【技术圆桌】第15期-话题上篇: IPv6改造,聊一聊最佳改造方案 >>邀您参与讨论(奖励已发)
  

qff 160761人觉得有帮助

{{ttag.title}}
技术聊主资料▷ 某公司社区技术专家— —秦专(社区昵称:qff)(欢迎关注)秦专主要从事基础架构、网络安全相关业务,擅长基础网络、网络安全技术领域,熟悉某公司AF/AD/AC产品技术知识;本期受管理员邀请与大家一块聊聊“ IPv6改造,最佳改造方案”技术话题,欢迎感兴趣的社区伙伴参与探讨,如您相关产品方面的问题或建议,欢迎跟帖提问! 一起学习交流,精进技术!


一、话题背景介绍
IPv4不足之处
IPv4地址枯竭,地址数量约42.9亿,总量不足,分配不合理
内网NAT地址转换和动态分配,导致地址和身份不关联
路由表过长,降低转发效率
IPv4自身安全性问题,拒绝服务攻击,ARP欺骗等
缺乏对QoS有效支持



IPv6优势
近乎无限的地址空间(128位),新增根服务器
地址和身份一一对应,便于精准管理
简洁的报文头部
内置安全性,支持IPSec等
更好的QoS支持(流标签),5G支持(多归属特性)


政策驱动
近一两年监管部门均发布文件要求对国家电子政务外网、中央企业、金融服务机构等单位对门户网站、移动互联网应用、应用商店等服务器全面支持IPv6访问。

二、IPv6改造方案
1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;
2.全网改造,从出口到业务服务器全双栈;
3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;



三、本期圆桌话题围绕以下“2个问题”开展讨论
话题1、谈谈三种IPv6改造方案的优劣、适用场景;
话题2、除了以上三种改造方案,还有其他更优的改造方案吗?

如果你是基础网络方面的行家里手,亦或是你对基础网络很感兴趣,欢迎大家从技术的层面上对以上问题进行探讨。
欢迎跟帖留言我会不定期与大家进行回帖互动!




【讨论时间】
2020年10月12日---2020年10月25日 23:59



【奖品设置】
1、基础回帖奖:凡有效回帖者可获得20S豆奖励(回帖内容与话题相关且为个人原创)
2、优秀回复奖:凡回复的内容,被管理员设置为优秀回复即可获得100S豆打赏!
3、参与幸运奖:本帖设置1000S豆回帖奖励,每次回复有机会获得20S豆
4、最佳回复奖:活动结束后,由话题发起人评选出1位最佳回复者,赠送IPv6技术精要》第2版本;

书籍推荐:新手学习IPv6的快速入门教程,第2版是对第1版的全面颠覆,内容升级,以一种详尽而又通俗易懂的方式为读者展示部署、运维IPv6网络所需的各种知识和技能;

——本期最佳回复用户——



【参与规则】
1、回复须为个人原创且与话题相关,如回复无意义内容,管理员将判定为灌水,进行删除;
2、如恶意抄袭,以不良手段获取礼品行为,一经发现取消其获奖资格,并对账号进行禁言警示;
3、可盖楼回复但每个id回帖仅奖励一次,其他奖励可叠加,活动结束后将进行统一派发。


↓↓↓
欢迎大家回帖交流
如有AF/AD/AC相关产品问题,欢迎留言提问


垃圾分类 发表于 2020-10-12 19:22
  

回帖奖励 +20

话题1、谈谈三种IPv6改造方案的优劣、适用场景;
1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;
优点:改造实现简单,只需要出口网络设备和NAT设备支持双协议栈即 可,其他网络设备、安全设备以及业务系统无需调整。
缺点:端到端的安全性无法保证,在攻击溯源、流量审计等方面存 在较大隐患,难以定位和具体封堵攻击源; 原有运行逻辑,业务流程,防护层次被打破,运行监控体系 无法发挥效果。
场景:资金有限,业务老旧,不好搞的情况
2.全网改造,从出口到业务服务器全双栈;
优点:全面改造,最符合IPv6最终网络架构; 可实现端到端的网络安全性; 无需在NAT设备或业务负载均衡设备进行IPv4到IPv6的转换,增加转发 效率,简化运维。
缺点:网络改造难度大,工作量大,时间周期长; 需评估相关业务系统是否支持IPv6地址族转发能力,并进行相应改造。
场景:资金充足,时间充足。运维人员能力很强。大型网站。
3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;
优点:改造实现难度适中,只需要业务负载均衡及以上设备支持双协议栈即可, 其他网络设备及业务系统无需调整; 现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效;能基本实现端到端的安全性法,可以进行攻击溯源、流量审计,能够定位 和具体封堵攻击源。
缺点:改造难度较方式一略大; 需要评估现网中网络、安全以及负载均衡设备对IPv6的 支持情况和性能压力;  需要考虑外网安全设备针对IPv6网络安全防护情况,是能够达到目前网络安全防护的要求。
场景:预算不够全部整改,内部部分老旧业务改造难度太大,改造时间有限,中等网站
话题2、除了以上三种改造方案,还有其他更优的改造方案吗?
新建IPV6区域。,兼顾IPv4的现有业务
头像被屏蔽
新手078326 发表于 2020-10-12 11:22
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2020-10-12 11:23
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2020-10-12 11:23
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手517842 发表于 2020-10-12 11:31
  

回帖奖励 +20

提示: 作者被禁止或删除 内容自动屏蔽
tj_zero 发表于 2020-10-12 11:33
  

回帖奖励 +20

1.互联网网络出口改造,仅在出口设备上NAT64,出口设备以下依然只跑ipv4,仅出口设备双栈;

   仅出口设备进行提示更替,可以有效降低外网攻击,但是内网设备扩展IP地址也未必够用,尤其是移动端设备发达的今天;

2.全网改造,从出口到业务服务器全双栈;

全面提升自然解决了地址分配的问题,但是改造难度较大,IP地址的管理需要更高水平的认知;

3.业务边界改造,出口设备到数据中心的边界双栈,在数据中心的边界设备上做NAT64,数据中心区内部只跑IPv4;

区域模块仅数据中心内部跑IPv4,这个方案我觉得兼顾了扩展和管理,但是后续提升会有麻烦;

头像被屏蔽
新手899116 发表于 2020-10-12 11:39
  

回帖奖励 +20

提示: 作者被禁止或删除 内容自动屏蔽
玖零网络 发表于 2020-10-12 11:53
  

回帖奖励 +20

双栈技术:要求跟这个网站有关的应用系统、链路系统、支撑系统、终端系统的 一切 软硬件具备同时支持并处理IPv4和IPv6两套协议栈的能力,每套分别统一“流水作业”,v4过来了为v4服务,v6的为v6服务;协议映射(翻译)技术:给网站弄一块“镜面”, V4地址和V6地址“映射”、相互之间转换,如果v6过来了去“对应”自己的v4而“显影”;应用层代理技术:给网站找一个“中介”,如果V6过来了,先要到这个代理中介 “处理一下”,同时由代理中介把原来的V4“打扮”一下再给到V6;

头像被屏蔽
新手031815 发表于 2020-10-12 12:24
  

回帖奖励 +20

提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2020-10-12 12:25
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
每日一问
产品连连看
标准化排查
干货满满
新版本体验
纪元平台
社区新周刊
GIF动图学习
自助服务平台操作指引
技术咨询
功能体验
解决方案
社区帮助指南
秒懂零信任
每周精选
S豆商城资讯
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

124
318
355

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人