IPV6场景化解决方案

序言

随着加快推进IPv6规模部署工作，是各行各业的网络改造现在乃至今后一段时期的重点工作。目前来看，很多企业或组织起步良好，进展顺利，在网络设施的IPv6改造取得阶段性成果。但是，从IPv4到IPv6的升级改造工作量大，时间紧，非常有挑战性。各机构都在积极探索过渡阶段的实施方案，以保障行动计划顺利实施，从而实现互联网应用的快连，平滑升级。实现互联网应用的快速、平滑升级。

从IPv4到IPv6，推动互联网演进升级

一般来说，企业或垂直行业的网络架构，所在的IT系统一般分为三个区域：互联网的接入区、WEB应用区、系统应用区和DB数据库区。

根据系统结构特点，目前主流改造方案包括两种：第一种是直接改造现有IPv4网络；第二种是保持不变IPv4网络，新建IPv6网络平面。

针对直接改造现有IPv4网络方案，深信服提出两种改造建议：

第一种，双栈改造至互联网接入区，在互联网接入区链路负载上做IPv6到IPv4协议的转换。

这部分的改造方案改造实现简单，但存在缺陷：第一，端到端的安全性无法保证，在攻击溯源、流量审计等方面存在较大隐患，难以定位和具体封堵攻击源；第二，原有运行逻辑，业务流程，防护层次被打破，运行监控体系无法发挥效果；第三，翻译设备容易成为安全瓶颈，一旦被攻击可能导致网络瘫痪。

第二种，双栈改造至WEB区服务器负载，在WEB接入区服务器负载上做IPv6到IPv4协议的转换。

这部分的改造方案改造难度适中，现有运行逻辑，业务流程，防护层次未发生改变，运行监控体系基本有效，能基本实现端到端的安全性法，可以进行攻击溯源、流量审计，能够定位和具体封堵攻击源。缺点是需要评估IPv4网络中网络和安全设备对IPv6的