企業(yè)網(wǎng)D1Net(全球IP通信聯(lián)盟旗下媒體)8月25日(上海)“對新興的棘手事物要充滿著求知欲,哪怕它是個魔鬼”。所以,當新事物到來時,無論事情多么的糟糕,首先要試著去了解它,俗話說知己知彼百戰(zhàn)不殆。例如IPV6,就是很新奇的一個。
其實,IPV6與IPV4有相同的工作原理,我們可以直接使用現(xiàn)有的知識。但它們也有根本性的差異,若要了解它的微妙之處,還需要時間和操作經(jīng)驗。
如果在IPv4網(wǎng)絡上搭建IPv6網(wǎng)絡模型的話,這項工作就沒有了意義,但如果還使用舊的拓撲結(jié)構,會阻礙我們的創(chuàng)新能力。
對這個“魔鬼”無從下手的根本原因是,你還不知道它們其中的差異,供應商、員工、服務提供商亦如此。即使知道了差異在哪里,也不知道這些差異在運作中發(fā)揮的作用。對這些問題無知意味著不能管理風險,同樣,也無法把握IPV6這個機會。
事實上,IPv6提供比IPV4多得多的IP地址,這聽起來很簡單,但它的確已改變了IPV4的游戲規(guī)則。 由于IPv4的IP地址近乎枯竭,地址規(guī)劃總是以“有多少主機?”為出發(fā)點,寥寥可用的主機地址,嚴重制約了互聯(lián)網(wǎng)的發(fā)展。而在IPV6中,局域網(wǎng)利用子網(wǎng)工作,解決了網(wǎng)絡地址資源數(shù)量有限的問題。這就提供了無比開放的空間,美好的設想不是一朝一夕就能實現(xiàn),需付出真正的努力。
IPv6的另一新的特點是無狀態(tài)地址自動配置(SLAAC)。當IPv6路由器存在時,IPv6接口會完全自動的給自己配置一個可全局路由的IPv6地址。它由路由器和本地掌握的信息提供的前綴來建立新的地址---默認情況下,是接口的硬件標識符。
這意味著,硬件接口標識符(通常為MAC地址),可以被任何主機識別并接收數(shù)據(jù)包。只要不改變硬件,即使你進行了網(wǎng)絡遷移,地址的最后部分將保持不變。
還有一個游戲規(guī)則被改變,即不再需要NAT(網(wǎng)絡地址轉(zhuǎn)換)。NAT雖能解決IP地址數(shù)量緊缺的問題,但也越來越捉襟見肘,隨著IPV6的出現(xiàn),這在歷史上都翻篇。雖然NAT在狀態(tài)數(shù)據(jù)包校驗中不再起輔助作用,但可以有獨立的NAT - 同樣全球?qū)ぶ纺芰Σ辉僮鳛槿蚩蛇_性!終端到終端無處不在的透明度存在什么樣的風險和機遇呢?
由于IPV6的組發(fā)地址定義方式,帶來的安全問題是值得商榷的。我自己的看法是,攻擊者有很小的顯著優(yōu)勢攻擊主機網(wǎng)絡硬件信息。然而,從隱私點的另一個角度來看,自動配置地址一種cookie排序。無論走到哪里,它允許一個特定的主機進行跟蹤,其他都不能對其訪問。
IPv6允許使用“隱私地址”避免這類情況。有了隱私處理,主機通過使用一個隨機序列位來建立自己的地址,而不是一個硬件標識符。隨機序列每隔一段時間改變一次,使得主機很難被跟蹤。
自動配置不會牽扯到任何政策,也沒有任何記錄。對于這些和其他原因(包括隱私擔憂),DHCP無論是作為輔助,還是作為替代的SLAAC,可能會被保存在大多數(shù)企業(yè)。
IPV4地址稀缺的問題已出現(xiàn)多年,我們部署展IPV6的同時,必須保存好IPV4地址資源。當做到知己知彼后,“魔鬼”也并不可怕。而SLAAC無狀態(tài)地址自動配置是IPv6的一個很好的例子,我們考慮部署IPv6時,需要思考更多新的東西。(By FLORA)
京公網(wǎng)安備 11010502049343號