六、大企业、自治体网络的迁移

1,大企业、自治体网络的特征
  1)有专门的网络管理部门
  2)最终用户数比较多
  3)组织内有Intranet存在
  4)对内、对外提供Web和Email服务
  5)对IT投资/回报率有很强的要求
  6)通过严格的policy对网络安全进行管理
  7)对网络的可用性要求高(设备冗余和定期更换)

2,迁移之前的考虑
  1)基本思路
    - 建立与当前的IPv4对等的IPv6网络(目前阶段,现存的IPv4网络能继续使用)
    - 既存的应用系统在既存的IPv4上保持运行,新的应用在新的IPv6上测试和运行
  2)迁移方法
    - 尽可能小范围的试行展开(双协议栈);已展开的IPv6子网可通过隧道技术进行连接
    - 定期设备更换或有新需求(导入新设备)时,再徐徐扩展IPv6的范围
  3)安全性的考虑
    - 确保安全为前提
    - 缓和模式:设置与IPv4的防火墙同级别的Policy,对IPv6的应用逐个的审查,最低限度的开放端口
    - 严格模式:禁止IPv4与IPv6之间的通讯(IPv6独立运行)
  4)迁移流程
    - 阶段置换型:分阶段逐步替换现有网络设备
    - 独立融合型:建立新的独立IPv6,然后与现有IPv4融合、或逐渐淘汰旧的IPv4
  5)大企业新阶段导入IPv6的可能的理由
    - 长期规划中的先行计划
    - 新规应用导入(VOIP等)的要求
    - IPv6产品开发的环境要求
    - 企业形象的要求等

3,基本要素
  1) ISP接入回线
    - Tunnel方式(对现存IPv4的影响最小,适合于IPv6体验)
    - Dual Protocol 方式(目前的推荐方式)
    - Native方式(DNS、SNMP等IPv6对应完备之后,才能正式采用?)
  2) 路由器
    - 大中型路由器已全部支持IPv6
    - 小型路由器的进展意外地缓慢(成本?)
  3) 防火墙
    - 包过滤功能的IPv6对应已经完成
    - 但P2P、IPsec、Tunneling、Multicasting等功能的对应需要确认
  4) DNS服务器
    - BIND的话,只需升级版本就可以支持IPv6
    - 采用双协议栈技术的话,不需要考虑IPv6的DNS请求报文的响应
  5) 其他的应用服务
    - 主要的Web、Mail服务器程序都已经支持IPv6(病毒检查等外接模块需单独确认)
    - 网络管理服务,MIB已对应IPv6,但SNMP只支持IPv4(2006年)
  6) PC/PDA
    - 主流的OS已全部支持IPv6
  7) IPv6全局地址的取得
    - 可以从ISP处取得,一般为/48
    - 大规模的企业,可以向RIR(如日本的APNIC)申请/32
      参照http://www.v6pc.jp/jp/wg/remoteSWG/index.html
  8) IPv6地址设计
    - /48对大多数企业而言,已经足够大
    - 设计的原则: 简单高效(容易分辨)/充分考虑组织变更和扩大/考虑与组织地理位置匹配的构成
    - 与IPv4的不同:IPv4设计时需要充分考虑子网内的终端数来设计;而IPv6由于地址空间足够大,可以采用简单的方法、一律16Bit(可容纳65535台终端)的方式来设计。
  9) 路由协议
    - 初期导入时,静态路由就可以了
    - 规模扩大时,考虑RIPng/OSPFv3
    - 假设有可能导入流媒体应用,需要考虑支持MultiCasting的PIM-SM等路由协议。
  10) 其他协议
    - Translater(协议转换器),实现IPv4终端与IPv6终端的通信(NAT-PT/TRT方式)
    - Tunnel(隧道)
        -- 6to4主机 :在有IPv4全局地址的主机、和ISP的中继router之间建立隧道
        -- 6to4路由器:拥有1个IPv4全局地址和1个IPv6的子网,和ISP的中继router之间建立隧道
        -- ISATAP主机:位于Lan内部,无全局地址,与ISATAP网关之间建立隧道
        -- ISATAP路由器:拥有1个IPv4全局地址和内接IPv4的子网,对外和ISP的中继router之间建立6to4隧道,对内与主机建立ISATAP隧道。
  11) DMZ的IPv6
    - WEB服务器(例)
        -- Apache2.0以上,可直接升级到IPv6,也可先并存,再取代
        -- 大规模系统(负载均衡系统):
            a, IPv6的流量经过协议转换至IPv4后,作为IPv4负载均衡的一分支处理
            b, IPv6流量不做负载均衡,直接交给新的IPv6 WEB服务器处理
            c, 升级负载均衡系统支持IPv6,与原IPv4系统并存

4,新应用系统导入引起的IPv6迁移
  1) 原则:双协议栈环境对应+开发者考量(非IP协议依存)











登录后才可评论.