IPv6虚拟专线方案

IPv6专网背景说明：

目前IPv6广域以太网采用中国联通基于SDH的MSTP设备构建的专有网络。在骨干段依托于骨干SDH网络进行传输，各接入段构建于城域SDH网络上，采用MSTP设备进行汇聚接入，组成基广域以太网专线。各分支接入交换机在以太专线上进行IPv6路由组网。

虚拟IPv6专网方案：

1.       方案目标：

    让北京的云网智造办公分支IPv6 组网不依赖于MSTP/SDH以太专网线路，而通过成本相对低的公网线路，实现北京－呼和浩特两地分支IPv6组网互通。

    同时线路切换后，分支的组网架构和配置与原有方案完全兼容，对业务透明，达到合理节约费用的目标。

2.       方案简介：

    虚拟IPv6专网方案整体拓扑如图-1所示：

图－1说明：方案通过替换航天智造办公区和呼和浩特数据中心中间线路为Flota-Sec隧道，在公网IPv4承载IPv6二层传输，对分支接入IPv6路由器互联透明，无需改动内网配置。

3.       方案说明：

航天智造办公区 至 呼和浩特数据中心 现有组网拓扑如图－2所示：

替换方案见图－3，以图－2拓扑为基础，将广域网&接入区域A区透明替换为B区：

图－3方案说明：

1.孚塔云网FLota-CE-FA1型号SD-WAN CE设备串联到IPv6路由器和公网（防火墙）之间。

2.SD-WAN CE设备下行网口(LAN-1口) 2层模式连接本地IPv6路由器原专线互联网口，实现VLAN透传。

3.CE设备上行网口(LAN-2口)配置内网IP接防火墙做公网IP一对一映射，或网口直接配置公网IP，3层模式直连运营商网关。

4.CE-CE之间通过FlotaSec专有协议在公网建立加密隧道(AES-256)。

5.IPv6二层报文通过FlotaSec隧道透穿到对端CE，转发给IPv6路由器。

4.       方案优势：

1.对原有总体网络拓扑和网络配置没有改动，只需调整一处接线，即可透明替换。

2.二层转发模式，VLAN透传，不影响原有路由，所以航天智造不仅可以通过FlotaSec虚拟专线同呼和浩特工业云平台互通，并且支持通过呼和浩特数据中心路由走SDH专线路由到其他厂区。

3.相比传统VPN有隧道封装开销的报文封装方式，FlotaSec隧道协议可以在2层完整还原本地局域网数据报文，不需调整局域网链路和所有发送端服务器的MTU（最大报文传输单元）长度，完全兼容专线，做到对业务层完全透明。

4.CE设备端到端加密，数据离岸即加密，相比纯粹专线数据传输更加安全可靠。

5.       准备事项：

需要航天智造和呼和浩特数据中心各准备10M公网带宽，需要：

1.上下行带宽对等。

2.专有静态公网IP地址。

3.两地公网带宽同运营商。

6.       部署周期：

一周以内（快递设备／上架调试）。

7.       设备规格参数：