IPV6越來越普及,很多的網絡都需要從IPV4升級到IPV6,那么如何升級呢?對于大型網絡來說,升級肯定不僅僅只是更換一個ip地址,而是需要進行系統的規劃,本期我們一起看下。
應用背景
IPv4協議是目前廣泛部署的因特網協議,然而,隨著Internet的發展,該協議在歷經了20多年的實踐與考驗后,已逐漸暴露出設計的先天不足以及諸多局限,成為IP技術應用和未來發展的瓶頸制約。
而IPv6作為下一代網絡的基礎以其鮮明的技術優勢得到廣泛的認可,為業務發展創造了機會:
IPv6的產生從根本上解決了地址短缺的問題
IPv6提供了更快捷的部署方法(即插即用)
IPv6支持流標簽能力,便于QoS的實施
IPv6集成了安全特性
IPv6具備更有效的報頭結構,提高處理性能
IPv6與IPv4網絡之間可以平滑過渡以及相互訪問
解決方案
建設IPv6網絡主要應當考慮現有網絡升級支持IPv6業務和采用同時支持IPv6/IPv4網絡設備進行新建網絡建設兩種情況。
1、升級現有IPv4網絡方案
隧道模式(ISATAP隧道),升級核心
組網模式:
原有IPv4局域網不進行改造,核心增加或者更換支持IPv6 業務的核心交換機。
核心交換機開啟雙棧,向上連接IPv6網絡,向下開啟ISATAP隧道功能,開啟IPv6/IPv4主機可采用ISATAP隧道方式直接接入核心交換機。
網絡中其余設備均無任何變化,原有IPv4業務正常運行。
方案優勢:
只需增加支持IPv6業務的核心設備,保護原有投資。
只需簡單開啟ISATAP隧道功能即可,快速實現網絡IPv6主機接入。
隧道模式,升級核心與部分匯聚逐步支持IPv6
組網模式:
在原有核心層改造的基礎上,逐步對匯聚的三層設備進行更換,將匯聚層的原有三層交換機更換為支持IPv4/IPv6的雙棧設備。
匯聚交換機與核心交換機之間會存在IPv4網絡,使用IPv6 over IPv4隧道方式實現IPv6的連接。
方案優勢:
逐步實現對原有IPv4網絡的改造,將部分匯聚與核心設備更換,為下一步實現整網IPv6網絡部署奠定基礎。
原有IPv4業務不產生任何變化,正常運行。雙棧用戶可以直接訪問IPv4網絡及IPv4業務。
2、新建IPv6網絡方案
新建IPv6網絡
組網模式:
新建核心層、匯聚層全雙棧部署IPv6路由,實現全網IPv6。
業務區域采用二層到桌面,接入交換機采用百兆或千兆到桌面。匯聚層連接核心層IPv4/v6雙棧路由功能。
方案優勢:
接入層與匯聚層、匯聚層與核心層間采用雙上聯實現鏈路冗余,匯聚層、核心層設備采用雙節點實現節點冗余。
新增IPv6用戶可以正常訪問IPv6網絡及業務。雙棧用戶可以直接訪問IPv4網絡及業務。
IPv4協議向IPv6協議升級過渡的過程中,多種安全問題將暴露出來,構建可信任的下一代互聯網,將是一項長期而艱巨的任務。在建設IPv6網絡的時候,需要全面考慮網絡的安全問題。IPv6網絡安全問題劃分為:設備級別、全網安全級別。
3.1設備級別的防護
隨著IPv6在局域網中的部署,局域網的各種應用不斷擴展,網絡攻擊的不斷增多,越來越需要為IPv6交換機提供一種保護機制。對發往交換機CPU的數據流,進行流分類和優先級分級處理、CPU的帶寬限速,以確保在任何情況下CPU都不會出現負載過高的狀況,為用戶提供一個穩定的網絡環境。這種保護機制是CPU Protect Policy(CPP)。CPP作為IPv6交換機的一個功能模塊,按照以下四個階段處理數據:Classifying、Queuing、Scheduling和Shaping。
通過CPP保護策略,網絡設備的安全能力有了更大的提升。在部署IPv6的局域網中,各種應用、攻擊,都極大地考驗著網絡設備,在IPv6的校園中的部署中,應該采用具有先進的CPU Protect Policy(CPP)機制的IPv6轉發平臺。
3.2全局安全網絡
IPv6技術在大規模應用,各種應用大規模開展,網絡訪問控制接入控制應運而生。網絡訪問控制解決方案旨在通過身份驗證、主機健康性保障、網絡安全性保障等多重角度,對內網用戶進行有效的管理。實現內網用戶身份的合法化,上網主機安全狀況的健康化,網絡通信的安全化以及用戶網絡訪問行為的規范化。
部署IPv4/IPv6兼容的全網安全防御系統,通過軟硬件的聯動、計算機層面與網絡層面的結合,從身份、主機、網絡等多個角度對IPv4/IPv6的網絡安全進行監控、檢測、防御和處理,幫助用戶共同構建身份合法、主機健康、網絡安全、行為規范的全局安全網絡。