一、政策背景

我國正在不遺余力的發展 IPv6，為加快推進我國 IPv6 的規模部署，中辦、國辦、 工信部、國資委、電子政務辦等重要部門先后下發多項政策性文件，圍繞《推進互聯 網協議第六版（IPv6）規模部署行動計劃》中有關要求:“(三)加快應用基礎設施改 造，優化流量調度能力：升級改造域名系統，加快互聯網域名系統（DNS）的全面改 造，構建域名注冊、解析、管理全鏈條 IPv6 支持能力，開展面向 IPv6 的新型根域名 服務體系的創新與試驗；（四）強化網絡安全保障，維護國家網絡安全：強化地址管 理，統籌 IPv6 地址申請、分配、備案等管理工作，嚴格落實 IPv6 網絡地址編碼規劃 方案，協同推進 IPv6 部署與網絡實名制”，旨在加快網絡基礎設施和應用基礎設施 升級步伐，促進下一代互聯網與經濟社會各領域的融合創新。

工業和信息化部發布了《“十四五”信息通信行業發展規劃》，指出 IPv6 能力 的提升是“十四五”時期的重點任務之一。

國家網信辦、發改委、工信部也聯合印發《關于加快推進互聯網協議第六版(IPv6) 規模部署和應用工作的通知》，明確了“十四五”時期 IPv6 發展的路線圖、時間表 和任務書。

二、產品概述

明陽 DDI 集成服務平臺，采用裸金屬容器架構，可充分發揮硬件極限性能，具備 更高的彈性、高可用性；目前已完整適配了國產化系統，通過了工信一所測試，入圍中國電子工業標準化技術協會信息技術應用創新工作委員會圖 譜。

本平臺是一款融合智能 DNS、增強 DHCP、可視化 IP 地址管理、IP 安全準入多合 一平臺型產品，提供統一圖形化管理界面、豐富的統計、審計報表，簡化基礎核心網 絡服務運維管理。

2.1 智能 DNS 模塊

DNS 是政企信息化建設的必備組件，是業務發布與訪問的第一入口，DNS 域名解 析系統可以提供域名解析服務，避免通過 IPv6 地址方式訪問應用服務。

智能 DNS 模塊提供權威/遞歸/轉發/緩存等多種角色 DNS 服務、智能 DNS 解析、 應用服務器宕機檢測、DNS 流量調度、DNS 安全加固、DNS 數據分析等功能；用于解 決 IPv6 規模應用中復雜地址管理問題。

2.2 增強 DHCPv4/v6 模塊

增強 DHCP 管理模塊解決了 RFC 標準中重功能、輕安全的傳統地址的“有求必應” 式分配，采用包含明陽專利方法在內一系列安全可控、可溯源的地址分配與管理方案。

從安全角度，實現基于子網級一系列地址分配安全控制功能，包括綁定分配、黑 白名單、安全基線、周期地址更新、非法 DHCP 監測等，可阻斷安全基線外終端地址 分配，杜絕非法主機接入

2.3 IPAM+地址管理模塊

IPAM+地址管理模塊可以提供 IPv4/IPv6 地址規劃、分配、監測、管理等全生命 周期管理。替代傳統的 Excel 記錄與地址子網劃分，解決因 IPv6 地址128 位過長導致記憶困難問題，解決 IPv6 地址頂層規劃、分配、管理復雜的問題。

IPAM 管理模塊提供 IP 地址頂層規劃及 IP 地址全生命周期管理等功能，提供高 效、統一的 IP 地址管理視圖、豐富的統計與審計報表。IPAM 將組織架構、業務結構 與 IPv6 地址規劃進行有效映射，IP 地址生命周期管理模塊實現了地址申請、實施、 反饋、監測、預警等閉環管理，適用于集團型企業對 IP 地址進行統一規劃及多層級 管理的需求。滿足國家相關安全部門對 IP 網絡要有完善的系統運行及用戶使用網絡 IP/MAC 地址日志和網絡用戶的定位等措施的要求，將核心網絡服務與網絡安全在網 絡邊緣進行有效融合，是企業網 IPv6 深化部署階段必不可少的設備，能夠大幅降低 基礎核心網絡服務運維成本，同時全面兼容 IPv6 地址協議的平滑遷移。

三、部署方式

3.1 部署方式一：DNS 部署方案

DNS 作為重要的網絡基礎設施，是網絡的基石。基于 IP 網絡的各種 Web 服務、 Email 服務、路由服務都依賴或者間接依賴 DNS，具體的部署方案如下:

外網 DNS：可以實現緩存 DNS 解析、權威 DNS 解析、廣域負載均衡功能。

DNS 設備本身支持 IPv4/IPv6 雙棧的 A、AAAA 等標準資源記錄，同時作為網絡數 據鏈路旁掛方式部署。

外網 DNS 通常旁掛部署在互聯網出口區，并通過防火墻劃分對應區域方式提供安 全防御功能，根據 DNS 請求的發起方設置防火墻會話安全策略。

互聯網 DNS 架構屬于層級式架構，針對轉發 DNS 使用時，需要指定上級 DNS 的 IP 地址，通常由對應運營商提供 DNS 地址，也可以使用公網知名 DNS 的地址。

作為互聯網權威 DNS 使用時，擁有域名的最終解析發布權限，此時需要由域名組 冊機構的 DNS 發布 NS 標準記錄，指向權威 DNS 的 IP 地址，讓權威 DNS 加入互聯 網 DNS 體系。

當存在多個數據中心時，可以通過權威 DNS 的 1 個域名 vs 多個記錄值的方式， 將互聯網訪問流量負載均衡引導不同數據中心。

DNS 是應用層協議,所以 A 或 AAAA 等標準資源記錄作為數據層信息，默認無論請 求解析的源 IP 地址是 IPv4 或 IPv6 終端，都會返回對應域名的 A、AAAA 記錄信 息，由終端自行判斷使用 A 或者 AAAA 解析記錄去訪問目標網站。

請求解析終端的 DNS 需要指向 DNS 的 IP 地址，可以通過手動靜態指定，也可以 通過 DHCP 服務下發，終端默認優選使用 AAAA 記錄，當 IPv6 路由不存在時，則 選擇 A 記錄值。內網 DNS：基于權威 DNS 解析方案的內網應用訪問，規避 IPv6 訪問時，地址過長 的記憶難題。

DNS 設備本身支持 IPv4/IPv6 雙棧的 A、AAAA 等標準資源記錄，同時作為網絡數 據鏈路旁掛方式部署。

內網 DNS 通常旁掛部署在服務器區，并通過防火墻劃分對應區域方式提供安全防 御功能，根據 DNS 請求的發起方設置防火墻會話安全策略。

作為內網權威 DNS 使用時，擁有域名的最終解析發布權限，但無須配置 NS 記錄。

當存在多個數據中心時，可以通過權威 DNS 的 1 個域名 vs 多個記錄值的方式， 將訪問流量負載均衡引導不同數據中心。

DNS 是應用層協議,所以 A 或 AAAA 等標準資源記錄作為數據層信息，默認無論請 求解析的源 IP 地址是 IPv4 或 IPv6 終端，都會返回對應域名的 A、AAAA 記錄信 息，由終端自行判斷使用 A 或者 AAAA 解析記錄去訪問目標網站。

請求解析終端的 DNS 需要指向 DNS 的 IP 地址，可以通過手動靜態指定，也可以 通過 DHCP 服務下發，終端默認優選使用 AAAA 記錄，當 IPv6 路由不存在時，則 選擇 A 記錄值。

3.2 部署方式二：DHCP 部署方案

DHCP 服務采取集中式、有狀態控制方式向內網終端分配 IP 地址，可實現終端準 入控制管理等。

DHCP 設備本身支持 IPv4/IPv6 雙棧地址有狀態分配服務，通常旁掛部署在數據 網絡辦公區，用于向終端分配 IP 地址。

終端 PC 到 DHCP 設備之間只有 IPv4、IPv6 鏈路端到端路由通的情況，才可以將 DHCPv4、DHCPv6 請求發給發送到 DHCP 設備。

DHCP 通過防火墻劃分對應區域方式提供安全防御功能，根據 DHCP 請求的發起方 設置防火墻會話安全策略。

DHCP 通常采用中繼的部署方案，即終端 PC 與 DHCP 設備不在同網段內，需要通過 終端 PC 的網關 IP 地址進行中繼。

DHCP 服務不僅終端 PC 分配 IP 地址，也向終端 PC 分配指定的 DNS、NTP 等服務 IP 地址。

因為 IPv4IPv6 協議特性不同，DHCPv4 必須下發網關 IP 地址，而 DHCPv6 無須下 發 IPv6 網關地址。

3.3 部署方式三：IPAM 方案

IPAM 方案支持采用集群式、分布式、分層式部署在政企內，IPAM 之間采用控制 與展示分離方式，實現頂層集中規劃與展示、逐層精細分配、策略信息同步。

在大集團公司網絡環境中，IPAM 推薦采用分布式、分層式部署，采用旁掛方式部 署在辦公網中。在一般企業內網采用 DHCP、DNS、IPAM 集成服務平臺方式搭建、 管理 IPv6 網絡。

IPAM 設備通過防火墻劃分對應區域方式提供安全防御功能，根據請求的發起方設 置防火墻會話安全策略。

IPAM 設備之間應該路由可達，支持 IPv4、IPv6 鏈路。采用標準的南北向協議上 報數據、下傳參數，通過指定上級、下級 IPAM 設備 IP 地址建立互聯通道。

IPAM 的組織架構與 IPv6 地址映射需要根據 IPv6 地址規劃在系統進行配置，可導 入 IPv6 地址規劃、也可手動配置組織結構與 IPv6 地址之間的關系。

IPAM 支持大顆粒地址段規劃，也支持到主機級 IP 地址規劃，系統會自動根據子 網掩碼進行歸類展示。

資產管理功能支持采用 SSH 協議對被管理設備進行非法 IP 地址監測，并封堵非 法 IP 地址所在端口。

四、產品優勢

4.1 智能 DNS

明陽智能 DNS 系統支持全中文 Web 管理界面，具有高性能、高可靠、高安全的特點，為企業提供全方位的智能 DNS 解析，實現基于域名的流量負載均衡、數據分析等多種 功能。

安全加固 DNS 解析 集成 DNS 防火墻功能，可以屏蔽非授權訪問、惡意攻擊，實現 DNS 系統的安全運 行。基于 ISP 視圖匹配實現 DNS 只響應特定源的解析請求，提供特定安全解析方案。

智能解析引導流量負載均衡 基于 DNS 的廣域負載均衡實現多數據中心的應用負載均衡；基于 Web 源站檢測， 實現多數據中心應用故障業務平滑切換。

4.2 增強 DHCP

明陽 IP 地址管理系統融合了增強 DHCP、可視化 IP 地址管理、實名制 IP 準入控 制的融合解決方案，提供統一圖形化管理界面，豐富的報表，簡化運維管理。

自動綁定 IP 地址分配 支持基于 IPv4/IPv6 雙棧自動化的 IP 地址分配，支持 IP 與 MAC/IPv6 終端系統 標識綁定分配，支持海量物聯網終端 IP 地址一次注冊、終身綁定、高效溯源。

安全準入控制分配地址 避免現有 DHCPv4/v6“有求必應”的地址分配方式，實現基于 MAC 綁定、IPv6 終端系統標識綁定、DHCP Snooping 的實名制準入控制分配地址方式。通過基于子網 級的地址分配安全基線控制功能，避免運維期間設備私接情況。

4.3 IPAM 地址管理

IP 地址作為最重要的網絡資源之一，與業務息息相關。隨著 IT 建設規模日益龐 大，使用的 IP 地址數據也越來越多，經常面臨 IP 管理分散、私網亂建、非法接入等 問題，而傳統人工維護 IP 地址管理工作效率低下、統計困難。

明陽 DDI 平臺 IPAM 功能提供 IPv6 地址頂層規劃功能，讓 IPv6 與組織架構、業 務架構進行映射，實現如身份證 ID 一樣可“望文生義”的地址規劃；IPAM 提供 IPv6 地址全周期的管理，避免 IP 地址后期溯源、管理的空白；提供各種地址規劃模板， 提高地址分配與管理的效率。

4.4 先進的技術架構

區別于其它廠商，明陽產品采用先進的裸金屬容器架構(硬件服務器直接安裝云 原生系統，所有應用在容器內運行，發揮了硬件資源的極限性能)，精簡化、安全化 的底層操作系統為轉換服務提供了更多的性能資源，同時也減少系統的攻擊面和漏洞 風險。采用云原生集群架構，相對于傳統廠商的設備具有更好的彈性（根據負載，自 動創新服務實例）、可擴展性（隨時增加硬件資源）、高可用性（自動備份和恢復， 負載均衡），進一步提升了資源利用率、系統的可靠性、穩定性、安全性。

五、主要功能

增強 DHCP 模塊

1、集中式 IP 分配管理 支持基于 IPv4/IPv6 雙棧自動化的 IP 地址分配，支持 IP 與 MAC 地址綁定分配， 支持跨網的 Relay 式 地址分配，提供分配日志用于記錄、分析地址分配與審計。

2、高性能 DHCP 服務 專業化的軟硬件一體產品，提供更穩定的業務連續性保障，集群化服務方案，避 免 DHCP 服務的單點故障。

3、安全可控地址分配 為了實現有效、可控的準入和 IP 地址分配，系統能根據指紋識別不同的終端類 型并配置相應策略，按策略為終端分配 IP 地址段，實現對多種終端的有效管理，從 而實現真正的 BYOD 安全應用，保證企業資源被安全、可控的訪問。

4、安全可靠服務 支持子網級 LPS 門限、接口級 LPS 門限、DHCP 服務級 LPS 門限設置，黑名單功 能。

智能 DNS 模塊

1、安全穩定的 DNS 解析 提供集群化平臺部署方案，提供高效穩定的 DNS 域名解析，包括權威 DNS 解析服 務、轉發 DNS 解析服務，支持基于 IPv4、IPv6 雙棧協議，支持 QPS 服務門限設置防 DDoS 攻擊，可以屏蔽非授權方位、惡意攻擊，實現 DNS 系統的安全防護。

２、智能解析引導流量負載均衡 基于多運營商環境，可為用戶提供智能選路，實現訪問流量負載均衡，實現智能 NDS、透明 DNS 功能，提升用戶業務訪問體驗。支持源站服務監測，可實現主備數據 中心的業務平滑切換，保證業務持續性。

３、靈活的 DNS 解析能力 通過內置 DNS 根服務器與自定義上游 DNS 能力，可提供靈活的、安全的遞歸、迭代解析能力，周期性刷新驗證緩存記錄數據，為用戶提供安全的 DNS 解析服務。

４、豐富的 DNS 統計、分析報表 提供基于網絡域、視圖的豐富 DNS 報表，對實時、歷史 DNS 解析成功率排名、域 名解析排名、請求源 IP 排名等進行統計。掌握企業用戶互聯網活動行為特征，形成 初步行為特征圖譜，為進一步安全分析提供依據。

IPAM 模塊

1、IP 地址規劃與管理

支持基于組織架構的 IPv6 頂層規劃功能:即組織架構、業務功能、自定義 tag 與 IPv6 地址映射規劃功能;支持規劃數據導出。支持根據不同場景規劃、分配不同長度掩碼的地址段，提供相應業務 IP 模版。支持多套 IP 地址管理系統聯動，支持 IP 子網下發，支持 IP 規劃下發，對多級 組織機構分級管理；支持上報 IP 子網、IP 規劃、IP 地址、資產等相關數據，實現多 級機構的數據同步。

2、資產信息管理

支持以可視化方式對資產編輯進行詳細資產信息注冊。支持對被管理設備進行 IP 地址采集，實現 IP 定位分析，建立 IP 地址、MAC、廠 家上聯設備、端口、VLAN 的映射關系。

六、支持服務

提供整機（硬件及軟件）3 年 7*24 小時免費人工、部件質保及內核軟件升級保障 服務。質保期內對所提供貨物實行免費包修、包換、包退、包維護保養；

提供 7*24 小時熱線支持服務，維修、維護人員保持通訊暢通立即響應。

定期對產品進行跟蹤調查，消除產品的早期故障隱患，保證平臺的可用率，針對 用戶提出的合理化變更需求，我司會積極配合開發響應；

提供三年的免費升級服務，軟件升級和增強版本可能包括新的功能和特征、對已 發現問題的修正及對新硬件平臺的支持。