官方穷竭IPv4开源地址二月长通IPv6路经另一个重要里程碑自IANAIPv6于1999年发布全球部署公告以来,问题从来就不是是否而仅仅是IPv6何时会成为全球互联网通信核心协议
Quiz:准备IPv6
IPv6实际部署百分比低,迄今全世界不足10%,落后于预测到2007年底完全采用IPv6为主互联网协议的早期估计延迟部署因素包括不熟悉协议、成本和安全性关注问题,缺少训练有素的人员,缺少载波级IPv6带宽提供商
现实是即使在乐观假设中IPv6近期不太可能成为主流协议有限IT资源雷竞技电脑网站管理者可能不愿意将似然IPv6倡议推向管理优先级等待决定可能意味着更高成本和更多部署后头痛高山市IPv6部署错误感知:企业不部署IPv6.)
和大多数新兴技术拟广泛应用一样,在某个点上临界质量将实现,通过默认世界协议IPv6移动将几何加速,让那些打错计时拼凑的组织赶上来取而代之的是,即使是没有即时部署IPv6计划的公司也应完全掌握技术及其操作效果,至少还有可行和设计周全的过渡计划
现时六步准备IPv6
开工请求上游提供商或RIR提供IPv6前缀
启动时请求带宽提供方提供IPv6PA前缀即便你不计划立即部署IPv6公共主机, 关键是要知道您的IPS能否提供IPv6连通性PA前缀通常免费提供i前缀缺缺时,请求定时回答不尽人意(例如服务提供商没有IPv6迁移计划或无法指定交付调度表),你或可考虑启动IPv6容量主机搜索
合格组织也可购买i前缀,通常由区域互联网注册处分配PI地址非主机专用并允许修改主机,但PI地址本身并不消除IPv6容量主机需求
二叉简单IPv6'HelloWorld'测试
即使是当前带宽提供者不提供IPv6服务,你仍然可以开始测试内部局域网或广域网IPv4和IPv6协议虽然非直接互操作性,但可并存双堆栈并行配置并已在大多数网络中以某种形式这样做提供极佳环境测试
下双堆'HelloWorld'示例只使用两台机器Windows系统IIS/DNS服务器Windows7客户端快速易配置
Windows2008服务器运行IIS和DNS
IPv4节点
开工搭建IIS新网站将网站绑入未分配本地IPv4地址需要附加IPv4地址时,在配置网站前从子网向本地接口分配未使用地址前两组连接测试不需要dNS
二叉将下列文本存入新网站主目录index.html
哈罗世界
3级验证服务器浏览器页面使用IPv4分配地址查看
IPv6节点
4级向局域网接口添加一个新的静态IPv6地址(仅为测试目的,可随机生成本地IPv6地址,网址为https://www.ultratools.com/tools/rangeGenera注意唯一局部地址前缀从fd开始子网前缀长度64,图1显示服务器IPv6地址首选dNS服务器IPv6地址可用命令提示发布ip配置命令获取
5级打开服务器浏览器窗口并用静态IPV6地址输入定位栏
http://[fd63:ae70:9a8d:9ef7::]/
台阶二中你所看到的 同样的HelloWorld屏幕
6级配置 IPv6Windows7客户机连通可打开IPv6配置对话框(类似于图1)并输入随机IPv6地址或Windows7机IPv6地址,通过运行IPConfig在命令窗口中获取默认网关输入第四步分配服务器IPv6地址现在应该可以打开浏览器并访问World网页
配置dNS
允许测试双堆域名解析启动IPv6相同例子时,应添加图2显示的kid-A记录
3级分析协议差异并分析撞击
IPv4和IPv6之间的差别很大(见表1-IPv4/IPv6并发比较)。
向IPv6迁移的影响随组织规模的增加而增加,因此大型企业需要更多时间规划部署考虑组成一个任务组评估冲击并提出建议
4级优先排序IPv6部署
从IPv4直接切换原生IPv6是例外而非规则,因为原生IPv6主机和上游提供商数目相对较少为了提供网络资源的最大可用性(内部和互联网应用),许多组织选择过渡策略使用双栈节点并用管道协议或IPv4和IPv6节点之间的其他翻译机制,如果双堆点不可行的话。
实例推介策略 以减低向IPv6过渡的影响自然,组织在设计自己的部署计划时需要考虑多重因素
阶段一-部署互联网定位服务(web和e-mail)并配双堆节点和隧道/翻译机制连接IPv4/IPv6岛
第二阶段-将局域网/广域网从无国籍者(自动)迁移到状态化IPv6
第三阶段-识别和升级非IPv6设备/应用程序
阶段一-部署联网服务(web和e-mail)并配双层机结构上图HelloWorld示例显示,双堆处理并行IPv4和IPv6节点通常通过添加配置可变IPv6地址并允许请求设备自动选择IPv4或IPv6应当指出,这一方法虽然简化IPv6节点加法,但并不减少对独有IPv4地址的依赖,应在可行时尽快代之以IPv6专用服务还必须注意的是,上网双层节点可能因IPv6超时而为互联网用户引入感知性能问题
显示时,可使用隧道或其它翻译方法交付IPv4专用主机和IPv6专用主机之间的通信量某些地下通道方法可能构成安全风险,因此重要的是理解每个通道操作方式和时间允许/拒绝从地下通道流出流量
双堆方式实施email可能需要修改SMTP服务器配置,例如添加端口监听IPv6地址和提供IPv6互联网范围DNS四维A记录和MX记录解决IPv6容量主机问题与其他测试一样,宜使用非生产机
第二阶段-将局域网/广域网从无国籍者迁移到状态IPv6当前大多数操作系统船支持无国籍者IPv6
·inux系统内核2.2以上
MacOSX
自由BSD/NetBSD/OpenBSD
Windows服务器2000/2003/2008WindowsXP/7
自动配置或无国籍模式中IPv6链路地址自动分配到设备上,无需服务器管理表示OS启动时设备自动发现IPv6地址状态式(配置式)模式使用动态主机配置协议IPv6(DHCPv6)安装和管理网络节点OS前版本IPv6容量有限Windows服务器2003请求DHCP启动IPv6状态服务
第三阶段-识别并升级非IPv6设备和应用跨行前必须切换原生IPv6操作大型网络时,可能有必要使用第三方应用软件,专门设计识别IPv6连接限制,如IPv4依赖性
5级创建寻址计划
IPv6空间寻址指数增长 超过10亿个可能的地址极多独有地址消除子网冲突并允许组织自由设计灵活地址机制,视组织内物理或逻辑分组而定,或使用配置随机地址增加主机隐私
IPv6支持下列地址类型:
多播-发送包到多播组中所有接口,由IPv6端地址表示允许汇总路由前缀限制全局路由表项数
可播客-发送包到地址关联单接口,通常路由最近节点
uncast-识别单接口
Global分类表项数-允许汇总路由前缀以限制全局路由表项数
本地链接-允许本地链接设备间通信而无需全局独有前缀
网站局部化-允许组织内部通信无需公共前缀
循环回发-节点向自身发送IPv6包
未注明-新接口使用直到程序或设备获取宿主源地址
6级理解风险并开发安全策略
组织必须制定计划解决IPv6对网络安全的影响连接IPv4和IPv6主机路由的管道和翻译机制也可能带来安全风险,即携带IPv6恶意传输可能逃避非IPv6辨识防火墙检测此外,IPv6自配置特征可被用来推进网络内恶意软件流量,一旦它逃脱外围检测后即入网
积极的一面是IPSec目前强制使用IPv6IETF开发IPSec设计提供安全服务,如数据保密性、完整性和包源认证IPSec操作网络层,适当配置后可成为保护验证IPv6流量的强工具IPv6中需要IPSec支持,但这绝不表示安全第一天即为自建IPSec必须适当配置以提供它设计交付的保护
Perschke是两家IT服务公司的共同所有者,这些公司专门托管网站、SaaS应用开发以及RDBMS建模和集成雷竞技电脑网站Susan还负责公司数据中心的风险管理和网络安全可联系到susan@arcseven.com.