IPv6從根本上解決了IPv4地址枯竭的問題,同時,使用IPv6后,網絡中路由設備的路由表項將會變少,可以提高路由設備轉發報文的速率。而在IPv6網絡的搭建中,需要注意如下兩個場景,保證業務和應用繼續平穩運行:
· 在將網絡設備的IP地址升級為IPv6地址的同時,對各種IP協議也進行升級,在保持IPv6主機的正常通信的同時解決原來IPv4網絡在效率和安全性上的固有缺陷。
· 在IPv6網絡發展的過程中,提供IPv6過渡技術,將IPv6網絡和IPv4網絡無縫地連接起來,使IPv6主機可以跨越現有的成熟的IPv4網絡進行通信,或者使IPv6主機和IPv4主機進行互相通信。
針對《推進互聯網協議第六版(IPv6)規模部署行動計劃》,華為安全給出了IPv6規模部署下網絡安全防護的詳盡解讀,承接上期IPv6安全技術,本期聚焦IPv6安全過渡方案,深入解讀IPv6過渡技術、3種典型過渡改造升級方案以及針對電子政務外網的IPv6升級改造方案。
Q1:當前主要有哪些IPv6過渡技術?
目前,業界主要的過渡技術有IPv4/IPv6雙棧、IPv6隧道和地址轉換。
Q2:如何用最小代價實現IPv4到IPv6過渡和改造?
IPv4向IPv6的過渡不可能一蹴而就,在很長一段時間內兩者會共存。實際上,每個企業都有各自不同的業務特點和需求,需要找到適合自己的過渡方案。下面給出3種典型的過渡改造方案,僅供參考。
方案一:邊界升級方案
一些企業的業務可繼續用IPv4私有地址和NAT技術,短期內對IPv6無剛性需求。但有部分互聯網企業需要對外提供IPv6服務和接入能力,最迫切的就是通過企業邊界的防火墻等設備實現NAT64等地址轉換,以最低成本實現IPv6的服務訴求。
這類企業僅需要改造企業邊界的防火墻、路由器/交換機、日志審計等必要設備即可,通過邊界防火墻實現IPv6到IPv4的NAT64報文轉換,使得進入企業內部的流量全部轉換成IPv4流量,因此企業內部的入侵檢測、WAF、網絡設備、服務器和終端等設備都不需要改造。
對于個別雙棧終端需要訪問外部的IPv6資源時,可以通過ISATAP隧道技術實現雙棧終端穿越IPv4網絡,實現IPv6資源的訪問需求。(RFC5214,且Windows已經支持)
對于這類企業,我們建議采用此方案實現最低成本的IPv6過渡和改造。
方案二:互聯網區升級方案
一些企業的業務主要依賴于互聯網用戶,如互聯網、游戲、金融等企業,這些企業的外部互聯網區對外服務有著強烈的IPv6業務改造需求,但是對于內部網絡和業務,短期內無剛性的IPv6改造需求,現有的IPv4私有地址和NAT技術完全可以勝任。
這類企業僅需要改造企業邊界的互聯網服務區的所有設備,包括邊界安全設備、網絡設備和業務系統,一般建議升級互聯網區業務系統為雙棧,對外提供雙棧服務,同時還要升級互聯網服務相關的網絡和安全設備,而Web服務器與內部通信時仍保持IPv4連接,短期內企業內部網絡不需要改造。
對于這類企業,我們建議采用此方案實現最低成本的IPv6過渡和改造。
方案三:全面升級方案
一些企業需要滿足國家政策性要求或者自身發展需求,需要大量IP地址,對IPv6網絡改造有迫切需求,需要全面升級到IPv4/IPv6雙棧網絡和服務,我們建議應立即啟動升級前的準備工作,做好現狀調查、規劃、升級計劃,預留充足時間完成平滑演進。
在向IPv6過渡過程中,主要從兩個層面展開,一是對基礎網絡的逐步改造;二是對應用業務進行IPv4向IPv6的遷移。總體來看,主要分如下五個階段展開:
全IPv4期
起始階段,所有基層網絡及應用系統處于IPv4運行狀態。
初期
主要完成對基礎設施的改造,為后續的業務升級改造打好基礎。
骨干網絡:對于網絡核心層設備和網絡出口設備,應在本階段就實現全部設備對IPv6的支持;
數據中心網絡:對于數據中心網絡和設備,在建設初期,可對新建設的數據中心進行IPv6升級,并對舊數據中心采用邊界網關翻譯支持IPv6;隨著數據中心設備的更新和IPv6的建設,后期應實現數據中心的所有設備支持IPv6;
園區網絡:對于網絡的接入和匯聚層設備,建議選取某一區域進行IPv6升級試點;支撐系統:具備升級條件,本階段全部完成IPv6升級改造。
終端系統:具備升級條件,本階段完成所有終端系統升級。
IPv6地址規劃與申請優先級高,需要本階段完成。
發展期
園區網絡:實現全部設備的IPv6升級;
云平臺:完成全部升級改造任務;
應用系統:需要部分實現IPv6升級改造;
演進后期
應用系統:本階段需要全部完成IPv6升級改造;
全IPv6期
剩余應用系統:比如辦公類、管理類等傳統應用系統全部完成IPv6升級改造。
對于這類企業,我們建議在過渡方案開展前做好充分調研和計劃制定,以最小代價完成IPv6平滑過渡和改造。
Q3:電子政務外網如何進行IPv6升級改造?
? 保障網絡質量:IPv6過渡應實現平滑過渡,保障現有IPv4業務不受影響,IPv6業務質量不低于IPv4業務質量;
? 控制改造成本:IPv6過渡應保護現有投資,盡量降低升級成本和網絡改造量;
? 選擇通用技術:IPv6過渡技術應選擇符合相關國內外標準的通用技術,避免采用私有標準或非開放協議。
根據業界通用的升級改造經驗和原則,建議采取網絡和安全先行、業務隨后接入的策略。
網絡和安全先行
廣域網/城域網是提供IPv6端到端連接的基礎,需要先行改造以支持IPv6。
電子政務外網在向IPv6演進過程中,會同時承載IPv4和IPv6兩種流量,考慮到系統穩定性和業務過渡的連續性,網絡升級主要以IPv4/IPv6雙棧為主,輔以翻譯和隧道技術,實現網絡的平穩升級。
廣域網/城域網:由于其網絡規模有限,且現網中的路由器一般都支持IPv4/IPv6協議雙棧,能夠同時轉發IPv4和IPv6兩種流量,只需替換升級個別無法升級到IPv6的路由器即可。
政務云網絡:由于政務云數據中心網絡承載了眾多委辦局業務系統,不同委辦局的IPv6升級節奏也各不相同,為兼容各業務系統平滑演進,建議把網絡升級成IPv4/IPv6雙棧,可同時承載IPv4/IPv6兩種流量,各委辦局可根據自身演進節奏靈活選擇接入方式。
另外,在IPv6升級改造過程中,為避免威脅從IPv6網絡滲透到電子政務外網,網絡安全設備及其它安全系統應先行支持IPv6協議,建議先對現網部署范圍廣且必不可少的安全設備,如防火墻、入侵檢測系統應優先升級改造,對不支持IPv6的老舊設備應盡替換,確保等級保護標準不受影響。
業務接入隨后
大部分委辦局業務系統是基于行業通用的架構進行的開發建設,涉及到應用前端、中間件、數據庫等多個組件,這些在架構上有著很強的共性,在IPv6的演進過程中將會面臨著同樣的問題,升級方案有著很強的一致性。因此,建議盡快挑選升級需求迫切委辦局業務系統進行改造,摸索經驗,最后再實現整體委辦局業務的IPv6升級改造
