IPV6场景化解决方案
序言
为加快 IPv6 大规模普及进程,在当前及未来一段时间内推动各行各业的网络基础设施建设成为重点任务。就目前情况来看,在 IPv6 网络改造方面已有不少企业或组织展现出良好开局并取得阶段性进展。然而从 IPv4 升级到 IPv6 的工作量巨大且时间紧迫具有较高的挑战性。各机构正致力于制定过渡阶段的具体实施方案以确保整体推进计划顺利完成。最终目标是实现互联网应用快速、平稳过渡到 IPv6 环境。
从IPv4到IPv6,推动互联网演进升级
通常情况下,在企业或垂直行业的网络架构中,其IT系统通常分为四个部分:网络接入层、Web服务层、业务逻辑层以及数据存储层。
基于系统架构特征,现有的主要改造方案主要包括两种:第一种是直接实施现有 IPv4 网络的改造;第二种则是保留原有 IPv4 网络架构,并规划新增 IPv6 平面结构。
针对直接改造现有IPv4网络方案,深信服提出两种改造建议:
第一种方案是将两层架构升级为双栈结构,并在该网络接入区域的承载能力上实现IPv6向IPv4协议的转换。
该部分的改造方案在实现上较为简单明了
采用第二种方案,在WEB区服务器负载中实施双栈改造,并在WEB接入区服务器负载上进行IPv6向IPv4地址转换。
该方案实施难度适中,在现有基础上保持了原有运行机制,并未对业务流程进行调整。目前的护卫层级未发生变化且监控体系正常运转,并可实现整体安全防护水平以及具备攻击路径追溯能力以及流量审计功能等特性。系统能够精确识别并封堵具体的攻击源位置,并发现潜在威胁但目前仍无法自动响应威胁事件。其主要缺陷在于需评估现有 IPv4 网络中的相关设备在处理 IPv6 时的能力及系统承受的压力
这两种方案是对现有出口进行优化, 属于设备更新再利用, 其优势在于成本控制得当, 但存在维护风险显著提升的问题. 例如: 增加了设备/系统的暴露面数量, 策略管理复杂度显著提升, 同时防护被突破的机会也大幅增加; 此外, 故障率上升会导致双层架构增加了网络节点的数据转发压力.
升级IPv4/IPv6双栈的主要工作内容
| 序号 | 改造内容 | 软硬件设备升级 | 工作内容 |
|---|---|---|---|
| 1 | 网络层改造 | 1. 接入IPv6带宽 2. 获得IPv6地址 | 1. 接入IPv6静态/BGP带宽 2. IPv6地址免费。 |
| 2 | 设备层改造 | 1. 路由器启用IPv6协议栈 2. 防火墙配置IPv6策略 3. 负载均衡设备启用IPv6 4. 交换机配置IPv6策略 5. 操作系统启用IPv6协议 | 1. 老旧路由器设备可能需升级,或购买IPv6授权。 2. 老防火墙可能需升级或淘汰 3. 负载均衡设备无需升级 4. 老旧交换机需要淘汰更新。 5. 操作系统无需更换。 |
| 3 | 业务系统改造 | 1. 数据库系统支持IPv6 2. Web中间件系统启用IPv6 3. CMS系统支持IPv6 4. DNS启用AAAA记录 5. Web防护系统启用IPv6 日志统计系统启用IPv6 | 1. 很老的数据库可能需要升级 2. 老Web中间件可能需要升级 3. 老CMS系统可能需要升级,WordPressCMS系统需更换。 4. DNS域名解析支持AAAA记录;如使用ZDNS需启用高级功能。 5. Web防护系统可能需要升级。 6. 日志统计系统升级。 |
| 4 | 网络代码改造 | 1、网页/APP中以IPv4地址直接写入的文件URL或链接 URL更换成域名。 2、网页代码中存在无法处理 IPv6地址的函数更换成同时 支持IPv4和IPv6的函数和 程序。 3、程序中存储IP地址的数据 空间(IPv4为32位)修改,为同时支持IPv4(32位)和IPv6(128位)的变量结构、数据库结构或API。 | 程序员修改全站代码。 所需时间由网站的规模、复杂程度,程序员团队开发水平,决定工作量和升级时间。 具体花费时间很难预测。 |
为规避上述两种方案的风险,在企业网的客户中普遍采用了继续使用现有的IPv4网络架构同时引入新的IPv6网络平面方案;目前常见的两种改造方案:
第一部分:建立新的互联网接入区IPv6网络架构
第二种,在建立互联网接入区与WEB接入区的 IPv6 网络架构基础上,在 WEB 接入区服务器上实施 IPv6 至 IPv4 协议转换操作。该改造方案将确保整个网络系统的安全性,并与目标 IPv6 网络架构相一致。
这两种方案均涉及新建IPv6网络架构,在设备层面的新建操作中存在一定的劣势。然而,在维护风险方面具有较好的控制能力,并且对于关键业务系统的故障影响具有较强的容错能力。这些方案能够支持业务系统在现有架构基础上实现平稳升级和功能迁移。此外还能够确保现有仅支持IPv4的业务不受双栈架构的影响
四大场景方案
场景1
新建网络出口改造方案
用户需求: (确保门户网站 IPv6 线路安全接入访问,并避免调整现有 IPv4 网络布局)
适用场景: IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容: 新建网络出口平面,包括支持IPv4 / IPv6双栈的安全、负载均衡设备
方案部署: 针对现有网络中仅有部分设备支持IPv6的中大型用户群体,在确保现有基于IPv4的内网架构及应用功能不受影响的前提下,升级方案旨在为用户提供全面的 IPv6接入服务。具体措施包括:运营商为现有网络提供 IPv4 和 IPv6 接入配置;通过新增一个支持 IPv6 的出口节点并配置负载均衡设备;将所有来自外部的 IPv6 访问请求转换至本地IP地址空间内的 IPv4 访问。
这一项改造方案不会对现有的 IPv4 网络架构及其 accompanying 安全体系产生任何影响,并且也不会波及到 后端业务系统的安全架构设计。通过这项改造方案的帮助, 用户能够采取措施应对 IPv6 安全威胁, 同时还能减轻运维人员的压力和现有设备的工作负担。
场景2
网络边界改造方案
用户需求: 快速实现IPv6改造,不希望改动内网现有设备
适用场景: IPv4业务系统进行升级优化(涵盖网站、互联网服务及APP等相关系统)
改造内容: 仅限于网络出入口处部署负载均衡设备
方案部署: 将负载均衡设备布置在网络出入口位置,并配置IPv6 DNS解析功能以实现IPv6与IPv4之间的快速转换。
这段改造方案仅需出口设备与负载均衡设备同时支持运行IPv4和 IPv6 协议即可实施;其中,在负载均衡设备下负责的相关网络设施、安全设备以及业务系统均无需做任何改动或优化。
满足用户不希望对内网现有设备和后端业务系统进行改动的需求。
场景3
业务系统改造方案
用户需求: 不想改动现有IPv4网络架构,但希望逐步改造后端业务系统
适用场景:
方案部署: 本次改造方案采用双平面架构,在现有 IPv4 内网基础上逐步推进至全 IPv6 网络架构。运营商为网络提供 IPv6接入服务,并确保原有 IPv4 内网业务和应用功能得以保留。为了实现平滑过渡过程,在现有基础设施上增加了负载均衡设备作为 IPv6接入入口,并集成外网防火墙功能及 DNS V6 服务。通过该入口处的 IPv6 客户端可直接接入内部 IPv6 业务系统,并支持原有 IPv4 网络中的业务逐步向全 IPv6 网络迁移完成。
IPv6最佳建设方案
该改造方案对现有IPv4网络架构不做任何修改,并且不会对现有业务造成影响。当业务系统完成双栈改造后,整个网络架构的改造也随之完成。
场景4
网络出口改造方案
请保障门户网站IPv6线路的安全接入服务,并确保现有网络的安全架构不受影响
适用场景: IPv4业务系统改造(包括网站、互联网业务及APP等)
这些安全设备及其核心以上网络设备必须支持IPv4/IPv6双栈,并配置负载均衡设备。
方案部署说明: 针对致力于 IPv6 安全建设的用户群体而言,在确保当前网络的安全体系不受负载均衡设备影响的前提下,请按照以下步骤进行操作:首先将负载均衡设备放置在安全设备之下,并借助负载均衡设备提供的NAT-PT功能完成对 IPv6 访问请求的转化工作。
在众多应用场景中(特别是针对云端的应用场景),都需要具备云解析DNS的支持以实现IPv6格式的网站域名解析功能。此外,在负载均衡方面(例如通过CLB),系统能够实现IPv4与IPv6流量的高效转发及平衡分配。同时,在后端服务器(如CVM)以及云端数据库之间均需要建立双栈架构以确保兼容性与稳定性。此外还可以部署CDN以加速静态内容的分发
该方案要求负载均衡设备以上的网络与所有相关安全设备均应具备IPv4/IPv6双栈支持,并保证用户的整体安全防护级别保持不变;同时确保整个网络的连通性和安全性,并无需对后端业务系统进行任何改动。
丰富的相关大咖视频课程可在苹果App Store 或各安卓市场获取 technofuxiaocell 学习。