深信服社区»版块 其他产品 通用技术 【技术圆桌】第15期-话题上篇: IPv6改造,聊一聊最佳改 ...

【技术圆桌】第15期-话题上篇: IPv6改造,聊一聊最佳改造方案 >>邀您参与讨论(奖励已发)

查看数: 16097 | 评论数: 120 | 收藏 4
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
qff
发布时间: 2020-10-12 09:01

正文摘要:

【参与规则】1、回复须为个人原创且与话题相关,如回复无意义内容,管理员将判定为灌水,进行删除;2、如恶意抄袭,以不良手段获取礼品行为,一经发现取消其获奖资格,并对账号进行禁言警示;3、可盖楼回复但每 ...

回复

垃圾分类 发表于 2020-10-12 19:22
话题1、谈谈三种IPv6改造方案的优劣、适用场景;
1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;
优点:改造实现简单,只需要出口网络设备和NAT设备支持双协议栈即 可,其他网络设备、安全设备以及业务系统无需调整。
缺点:端到端的安全性无法保证,在攻击溯源、流量审计等方面存 在较大隐患,难以定位和具体封堵攻击源; 原有运行逻辑,业务流程,防护层次被打破,运行监控体系 无法发挥效果。
场景:资金有限,业务老旧,不好搞的情况
2.全网改造,从出口到业务服务器全双栈;
优点:全面改造,最符合IPv6最终网络架构; 可实现端到端的网络安全性; 无需在NAT设备或业务负载均衡设备进行IPv4到IPv6的转换,增加转发 效率,简化运维。
缺点:网络改造难度大,工作量大,时间周期长; 需评估相关业务系统是否支持IPv6地址族转发能力,并进行相应改造。
场景:资金充足,时间充足。运维人员能力很强。大型网站。
3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;
优点:改造实现难度适中,只需要业务负载均衡及以上设备支持双协议栈即可, 其他网络设备及业务系统无需调整; 现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效;能基本实现端到端的安全性法,可以进行攻击溯源、流量审计,能够定位 和具体封堵攻击源。
缺点:改造难度较方式一略大; 需要评估现网中网络、安全以及负载均衡设备对IPv6的 支持情况和性能压力;  需要考虑外网安全设备针对IPv6网络安全防护情况,是能够达到目前网络安全防护的要求。
场景:预算不够全部整改,内部部分老旧业务改造难度太大,改造时间有限,中等网站
话题2、除了以上三种改造方案,还有其他更优的改造方案吗?
新建IPV6区域。,兼顾IPv4的现有业务
wukun 发表于 2021-9-1 08:49
葛一鸣 发表于 2021-7-8 09:32
坚持学习,坚持努力,坚持向大佬们学习!!!!!!!!!!!!!!!1
静静 发表于 2021-1-15 14:33
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
暖暖的毛毛 发表于 2020-10-22 09:47
话题1、谈谈三种IPv6改造方案的优劣、适用场景
IPV6很大程度的解决了IPV4地址分配不足的问题
xin2004108 发表于 2020-10-21 19:22
这是个宇宙话题。
新手450070 发表于 2020-10-20 15:55
testing 测试测试测试测试

image.jpg (195.19 KB, 下载次数: 254)

image.jpg

68170D5D-7151-495A-9FC0-49A34AE72F21.jpeg (89.53 KB, 下载次数: 246)

68170D5D-7151-495A-9FC0-49A34AE72F21.jpeg
蓝海 发表于 2020-10-19 11:31
IPv6协议标准自1998年12月诞生以来已20余年了,而且当初是为了解决IPv4地址枯竭而生,可是20多年过去了,身边的网络依然是IPv4。
秋水伊人 发表于 2020-10-19 10:27
IPv6推出这么多年了,给我的感觉却是迟迟不能落地。
D调的土豆 发表于 2020-10-19 09:12
打卡学习