随着官方的疲惫IPv4 open-pool地址在二月份,长期的迁移路径向IPv6已通过的又一重要里程碑。自1999年IANA的IPv6全球部署公布,这个问题从来不管,只是当的IPv6将成为全球互联网流量的核心协议。
测验:你对IPv6准备好了吗?
全球不到10%的实际的IPv6部署的比例较低,到今天为止,背后早期的估计滞后所预计的全采用IPv6,如通过在延迟部署2007年的因素到底占主导地位的互联网协议包括不熟悉的协议,成本和安全担心,缺乏训练有素的人员,以及缺乏电信级IPv6带宽提供商。
现实情况是,即使在乐观的情况下,IPv6是不太可能成为近期的主要协议。有限的IT资源,2020欧洲杯预赛管理人员可能不愿意推看似可选的IPv6计划,以管理为优先级的消防头发“。但要等待的决定可能意味着更高的成本和更多的部署头痛以后。(IPv6部署的误解:企业不部署IPv6)。
正如大多数新兴技术注定会被广泛采用一样,在某一时刻,将达到临界质量,通过默认的普遍协议,向IPv6的移动将几何加速,让那些在时间上押错了赌注的组织争相追赶。这意味着,即使是没有立即部署IPv6计划的公司也应该对这项技术、它的运营影响有充分的了解,至少也应该有一个可行的、精心设计的过渡计划。
下面是为IPv6做准备的6个步骤:
1.申请的IPv6地址前缀从上游供应商或RIR
首先从带宽提供商请求一个IPv6 PA(提供商分配的)前缀。即使您不打算立即在面向公众的主机上部署IPv6,了解您的ISP是否能够提供IPv6连接也是很重要的。PA前缀通常是免费提供的。如果PA前缀不可用,请求时间安排。如果答案不令人满意(例如,你的供应商没有IPv6迁移计划或不能指定一个交付时间表),你可能要考虑开始搜索一个IPv6支持的主机。
合格的组织还可以购买PI(供应商独立)前缀,它通常由RIR(区域互联网注册中心)分配。PI地址不是特定于主机的,它允许您更改主机,但是PI地址本身并不能消除对支持ipv6的主机的需要。
2.进行一个简单的IPv6的“Hello World”测试
即使您当前的带宽提供商不提供IPv6服务,您仍然可以在您的内部局域网或广域网上开始测试。IPv4和IPv6协议虽然不能直接互操作,但可以在a中共存双堆栈,并行配置和某种形式的大多数网络都已经在这么做了。这为测试一个良好的环境。
下面双栈“Hello World”的例子只使用两台机器(一个窗户2008 IIS / DNS服务器和一个Windows 7客户端),是快速和易于配置。
在运行IIS和DNS在Windows 2008服务器:
IPv4节点
1.在IIS中设置一个新的网站。结合现场的任何未分配的本地IPv4地址。如果你需要一个额外的IPv4地址,从你的子网的本地接口配置网站之前指定一个未使用的地址。(DNS不要求所述第一两组连接测试)。
2.将下列文字储存于新网站的主目录“index.html”内:
你好,世界
3.确认您可以在服务器的浏览器中使用分配的IPv4地址查看页面(例如:http://192.168.0.1)。
IPv6Node
4.向局域网接口添加一个新的静态IPv6地址(仅为测试目的,您可以在https://www.ultratools.com/tools/rangeGenerator等站点上获得一个随机生成的本地IPv6地址)。注意,唯一本地地址(ULA)的前缀以fd开头。使用子网前缀长度为64,如图1所示。使用服务器的IPv6地址作为首选DNS服务器。(服务器的IPv6地址可以通过在命令提示符下发出ipconfig命令来获得。)
5.在服务器上打开一个浏览器窗口,并在位置栏中键入IPv6地址,使用静态IPv6地址,您刚刚添加到接口以下(括号)语法:
http:// [9 ef7 fd63: ae70:9a8d:::] /
您现在应该看到在步骤2中看到了同样的“Hello World”屏幕。
6.在Windows 7客户端机器上配置IPv6连接。这可以通过打开IPv6配置对话框(类似于上面的图1)并输入一个随机的IPv6地址或Windows 7机器的IPv6地址来完成,您可以通过在命令窗口中运行IPConfig来获得该地址。对于默认网关,在步骤4中输入分配给服务器的IPv6地址。您现在应该能够打开浏览器并访问'Hello World'页面,就像步骤5中那样。
配置DNS
要启用使用IPv4的“双栈”域名解析测试,在DNS下,您需要像往常一样添加一个正向查找区域,该区域带有一个映射到“Hello World”网站IPv4地址的a记录。要为相同的示例启用IPv6,添加如图2所示的4a (AAAA)记录。
3.分析协议差异并执行影响分析。
IPv4和IPv6之间的差异是显著的(参见表1 - IPv4/IPv6并行比较)。
向IPv6过渡的影响往往随组织的大小,这样较大的企业需要进行规划部署更多的准备时间。考虑组装专案组对评估的影响,并提出建议。
4.优先考虑IPv6部署的顺序。
从IPv4直接切换到本地IPv6是一个例外,而不是规则,因为本地IPv6主机和上游提供商的数量相对较少。为了提供网络资源的最大可用性(内部的和面向internet的),许多组织选择了使用双栈节点和隧道协议或IPv4和IPv6节点之间的其他转换机制的过渡策略,在这种情况下,双栈是不可行的。
这里有一个部署战略旨在减少向IPv6过渡的影响的一个例子。当然,企业需要制定自己的部署计划时要考虑多种因素。
•第一阶段 - 部署面向互联网的服务(Web和电子邮件)与双栈节点和隧道/转换机制弥合的IPv4 / IPv6“孤岛”
•阶段II -将LAN/WAN从无状态(自动)迁移到有状态(配置)IPv6
•阶段III -识别和升级非ipv6设备/应用程序
第一阶段 - 部署面向互联网的服务(Web和电子邮件)与双协议栈结构。如在上面的“世界你好”示例中所示,双堆栈包括平行延伸IPv4和IPv6节点。这通常是通过增加配置,可路由的IPv6地址,并允许请求设备自动选择是否将请求路由到IPv4或IPv6来实现的。应当指出的是,这种做法,同时简化其他的IPv6节点,不会减少对唯一的IPv4地址的依赖性,应该由纯IPv6的服务尽快更换可行的。同样重要的是要注意,面向Internet的双栈节点可能引入感知的性能问题,为互联网用户,由于IPv6的超时时,有一个缺乏可用的上游IPv6路由。
如果有必要,可以使用隧道或其他转换方法在仅ipv4和仅ipv6的主机之间传递通信。一些隧道挖掘方法可能会带来安全风险,因此了解每一种方法的操作方式以及何时允许/不允许来自隧道挖掘源的通信是很重要的。
在双栈模式下实现电子邮件可能需要更改SMTP服务器上的配置,例如添加一个端口来监听IPv6地址,并提供一个IPv6 Internet范围。还需要DNS quada记录,以及解析到支持ipv6主机的MX记录。与其他测试一样,建议使用非生产机器。
第二阶段 - 从无国籍到状态IPv6迁移局域网/广域网。目前,大多数操作系统附带的无状态(自动配置)支持IPv6:
•Linux的(内核2.2和更高)
•Mac OS X
•FreeBSD / NetBSD / OpenBSD
•Windows Server 2000/2003/ 2008;Windows XP / 7
在自动配置或无状态模式下,IPv6链路本地地址自动分配给设备,而不需要服务器管理。这意味着一旦打开操作系统,设备就会自动拥有一个可发现的IPv6地址。有状态(配置)模式使用动态主机配置协议IPv6 (DHCPv6)的安装和管理网络节点。以前的操作系统版本可能有限制IPv6有状态的能力。例如,Windows Server 2003需要DHCP来启用IPv6有状态服务。
第三阶段-识别和升级非ipv6设备和应用程序。在您可以全面切换到本地IPv6之前,这一步是必要的。如果运行大型网络,可能需要使用专门设计用于识别IPv6连接限制的第三方应用程序,比如对IPv4的依赖。
5.创建寻址计划
IPv6的寻址空间呈指数级增长,地球上每个人都有超过10亿个可能的地址。大量的唯一地址消除了子网冲突,并允许组织根据组织内的物理或逻辑组自由地制定灵活的寻址方案,或使用配置的随机地址来增加主机的隐私。
IPv6支持下列地址类型:
•多播-发送数据包到所有接口,是一个多播组的一部分,代表的IPv6目的地址的数据包;允许聚合路由前缀,以限制全局路由表条目的数量
Anycast -发送数据包到与地址相关的单个接口,通常路由到最近的节点
•单播 - 标识单个接口
•Global aggregatable -允许路由前缀聚合,以限制全局路由表条目的数量
•链路本地-允许在本地链路上的设备之间的通信,而不需要一个全球唯一的前缀
•本地站点 - 允许一个组织内的通信,而不需要一个公共前缀
环回-由一个节点发送一个IPv6数据包到自己
•未知 - 通过新的接口使用,直到应用程序或设备已获得主机的源地址
6.了解风险并制定安全策略
组织必须制定计划解决的IPv6网络安全的影响。对于交通便利的IPv4和IPv6主机之间的路由也可以引入安全通过携带的IPv6流量的恶意软件可能通过非IPv6感知防火墙逃避检测的风险例如,隧道和翻译机制。另外,它已经躲过周边探测后的IPv6的自动配置功能可被用于进一步的路线恶意软件流量一旦网络内部。
从积极的方面来看,IPv6现在必须支持IPSec。IPSec由IETF开发,旨在提供安全服务,如数据机密性、完整性和包源身份验证。IPSec在网络层运行,如果配置正确,它可以成为保护和验证IPv6流量的强大工具。虽然在IPv6中需要对IPSec的支持,但这并不意味着安全性在第一天就已经“内置”了。IPSec必须正确配置,以便提供它设计时要提供的保护。
Perschke是两家IT服务公司的共同所有者,他们专门从事web托管、SaaS(云)应用程序开发和RDBMS建模与集成。Susan还负责公司数据中心的风险管理和网络安全。2020欧洲杯预赛请联系她susan@arcseven.com。