企業IPv6技術改造研究

2016年已至，IPv6落地的腳步也更加臨近，IPv6已不再是一種概念，IPv6概念源自于IPv4地址的資源緊缺，而且在2014年已經產生了全球網絡變慢的現象，主要原因就是路由器節點已經承受不了IPv4地址的不斷增長量，之后新IP發放必須使用IPv6。

IPv6應用現狀

IPv6是互聯網主要通信協議IPv4的升級版，但IPv6并不向下兼容IPv4，IPv4與IPv6的網絡是不互通的，IPv4用戶只能聯機到IPv4網站，反之亦然。就是說，如果企業的客戶未來用的是IPv6網絡，而企業網站卻只能透過IPv4聯機，那用戶將不能連上網站取得服務及信息，導致企業無法為客戶服務，所以在今后幾年里，建設新網站與建設新網絡時，將會逐漸面臨如何與IPv6網絡共存的問題。

我國IPv6的發展起步晚但發展快，我國相關研究機構、高校、廠商及運營商已陸續開始跟蹤與關注IPv6的發展，并相繼建成IPv6的試驗床及實驗網，例如6Tnet下一代IP電信實驗網、湖南IPv6實驗網、中國電信集團IPv6實驗網、中國高性能寬帶信息網、CERNET2、CNGI（中國下一代互聯網）等。中國聯通IPv6網絡著重于建設IPv6示范智能小區、通用移動終端的接入業務等。中國網通/中科院關注基于IPv6的視頻會議、網絡監控等新業務的應用。中國電信提出基于IPv6的永遠在線、自由移動等目標。中國移動提出端到端的業務試驗等。所有這些，都需要為用戶接入提供一個方便的手段。而基于無線方式的移動接入，無疑會給用戶帶來更大的方便。國內主要的一些網絡設備提供商也研發了基于IPv6的網絡設備，國產網絡設備已經可以滿足CNGI網絡商用需求。

2014年度已建立IPv6實驗網的企業集團有電力、石油、化工以及部分政府職能部門，例如：國家電網公司承建的智能電網應用關鍵技術研究與示范工程-電力IPv6實驗網絡建成，國家電網公司總部和山西、江蘇、遼寧、寧夏、青海5個省區電力公司的IPv6實驗網進入試運行階段，IPv6軟硬件設備，將開展電力視頻監控、輸變電狀態監測、95598智能互動網站等從IPv4向IPv6的過渡實驗。從中我們不難看出，IPv6實驗已深入到企業實際的應用。

對于IPv4向IPv6技術的演進策略，業界提出了許多解決方案。特別是IETF組織專門成立了一個研究此演變的研究小組NGTRANS，已提交了各種演進策略草案，并力圖使之成為標準。縱觀各種演進策略，主流技術大致可分雙協議棧技術和隧道技術兩種。

雙協議棧技術應用分析

隨著支持IPv6終端的數量增長，IPv6流量在企業計劃過渡之前就已經出現在企業IPv4網絡上了，雖然大多數企業還是用IPv4網絡，但是IPv6網絡可以在網絡管理員不知情的情況下運行，用戶可以隨意的在這些新的未監控的網絡里共享文件，下載視頻，而這些漏洞可能會被利用，如果沒有被發現，那些開放和未監控的IPv6端口會出現很大的安全隱患。

迄今為止，只有幾十個關于IPv6漏洞的報告被公布，但這不意味著IPv6的實施比IPv4更加安全，這反而說明在IPv6的實施中仍有許多漏洞尚未被發現。讓安全研究人員和供應商們發現并糾正IPv6漏洞，使IPv6實施的成熟度可以比得上IPv4的成熟度，還需要一段時間。

過渡技術方案的選擇，第一需考慮保護既有投資，包括現有設備情況、人員技術能力等多個方面。只有充分利用現有的網絡資源和人力物力的技術方案才具有較高的實用性。第二需保證現有應用系統正常運行，IPv6技術的引入不能影響已有IPv4的業務，如應用系統的性能、網絡可靠性、網絡安全性等。第三要求網絡結構簡單、易于管理。過于復雜的組網方案會增加網絡故障發生的機率和增加實施成本。第四要求能夠保證網絡服務質量。采用IPv4/IPv6雙棧方式組網以后，網絡的整體性能可能下降，但是不能影響業務系統的服務質量，同時，網絡的可靠性和穩定性也不能削弱。綜上所述，在技術方案的選擇中，從技術角度和我們已有網絡環境考慮，采用IPv4/IPv6雙協議棧共享技術是最理想的方案。它不改變現有的網絡應用環境，能為不同類型的用戶單獨部署網絡試驗環境，管理簡單、IPv4和IPv6的邏輯界面清晰。

IPv6遷移所關注的問題

由于IPv6和IPv4的兼容問題，需要兼容技術進行過渡，然而這些技術會導致流量中的復雜性增加，攻擊者可能利用復雜流量掩飾攻擊意圖。

為了更好地控制風險，轉換至IPv6時，應該經過評估和計劃、調查和更新、測試和建設三個步驟來逐步推進。

評估分為需求及成本評估兩部分，首先應進行需求評估，在有應用需求的前提下，成本評估才有實際意義。如果企業并沒有迫切的IPv6應用需求，則可以先擬定相關計劃，在今后設備淘汰換或系統更換時，逐步引入IPv6網絡。

確定有IPv6應用的需求時，還要評估建設成本。這其中要包含硬件、軟件以及人員培訓等成本。如果企業只是要單純的將對外服務網站轉換成IPv6版本，網絡架構不需要改造，可以考慮將網站放置在提供IPv6或雙協議服務端的主機進行代管，這樣可以大幅降低成本。

企業大多擁有較大規模的網絡，網站負載也較大且都建設有定制的應用系統，這種情況必須使網絡架構支持IPv6。要將全部網絡設備更換為具備IPv6功能的設備，會需要大量資金并且工作周期較長，鑒于企業內部的管理規范以及保護投資的角度出發，應該先對企業內所有的網絡設備及應用系統進行調查。

在確認有導入IPv6的需求后，信息人員需要盤點所有的網絡設備及應用系統，確認網絡設備的使用年限、IPv6支持度，按照自主開發、委托開發或是購買成品軟件對應用系統進行分類。相關信息確認后，梳理出需要更新的設備、需要修改設置的設備和需要修改的應用系統，進行設備的采購更換和應用系統的代碼修改等工作。應用系統的修改方面，有專家建議修改程序代碼或網站連結時，不要直接使用IPv6的數字地址，應該改用DNS域名來表示，可以降低人工修改時的錯誤概率，這點在工作進行時可以作為參考。

調查完企業內部環境后，還要了解ISP提供商是否已經能提供IPv6服務，或者IPv6服務推出的時間表。所有調查結果確定之后，才能確認企業向IPv6轉換的時間節點。

為保證企業經營的正常進行，不會出現長時間的停滯，在經過評估、調查和設備的采購、安裝以及應用系統升級等工作后，需要進行測試，確認轉換效果之后才正式上線運行。

聯機測試通常會分段測試，像雙協議的應用下，就要測試是否能正常聯機至純IPv4網站及純IPv6網站。如果聯機都正常，接著要測試不同的應用程序，是否都能支持。經過測試，如果內外聯機皆正常，那就可以將IPv6設備及應用程序上線。

IPv6在企業上的應用

由于IPv6地址長度、網絡規模、協議實現和地址劃分等方面的原因，IPv6地址的配置方法需滿足操作方便、組網簡單、地址易于管理的要求。不同的地址配置方法，其管理方式和運行狀態機制不一樣，對網絡的作用和影響也不一樣，為設備選擇合適的地址配置方法對于優化網絡質量、降低維護難度非常重要。

IPv6地址常用的配置方法各有特點，在不同的應用場合可以相互配合，混臺使用。企業各應用系統對網絡的要求不同組網層次和應用需求需要選擇適當的IPv6地址分配方法，為今后企業IPv6地址管理以及整個網絡的建設提供參考。

以下功能是本次企業實施IPv6過渡中中所關注和解決的焦點。

如本文所述，在IPv4向IPv6遷移的過程中，及早的做好過渡準備，按照分階段工作目標形成細致合理的過渡建設方案，對原有投資最大限度的進行保護，以盡可能少的投入實現網絡對IPv6的支持，在建設過程中引入安全風險管理的機制，以上每一個環節都非常重要，一個環節的缺失都將影響IPv6的應用落地與推廣。