隨著IPv4開放池地址在今年2月正式耗盡,向IPv6地址過渡的長(zhǎng)期道路已經(jīng)渡過了另一個(gè)重要的里程碑。自從IANA IPv6全部部署在1999年宣布以來,這個(gè)問題已經(jīng)不再是是否應(yīng)用IPv6,而是IPv6什么時(shí)候成為全球互聯(lián)網(wǎng)通訊的核心協(xié)議。
到目前為止,IPv6的實(shí)際應(yīng)用的比例很低,不到全球應(yīng)用的10%,低于2007年年底預(yù)測(cè)的IPv6成為占統(tǒng)治地位的互聯(lián)網(wǎng)協(xié)議的預(yù)測(cè)。延緩IPv6應(yīng)用的因素包括不熟悉這個(gè)協(xié)議、成本和安全的擔(dān)心、缺少經(jīng)過培訓(xùn)的人員以及缺少運(yùn)營商級(jí)IPv6帶寬提供商。
現(xiàn)實(shí)是,即使在樂觀的情況下,IPv6在近期也不會(huì)成為占統(tǒng)治地位的協(xié)議。擁有無限的IT資源,數(shù)據(jù)中心管理員也許不會(huì)把IPv6當(dāng)作“火燒頭發(fā)”那樣優(yōu)先的事情向管理層提出IPv6計(jì)劃。但是,等待的決策意味著以后更高的成本和更多的部署難題。
像許多注定要普及的大多數(shù)新興技術(shù)一樣,在達(dá)到某一個(gè)臨界質(zhì)量并且有一個(gè)默許的通用協(xié)議之后,向IPv6遷移的速度將加快,那些在時(shí)間上判斷錯(cuò)誤的機(jī)構(gòu)將急忙趕上來。甚至沒有立即部署IPv6計(jì)劃的公司也將全面理解這個(gè)技術(shù)、它的運(yùn)營影響并且制定一個(gè)很好的過渡計(jì)劃。
下面是目前準(zhǔn)備應(yīng)用IPv6應(yīng)該采取的六個(gè)步驟:
1. 從你的上游提供商或者RIR那里申請(qǐng)一個(gè)IPv6前綴
首先從你的帶寬提供商那里申請(qǐng)一個(gè)IPv6 PA(提供商分配的)前綴。即使你不打算立即在公開的主機(jī)上部署IPv6,了解你的互聯(lián)網(wǎng)服務(wù)提供商是否提供IPv6連接是很重要的。PA前綴一般是免費(fèi)提供的。如果沒有PA前綴,要求提供一個(gè)時(shí)間表。如果答案讓人不滿意(如你的提供商沒有向IPv6遷移的計(jì)劃或者不能具體說明一個(gè)交付時(shí)間表),你也許要考慮開始尋找一個(gè)具有IPv6功能的主機(jī)。
有資格的機(jī)構(gòu)也許還要購買一個(gè)PI(不依賴于提供商的)前綴。這通常是由一個(gè)RIR(地區(qū)互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu))分配的。PI地址是沒有任何具體主機(jī)的并且允許用戶改變主機(jī)。但是,一個(gè)PI地址本身沒有消除對(duì)IPv6主機(jī)的需求。
2.進(jìn)行簡(jiǎn)單的IPv6“你好,世界”測(cè)試
即使你當(dāng)前的帶寬提供商不能提供IPv6服務(wù),你仍然可以測(cè)試你內(nèi)部的局域網(wǎng)或者廣域網(wǎng)。不直接兼容的IPv4和IPv6協(xié)議能夠在一個(gè)雙堆棧并行配置中共存,并且已經(jīng)在某種形式的大多數(shù)網(wǎng)絡(luò)中這樣做。這為測(cè)試提供了一個(gè)極好的環(huán)境。
下面的雙堆棧“你好,世界”的測(cè)試?yán)觾H使用了兩臺(tái)機(jī)器(一臺(tái)Windows 2008 IIS/DNS服務(wù)器和一臺(tái)Windows 7客戶機(jī)),速度很快,很容易設(shè)置。
在一臺(tái)運(yùn)行IIS和DNS的Windows 2008服務(wù)器上:
IPv4節(jié)點(diǎn)
(1)在IIS中建立一個(gè)新的網(wǎng)站。把這個(gè)網(wǎng)站綁定到任何沒有分配的本地IPv4地址。如果你需要一個(gè)額外的IPv4地址,在設(shè)置這個(gè)網(wǎng)站之前把你的子網(wǎng)中的一個(gè)沒有使用的地址分配給這個(gè)本地接口。(在前兩套連接測(cè)試中不需要DNS)。
(2)在名為“index.html”的新網(wǎng)站的主目錄的一個(gè)文件中存儲(chǔ)下列文本:Hello World
(3)確認(rèn)你在使用的分配的IPv4地址(如,http://192.168.0.1)的服務(wù)器瀏覽器中能夠看到這個(gè)網(wǎng)頁。
IPv6節(jié)點(diǎn)
(4)向這個(gè)局域網(wǎng)接口增加一個(gè)新的靜態(tài)的IPv6地址(僅用于測(cè)試,你可以在類似https://www.ultratools.com/tools/rangeGenerat的網(wǎng)站得到一個(gè)隨機(jī)生成的本地IPv6地址)。注意,一個(gè)唯一本地地址(ULA)的前綴的開頭是fd。使用如圖1所示的64位長(zhǎng)度的前綴。使用這個(gè)服務(wù)器的IPv6地址作為首選的DNS服務(wù)器。(在命令提示符下發(fā)出一個(gè)ipconfig指令也許能夠獲得這臺(tái)服務(wù)器的IPv6地址。)
點(diǎn)擊查看:屏幕快照顯示向局域網(wǎng)接口5增加一個(gè)新的靜態(tài)IPv6地址。
▲
打開這個(gè)服務(wù)器上的瀏覽器窗口并且向地址欄輸入這個(gè)IPv6地址,使用你剛剛添加到這個(gè)接口的靜態(tài)IPv6地址并且使用括號(hào)中的句法:http://[fd63:ae70:9a8d:9ef7::]/
你現(xiàn)在應(yīng)該看到在第二步的屏幕中顯示的同樣的“你好,世界”。
(6)在這臺(tái)Windows 7客戶機(jī)中設(shè)置IPv6連接。打開IPv6配置對(duì)話框可以完成這個(gè)設(shè)置(類似于上面的圖1),輸入一個(gè)隨機(jī)的IPv6地址或者這臺(tái)Windows 7客戶機(jī)的IPv6地址。你在運(yùn)行IPConfig命令時(shí)可以得到這些地址。對(duì)于默認(rèn)的網(wǎng)關(guān),輸入在第四步中分配給這臺(tái)服務(wù)器的IPv6地址。你現(xiàn)在應(yīng)該能夠打開一個(gè)瀏覽器并且訪問與第五步相同的“你好,世界”網(wǎng)頁。
配置DNS
要使用IPv4實(shí)現(xiàn)對(duì)“雙堆棧”域名解析的測(cè)試,你要在DNS下面增加一個(gè)“正向查找區(qū)域”,讓一個(gè)A記錄映射到“你好,世界”網(wǎng)站的IPv4地址。要在同樣的例子中實(shí)現(xiàn)IPv6測(cè)試,增加一個(gè)四個(gè)A(AAAA)的記錄,如圖2所示。
點(diǎn)擊查看:圖2顯示增加IPv6 AAAA DNS記錄
▲
3.分析協(xié)議差別和進(jìn)行一個(gè)影響分析
IPv4和IPv6直接的差別是巨大的(見表1-- IPv4/IPv6逐項(xiàng)對(duì)比)。
點(diǎn)擊查看:IPv4/IPv6逐項(xiàng)對(duì)比表
▲
▲
向IPv6遷移的影響隨著機(jī)構(gòu)規(guī)模的增大而增加。因此,大企業(yè)在規(guī)劃部署IPv6方面需要更多的提前準(zhǔn)備時(shí)間。考慮組建一個(gè)專門的部門評(píng)估影響和提出建議。
4.優(yōu)先IPv6部署的次序
直接從IPv4轉(zhuǎn)換到本地IPv6是一個(gè)例外并且不符合原則,因?yàn)楸镜豂Pv6主機(jī)和上游提供商數(shù)量較少。為了提供網(wǎng)絡(luò)資源(內(nèi)部的和面向互聯(lián)網(wǎng)的)的最大可用性,許多機(jī)構(gòu)選擇的過渡戰(zhàn)略是使用雙堆棧節(jié)點(diǎn)以及使用隧道協(xié)議或者使用雙堆棧無法實(shí)現(xiàn)的IPv4與IPv6之間的其它解析機(jī)制。
下面是旨在減少IPv6過渡影響的一個(gè)部署的例子。當(dāng)制定自己的部署計(jì)劃的時(shí)候,機(jī)構(gòu)需要考慮多個(gè)因素。
·階段1 -- 使用雙堆棧節(jié)點(diǎn)和連接IPv4/IPv6島嶼的隧道/解析機(jī)制部署面向互聯(lián)網(wǎng)的服務(wù)(網(wǎng)站和電子郵件)。
·階段2 -- 把局域網(wǎng)/廣域網(wǎng)從靜態(tài)遷移到動(dòng)態(tài)(配置的)IPv6。
·階段3 -- 識(shí)別和升級(jí)非IPv6設(shè)備/應(yīng)用。
階段1 -- 使用雙堆棧架構(gòu)部署面向互聯(lián)網(wǎng)的服務(wù)(網(wǎng)站或者電子郵件)。正如上面的“你好,世界”的例子所示,雙堆棧包括運(yùn)行并行的IPv4和IPv6節(jié)點(diǎn)。這通常是通過增加一個(gè)可配置的和可路由的IPv6地址實(shí)現(xiàn)的,允許申請(qǐng)的設(shè)備自動(dòng)選擇是否把這些申請(qǐng)路由到IPv4或者IPv6。應(yīng)該指出的是這種方法雖然簡(jiǎn)化了增加的IPv6節(jié)點(diǎn),但是,沒有減少對(duì)唯一的IPv4地址的依賴,應(yīng)該盡快用唯一的IPv6服務(wù)替代這個(gè)服務(wù)。重要的是還需要指出,在缺少上游IPv6路由的時(shí)候,面向互聯(lián)網(wǎng)的雙堆棧節(jié)點(diǎn)也許會(huì)給互聯(lián)網(wǎng)用戶帶來一些由于IPv6超時(shí)產(chǎn)生性能問題。
隧道或者其它協(xié)議方式能夠用于提供IPv4主機(jī)和IPv6主機(jī)之間的通訊。有些隧道方法可能產(chǎn)生安全風(fēng)險(xiǎn)。因此,理解每一個(gè)協(xié)議的工作原理以及何時(shí)允許(或者不允許)來自隧道的通訊是非常重要的。
極少見的IPv6攻擊情況
以雙堆棧模式應(yīng)用電子郵件可能需要修改SMTP服務(wù)器的配置變化,如增加一個(gè)端口監(jiān)聽一個(gè)IPv6地址并且提供一個(gè)IPv6互聯(lián)網(wǎng)范圍。DNS四A記錄與解決IPv6主機(jī)的MX記錄也是需要的。同其它測(cè)試一樣,應(yīng)該告訴他們使用一臺(tái)非生產(chǎn)用機(jī)器。
階段2 -- 把局域網(wǎng)/廣域網(wǎng)從動(dòng)態(tài)遷移到靜態(tài)(配置的)IPv6。目前大多數(shù)操作系統(tǒng)都支持動(dòng)態(tài)(自動(dòng)配置的)IPv6:
·Linux(內(nèi)核2.2和以上版本)
· Mac OS X
·FreeBSD/NetBSD/OpenBSD
·Windows Server 2000/2003/ 2008;Windows XP/7
在自動(dòng)配置的或者動(dòng)態(tài)的節(jié)點(diǎn),IPv6本地連接地址自動(dòng)分配給設(shè)備,不需要服務(wù)器管理。這意味著操作系統(tǒng)一打開,設(shè)備就自動(dòng)擁有一個(gè)可找到的IPv6地址。靜態(tài)(配置的)模式使用IPv6動(dòng)態(tài)主機(jī)配置協(xié)議(DHCPv6)安裝和管理網(wǎng)絡(luò)節(jié)點(diǎn)。以前版本的操作系統(tǒng)也許有有限的IPv6靜態(tài)功能。例如,Windows Server 2003需要DHCP以便實(shí)現(xiàn)IPv6靜態(tài)服務(wù)。
階段3 -- 識(shí)別和升級(jí)非IPv6設(shè)備和應(yīng)用。在你完全轉(zhuǎn)換到本地IPv6之前,這個(gè)步驟是必要的。如果你運(yùn)營一個(gè)龐大的網(wǎng)絡(luò),使用一個(gè)專門設(shè)計(jì)的第三方應(yīng)用程序識(shí)別IPv6連接的局限性(如,依賴IPv4)是必要的。
5.創(chuàng)建一個(gè)地址計(jì)劃
IPv6中的地址空間成倍增加,地球上的每一個(gè)人都可能有10個(gè)地址。這種數(shù)量龐大的唯一地址消除了子網(wǎng)的沖突,允許機(jī)構(gòu)根據(jù)其物理的或者邏輯的編組自由地制定靈活的地址方案,或?yàn)闉榱嗽鰪?qiáng)隱私使用配置的隨機(jī)地址。
·多播 -- 向一個(gè)多播組的所有的接口發(fā)送數(shù)據(jù)包。多播組代表這個(gè)數(shù)據(jù)包的IPv6目標(biāo)地址。允許匯聚路由前綴以限制全球路由表項(xiàng)目的數(shù)量。
·任播 -- 向與這個(gè)地址有關(guān)的一個(gè)接口發(fā)送數(shù)據(jù)包,一般路由到最近的節(jié)點(diǎn)。
·單播 -- 設(shè)別一個(gè)單個(gè)接口。
·全球可聚合的 -- 允許聚合路由前綴以限制全球路由表項(xiàng)目的數(shù)量。
·連接本地 -- 允許本地鏈路上設(shè)備之間的通訊,不需要全球唯一的前綴。
·本地網(wǎng)站 -- 允許在機(jī)構(gòu)內(nèi)部通訊,不需要公共前綴。
·回送 -- 節(jié)點(diǎn)使用回送方式向自己發(fā)送IPv6數(shù)據(jù)包。
·未指定 -- 新的節(jié)點(diǎn)在應(yīng)用程序或者設(shè)備獲得主機(jī)源地址之前使用“未指定”。
6. 理解風(fēng)險(xiǎn)和制定一個(gè)安全政策
機(jī)構(gòu)必須制定計(jì)劃解決IPv6對(duì)網(wǎng)絡(luò)安全的影響。例如,讓IPv4和IPv6主機(jī)之間通訊更加順暢的隧道和解析機(jī)制通過攜帶避開非IPv6防火墻的惡意軟件還可能帶來風(fēng)險(xiǎn)。此外,那個(gè)惡意軟件一旦避開防御進(jìn)入網(wǎng)絡(luò),IPv6的自動(dòng)配置功能可用于進(jìn)一步路由惡意通訊。
在積極的方面,支持IPSec現(xiàn)在是IPv6協(xié)議中必須具備的功能。IPSec是IETF(互聯(lián)網(wǎng)工程任務(wù)組)制定的,旨在提供數(shù)據(jù)保密性、完整性和數(shù)據(jù)包來源身份識(shí)別等安全服務(wù)。IPSec在網(wǎng)絡(luò)層運(yùn)行。當(dāng)配置正確的時(shí)候,IPSec是保護(hù)和識(shí)別IPv6通訊的非常強(qiáng)大的工具。雖然要求IPv6支持IPSec,但是,這并不意味著在一開始就有內(nèi)置的安全。IPSec必須正確地進(jìn)行配置以便提供它要提供的保護(hù)功能。
京公網(wǎng)安備 11010502049343號(hào)