序言
随着加快推进IPv6规模部署工作,是各行各业的网络改造现在乃至今后一段时期的重点工作。目前来看,很多企业或组织起步良好,进展顺利,在网络设施的IPv6改造取得阶段性成果。但是,从IPv4到IPv6的升级改造工作量大,时间紧,非常有挑战性。各机构都在积极探索过渡阶段的实施方案,以保障行动计划顺利实施,从而实现互联网应用的快连,平滑升级。实现互联网应用的快速、平滑升级。
从IPv4到IPv6,推动互联网演进升级
一般来说,企业或垂直行业的网络架构,所在的IT系统一般分为三个区域:互联网的接入区、WEB应用区、系统应用区和DB数据库区。
根据系统结构特点,目前主流改造方案包括两种:第一种是直接改造现有IPv4网络;第二种是保持不变IPv4网络,新建IPv6网络平面。
针对直接改造现有IPv4网络方案,深信服提出两种改造建议:
第一种,双栈改造至互联网接入区,在互联网接入区链路负载上做IPv6到IPv4协议的转换。
这部分的改造方案改造实现简单,但存在缺陷:第一,端到端的安全性无法保证,在攻击溯源、流量审计等方面存在较大隐患,难以定位和具体封堵攻击源;第二,原有运行逻辑,业务流程,防护层次被打破,运行监控体系无法发挥效果;第三,翻译设备容易成为安全瓶颈,一旦被攻击可能导致网络瘫痪。
第二种,双栈改造至WEB区服务器负载,在WEB接入区服务器负载上做IPv6到IPv4协议的转换。
这部分的改造方案改造难度适中,现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效,能基本实现端到端的安全性法,可以进行攻击溯源、流量审计,能够定位和具体封堵攻击源。缺点是需要评估IPv4网络中网络和安全设备对IPv6的