企业IPv6技术改造研究

2016年已至，IPv6落地的脚步也更加临近，IPv6已不再是一种概念，IPv6概念源自于IPv4地址的资源紧缺，而且在2014年已经产生了全球网络变慢的现象，主要原因就是路由器节点已经承受不了IPv4地址的不断增长量，之后新IP发放必须使用IPv6。

IPv6应用现状

IPv6是互联网主要通信协议IPv4的升级版，但IPv6并不向下兼容IPv4，IPv4与IPv6的网络是不互通的，IPv4用户只能联机到IPv4网站，反之亦然。就是说，如果企业的客户未来用的是IPv6网络，而企业网站却只能透过IPv4联机，那用户将不能连上网站取得服务及信息，导致企业无法为客户服务，所以在今后几年里，建设新网站与建设新网络时，将会逐渐面临如何与IPv6网络共存的问题。

我国IPv6的发展起步晚但发展快，我国相关研究机构、高校、厂商及运营商已陆续开始跟踪与关注IPv6的发展，并相继建成IPv6的试验床及实验网，例如6Tnet下一代IP电信实验网、湖南IPv6实验网、中国电信集团IPv6实验网、中国高性能宽带信息网、CERNET2、CNGI（中国下一代互联网）等。中国联通IPv6网络着重于建设IPv6示范智能小区、通用移动终端的接入业务等。中国网通/中科院关注基于IPv6的视频会议、网络监控等新业务的应用。中国电信提出基于IPv6的永远在线、自由移动等目标。中国移动提出端到端的业务试验等。所有这些，都需要为用户接入提供一个方便的手段。而基于无线方式的移动接入，无疑会给用户带来更大的方便。国内主要的一些网络设备提供商也研发了基于IPv6的网络设备，国产网络设备已经可以满足CNGI网络商用需求。

2014年度已建立IPv6实验网的企业集团有电力、石油、化工以及部分政府职能部门，例如：国家电网公司承建的智能电网应用关键技术研究与示范工程-电力IPv6实验网络建成，国家电网公司总部和山西、江苏、辽宁、宁夏、青海5个省区电力公司的IPv6实验网进入试运行阶段，IPv6软硬件设备，将开展电力视频监控、输变电状态监测、95598智能互动网站等从IPv4向IPv6的过渡实验。从中我们不难看出，IPv6实验已深入到企业实际的应用。

对于IPv4向IPv6技术的演进策略，业界提出了许多解决方案。特别是IETF组织专门成立了一个研究此演变的研究小组NGTRANS，已提交了各种演进策略草案，并力图使之成为标准。纵观各种演进策略，主流技术大致可分双协议栈技术和隧道技术两种。

双协议栈技术应用分析

随着支持IPv6终端的数量增长，IPv6流量在企业计划过渡之前就已经出现在企业IPv4网络上了，虽然大多数企业还是用IPv4网络，但是IPv6网络可以在网络管理员不知情的情况下运行，用户可以随意的在这些新的未监控的网络里共享文件，下载视频，而这些漏洞可能会被利用，如果没有被发现，那些开放和未监控的IPv6端口会出现很大的安全隐患。

迄今为止，只有几十个关于IPv6漏洞的报告被公布，但这不意味着IPv6的实施比IPv4更加安全，这反而说明在IPv6的实施中仍有许多漏洞尚未被发现。让安全研究人员和供应商们发现并纠正IPv6漏洞，使IPv6实施的成熟度可以比得上IPv4的成熟度，还需要一段时间。

过渡技术方案的选择，第一需考虑保护既有投资，包括现有设备情况、人员技术能力等多个方面。只有充分利用现有的网络资源和人力物力的技术方案才具有较高的实用性。第二需保证现有应用系统正常运行，IPv6技术的引入不能影响已有IPv4的业务，如应用系统的性能、网络可靠性、网络安全性等。第三要求网络结构简单、易于管理。过于复杂的组网方案会增加网络故障发生的机率和增加实施成本。第四要求能够保证网络服务质量。采用IPv4/IPv6双栈方式组网以后，网络的整体性能可能下降，但是不能影响业务系统的服务质量，同时，网络的可靠性和稳定性也不能削弱。综上所述，在技术方案的选择中，从技术角度和我们已有网络环境考虑，采用IPv4/IPv6双协议栈共享技术是最理想的方案。它不改变现有的网络应用环境，能为不同类型的用户单独部署网络试验环境，管理简单、IPv4和IPv6的逻辑界面清晰。

IPv6迁移所关注的问题

由于IPv6和IPv4的兼容问题，需要兼容技术进行过渡，然而这些技术会导致流量中的复杂性增加，攻击者可能利用复杂流量掩饰攻击意图。

为了更好地控制风险，转换至IPv6时，应该经过评估和计划、调查和更新、测试和建设三个步骤来逐步推进。

评估分为需求及成本评估两部分，首先应进行需求评估，在有应用需求的前提下，成本评估才有实际意义。如果企业并没有迫切的IPv6应用需求，则可以先拟定相关计划，在今后设备淘汰换或系统更换时，逐步引入IPv6网络。

确定有IPv6应用的需求时，还要评估建设成本。这其中要包含硬件、软件以及人员培训等成本。如果企业只是要单纯的将对外服务网站转换成IPv6版本，网络架构不需要改造，可以考虑将网站放置在提供IPv6或双协议服务端的主机进行代管，这样可以大幅降低成本。

企业大多拥有较大规模的网络，网站负载也较大且都建设有定制的应用系统，这种情况必须使网络架构支持IPv6。要将全部网络设备更换为具备IPv6功能的设备，会需要大量资金并且工作周期较长，鉴于企业内部的管理规范以及保护投资的角度出发，应该先对企业内所有的网络设备及应用系统进行调查。

在确认有导入IPv6的需求后，信息人员需要盘点所有的网络设备及应用系统，确认网络设备的使用年限、IPv6支持度，按照自主开发、委托开发或是购买成品软件对应用系统进行分类。相关信息确认后，梳理出需要更新的设备、需要修改设置的设备和需要修改的应用系统，进行设备的采购更换和应用系统的代码修改等工作。应用系统的修改方面，有专家建议修改程序代码或网站连结时，不要直接使用IPv6的数字地址，应该改用DNS域名来表示，可以降低人工修改时的错误概率，这点在工作进行时可以作为参考。

调查完企业内部环境后，还要了解ISP提供商是否已经能提供IPv6服务，或者IPv6服务推出的时间表。所有调查结果确定之后，才能确认企业向IPv6转换的时间节点。

为保证企业经营的正常进行，不会出现长时间的停滞，在经过评估、调查和设备的采购、安装以及应用系统升级等工作后，需要进行测试，确认转换效果之后才正式上线运行。

联机测试通常会分段测试，像双协议的应用下，就要测试是否能正常联机至纯IPv4网站及纯IPv6网站。如果联机都正常，接着要测试不同的应用程序，是否都能支持。经过测试，如果内外联机皆正常，那就可以将IPv6设备及应用程序上线。

IPv6在企业上的应用

由于IPv6地址长度、网络规模、协议实现和地址划分等方面的原因，IPv6地址的配置方法需满足操作方便、组网简单、地址易于管理的要求。不同的地址配置方法，其管理方式和运行状态机制不一样，对网络的作用和影响也不一样，为设备选择合适的地址配置方法对于优化网络质量、降低维护难度非常重要。

IPv6地址常用的配置方法各有特点，在不同的应用场合可以相互配合，混台使用。企业各应用系统对网络的要求不同组网层次和应用需求需要选择适当的IPv6地址分配方法，为今后企业IPv6地址管理以及整个网络的建设提供参考。

以下功能是本次企业实施IPv6过渡中中所关注和解决的焦点。

如本文所述，在IPv4向IPv6迁移的过程中，及早的做好过渡准备，按照分阶段工作目标形成细致合理的过渡建设方案，对原有投资最大限度的进行保护，以尽可能少的投入实现网络对IPv6的支持，在建设过程中引入安全风险管理的机制，以上每一个环节都非常重要，一个环节的缺失都将影响IPv6的应用落地与推广。