IPv6在企业网中的部署
在数据传输领域,互联网协议群(IPS,Internet Protocol Suite)支配着整个数据传输过程,在整个协议群中,IP协议占据着举足轻重的地位,其负责将应用程序的信息转换成为网络可以传输的数据包,对于任何运行中需要涉及到数据传输的应用程序而言都是不二的铁律,无论是电子邮件的发送还是网页内容的传输,都需要遵从IP协议。而随着数据传输技术自身的发展,IP协议也会随之发展并且更替,当前互联网工程任务组(IETF,Internet Engineering Task Force)所设计的IPv6(Internet Protocol Version 6),作为最新IP协议版本,一方面需要在现存环境中实现对既往IPv4的兼容,同时也必须深刻认识到其优势所在,最终实现对IPv4的替代。 1 IPv6的相对特征分析
相对于IPv4而言,IPv6最大的特征就在于安全,因此想要对IPv6有一个全面并且相对深入的了解,就首先应当对其安全性特征展开必要的学习。
对于IPv4而言,其在设计过程中的初衷是用于教育科研网和一般性企业网络,因此对于网络安全的注重本身就存在有不足。IPv4诞生于上世纪80年代初,并于1983年被ARPAnet采用,因此奠定了其坚实的应用基础,当时的互联网刚刚诞生,更多关注互联本身的可行性与实现技术,而随着多年来的发展,互
联网已经逐步扩大并且形成规模。在这样成熟的网络机制之上,各种网络危险层出不穷,由于人们更多依赖于数据传输网络,因此以往单纯的信息共享在目前时代带有浓重的经济色彩,这也从一个层面加剧了网络安全隐患,各种病毒和网络攻击涌现,构成了IPv4难以满足的网络环境。
相对于IPv4而言,IPv6首先确保了端到端的安全,对于IPv4而言,其地址的短缺直接导致无法确保端到端的安全,而IPv6则可以提供丰富的地址空间对安全进行保驾。在现在的社会中,由于互联网用户的激增,以及信息化本身携带的经济效益,端到端的安全直接关系到整个社会层面的经济安全,因此虽然IPv4仍然未能完全退出历史舞台,但是仅从这个角度看,IPv6的生命力已然不容忽视。其次,IPv6从地址管理以及分配方式角度,也为互联网提供了更高的安全保证。这种安全特征主要来源于其层次化的地址结构,这种地址结构允许路由器使用多个可以实现聚合的路由表,大大提升了路由查询效率,并且能够有效实现IPv6路由表的数据量。此外,这种分层的地址还能够帮助抑制路由表的增大,这对于网络自身的成长而言至关重要,因为随着网络自身的不断延展,其中的路由表必然随之增大,并且分层的地址构建方式还能够在很大程度上避免地址碎片的形成,优化地址分配过程。
IPv6最为重要的安全技术在于保证了网络层的安全,其确立的IPSec机制,定义了一系列IPv6核心安全要素。其中包括
与算法无关,确保相应用户能够采用安全机制的IP安全协议(IPSP);为IP数据包提供数据完整性和数据源身份认证的认证报头(AH);能够为IP数据包提供数据的保密性(加密)、无连接的数据完整性、数据源身份认证以及抗重播攻击保护的封装安全负载报头(ESP);以及IP密钥管理协议(IKMP),这一部分协议负责担负有关密钥产生和分配的有关工作,包括在通信系统之间建立安全联盟(SA)。 2 基于IPv6的企业网建设
目前很多企业网仍然沿用了IPv4协议,虽然就目前的状况看,IPv6的应用已经成为必然,但是想要彻底实现更新,仍然必须面临很长的一个过程。而在这个过程中,在企业网中如何实现IPv4和IPv6二者的有效兼容,保证二者在一个相对较大的环境中并行不悖同时为企业网服务是当前IPv6部署工作的重点所在。
针对于当前存在的问题IETF的Ngtrans工作组提出了当前保持IPv4和IPv6二者兼容的三种主要工作方式,并且推进向IPv6的迁移。下面是三种主要的工作方式: 2.1 双协议栈
采用此种方式展开工作的企业网络,从客观上要求网络中的所有节点同时对IPv4和IPv6两个协议实现支持,在这样的网络支持之下,每一个网络节点都能够展开IPv4和IPv6两个协议的数据包转发服务,等于实现了二者在同一个企业网络中的共存问
题。但是这种做法本身存在缺陷,首先网络节点要同时支持IPv4和IPv6两个协议,就需要存储两个协议的路由表,无形中增加了网络节点的工作负担;其次在这样的网络中,虽然能够实现IPv4和IPv6二者的平行工作,但是并不能实现IPv4和IPv6之间的通信,仍然有着一定的局限。 2.2 协议翻译
相对于双协议栈环境中IPv4和IPv6之间无法实现通信的状况,协议翻译可以说有了一定的改进。采用此种方式进行工作的企业网,从根本上看是采用了IPv4/IPv6网管将IPv4和IPv6数据包进行转换,从而实现二者之间的互通。NAT-PT就是目前常用的协议翻译,在对其进行采用的基础上,能够确保IPv4和IPv6之间的通信实现。这种通信实现方式能够让大部分应用层协议无需修改就可以实现全网通信,而无需过多考虑协议,但是同时此种做法也会在一定程度上破坏IPSec端到端的安全性,必须予以综合考虑才能使用。 2.3 隧道技术
隧道技术一样不能实现IPv4和IPv6协议之间的信息传输,其本质是在既有的IPv4网络中部署隧道,在隧道中实现IPv6的协议通信,借以实现部分网络的端对端安全。目前已经产生多种隧道技术,包括兼容地址自动配置隧道、MPLS隧道、ISATAP等在内的众多隧道,都能够实现此种职能。但是究其根本,仍然职能实现网络中IPv6协议孤岛之间的通信,难以满足整个网络的
安全需求。 3 结论
IPv4自身的安全特征,决定了其必然会逐步向IPv6协议实现迁移过度,然而也必须认识到,IPv4在企业网中应用已经成熟,因此难以在较短时间内实现向IPv6的彻底迁移。IPv6固有的安全优势,在未来必然会形成广泛应用,因此在这个过程中,企业网相关工作人员必须充分认识,积极推动IPv6协议的不断深入,从而实现逐步向IPv6协议的深入推进。
IPv6在企业网中的部署-精选文档
