IPv6网络体系结构与网络改造分析
2021-01-12黄广山
黄广山
(山西省邮电建设工程有限公司,山西 太原 030012)
IPv6作为下一代互联网核心协议,在应用后能够逐步取代IPv4协议。分析IPv6设计初衷可知,目 的在于促使网络协议地址空间扩大,IPv6可以让用户获得无限的网络空间。在地址长度方面,IPv4为32位,IPv6为128位,这也是两者的主要差异。IPv6和IPv4进行对比,IPv6在现代网络应用中将发挥更大作用,并涉及汽车互联、建筑自动化、传感器网络、非PC网络和端对端网络等,与人们生活各方面密切相关。此外,IPv6比IPv4更具安全性,提升了地址空间和包头格式。IPv6也能得到QoS支持,具有可扩充优势,通过IPv6网络体系结构与网络改造,确保今后IPv6顺利取代IPv4。
1 IPv6概述
IPv6是“Internet Protocol Version 6”的缩写,也是下一代IP协议,目的在于取代IPv4,在地址数量方面有了大幅度提升。因为IPv4的缺陷主要是缺乏足够的网络地址资源,这为互联网应用与发展带来了巨大的限制。在应用IPv6以后,能够突破网络地址资源数量不足等限制,并在多种接入设备连入互联网方面消除存在的问题。2016年,互联网数字分配机构(IANA)已向国际互联网工程任务组(IETF)提出建议,在新制定的国际互联网标准中不再兼容IPv4,转变为只向IPv6提供支持。
2 IPv6网络体系结构与网络改造方案
2.1 IPv6网络内部改造
对网络改造来说,现在很少的设备能够在软件更新后实现双栈的目的,大部分情况下必须通过全新双栈设备提供支持。若是中心设备在升级后可以双栈支持,在业务连接、方案设置方面与企业网重新建立雷同[1]。要想支持更新,我们应注重研发新的双栈设备,让IPv4与IPv6建立内部联系,引进新的双栈设备后,将实现NATPT与IPv6的正常连通。分析现有网络结构可知,主要采取IPv4网络体系结构,为全面取代IPv4,投入的资金量较大,网络升级改造也不能对网络环境造成影响。可见,在IPv4转化为IPv6的过程中,需要实行阶段性改造方案,结合当下网络环境,配置双栈路由设备,并尽快升级已有设备,为双栈工作提供支持。在通过N ATPT技术连通网络核心设备时,只要设备具有升级空间,都需要尽快升级,确保IPv6的正常应用。
在IPv6应用与建设中,必须完成申请、配置网络等流程,建立专门的IPv6域名服务器。在设备操作系统方面,IPv6适用于超过NT5.0的操作系统,设备选择方面也有一定空间,并在Windows server系统内完成设备的安装与应用。由于一般系统内具有内置协议,因此,IPv6能够当下环境内正常运行[2]。目前,市面上大部分路由器可以应用IPv6,并满足网络改造各方面的要求,并设置具有网络处理能力的三级交换机,作为网络系统内的双栈设备,避免新建设的网络对IPv4业务产生冲击。这样不仅能发挥IPv6所有功能,也实现IPv4与IPv6的正常过渡。在网络改造方面,很多主流交换机可以支持网络处理,并拥有核心双栈设备性能。对汇聚层来说,主要通过双栈路由器实现,出口选择为IPv4和IPv6提供支持的双栈业务流,这样不仅有利于IPv4业务顺利进行,还拥有IPv6支持性能。在条件允许的基础上,要对IPv6业务设置汇聚层与核心层,同IPv4业务一起构建专门的网络系统。对IPv4业务来说,能够从原有网络中发出,避免新业务出口层与汇聚层形成缺陷,达到网络改造的实际要求。
2.2 IPv6网络最终改造
网络改造中能够完成对IPv6的正常部署,从而彻底取代IPv4,在网络体系结构方面进行有效改造。具体来说,可以采取以下方式:
第一,网络出口设置NAT64设备,实现IPv6到IPv4的转换,出口设备与NAT设备需要支持双栈协议。要保留AAAA记录,设置IPv6解析服务器,利用相关硬件完整IPv6 GLSB智能引导。分析各类终端访问IPv4/IPv6同时存在的网络如何动态切换优先级并完成相关测试,安全方面采取IPv4安全架构。其优点在于以互联网接入区改造实现IPv6,现有IPv4网络与应用不变化,能够平滑迁移,也避免网络中断。
第二,全面改造,满足网络架构要求,规划分支机构IPv6接入。全面实现IPv6/IPv4环境,地址变长后,手动配置方式容易产生错误,应用自动化配置软件后,能够达到应用快速上线的目的。结合IPv6/IPv4流量对比情况,对已有网络架构进行完善。其优点在于支持整体业务区域IPv6部署,整体架构完整,安全水平高。
第三,新建IPv6区域部署,全部新建网络设备支持IPv6,设置IPv6应用测试区,支持应用程序IPv6部署。业务系统从IPv4单线到IPv4与IPv6可互相访问到IPv6单线过渡。应用页面内有其他网站的外链,如果外链网站不支持IPv6,将引起IPv6 only客户端发生天窗现象,借助相关硬件或外部代理DNS解析解决天窗问题。非http应用,手机APP在IPv4/IPv6网络中切换配置。其优点在于:新建区域确保应用程序过渡顺利,避免对IPv4网络安全防护造成影响,测试纯IPv6环境应用可行性及安全性。
IPv6应用结束后,网络通信需要借助IPv6展开,由于改造过程较长,相关工作技能复杂,也会导致网络地址长度增加,相比于IPv4协议,IPv6的网络地址长度上为128 bit,该长度能够无限扩大[3]。针对安全性来说,IPv6在身份认证、隐私权等方面更具优势,在安全系数上也更有保障,IPv6协议可以完成正常的通信要求,在网络体系结构上适应性和开放性更强。
2.3 IPv6网络安全性实施方案
随着网络安全问题的不断出现,在网络改造中必须关注网络安全。由于引起网络安全隐患的因素较多,具体包括网络用户群体庞大,运用水平高低差距大,经常出现不良网络行为。对公共网络来说,也极易被病毒所侵害,这些现象无法避免,必须有针对性采取解决措施。
第一,抵御网络病毒攻击。要将防火墙设置在网络出口,并采取有效的病毒防控措施,如部分病毒的端口不变,ACL列表能够将传播端口进行关闭,避免病毒进行传播,为网络环境安全提供可靠保障。第二,使用安全口令。要尽量设置较为复杂的口令,这样是防范恶性病毒的有效手段,通常选择“用户名+密码”的形式,让口令安全性提升,并及时对口令作出更新。要明确TELNET权限,借助ACL让设备访问权限得到控制,必须拥有专门IP地址的 TELNET才能进入系统,避免网络设备被非法入侵,提高网络运行的稳定性与可靠性,避免发生恶意入侵的现象[4]。第三,IPv6地址空间较大,让网络有溯源的基础。对企业网来说,所有终端能够获取惟一的IPv6地址,将相关信息进行绑定,此时可以引入真实源地址验证的方式,保证IPv6主机接入更加稳定,达到对接入层IPv6源地址进行验证目的,从而解决各种非法网络入侵等问题,发挥出准确查找故障和安全日志审计等作用。第四,合理选择 NAT转换方式。在私网IP方面,对外部网络的访问应在防火墙中进行NAT转换,要想达到多出口网络访问在性能方面的规定,要通过访问列表区分现在访问的网络,采取策略路由的方式将最终出口确定下来,保证NAT转换的顺利进行。
3 结束语
综上所述,IPv6作为现阶段我国网络改造方案中的主流做法,现有网络基础上IPv6将在多个环节发挥巨大作用。随着网络技术的不断发展,IPv6网络体系结构将逐步处于关键位置,加快网络改造也势在必行,为IPv6网络体系结构建设奠定良好的基础。