【技术圆桌】第15期-话题上篇: IPv6改造,聊一聊最佳改造方案 >>邀您参与讨论(奖励已发)
  

qff 1940

{{ttag.title}}
技术圆桌第15期.png
技术聊主资料▷ 深信服社区技术专家— —秦专(社区昵称:qff)(欢迎关注)秦专主要从事基础架构、网络安全相关业务,擅长基础网络、网络安全技术领域,熟悉深信服AF/AD/AC产品技术知识;本期受管理员邀请与大家一块聊聊“ IPv6改造,最佳改造方案”技术话题,欢迎感兴趣的社区伙伴参与探讨,如您相关产品方面的问题或建议,欢迎跟帖提问! 一起学习交流,精进技术!


一、话题背景介绍
IPv4不足之处
IPv4地址枯竭,地址数量约42.9亿,总量不足,分配不合理
内网NAT地址转换和动态分配,导致地址和身份不关联
路由表过长,降低转发效率
IPv4自身安全性问题,拒绝服务攻击,ARP欺骗等
缺乏对QoS有效支持



IPv6优势
近乎无限的地址空间(128位),新增根服务器
地址和身份一一对应,便于精准管理
简洁的报文头部
内置安全性,支持IPSec等
更好的QoS支持(流标签),5G支持(多归属特性)


政策驱动
近一两年监管部门均发布文件要求对国家电子政务外网、中央企业、金融服务机构等单位对门户网站、移动互联网应用、应用商店等服务器全面支持IPv6访问。
160203kr72uixform3xa3c.png

二、IPv6改造方案
1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;
2.全网改造,从出口到业务服务器全双栈;
3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;



三、本期圆桌话题围绕以下“2个问题”开展讨论
话题1、谈谈三种IPv6改造方案的优劣、适用场景;
话题2、除了以上三种改造方案,还有其他更优的改造方案吗?

如果你是基础网络方面的行家里手,亦或是你对基础网络很感兴趣,欢迎大家从技术的层面上对以上问题进行探讨。
欢迎跟帖留言我会不定期与大家进行回帖互动!




【讨论时间】
2020年10月12日---2020年10月25日 23:59



【奖品设置】
1、基础回帖奖:凡有效回帖者可获得20S豆奖励(回帖内容与话题相关且为个人原创)
2、优秀回复奖:凡回复的内容,被管理员设置为优秀回复即可获得100S豆打赏!
3、参与幸运奖:本帖设置1000S豆回帖奖励,每次回复有机会获得20S豆
4、最佳回复奖:活动结束后,由话题发起人评选出1位最佳回复者,赠送IPv6技术精要》第2版本;

奖品3.png
书籍推荐:新手学习IPv6的快速入门教程,第2版是对第1版的全面颠覆,内容升级,以一种详尽而又通俗易懂的方式为读者展示部署、运维IPv6网络所需的各种知识和技能;

——本期最佳回复用户——
157185f967c56abd11.png



【参与规则】
1、回复须为个人原创且与话题相关,如回复无意义内容,管理员将判定为灌水,进行删除;
2、如恶意抄袭,以不良手段获取礼品行为,一经发现取消其获奖资格,并对账号进行禁言警示;
3、可盖楼回复但每个id回帖仅奖励一次,其他奖励可叠加,活动结束后将进行统一派发。


↓↓↓
欢迎大家回帖交流
如有AF/AD/AC相关产品问题,欢迎留言提问


垃圾分类 发表于 2020-10-12 19:22
  

回帖奖励 +20

话题1、谈谈三种IPv6改造方案的优劣、适用场景;
1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;
优点:改造实现简单,只需要出口网络设备和NAT设备支持双协议栈即 可,其他网络设备、安全设备以及业务系统无需调整。
缺点:端到端的安全性无法保证,在攻击溯源、流量审计等方面存 在较大隐患,难以定位和具体封堵攻击源; 原有运行逻辑,业务流程,防护层次被打破,运行监控体系 无法发挥效果。
场景:资金有限,业务老旧,不好搞的情况
2.全网改造,从出口到业务服务器全双栈;
优点:全面改造,最符合IPv6最终网络架构; 可实现端到端的网络安全性; 无需在NAT设备或业务负载均衡设备进行IPv4到IPv6的转换,增加转发 效率,简化运维。
缺点:网络改造难度大,工作量大,时间周期长; 需评估相关业务系统是否支持IPv6地址族转发能力,并进行相应改造。
场景:资金充足,时间充足。运维人员能力很强。大型网站。
3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;
优点:改造实现难度适中,只需要业务负载均衡及以上设备支持双协议栈即可, 其他网络设备及业务系统无需调整; 现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效;能基本实现端到端的安全性法,可以进行攻击溯源、流量审计,能够定位 和具体封堵攻击源。
缺点:改造难度较方式一略大; 需要评估现网中网络、安全以及负载均衡设备对IPv6的 支持情况和性能压力;  需要考虑外网安全设备针对IPv6网络安全防护情况,是能够达到目前网络安全防护的要求。
场景:预算不够全部整改,内部部分老旧业务改造难度太大,改造时间有限,中等网站
话题2、除了以上三种改造方案,还有其他更优的改造方案吗?
新建IPV6区域。,兼顾IPv4的现有业务
新手078326 发表于 2020-10-12 11:22
  
网际协议第六版 IPv6(Internet Protocol version 6)是最新的互联网协议,协议标准最早诞生于 1998 年 12 月。IPv6 的出现解决了 IPv4 地址枯竭的问题和提升网络传输效率,不过由于开始时期 IPv6 的标准复杂以及需要硬件软件同时支持,运营商和用户对升级 IPv6 积极性并不高。
新手078326 发表于 2020-10-12 11:23
  
近些年来,IPv6 普及迅猛开来,许多国家的电信运营商纷纷跟进建设 IPv6。伴随着运营商旧设备的报废,新设备普遍支持 IPv6,一些 IPv6 的基础设施如 DNS 等也基本建立完成。
新手078326 发表于 2020-10-12 11:23
  
目前几乎所有的操作系统和服务器软件都支持 IPv6。在软件上几乎不存在问题。
新手517842 发表于 2020-10-12 11:31
  

回帖奖励 +20

目前网站 IPv6 改造最主要的还是需要主机运营商的支持,需要提供和分配 IPv6 的地址。
tj_zero 发表于 2020-10-12 11:33
  

回帖奖励 +20

1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;

   仅出口设备进行提示更替,可以有效降低外网攻击,但是内网设备扩展IP地址也未必够用,尤其是移动端设备发达的今天;

2.全网改造,从出口到业务服务器全双栈;

全面提升自然解决了地址分配的问题,但是改造难度较大,IP地址的管理需要更高水平的认知;

3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;

区域模块仅数据中心内部跑IPv4,这个方案我觉得兼顾了扩展和管理,但是后续提升会有麻烦;

新手899116 发表于 2020-10-12 11:39
  

回帖奖励 +20

主要是华为云和景安云,同时为主机服务器提供 IPv6 和 IPv4 双地址,主机可以直接和 IPv6 和 IPv4 网络进行通信。
玖零网络 发表于 2020-10-12 11:53
  

回帖奖励 +20

双栈技术:要求跟这个网站有关的应用系统、链路系统、支撑系统、终端系统的 一切 软硬件具备同时支持并处理IPv4和IPv6两套协议栈的能力,每套分别统一“流水作业”,v4过来了为v4服务,v6的为v6服务;协议映射(翻译)技术:给网站弄一块“镜面”, V4地址和V6地址“映射”、相互之间转换,如果v6过来了去“对应”自己的v4而“显影”;应用层代理技术:给网站找一个“中介”,如果V6过来了,先要到这个代理中介 “处理一下”,同时由代理中介把原来的V4“打扮”一下再给到V6;

新手031815 发表于 2020-10-12 12:24
  

回帖奖励 +20

如今,IPv6在国内的建设不断深化,越来越多的企业加入进来,为IPv6网络改造尽一份力。
新手031815 发表于 2020-10-12 12:25
  
IPv6与IPv4最大的区别便在于此,其所能提供的网络地址资源与IPv4不在同一个级别上
×
有话想说?点这里!
可评论、可发帖
发表新帖
热门标签
全部标签>
信服课堂视频
SDP百科
GIF配置指导
产品连连看
每日一问
技术笔记
技术咨询
测试报告
项目案例
技术圆桌
安装部署配置
每日一记
原创分享
专家分享
功能体验
答题自测
在线直播
SANGFOR资讯
畅聊IT
新版本体验
网络基础知识
安全攻防
专家问答
问题分析处理
流量管理
运维工具
解决方案
MVP
升级
上网策略
日志审计
云计算知识
用户认证
sangfor周刊
VPN 对接
技术顾问
信服故事

本版版主

12
164
6

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人