|
1,大企业、自治体网络的特征 1)有专门的网络管理部门 2)最终用户数比较多 3)组织内有Intranet存在 4)对内、对外提供Web和Email服务 5)对IT投资/回报率有很强的要求 6)通过严格的policy对网络安全进行管理 7)对网络的可用性要求高(设备冗余和定期更换)
2,迁移之前的考虑 1)基本思路 - 建立与当前的IPv4对等的IPv6网络(目前阶段,现存的IPv4网络能继续使用) - 既存的应用系统在既存的IPv4上保持运行,新的应用在新的IPv6上测试和运行 2)迁移方法 - 尽可能小范围的试行展开(双协议栈);已展开的IPv6子网可通过隧道技术进行连接 - 定期设备更换或有新需求(导入新设备)时,再徐徐扩展IPv6的范围 3)安全性的考虑 - 确保安全为前提 - 缓和模式:设置与IPv4的防火墙同级别的Policy,对IPv6的应用逐个的审查,最低限度的开放端口 - 严格模式:禁止IPv4与IPv6之间的通讯(IPv6独立运行) 4)迁移流程 - 阶段置换型:分阶段逐步替换现有网络设备 - 独立融合型:建立新的独立IPv6,然后与现有IPv4融合、或逐渐淘汰旧的IPv4 5)大企业新阶段导入IPv6的可能的理由 - 长期规划中的先行计划 - 新规应用导入(VOIP等)的要求 - IPv6产品开发的环境要求 - 企业形象的要求等
3,基本要素 1) ISP接入回线 - Tunnel方式(对现存IPv4的影响最小,适合于IPv6体验) - Dual Protocol 方式(目前的推荐方式) - Native方式(DNS、SNMP等IPv6对应完备之后,才能正式采用?) 2) 路由器 - 大中型路由器已全部支持IPv6 - 小型路由器的进展意外地缓慢(成本?) 3) 防火墙 - 包过滤功能的IPv6对应已经完成 - 但P2P、IPsec、Tunneling、Multicasting等功能的对应需要确认 4) DNS服务器 - BIND的话,只需升级版本就可以支持IPv6 - 采用双协议栈技术的话,不需要考虑IPv6的DNS请求报文的响应 5) 其他的应用服务 - 主要的Web、Mail服务器程序都已经支持IPv6(病毒检查等外接模块需单独确认) - 网络管理服务,MIB已对应IPv6,但SNMP只支持IPv4(2006年) 6) PC/PDA - 主流的OS已全部支持IPv6 7) IPv6全局地址的取得 - 可以从ISP处取得,一般为/48 - 大规模的企业,可以向RIR(如日本的APNIC)申请/32 参照http://www.v6pc.jp/jp/wg/remoteSWG/index.html 8) IPv6地址设计 - /48对大多数企业而言,已经足够大 - 设计的原则: 简单高效(容易分辨)/充分考虑组织变更和扩大/考虑与组织地理位置匹配的构成 - 与IPv4的不同:IPv4设计时需要充分考虑子网内的终端数来设计;而IPv6由于地址空间足够大,可以采用简单的方法、一律16Bit(可容纳65535台终端)的方式来设计。 9) 路由协议 - 初期导入时,静态路由就可以了 - 规模扩大时,考虑RIPng/OSPFv3 - 假设有可能导入流媒体应用,需要考虑支持MultiCasting的PIM-SM等路由协议。 10) 其他协议 - Translater(协议转换器),实现IPv4终端与IPv6终端的通信(NAT-PT/TRT方式) - Tunnel(隧道) -- 6to4主机 :在有IPv4全局地址的主机、和ISP的中继router之间建立隧道 -- 6to4路由器:拥有1个IPv4全局地址和1个IPv6的子网,和ISP的中继router之间建立隧道 -- ISATAP主机:位于Lan内部,无全局地址,与ISATAP网关之间建立隧道 -- ISATAP路由器:拥有1个IPv4全局地址和内接IPv4的子网,对外和ISP的中继router之间建立6to4隧道,对内与主机建立ISATAP隧道。 11) DMZ的IPv6 - WEB服务器(例) -- Apache2.0以上,可直接升级到IPv6,也可先并存,再取代 -- 大规模系统(负载均衡系统): a, IPv6的流量经过协议转换至IPv4后,作为IPv4负载均衡的一分支处理 b, IPv6流量不做负载均衡,直接交给新的IPv6 WEB服务器处理 c, 升级负载均衡系统支持IPv6,与原IPv4系统并存
4,新应用系统导入引起的IPv6迁移 1) 原则:双协议栈环境对应+开发者考量(非IP协议依存)
|
|
|