互聯(lián)網(wǎng)地址大遷移:如何安全向IPv6過渡
李夏艷 2011/03/03
摘要:IPv4地址已經(jīng)用完了,向IPv6過渡也不只停留在“狼來了”的初始階段。在從IPv4向IPv6的過渡過程中,可能遇到哪些困難?需要注意哪些問題,本文為您一一闡釋。
今年2月3日,國際互聯(lián)網(wǎng)名稱和編號分配公司(ICANN)公布了一條新聞:“最后一批IPv4地址今天分配完畢,IP地址總庫已經(jīng)枯竭!。這標(biāo)志著全世界已經(jīng)用完了老式IPv4協(xié)議所提供的Internet地址。與此同時,IPv6的128位地址則可以為我們提供幾乎無窮無盡的地址數(shù)量,但是正如拆遷之路充滿離奇一樣,IP地址這條升級之路也并不會是一帆風(fēng)順。評論:IPv6要來 你準(zhǔn)備好了嗎? ;除了必要性因素外 向IPv6過渡的理由
對于初級用戶來說,這些協(xié)議在二進(jìn)制上是互不兼容的。專門設(shè)計用來運行IPv4的網(wǎng)絡(luò)設(shè)備不能有效地路由IPv6的Internet流量。雖然IPv6設(shè)備通常能夠向下兼容,并且能夠處理IPv4包,但是將一個世界的數(shù)據(jù)包翻譯成另一個世界的包并不是一件輕而易舉的事。
向下兼容性問題將達(dá)到難以置信的巨大規(guī)模
設(shè)想一下,向下兼容性問題將會給范圍更廣泛的網(wǎng)絡(luò)互用造成怎樣的沖擊?整個Internet不可能在一天之內(nèi)將所有的服務(wù)切換到IPv6協(xié)議上。可以確定的是,在這一尷尬的過渡時期中,網(wǎng)絡(luò)連接會支離破碎。全面完整的切換是永遠(yuǎn)無法做到的。
Internet交換和路由基礎(chǔ)設(shè)施性能大幅下滑
許多使用定制ASIC的核心和關(guān)鍵包流量的設(shè)備只能適應(yīng)IPv4數(shù)據(jù)流。有些設(shè)備的制造商可以通過軟件升級的方式使其具備支持IPv6的能力。但專門設(shè)計的ASIC是無法升級的,因此路由的任務(wù)將全部落在CPU的頭上。
此外,典型的路由設(shè)備不具備特別強大的CPU。畢竟ASIC不是為此類用途設(shè)計的。路由IPv6流量會大幅度降低吞吐速度。在運行一段時間后,路由器和板卡會在越來越高的IPv6性能要求下變得非常遲鈍。雖然程度會有所不同,但一些專家估計,性能下降的幅度將可能高達(dá)60%。
終端用戶體驗和網(wǎng)站性能受到影響
很大一部分無線路由器和家用聯(lián)網(wǎng)設(shè)備都無法應(yīng)付IPv6。盡管現(xiàn)代操作系統(tǒng)【W(wǎng)indows 2000以后的每款微軟操作系統(tǒng)、2.1.8版(1998年)以后的每款Linux內(nèi)核以及10.3版本(2005年)以后的每款蘋果OS X都至少以某種方式支持IPv6的功能。比較新的操作系統(tǒng)甚至在默認(rèn)狀態(tài)下就啟用了支持IPv6的功能!慷伎杉嫒軮Pv6,但數(shù)百萬還在使用老式操作系統(tǒng)平臺的用戶還需要依賴IPv4的支持。同時,內(nèi)容發(fā)布商、鏈接供應(yīng)商和廣告網(wǎng)絡(luò)都需要在未來的幾年中繼續(xù)面對這種雙模式的現(xiàn)實。
搜索引擎也會變得一片混亂。Google目前正在積極轉(zhuǎn)向IPv6,而且其未來的搜索結(jié)果頁面在顯示時可能會傾向于啟用IPv6的Web服務(wù)器和網(wǎng)站。目前,當(dāng)我們通過IPv6訪問Google時,搜索引擎已經(jīng)會顯示出支持IPv6的網(wǎng)站搜索結(jié)果。對于不支持新升級的網(wǎng)站而言,使用IPv6的用戶將無法有效看到它們(就算用戶通過某些IPv4網(wǎng)關(guān)訪問時情況也是如此)。
參與“世界IPv6日”測試IPv6斷代
Comcast與時代華納有線公司(Time Warner Cable)最近簽約于6月8日對IPv6協(xié)議執(zhí)行為期24小時的測試。同時,F(xiàn)acebook、Google、Yahoo等也承諾將參與“世界IPv6日”。
“世界IPv6日”是指參與者需要在面向公眾的網(wǎng)站上支持原生的IPv6流量以及現(xiàn)有的IPv4標(biāo)準(zhǔn)。目標(biāo)是鼓勵創(chuàng)建基于IPv6的內(nèi)容,并且在這一新標(biāo)準(zhǔn)大規(guī)模使用前對準(zhǔn)備工作進(jìn)行測試。測試參與方希望發(fā)現(xiàn)終端用戶網(wǎng)絡(luò)設(shè)備配置不當(dāng)和無法支持IPv6的情況有多普遍,而業(yè)界將這一問題稱為IPv6斷代。
目前,這一活動的參與方正在不斷增加,這表明了IPv6將成為一種市場趨勢,成為多年來運營商和企業(yè)面臨的一項最為重要的網(wǎng)絡(luò)升級。網(wǎng)絡(luò)廠商正在紛紛跳上“世界IPv6日”的戰(zhàn)車,因為它們都急于想向客戶表明它們在部署IPv6的問題上能夠說到做到。
美國互聯(lián)網(wǎng)數(shù)字注冊機構(gòu)總裁兼首席執(zhí)行官John Curran說:“對于企業(yè)來說,最重要的事情就是在面向公眾的Web服務(wù)器上啟用IPv6。一旦這一任務(wù)完成,您就可以向擁有IPv4地址或IPv6地址的客戶提供相同的連接能力。在此之前,您的IPv6客戶將無法訪問您的網(wǎng)站。如果您能夠在6月8日前完成這一工作,您就可以參與所有對IPv6的測試活動!
用戶需要為IPv6做哪些準(zhǔn)備?
當(dāng)所有不利因素結(jié)合在一起,我們便能看出IPv6會產(chǎn)生多方面的影響。首先,從規(guī)模最大的運營商到最小的運營商,都需要密切協(xié)調(diào)其工作,確保Internet保護大規(guī)模的連接和IP兼容性。這些網(wǎng)絡(luò)運營商必須積極地尋求網(wǎng)絡(luò)升級。最后,網(wǎng)絡(luò)運營商、發(fā)布商、電子商務(wù)采購商、廣告商和ISP都必須在可預(yù)見的未來為支持IPv4和IPv6的雙重存在和架構(gòu)做好規(guī)劃。
這項工作聽起來似乎代價不小,事實也很可能如此。許多ISP目前正計劃通過“雙棧”的方式來解決問題 – 即同時保留兩套平行運行的網(wǎng)絡(luò)設(shè)備,其中一套處理IPv4流量和IPv6流量。
在保留帶Internet內(nèi)容的完整網(wǎng)絡(luò)及數(shù)據(jù)提供基礎(chǔ)設(shè)計的同時,還要照顧好兩個世界的不同需求,這項工作不僅極其繁瑣,而且困難重重,代價也非常高昂。如果使用透明代理服務(wù)器來將流量轉(zhuǎn)換至適當(dāng)?shù)腎P版本,則可以滿足用戶的需求并有助于減輕問題。然而,如果目的地網(wǎng)站或網(wǎng)絡(luò)的域名服務(wù)器使用的是錯誤的IP版本,用戶在訪問網(wǎng)站時仍會出現(xiàn)連接斷開的情況,那么試圖訪問某一網(wǎng)站的終端用戶仍然可能無法連接。
替代的解決方案是將大部分IPv6負(fù)擔(dān)卸載到一個內(nèi)容提供網(wǎng)絡(luò)(CDN)上。CDN的任務(wù)是向所有外部生成的頁面請求提供完整的網(wǎng)站內(nèi)容。在這種情形下,CDN將充當(dāng)廣告網(wǎng)絡(luò)、電子商務(wù)網(wǎng)站、內(nèi)容發(fā)布商或社交網(wǎng)絡(luò)中公開面向IPv6的一面。CDN將在內(nèi)容層面而非數(shù)據(jù)包層面上完成這一翻譯轉(zhuǎn)換和呈現(xiàn)任務(wù)。
因此,對象及其它關(guān)鍵的數(shù)據(jù)組件將通過IPv4從最初的服務(wù)器中檢索,但會通過IPv6服務(wù)向終端用戶提供。該系統(tǒng)將盡可能減少搜索引擎、ISP和DNS服務(wù)器方面出現(xiàn)的混淆及兼容性問題,因為它們看到的都是由CDN提供的有效IPv6地址并且會以IPv6的方式予以對待。
同樣重要的是,這種CDN還能夠以相反的方式使用,即向仍在使用老式協(xié)議的終端用戶或網(wǎng)絡(luò)提供IPv4流量。通過使用CDN作為緩沖,企業(yè)能夠讓嘗鮮IPv6的用戶和堅持使用IPv4的用戶都能得到滿意的服務(wù)。
最終,這種別扭的雙重存在將會終結(jié)。但很可能需要幾年的時間才能完成IPv6的過渡,充分滲透到整個Internet基礎(chǔ)設(shè)施和用戶基礎(chǔ)中。到那時,Web將變成一個新舊并存的兩極世界,即同時存在相互平等的快慢兩條車道。
IT團隊?wèi)?yīng)執(zhí)行的最佳計劃是,檢查橋接IPv4和IPv6的各種可能選擇,重點是在未來將整個網(wǎng)絡(luò)都過渡到IPv6。在過渡過程中,執(zhí)行每一步操作時都應(yīng)與基礎(chǔ)設(shè)施廠商及時溝通,防止對業(yè)務(wù)造成干擾。盡管這將是一項挑戰(zhàn),但這種變化將帶來更高的安全性、更快的過渡,并將確?蛻裟軌驎r刻與您的網(wǎng)絡(luò)保持連接。
編看編想:狼真的來了
“IPv4地址即將耗盡,用戶需向IPv6遷移”已經(jīng)喊了很多年,但是卻遲遲沒有動靜,IPv4地址支撐了三年三年又三年。這就好像我們耳熟能詳?shù)摹独莵砹恕返墓适虑楣?jié)。但就在不久之前,狼真的來了:2月3日,國際互聯(lián)網(wǎng)名稱和編號分配公司(ICANN)公布了一條新聞:“最后一批IPv4地址今天分配完畢,IP地址總庫已經(jīng)枯竭。”
“狼”終于來了,用戶需要在哪些方面特別關(guān)注呢?小編給您提個醒:首先,需要對網(wǎng)絡(luò)管理人員進(jìn)行有關(guān)IPv6協(xié)議的培訓(xùn);其次,對現(xiàn)有的設(shè)備設(shè)置進(jìn)行檢查,并升級安全工具;再次,由于隧道協(xié)議將會產(chǎn)生新的風(fēng)險,如有必要,用戶可以在網(wǎng)絡(luò)邊界內(nèi)封鎖IPv6隧道協(xié)議;最后,慎用非監(jiān)控狀態(tài)的自動設(shè)置功能,因為這個技術(shù)允許系統(tǒng)產(chǎn)生自己的IP地址,并且檢查地址的重復(fù)性,這對于跟蹤網(wǎng)絡(luò)資源使用的網(wǎng)絡(luò)管理員來說,提出了很大的難題。需要特別指出的是,由于自動設(shè)置造成的尋址復(fù)雜性有可能導(dǎo)致反垃圾郵件軟件在設(shè)置IP地址黑名單時產(chǎn)生問題,從而產(chǎn)生更多的垃圾郵件和病毒,這在2011年RSA信息安全會議上已經(jīng)引起了專家的關(guān)注。
網(wǎng)界網(wǎng)