互聯網地址大遷移:如何安全向IPv6過渡
李夏艷 2011/03/03
摘要:IPv4地址已經用完了��,向IPv6過渡也不只停留在“狼來了”的初始階段。在從IPv4向IPv6的過渡過程中��,可能遇到哪些困難?需要注意哪些問題�����,本文為您一一闡釋�����。
今年2月3日�,國際互聯網名稱和編號分配公司(ICANN)公布了一條新聞:“最后一批IPv4地址今天分配完畢���,IP地址總庫已經枯竭����。”��。這標志著全世界已經用完了老式IPv4協(xié)議所提供的Internet地址��。與此同時���,IPv6的128位地址則可以為我們提供幾乎無窮無盡的地址數量�����,但是正如拆遷之路充滿離奇一樣�����,IP地址這條升級之路也并不會是一帆風順����。評論:IPv6要來 你準備好了嗎��? ;除了必要性因素外 向IPv6過渡的理由
對于初級用戶來說�,這些協(xié)議在二進制上是互不兼容的。專門設計用來運行IPv4的網絡設備不能有效地路由IPv6的Internet流量��。雖然IPv6設備通常能夠向下兼容��,并且能夠處理IPv4包�,但是將一個世界的數據包翻譯成另一個世界的包并不是一件輕而易舉的事。
向下兼容性問題將達到難以置信的巨大規(guī)模
設想一下���,向下兼容性問題將會給范圍更廣泛的網絡互用造成怎樣的沖擊�?整個Internet不可能在一天之內將所有的服務切換到IPv6協(xié)議上�。可以確定的是���,在這一尷尬的過渡時期中���,網絡連接會支離破碎���。全面完整的切換是永遠無法做到的�����。
Internet交換和路由基礎設施性能大幅下滑
許多使用定制ASIC的核心和關鍵包流量的設備只能適應IPv4數據流����。有些設備的制造商可以通過軟件升級的方式使其具備支持IPv6的能力。但專門設計的ASIC是無法升級的��,因此路由的任務將全部落在CPU的頭上����。
此外,典型的路由設備不具備特別強大的CPU����。畢竟ASIC不是為此類用途設計的。路由IPv6流量會大幅度降低吞吐速度��。在運行一段時間后�,路由器和板卡會在越來越高的IPv6性能要求下變得非常遲鈍。雖然程度會有所不同��,但一些專家估計����,性能下降的幅度將可能高達60%。
終端用戶體驗和網站性能受到影響
很大一部分無線路由器和家用聯網設備都無法應付IPv6�����。盡管現代操作系統(tǒng)【Windows 2000以后的每款微軟操作系統(tǒng)、2.1.8版(1998年)以后的每款Linux內核以及10.3版本(2005年)以后的每款蘋果OS X都至少以某種方式支持IPv6的功能���。比較新的操作系統(tǒng)甚至在默認狀態(tài)下就啟用了支持IPv6的功能�����!慷伎杉嫒軮Pv6,但數百萬還在使用老式操作系統(tǒng)平臺的用戶還需要依賴IPv4的支持��。同時����,內容發(fā)布商、鏈接供應商和廣告網絡都需要在未來的幾年中繼續(xù)面對這種雙模式的現實�����。
搜索引擎也會變得一片混亂���。Google目前正在積極轉向IPv6,而且其未來的搜索結果頁面在顯示時可能會傾向于啟用IPv6的Web服務器和網站�。目前,當我們通過IPv6訪問Google時,搜索引擎已經會顯示出支持IPv6的網站搜索結果�����。對于不支持新升級的網站而言�����,使用IPv6的用戶將無法有效看到它們(就算用戶通過某些IPv4網關訪問時情況也是如此)��。
參與“世界IPv6日”測試IPv6斷代
Comcast與時代華納有線公司(Time Warner Cable)最近簽約于6月8日對IPv6協(xié)議執(zhí)行為期24小時的測試����。同時,Facebook��、Google����、Yahoo等也承諾將參與“世界IPv6日”。
“世界IPv6日”是指參與者需要在面向公眾的網站上支持原生的IPv6流量以及現有的IPv4標準�����。目標是鼓勵創(chuàng)建基于IPv6的內容����,并且在這一新標準大規(guī)模使用前對準備工作進行測試�。測試參與方希望發(fā)現終端用戶網絡設備配置不當和無法支持IPv6的情況有多普遍��,而業(yè)界將這一問題稱為IPv6斷代�����。
目前�,這一活動的參與方正在不斷增加,這表明了IPv6將成為一種市場趨勢��,成為多年來運營商和企業(yè)面臨的一項最為重要的網絡升級����。網絡廠商正在紛紛跳上“世界IPv6日”的戰(zhàn)車,因為它們都急于想向客戶表明它們在部署IPv6的問題上能夠說到做到��。
美國互聯網數字注冊機構總裁兼首席執(zhí)行官John Curran說:“對于企業(yè)來說��,最重要的事情就是在面向公眾的Web服務器上啟用IPv6�����。一旦這一任務完成�,您就可以向擁有IPv4地址或IPv6地址的客戶提供相同的連接能力����。在此之前����,您的IPv6客戶將無法訪問您的網站����。如果您能夠在6月8日前完成這一工作,您就可以參與所有對IPv6的測試活動�。”
用戶需要為IPv6做哪些準備��?
當所有不利因素結合在一起�����,我們便能看出IPv6會產生多方面的影響��。首先���,從規(guī)模最大的運營商到最小的運營商���,都需要密切協(xié)調其工作��,確保Internet保護大規(guī)模的連接和IP兼容性���。這些網絡運營商必須積極地尋求網絡升級。最后����,網絡運營商、發(fā)布商��、電子商務采購商����、廣告商和ISP都必須在可預見的未來為支持IPv4和IPv6的雙重存在和架構做好規(guī)劃。
這項工作聽起來似乎代價不小����,事實也很可能如此。許多ISP目前正計劃通過“雙���!钡姆绞絹斫鉀Q問題 – 即同時保留兩套平行運行的網絡設備�,其中一套處理IPv4流量和IPv6流量�����。
在保留帶Internet內容的完整網絡及數據提供基礎設計的同時,還要照顧好兩個世界的不同需求����,這項工作不僅極其繁瑣,而且困難重重���,代價也非常高昂。如果使用透明代理服務器來將流量轉換至適當的IP版本�,則可以滿足用戶的需求并有助于減輕問題。然而�,如果目的地網站或網絡的域名服務器使用的是錯誤的IP版本,用戶在訪問網站時仍會出現連接斷開的情況�,那么試圖訪問某一網站的終端用戶仍然可能無法連接。
替代的解決方案是將大部分IPv6負擔卸載到一個內容提供網絡(CDN)上���。CDN的任務是向所有外部生成的頁面請求提供完整的網站內容��。在這種情形下�����,CDN將充當廣告網絡����、電子商務網站、內容發(fā)布商或社交網絡中公開面向IPv6的一面�����。CDN將在內容層面而非數據包層面上完成這一翻譯轉換和呈現任務�。
因此,對象及其它關鍵的數據組件將通過IPv4從最初的服務器中檢索��,但會通過IPv6服務向終端用戶提供�。該系統(tǒng)將盡可能減少搜索引擎、ISP和DNS服務器方面出現的混淆及兼容性問題��,因為它們看到的都是由CDN提供的有效IPv6地址并且會以IPv6的方式予以對待�。
同樣重要的是,這種CDN還能夠以相反的方式使用����,即向仍在使用老式協(xié)議的終端用戶或網絡提供IPv4流量。通過使用CDN作為緩沖���,企業(yè)能夠讓嘗鮮IPv6的用戶和堅持使用IPv4的用戶都能得到滿意的服務����。
最終,這種別扭的雙重存在將會終結����。但很可能需要幾年的時間才能完成IPv6的過渡,充分滲透到整個Internet基礎設施和用戶基礎中�。到那時,Web將變成一個新舊并存的兩極世界����,即同時存在相互平等的快慢兩條車道。
IT團隊應執(zhí)行的最佳計劃是��,檢查橋接IPv4和IPv6的各種可能選擇���,重點是在未來將整個網絡都過渡到IPv6。在過渡過程中���,執(zhí)行每一步操作時都應與基礎設施廠商及時溝通����,防止對業(yè)務造成干擾����。盡管這將是一項挑戰(zhàn),但這種變化將帶來更高的安全性、更快的過渡��,并將確����?蛻裟軌驎r刻與您的網絡保持連接。
編看編想:狼真的來了
“IPv4地址即將耗盡����,用戶需向IPv6遷移”已經喊了很多年,但是卻遲遲沒有動靜��,IPv4地址支撐了三年三年又三年��。這就好像我們耳熟能詳的《狼來了》的故事情節(jié)��。但就在不久之前�����,狼真的來了:2月3日����,國際互聯網名稱和編號分配公司(ICANN)公布了一條新聞:“最后一批IPv4地址今天分配完畢,IP地址總庫已經枯竭��。”
“狼”終于來了����,用戶需要在哪些方面特別關注呢?小編給您提個醒:首先��,需要對網絡管理人員進行有關IPv6協(xié)議的培訓;其次��,對現有的設備設置進行檢查���,并升級安全工具;再次�����,由于隧道協(xié)議將會產生新的風險,如有必要�����,用戶可以在網絡邊界內封鎖IPv6隧道協(xié)議;最后��,慎用非監(jiān)控狀態(tài)的自動設置功能���,因為這個技術允許系統(tǒng)產生自己的IP地址�����,并且檢查地址的重復性��,這對于跟蹤網絡資源使用的網絡管理員來說��,提出了很大的難題���。需要特別指出的是���,由于自動設置造成的尋址復雜性有可能導致反垃圾郵件軟件在設置IP地址黑名單時產生問題,從而產生更多的垃圾郵件和病毒�����,這在2011年RSA信息安全會議上已經引起了專家的關注���。
網界網