文档简介:
本文从边缘安全加速平台的视角介绍IPv6改造服务最佳实践。
最佳实践概述
概述
国家已经将支持IPv6的关键信息基础设施列入战略重点。本最佳实践依托天翼云边缘云WAF的云安全节点形成云安全网络,实现在不改变用户源站网络架构的基础上,快速、高效地完成从IPv4到IPv6的平滑升级,畅享IPv6与IPv4同等的安全防护效果,满足合规要求。
应用场景
- 企业网络改造:企业需要对网络进行IPv6改造,以支持更多的设备接入、更高的网络速度和更全面的服务提供能力。
- 移动互联网服务:IPv6改造服务可以为移动互联网应用提供更强大的支持能力,支持更多的移动设备接入和更快的网络速度。
- 公共服务场所:公共服务场所需要支持IPv6协议,以满足更多用户的需求,提供更好的服务质量。
- 物联网应用:物联网应用需要支持IPv6协议,以支持更多的物联设备接入和更多的数据传输。
- 合规检测:帮助政企网站满足上级单位、测评机构的安全检测需要。
技术架构图
方案优势
- 支持一键式网页外链转化,智能解析ipv6,提供客户无感知网页切换。
- 网站页面高度一致,v4/v6访问场景下,网页展示效果无明显变化。
- 提供网页深度解析,多级链接请求均提供网页ipv6访问。
- 安全防护能力全面,集成Web防护、CC防护、爬虫防护等多项能力。
- 同时支持IPv4/IPv6双栈协议,系统零改动,实现IPv4/IPv6无障碍通信。
- DNS解析同时支持IPv4及IPv6解析,根据客户端的IP协议,指定以何种协议回源。支持V4回V4源站及V6回V6源站。
- 支持IPv6标识,对HTML页面进行改写,在网站指定位置增加一个悬浮窗提示信息: “当前正在使用IPv6网络访问此网站”等信息。
前置条件
执行本文操作之前, 请完成以下准备工作:
- 注册天翼云账号,并完成实名认证。您可以登录天翼云控制中心,并前往实名认证面(https://wwwgray.ctyun.cn/console/user/realname/result)查看是否完成实名认证。
- 天翼云账户余额需要大于100元。您可以登录天翼云管理中心,并前往账户总览页面查看账户余额。
- 为了便于演示,本文中涉及资源开通时,均默认选择按量付费模式。
开通以下产品或服务:
| 产品或服务 | 本文示例 | 备注 |
|---|---|---|
| 边缘安全加速平台-->安全与加速服务 | 开通服务:免费版-旗舰版 |
支持IPv6访问功能; 支持IPv6支持度检测功能 |
| 边缘安全加速平台-->安全与加速服务 | 开通服务:高级版-旗舰版 | 支持IPv6外链改造功能 |
注意: 本方案仅作为实践演示,具体环境以用户实际需求为准。
1.开通边缘安全加速平台-安全与加速服务
1.1开通边缘安全加速平台-安全与加速服务
步骤1 注册并登录天翼云官网。(https://www.ctyun.cn/)
步骤2 未实名认证的用户请按提示完成实名认证才能开通服务。
步骤3 实名认证后从产品—网络与CDN—CDN与边缘,找到边缘安全加速平台,点击进入产品详情页快速了解产品,并单击【立即开通】,进入产品开通页面。
步骤4 在购买页面选择安全与加速-高级版及以上版本,支持IPv6访问、IPv6外链改造、IPv6检测等功能,勾选并阅读服务协议,确认无误后点击“立即开通”,边缘安全加速平台—安全与加速服务(边缘云版)服务即开通。
步骤5 边缘安全加速平台—安全与加速服务(边缘云版)服务开通后,便可以进入控制台进行添加域名的操作(https://cdn.ctyun.cn/h5/ctaccessone/)。
1.2 新增域名
1.2.1域名归属校验
本文介绍在新增域名操作前,需要域名归属权验证。可根据如下方法一、方法二,任意选择一种方式进行操作验证即可。
方法一 DNS解析验证
步骤1 示例为ctcdn.cn的解析配置。
需在自己的域名解析服务商,添加天翼云控制台返回的TXT记录值(如下记录值仅为示例)。
| 记录类型 | 主机记录 | 记录值 |
|---|---|---|
| TXT | dnsverify | 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt |
步骤2 域名解析操作完成后,等待(建议10分钟)DNS解析生效后即可进行解析验证。
解析命令:dig dnsverify.ctcdn.cn txt
步骤3 如解析出来的txt值和天翼云控制台返回的TXT记录值一致,则表示配置正确。
确认配置正确后,可前往天翼云控制台( https://cdn.ctyun.cn/h5/ctaccessone/),在新增域名界面验证通过就可以正常操作新增域名。
方法二 文件验证
步骤1 示例为ctcdn.cn的解析配置。
在您的源站根目录下,创建文件名为:dnsverify.txt的文件,文件内容为天翼云控制台返回的TXT记录值(如下记录值仅为示例)。
步骤2 文件在源站根目录下创建完成后,即可进行访问验证。(示例为访问http://ctcdn.cn/dnsverify.txt)
windows验证:
linux验证:
步骤3 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致,则表示配置正确。
确认配置正确后,可前往天翼云控制台,在新增域名界面验证通过就可以正常操作新增域名。
1.2.2新增域名并开启IPv6开关
使用安全与加速服务提供的IPv6服务前,需要先将网站接入到安全与加速服务。未完成接入前,您的加速和安全防护功能将无法生效。本文介绍将指导您如何在控制台中接入域名。
步骤1 进入边缘安全加速平台控制台
1、登录天翼云官网。(https://www.ctyun.cn/)
2、从产品—网络与CDN—CDN与边缘,找到边缘安全加速平台,点击进入产品详情页,并单击【管理控制台】,进入边缘安全加速平台控制台。
步骤2 添加域名并开启IPv6开关。
(1)选择安全与加速—域名管理,点击【添加域名】
(2)填写网站信息,根据页面的引导填写域名的基本信息和源站设置
(3)IPv6开关:添加域名时可以先评估您的域名是否有IPv6需求,若有可以开启IPv6开关,开启后将为域名提供IPv6解析服务。如果要解决ipv6天窗问题(提升二、三级链接ipv6支持度),后续需要在【域名详情】中配置外链改造
其余配置项:
-
加速域名:填写需要加速和安全防护的域名;需要先通过域名的归属权限校验;
-
IPv6开关:开启IPv6,开启后完成IPV6改造,如果要解决ipv6天窗问题(提升二、三级链接ipv6支持度),需要在【站点配置】中配置外链改造;
-
源站:支持IP或域名,最多可添加60个;
-
回源协议:目前仅HTTP协议回源支持自定义端口,HTTPS协议回源使用443端口,跟随请求协议回源将根据请求指定的协议回源到您源站的80或443端口;
-
源站端口:HTTP默认端口为80端口,HTTPS默认端口为443端口,也可以自定义端口;
-
回源HOST:回源host决定了回源请求访问到源站的哪个站点,自定义配置时,请确保您的源站有配置相应的HOST。如果源站是IP类型,回源host默认加速域名;如果源站是域名类型,回源host默认是源站域名。
步骤3 填写网站安全配置。完成网站配置后,单击右下角【填写安全配置】,根据配置指引,完成安全防护配置。
步骤4 在填写完安全配置后,单击右下角【添加完成】,出现添加完成页面,单击【完成】,回到【域名管理】页面。
步骤5 完成新增域名操作后,可通过【域名列表】查看该域名配置是否完成,通过域名的状态字段判断。
当域名状态为“配置中”时,表示域名配置没有完成,正在配置流转中;
当域名状态为“已启用”时,表示域名配置已经完成,您可以通过域名列表中提供的CNAME进行域名解析,接入安全与加速服务。
1.2.3.配置CNAME
要启用安全与加速服务,需要您将防护域名的DNS解析指向我们提供的CNAME,这样访问防护域名的请求才能转发到安全节点上,达到防护效果。
步骤1 复制CNAME
步骤2 添加CNAME记录。
前往您的域名解析(DNS)服务商(如阿里云解析(原万网)、腾讯云解析(原DNSPod)、新网等),添加该CNAME记录。
步骤3 验证服务是否生效。
1)配置CNAME后,不同的服务商CNAME生效的时间也不同,一般新增的CNAME记录会立即生效,修改的CNAME记录会需要较长时间生效;
2)您可以ping或dig您所添加的加速域名,如果被指向 .ctdns.cn,即表示CNAME配置已经生效,功能也已生效。
**注意:**CNAME配置生效时间:新增CNAME记录会实时生效,而修改CNAME记录需要最多72小时生效时间。
2.IPv6相关功能使用指南
2.1 开启IPv6访问
2.1.1 开启IPv6访问功能
步骤1 登录天翼云边缘安全加速平台管理控制台。(https://cdn.ctyun.cn/h5/ctaccessone/)
步骤2 进入安全与加速服务--域名详情,定位您需要配置IPv6的域名,然后打开IPv6访问开关(若您在添加域名时已经打开此开关,则能够直接使用IPv6访问功能)。
注意: 免费版及以上套餐版本支持IPv6访问功能。
2.1.2 IPv6访问功能验证
可以通过边缘安全加速平台的IPv6检测功能,查看是否已支持IPv6解析以及首页访问。具体检测步骤可见2.2 IPv6检测。
2.2 IPv6检测
支持IPv6支持度检测功能,能够针对IPv6域名解析、网站首页IPv6访问、网站二级/三级链接IPv6支持度进行检测,并输出检测结果以及改进建议。
步骤1 添加检测网址
(1)检测网址:可以从域名列表选择需要IPv6检测的网址,也可以自定义输入网址,支持输入域名或URL格式
(2)自定义Host:支持指定到一个v6节点来进行检测
(3)点击立即检测
步骤2 查看检测结果(检测项)
(1)IPv6域名解析:支持检测域名是否支持IPv6解析,若不支持,则建议前往域名列表开启IPv6解析功能;
(2)网站首页IPv6访问:支持检测网站首页是否支持IPv6访问,若不支持,则建议开通站点外链替换功能,实现IPv6 访问;
(3)网站二级链接IPv6支持度:支持检测网站二级链接是否支持IPv6访问,若不支持,则建议开通站点外链替换功能,实现IPv6 访问;
(4)网站三级链接IPv6支持度:支持检测网站三级链接是否支持IPv6访问,若不支持,则建议开通站点外链替换功能,实现IPv6 访问
步骤3 查看检测历史记录
若您已经离开检测页面,后续可以在检测历史记录中查看历史检测任务的结果
支持检测次数
不同套餐版本支持的检测次数有所不同。
- 免费版:支持一个月检测1次
- 高级版:支持一个月检测20次
- 企业版:支持一个月检测30次
- 旗舰版:支持一个月检测40次
2.3 全站外链改造功能
2.3.1 外链改造功能配置步骤
若您通过IPv6检测后,发现网站没有通过IPv6支持度检测,可以通过我们的外链改造功能,提升IPv6链接支持度
步骤1 进入安全与加速服务控制台--域名管理--域名详情,进入IPv6外链改造功能页面。
步骤2 IPv6外链改造配置项说明。
(1)网站首页IPv6标识。使用ipv6访问时,可以开启ipv6访问标记,则在网页右下角显示您配置的标识内容,如“您正在使用ipv6协议访问本网站”,关闭后不再显示该标记。
- IPv6标识内容:即IPv6访问的标记内容,支持自定义。默认值为“您正在使用ipv6协议访问本网站”。
- IPv6标识显示时长:即标识的显示时长,默认为10秒。
(2)IPv6外链改写。支持对外链进行改写,使外链能够支持IPv6访问。关闭后不再支持外链
- 外链改写层数:即可以配置外链的改写层数,支持选择0-5。默认选择0,即代表不限制外链嵌套层数;若选择3,则代表外链嵌套层数最多支持3层。
2.3.2 外链改造功能验证
配置完外链改造功能后,您可以直接验证是否已支持外链IPv6访问。
注意: IPv4的改写可以直接测试,IPv6则需要连接手机热点并设置为IPv6出口才能测试。
(1) 未生效前的外链请求:
示例:访问网站( http://www.fjxx.com/),并F12查看存在外链请求。
(2)生效后的外链请求
访问网站( http://www.fjxx.com/),并F12查看,发现外链生效。
