随着IPv4开放池地址在今年2月正式耗尽,向IPv6地址过渡的长期道路已经渡过了另一个重要的里程碑。自从IANA IPv6全部部署在1999年宣布以来,这个问题已经不再是是否应用IPv6,而是IPv6什么时候成为全球互联网通讯的核心协议。
到目前为止,IPv6的实际应用的比例很低,不到全球应用的10%,低于2007年年底预测的IPv6成为占统治地位的互联网协议的预测。延缓IPv6应用的因素包括不熟悉这个协议、成本和安全的担心、缺少经过培训的人员以及缺少运营商级IPv6带宽提供商。
现实是,即使在乐观的情况下,IPv6在近期也不会成为占统治地位的协议。拥有无限的IT资源,数据中心管理员也许不会把IPv6当作“火烧头发”那样优先的事情向管理层提出IPv6计划。但是,等待的决策意味着以后更高的成本和更多的部署难题。
像许多注定要普及的大多数新兴技术一样,在达到某一个临界质量并且有一个默许的通用协议之后,向IPv6迁移的速度将加快,那些在时间上判断错误的机构将急忙赶上来。甚至没有立即部署IPv6计划的公司也将全面理解这个技术、它的运营影响并且制定一个很好的过渡计划。
下面是目前准备应用IPv6应该采取的六个步骤:
1. 从你的上游提供商或者RIR那里申请一个IPv6前缀
首先从你的带宽提供商那里申请一个IPv6 PA(提供商分配的)前缀。即使你不打算立即在公开的主机上部署IPv6,了解你的互联网服务提供商是否提供IPv6连接是很重要的。PA前缀一般是免费提供的。如果没有PA前缀,要求提供一个时间表。如果答案让人不满意(如你的提供商没有向IPv6迁移的计划或者不能具体说明一个交付时间表),你也许要考虑开始寻找一个具有IPv6功能的主机。
有资格的机构也许还要购买一个PI(不依赖于提供商的)前缀。这通常是由一个RIR(地区互联网注册机构)分配的。PI地址是没有任何具体主机的并且允许用户改变主机。但是,一个PI地址本身没有消除对IPv6主机的需求。
2.进行简单的IPv6“你好,世界”测试
即使你当前的带宽提供商不能提供IPv6服务,你仍然可以测试你内部的局域网或者广域网。不直接兼容的IPv4和IPv6协议能够在一个双堆栈并行配置中共存,并且已经在某种形式的大多数网络中这样做。这为测试提供了一个极好的环境。
下面的双堆栈“你好,世界”的测试例子仅使用了两台机器(一台Windows 2008 IIS/DNS服务器和一台Windows 7客户机),速度很快,很容易设置。
在一台运行IIS和DNS的Windows 2008服务器上:
IPv4节点
(1)在IIS中建立一个新的网站。把这个网站绑定到任何没有分配的本地IPv4地址。如果你需要一个额外的IPv4地址,在设置这个网站之前把你的子网中的一个没有使用的地址分配给这个本地接口。(在前两套连接测试中不需要DNS)。
(2)在名为“index.html”的新网站的主目录的一个文件中存储下列文本:Hello World
(3)确认你在使用的分配的IPv4地址(如,http://192.168.0.1)的服务器浏览器中能够看到这个网页。
IPv6节点
(4)向这个局域网接口增加一个新的静态的IPv6地址(仅用于测试,你可以在类似https://www.ultratools.com/tools/rangeGenerat的网站得到一个随机生成的本地IPv6地址)。注意,一个唯一本地地址(ULA)的前缀的开头是fd。使用如图1所示的64位长度的前缀。使用这个服务器的IPv6地址作为首选的DNS服务器。(在命令提示符下发出一个ipconfig指令也许能够获得这台服务器的IPv6地址。)
点击查看:屏幕快照显示向局域网接口5增加一个新的静态IPv6地址。
▲
打开这个服务器上的浏览器窗口并且向地址栏输入这个IPv6地址,使用你刚刚添加到这个接口的静态IPv6地址并且使用括号中的句法:http://[fd63:ae70:9a8d:9ef7::]/
你现在应该看到在第二步的屏幕中显示的同样的“你好,世界”。
(6)在这台Windows 7客户机中设置IPv6连接。打开IPv6配置对话框可以完成这个设置(类似于上面的图1),输入一个随机的IPv6地址或者这台Windows 7客户机的IPv6地址。你在运行IPConfig命令时可以得到这些地址。对于默认的网关,输入在第四步中分配给这台服务器的IPv6地址。你现在应该能够打开一个浏览器并且访问与第五步相同的“你好,世界”网页。
配置DNS
要使用IPv4实现对“双堆栈”域名解析的测试,你要在DNS下面增加一个“正向查找区域”,让一个A记录映射到“你好,世界”网站的IPv4地址。要在同样的例子中实现IPv6测试,增加一个四个A(AAAA)的记录,如图2所示。
点击查看:图2显示增加IPv6 AAAA DNS记录
▲
推荐阅读:
2011黑帽大会专题
IETF成立25周年
3.分析协议差别和进行一个影响分析
IPv4和IPv6直接的差别是巨大的(见表1-- IPv4/IPv6逐项对比)。
点击查看:IPv4/IPv6逐项对比表
▲
▲
向IPv6迁移的影响随着机构规模的增大而增加。因此,大企业在规划部署IPv6方面需要更多的提前准备时间。考虑组建一个专门的部门评估影响和提出建议。
4.优先IPv6部署的次序
直接从IPv4转换到本地IPv6是一个例外并且不符合原则,因为本地IPv6主机和上游提供商数量较少。为了提供网络资源(内部的和面向互联网的)的最大可用性,许多机构选择的过渡战略是使用双堆栈节点以及使用隧道协议或者使用双堆栈无法实现的IPv4与IPv6之间的其它解析机制。
下面是旨在减少IPv6过渡影响的一个部署的例子。当制定自己的部署计划的时候,机构需要考虑多个因素。
·阶段1 -- 使用双堆栈节点和连接IPv4/IPv6岛屿的隧道/解析机制部署面向互联网的服务(网站和电子邮件)。
·阶段2 -- 把局域网/广域网从静态迁移到动态(配置的)IPv6。
·阶段3 -- 识别和升级非IPv6设备/应用。
阶段1 -- 使用双堆栈架构部署面向互联网的服务(网站或者电子邮件)。正如上面的“你好,世界”的例子所示,双堆栈包括运行并行的IPv4和IPv6节点。这通常是通过增加一个可配置的和可路由的IPv6地址实现的,允许申请的设备自动选择是否把这些申请路由到IPv4或者IPv6。应该指出的是这种方法虽然简化了增加的IPv6节点,但是,没有减少对唯一的IPv4地址的依赖,应该尽快用唯一的IPv6服务替代这个服务。重要的是还需要指出,在缺少上游IPv6路由的时候,面向互联网的双堆栈节点也许会给互联网用户带来一些由于IPv6超时产生性能问题。
隧道或者其它协议方式能够用于提供IPv4主机和IPv6主机之间的通讯。有些隧道方法可能产生安全风险。因此,理解每一个协议的工作原理以及何时允许(或者不允许)来自隧道的通讯是非常重要的。
极少见的IPv6攻击情况
以双堆栈模式应用电子邮件可能需要修改SMTP服务器的配置变化,如增加一个端口监听一个IPv6地址并且提供一个IPv6互联网范围。DNS四A记录与解决IPv6主机的MX记录也是需要的。同其它测试一样,应该告诉他们使用一台非生产用机器。
阶段2 -- 把局域网/广域网从动态迁移到静态(配置的)IPv6。目前大多数操作系统都支持动态(自动配置的)IPv6:
·Linux(内核2.2和以上版本)
· Mac OS X
·FreeBSD/NetBSD/OpenBSD
·Windows Server 2000/2003/ 2008;Windows XP/7
在自动配置的或者动态的节点,IPv6本地连接地址自动分配给设备,不需要服务器管理。这意味着操作系统一打开,设备就自动拥有一个可找到的IPv6地址。静态(配置的)模式使用IPv6动态主机配置协议(DHCPv6)安装和管理网络节点。以前版本的操作系统也许有有限的IPv6静态功能。例如,Windows Server 2003需要DHCP以便实现IPv6静态服务。
阶段3 -- 识别和升级非IPv6设备和应用。在你完全转换到本地IPv6之前,这个步骤是必要的。如果你运营一个庞大的网络,使用一个专门设计的第三方应用程序识别IPv6连接的局限性(如,依赖IPv4)是必要的。
5.创建一个地址计划
IPv6中的地址空间成倍增加,地球上的每一个人都可能有10个地址。这种数量庞大的唯一地址消除了子网的冲突,允许机构根据其物理的或者逻辑的编组自由地制定灵活的地址方案,或为为了增强隐私使用配置的随机地址。
·多播 -- 向一个多播组的所有的接口发送数据包。多播组代表这个数据包的IPv6目标地址。允许汇聚路由前缀以限制全球路由表项目的数量。
·任播 -- 向与这个地址有关的一个接口发送数据包,一般路由到最近的节点。
·单播 -- 设别一个单个接口。
·全球可聚合的 -- 允许聚合路由前缀以限制全球路由表项目的数量。
·连接本地 -- 允许本地链路上设备之间的通讯,不需要全球优异的前缀。
·本地网站 -- 允许在机构内部通讯,不需要公共前缀。
·回送 -- 节点使用回送方式向自己发送IPv6数据包。
·未指定 -- 新的节点在应用程序或者设备获得主机源地址之前使用“未指定”。
6. 理解风险和制定一个安全政策
机构必须制定计划解决IPv6对网络安全的影响。例如,让IPv4和IPv6主机之间通讯更加顺畅的隧道和解析机制通过携带避开非IPv6防火墙的恶意软件还可能带来风险。此外,那个恶意软件一旦避开防御进入网络,IPv6的自动配置功能可用于进一步路由恶意通讯。
在积极的方面,支持IPSec现在是IPv6协议中必须具备的功能。IPSec是IETF(互联网工程任务组)制定的,旨在提供数据保密性、完整性和数据包来源身份识别等安全服务。IPSec在网络层运行。当配置正确的时候,IPSec是保护和识别IPv6通讯的非常强大的工具。虽然要求IPv6支持IPSec,但是,这并不意味着在一开始就有内置的安全。IPSec必须正确地进行配置以便提供它要提供的保护功能。