APP下载

IPv6环境下企业网的部署与安全策略

2016-10-19朱庆军

中国管理信息化 2016年6期

朱庆军

[摘 要]本文首先分析了在当前企业环境下,通信网络从IPv4朝向IPv6实现迁移的过渡,然后在此基础之上讨论了IPv6的安全部署策略,对于深入认识IPv6网络环境的相关特征,促进企业发展有着一定的积极作用。

[关键词]IPv4;IPv6;企业网;安全

doi:10.3969/j.issn.1673 - 0194.2016.06.045

[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)06-00-01

在信息环境日益发达的今天,企业对通信网络的依赖也日益突出。通信网络体系在企业环境中的拓展,一方面体现为更为庞大和多样化的数据不断涌现,另一方面也意味着物联网等新型应用模式的出现。这几个方面的发展特征,都成为推动互联网协议第六版(Internet Protocol Version 6,IPv6)加速深入到企业通信环境中的重要因素。

1 企业网向IPv6协议网络过渡的策略

互联网协议第四版(Internet Protocol Version 4,IPv4)自诞生开始,一直都以简洁和高效著称,并且多年来推动网络环境的繁荣和发展。随着网络环境的不断进化,IPv6开始登上历史舞台,其针对IPv4的不足,在地址资源以及寻址能力等多个方面都进行了显著改善,尤其在安全以及对于移动网络环境的支持方面尤其突出。

但是对于企业环境而言,从IPv4向IPv6的进化本身必然面临一个相对动荡的时期,对应地,国际互联网工程任务组(The Internet Engineering Task Force,IETF)给出了3种主要的过渡迁移机制,即双协议栈、协议翻译和隧道。

双协议栈过渡方式指网络环境中的各个网络节点同时对IPv4和IPv6两种协议实现支持,从而网络可以从使用层面实现从IPv4到IPv6的平稳过渡。但是从技术角度看,此种工作方式要求网络环境中的每个节点持有两个地址,一个处于IPv4体系之下,另一个则处于IPv6体系之下,因此会导致一定程度上网络结构趋于复杂,并且IPv4及IPv6两个系统之下的主机间的通信也会因此被限制。

协议翻译是指在网络环境中,利用协议网关执行对于数据包的转换,使两种协议之下不同网络节点之间能够实现有效地通信。当前常用的协议翻译为NAT- PT,其能够面对IPv4及IPv6实现互通,并且在应用层协议无需修改的环境之下即可执行,对于网络环境的支持和重建有着积极价值,但是此种翻译机制本身会破坏端对端的数据传输服务,因此其应用受到一定的限制。

隧道技术是指在既有的IPv4网络环境中部署出一个能够实现IPv6业务的隧道,从而在现有的网络环境中同时实现两种数据包的通信。当前该领域的技术已经相对成熟,包括MPLS、ISATAP以及隧道代理等多种技术都可以用于隧道的实现。

2 IPv6网络体系下的安全策略

在当前企业环境中,尤其对于大型的企业网络而言,通常其异构特征会影响到不同协议支持的功能以及应用展开和实施情况。这些特征直接影响到企业环境中各个部门之间的信息流动,因此在IPv6协议支持下,多节点的协同机制以及安全策略必然成为通信环境的重点。

对于IPv6协议网络环境来说,其提供了一个可扩展的分布式框架来发现、协商和管理IPSec策略,是IPSec策略管理的目标,其核心价值在于实现一种能够适应大量IPSec应用的方式来控制安全策略,此种方式远远优于单独的SPS。而对于大型IPv6网络而言,由于地址空间大大扩容,因此安全策略的不一致状况更容易发生,必须引起足够重视。具体而言,对于大型企业网的IPv6网络环境安全问题,有以下两个方面需要重点关注。

首先,在于网络的多节点划分。多节点协同机制作为网络环境中重要的安全策略,通常需要注重三个方面的重要原则。第一,要依据企业网络环境自身需求进行域的划分;第二,要依据网络拓扑结构展开对应的划分;第三,要对安全需求和网络拓扑结构两个方面展开综合衡量,尽量减少跨域的安全需求。而安全需求则需要进一步展开对域内以及域间安全策略的分析。在域内环境中,要在执行策略时注重目标策略的主要方向,实现对执行策略和目标策略的查询支持,以及对域内安全节点策略信息的有效管理和维护,并对于目标策略发生冲突的情况展开及时的信息反馈。与此同时,在域间环境中,对于邻域的策略信息不能实现直接的干涉修改,但是对于变更所需的策略可以同时邻域,由其对应的策略管理职能实现维护和修正。此外还需要支持面向邻域展开对应策略信息的查询,并且接收来自于邻域的应答信息,以及依据对应的信息实现通话。

其次,在安全策略服务器的选取方面,也应当给予充分重视。在当前网络环境中,IPv6应用以FTP、WEB服務、视频点播、文件共享等作为主要形式,此类服务对于网络环境的信息传输带宽均有一定要求,但对于服务器本身的运算方面没有更多压力。当前网络环境中,常用多层结构来实现对于网络的构建,其中C/S架构和B/S多层应用都较为多见,同时也在实际的应用环境中表现出不同的特征,在选择时需要依据实际的需求情况予以谨慎选择。C/S架构能够有效面向客户端PC处理能力实现支持,因此,许多工作可以放在客户端进行处理然后进一步将结果提交给服务器,这种资源利用方式对于客户端和服务器的响应时间都有一定的优化价值。此种模式多用于专用网络,在较小范围内实现子网环境,并且进一步通过专用服务器将多个子网连接起来实现交换服务,这比较符合当前大型企业网的发展趋势,因此得到更广地应用。

3 结 语

IPv6协议网络在技术方面有着毋庸置疑的优势,更符合企业大型通信网络的发展趋势,但其在部署和安全方面欠缺实践的检验。因此,只有不断对对企业通信网络的实际环境展开分析,并且不断对IPv6进行学习,才能研究出合理的,并与需求环境保持契合的网络,以此促进企业的发展。

主要参考文献

[1]张雅琼.浅谈IPv4向IPv6过渡技术[J].科技传播,2010(18).

[2]姜晓琳.IPv6在企业网中的部署[J].硅谷,2013(11).