）在IPv6中，不需要使用可變長度子網(wǎng)掩碼（VLSM）[RFC1817]。使用長度超過/64的前綴會(huì)破壞IPv6的一些常見功能，如SLAAC[RFC4862]。在多個(gè)VLAN或其他第二層域的交匯點(diǎn)，應(yīng)留出一些擴(kuò)展空間。避免因超出網(wǎng)絡(luò)規(guī)劃而重新編號(hào)是重要的，因此通常建議將規(guī)劃擴(kuò)展到可以容納目前規(guī)模兩倍左右的增長。分配給虛擬網(wǎng)絡(luò)和設(shè)備的地址規(guī)劃必須與分配給真實(shí)網(wǎng)絡(luò)和節(jié)點(diǎn)的地址保持一致且不重疊。分配地址時(shí)應(yīng)特別注意，以避免與IPv4地址沖突。ULA的使用如果考慮使用ULA，應(yīng)注意不要將ULA的AAAA和PTR記錄安裝到全局DNS中。此外，ULA的反向查詢不應(yīng)發(fā)送到組織外的名稱服務(wù)器，以減輕名稱服務(wù)器的負(fù)荷。工具評(píng)估對(duì)于工具評(píng)估來說，操作工具和支持系統(tǒng)是關(guān)鍵的，用于配置、監(jiān)控、管理和診斷網(wǎng)絡(luò)和IPv6相關(guān)問題。這些工具和系統(tǒng)需要進(jìn)行評(píng)估，以確保它們與IPv6兼容。兼容性可能涉及到工具和系統(tǒng)在IPv6環(huán)境中的運(yùn)行能力，包括對(duì)IPv6地址和連接的支持，以及IPv6感知的工具和處理邏輯。評(píng)估工具和支持系統(tǒng)時(shí)需要考慮多種因素，包括IPv6地址的大尺寸和可能會(huì)對(duì)數(shù)據(jù)存儲(chǔ)和處理產(chǎn)生影響。此外，工具可能需要同時(shí)支持IPv6和IPv4的監(jiān)控、管理和交叉。對(duì)于網(wǎng)絡(luò)系統(tǒng)，是否需要支持本地IPv6尋址和連接取決于具體情況，但一些操作仍可以通過IPv4傳輸執(zhí)行，例如SNMPMIB輪詢。需要注意的是，管理系統(tǒng)需要升級(jí)以支持新的IPv6規(guī)范和被輪詢的終端站。此外，一些操作工具可能需要額外的軟件更新或硬件升級(jí)以感知IPv6。外部階段連接性在IPv6的外部階段，需要考慮如何將其基礎(chǔ)設(shè)施連接到外部世界。這些連接可能面向整個(gè)互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)。外部階段包括以下要素的連接、安全性和監(jiān)測(cè)，以及面向外部或可訪問的服務(wù)。與服務(wù)提供商合作需要與一個(gè)或多個(gè)服務(wù)提供商合作，以獲得與互聯(lián)網(wǎng)或傳輸服務(wù)基礎(chǔ)設(shè)施（如BGP/MPLSIPVPN）的連接。這涉及到連接的規(guī)劃和配置，可能需要遵循[RFC4364]和[RFC4659]的相關(guān)規(guī)范。IPv6地址類型在規(guī)劃階段需選擇使用PI（ProviderIndependent）和/或PA（ProviderAggregatable）IPv6地址。這將影響與ISP的連接方式和可能需要實(shí)施的新路由功能。本機(jī)IPv6連接優(yōu)先考慮使用本機(jī)IPv6連接，因?yàn)樗峁┝朔€(wěn)定和高效的連接。如果本機(jī)IPv6連接不可行，可考慮使用過渡隧道IPv6連接，但需注意隧道可能引入的延遲和其他問題。MTU一致性為簡化操作，建議保持IPv6和IPv4的MTU一致。如果使用過渡隧道連接，需要注意MTU的調(diào)整，并監(jiān)控與MTU相關(guān)的問題。安全性IPv6的外部連接需要考慮安全性，包括過濾、防火墻和IPS的配置。安全策略應(yīng)與IPv4一致，但要允許某些必要的ICMPv6報(bào)文通過過濾設(shè)備。過濾配置過濾可以通過無狀態(tài)ACL或有狀態(tài)防火墻來實(shí)施。需要確保IPv6的安全策略至少與IPv4相同，包括所有必要的保護(hù)措施。防欺騙技術(shù)邊緣路由器需要實(shí)施基于[RFC2827]（BCP38）的防欺騙技術(shù)，以減少欺騙攻擊的風(fēng)險(xiǎn)。NDP緩存耗盡攻擊為緩解NDP緩存耗盡攻擊風(fēng)險(xiǎn)，可以采取一些技術(shù)措施，如良好的NDP實(shí)施、入口ACL等。監(jiān)測(cè)在外部階段，需要監(jiān)測(cè)IPv6連接的使用情況，與IPv4一樣重要。監(jiān)測(cè)涵蓋異常流量模式、SNMPMIB、系統(tǒng)日志等方面，需要支持IPv6的監(jiān)測(cè)工具和報(bào)告。服務(wù)器和應(yīng)用程序?qū)ν獠糠?wù)的路徑通常包括安全設(shè)備、服務(wù)器負(fù)載平衡（SLB）和物理服務(wù)器。需要確保所有設(shè)備啟用本地雙協(xié)議棧，并注意IPv6的安全性和審計(jì)跟蹤。NAT64NAT64可用于將IPv6連接轉(zhuǎn)換為IPv4連接，但需要注意安全和審計(jì)問題。IPv6網(wǎng)絡(luò)前綴轉(zhuǎn)換在考慮NPTv6（NetworkPrefixTranslationforIPv6）時(shí)，需要充分了解其部署對(duì)網(wǎng)絡(luò)的影響，尤其是與IPv6地址嵌入應(yīng)用程序的情況。對(duì)NPTv6的使用需要仔細(xì)規(guī)劃和考慮。這些是IPv6升級(jí)的外部階段的主要考慮事項(xiàng)，它們有助于確保成功地將其基礎(chǔ)設(shè)施連接到IPv6網(wǎng)絡(luò)。內(nèi)部階段設(shè)計(jì)范式在內(nèi)部階段，將IPv6傳輸?shù)叫畔⒓夹g(shù)（IT）基礎(chǔ)設(shè)施的內(nèi)部，包括網(wǎng)絡(luò)設(shè)備、終端用戶設(shè)備和外圍設(shè)備。在這個(gè)階段，要考慮一個(gè)重要的設(shè)計(jì)原則，即"能雙棧時(shí)雙棧，必須隧道時(shí)隧道"。這個(gè)原則意味著應(yīng)該優(yōu)先考慮使用雙協(xié)議棧，因?yàn)樗梢蕴峁└€(wěn)定和高質(zhì)量的IPv6網(wǎng)絡(luò)。但是，在某些情況下，隧道仍然是一個(gè)有效的選項(xiàng)，特別是用于試驗(yàn)IPv6和獲取協(xié)議操作經(jīng)驗(yàn)。請(qǐng)參考RFC4213和RFC6964以了解更多關(guān)于過渡機(jī)制的信息。安全性在內(nèi)部階段，所有現(xiàn)有的IPv4安全策略都必須擴(kuò)展到支持IPv6。這包括防火墻、訪問控制列表（ACL）、入侵防御系統(tǒng)（IPS）、虛擬專用網(wǎng)絡(luò)（VPN）等安全措施。需要注意的是，IPv6的安全策略可能需要考慮到ICMPv6的差異。另外，IPv6的隱私擴(kuò)展地址可能會(huì)對(duì)審計(jì)跟蹤提出挑戰(zhàn)，因此可以考慮使用DHCPv6或監(jiān)控工具來獲取網(wǎng)絡(luò)內(nèi)設(shè)備的責(zé)任數(shù)據(jù)。還建議在接入層的內(nèi)部網(wǎng)絡(luò)上部署RA-Guard和SAVIWG等技術(shù)來增強(qiáng)鏈路層安全性。網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本的有線接入交換機(jī)和接入點(diǎn)通常在物理層和鏈路層運(yùn)行，但需要考慮對(duì)IPv6地址的管理。首跳路由器冗余是一個(gè)重要的考慮因素，因?yàn)樗苯佑绊懢W(wǎng)絡(luò)可達(dá)性。IPv6NeighborDiscovery（ND）可以用于維護(hù)可用路由器列表，以實(shí)現(xiàn)主備路由器之間的切換。此外，考慮到鏈路上可能會(huì)出現(xiàn)故障，建議使用IPv6虛擬路由器冗余協(xié)議版本3（VRRPv3）來提供更強(qiáng)大的首跳路由器冗余。最后，在內(nèi)部網(wǎng)絡(luò)中部署IPv6時(shí)，選擇SLAAC、DHCPv6或它們的組合取決于運(yùn)營策略。最終用戶設(shè)備不同操作系統(tǒng)對(duì)IPv6的支持有所不同，因此需要考慮到設(shè)備操作系統(tǒng)的默認(rèn)行為。建議企業(yè)調(diào)查其設(shè)備的默認(rèn)設(shè)置，并根據(jù)需要進(jìn)行配置更改。智能手機(jī)和平板電腦在IPv6支持方面很重要，但也需要考慮運(yùn)營商數(shù)據(jù)網(wǎng)絡(luò)的支持情況。外圍設(shè)備如打印機(jī)通常配置靜態(tài)IPv6地址或通過DHCPv6分配，以便客戶端能夠可靠地發(fā)現(xiàn)它們。支撐系統(tǒng)支撐系統(tǒng)包括電子郵件、視頻會(huì)議、電話（VoIP）、DNS、RADIUS等。DNS是一個(gè)重要的錨點(diǎn)