隨著IPv4開放池地址在今年2月正式耗盡，向IPv6地址過渡的長期道路已經(jīng)渡過了另一個重要的里程碑。自從IANA IPv6全部部署在1999年宣布以來，這個問題已經(jīng)不再是是否應用IPv6，而是IPv6什么時候成為全球互聯(lián)網(wǎng)通訊的核心協(xié)議。

到目前為止，IPv6的實際應用的比例很低，不到全球應用的10%，低于2007年年底預測的IPv6成為占統(tǒng)治地位的互聯(lián)網(wǎng)協(xié)議的預測。延緩IPv6應用的因素包括不熟悉這個協(xié)議、成本和安全的擔心、缺少經(jīng)過培訓的人員以及缺少運營商級IPv6帶寬提供商。

現(xiàn)實是，即使在樂觀的情況下，IPv6在近期也不會成為占統(tǒng)治地位的協(xié)議。擁有無限的IT資源，數(shù)據(jù)中心管理員也許不會把IPv6當作“火燒頭發(fā)”那樣優(yōu)先的事情向管理層提出IPv6計劃。但是，等待的決策意味著以后更高的成本和更多的部署難題。

像許多注定要普及的大多數(shù)新興技術一樣，在達到某一個臨界質量并且有一個默許的通用協(xié)議之后，向IPv6遷移的速度將加快，那些在時間上判斷錯誤的機構將急忙趕上來。甚至沒有立即部署IPv6計劃的公司也將全面理解這個技術、它的運營影響并且制定一個很好的過渡計劃。

下面是目前準備應用IPv6應該采取的六個步驟：

1. 從你的上游提供商或者RIR那里申請一個IPv6前綴

首先從你的帶寬提供商那里申請一個IPv6 PA(提供商分配的)前綴。即使你不打算立即在公開的主機上部署IPv6，了解你的互聯(lián)網(wǎng)服務提供商是否提供IPv6連接是很重要的。PA前綴一般是免費提供的。如果沒有PA前綴，要求提供一個時間表。如果答案讓人不滿意(如你的提供商沒有向IPv6遷移的計劃或者不能具體說明一個交付時間表)，你也許要考慮開始尋找一個具有IPv6功能的主機。

有資格的機構也許還要購買一個PI(不依賴于提供商的)前綴。這通常是由一個RIR(地區(qū)互聯(lián)網(wǎng)注冊機構)分配的。PI地址是沒有任何具體主機的并且允許用戶改變主機。但是，一個PI地址本身沒有消除對IPv6主機的需求。

2.進行簡單的IPv6“你好，世界”測試

即使你當前的帶寬提供商不能提供IPv6服務，你仍然可以測試你內部的局域網(wǎng)或者廣域網(wǎng)。不直接兼容的IPv4和IPv6協(xié)議能夠在一個雙堆棧并行配置中共存，并且已經(jīng)在某種形式的大多數(shù)網(wǎng)絡中這樣做。這為測試提供了一個極好的環(huán)境。

下面的雙堆棧“你好，世界”的測試例子僅使用了兩臺機器(一臺Windows 2008 IIS/DNS服務器和一臺Windows 7客戶機)，速度很快，很容易設置。

在一臺運行IIS和DNS的Windows 2008服務器上：

IPv4節(jié)點

(1)在IIS中建立一個新的網(wǎng)站。把這個網(wǎng)站綁定到任何沒有分配的本地IPv4地址。如果你需要一個額外的IPv4地址，在設置這個網(wǎng)站之前把你的子網(wǎng)中的一個沒有使用的地址分配給這個本地接口。(在前兩套連接測試中不需要DNS)。

(2)在名為“index.html”的新網(wǎng)站的主目錄的一個文件中存儲下列文本：Hello World

(3)確認你在使用的分配的IPv4地址(如，http://192.168.0.1)的服務器瀏覽器中能夠看到這個網(wǎng)頁。

IPv6節(jié)點

(4)向這個局域網(wǎng)接口增加一個新的靜態(tài)的IPv6地址(僅用于測試，你可以在類似https://www.ultratools.com/tools/rangeGenerat的網(wǎng)站得到一個隨機生成的本地IPv6地址)。注意，一個唯一本地地址(ULA)的前綴的開頭是fd。使用如圖1所示的64位長度的前綴。使用這個服務器的IPv6地址作為首選的DNS服務器。(在命令提示符下發(fā)出一個ipconfig指令也許能夠獲得這臺服務器的IPv6地址。)

點擊查看：屏幕快照顯示向局域網(wǎng)接口5增加一個新的靜態(tài)IPv6地址。

打開這個服務器上的瀏覽器窗口并且向地址欄輸入這個IPv6地址，使用你剛剛添加到這個接口的靜態(tài)IPv6地址并且使用括號中的句法：http://[fd63:ae70:9a8d:9ef7::]/

你現(xiàn)在應該看到在第二步的屏幕中顯示的同樣的“你好，世界”。

(6)在這臺Windows 7客戶機中設置IPv6連接。打開IPv6配置對話框可以完成這個設置(類似于上面的圖1)，輸入一個隨機的IPv6地址或者這臺Windows 7客戶機的IPv6地址。你在運行IPConfig命令時可以得到這些地址。對于默認的網(wǎng)關，輸入在第四步中分配給這臺服務器的IPv6地址。你現(xiàn)在應該能夠打開一個瀏覽器并且訪問與第五步相同的“你好，世界”網(wǎng)頁。

配置DNS

要使用IPv4實現(xiàn)對“雙堆棧”域名解析的測試，你要在DNS下面增加一個“正向查找區(qū)域”，讓一個A記錄映射到“你好，世界”網(wǎng)站的IPv4地址。要在同樣的例子中實現(xiàn)IPv6測試，增加一個四個A(AAAA)的記錄，如圖2所示。

點擊查看：圖2顯示增加IPv6 AAAA DNS記錄

#p#

3.分析協(xié)議差別和進行一個影響分析

IPv4和IPv6直接的差別是巨大的(見表1-- IPv4/IPv6逐項對比)。

點擊查看：IPv4/IPv6逐項對比表

向IPv6遷移的影響隨著機構規(guī)模的增大而增加。因此，大企業(yè)在規(guī)劃部署IPv6方面需要更多的提前準備時間?？紤]組建一個專門的部門評估影響和提出建議。

4.優(yōu)先IPv6部署的次序

直接從IPv4轉換到本地IPv6是一個例外并且不符合原則，因為本地IPv6主機和上游提供商數(shù)量較少。為了提供網(wǎng)絡資源(內部的和面向互聯(lián)網(wǎng)的)的最大可用性，許多機構選擇的過渡戰(zhàn)略是使用雙堆棧節(jié)點以及使用隧道協(xié)議或者使用雙堆棧無法實現(xiàn)的IPv4與IPv6之間的其它解析機制。

下面是旨在減少IPv6過渡影響的一個部署的例子。當制定自己的部署計劃的時候，機構需要考慮多個因素。

·階段1 -- 使用雙堆棧節(jié)點和連接IPv4/IPv6島嶼的隧道/解析機制部署面向互聯(lián)網(wǎng)的服務(網(wǎng)站和電子郵件)。

·階段2 -- 把局域網(wǎng)/廣域網(wǎng)從靜態(tài)遷移到動態(tài)(配置的)IPv6。

·階段3 -- 識別和升級非IPv6設備/應用。

階段1 -- 使用雙堆棧架構部署面向互聯(lián)網(wǎng)的服務(網(wǎng)站或者電子郵件)。正如上面的“你好，世界”的例子所示，雙堆棧包括運行并行的IPv4和IPv6節(jié)點。這通常是通過增加一個可配置的和可路由的IPv6地址實現(xiàn)的，允許申請的設備自動選擇是否把這些申請路由到IPv4或者IPv6。應該指出的是這種方法雖然簡化了增加的IPv6節(jié)點，但是，沒有減少對唯一的IPv4地址的依賴，應該盡快用唯一的IPv6服務替代這個服務。重要的是還需要指出，在缺少上游IPv6路由的時候，面向互聯(lián)網(wǎng)的雙堆棧節(jié)點也許會給互聯(lián)網(wǎng)用戶帶來一些由于IPv6超時產(chǎn)生性能問題。

隧道或者其它協(xié)議方式能夠用于提供IPv4主機和IPv6主機之間的通訊。有些隧道方法可能產(chǎn)生安全風險。因此，理解每一個協(xié)議的工作原理以及何時允許(或者不允許)來自隧道的通訊是非常重要的。

極少見的IPv6攻擊情況

以雙堆棧模式應用電子郵件可能需要修改SMTP服務器的配置變化，如增加一個端口監(jiān)聽一個IPv6地址并且提供一個IPv6互聯(lián)網(wǎng)范圍。DNS四A記錄與解決IPv6主機的MX記錄也是需要的。同其它測試一樣，應該告訴他們使用一臺非生產(chǎn)用機器。

階段2 -- 把局域網(wǎng)/廣域網(wǎng)從動態(tài)遷移到靜態(tài)(配置的)IPv6。目前大多數(shù)操作系統(tǒng)都支持動態(tài)(自動配置的)IPv6：

·Linux(內核2.2和以上版本)

· Mac OS X

·FreeBSD/NetBSD/OpenBSD

·Windows Server 2000/2003/ 2008;Windows XP/7

在自動配置的或者動態(tài)的節(jié)點，IPv6本地連接地址自動分配給設備，不需要服務器管理。這意味著操作系統(tǒng)一打開，設備就自動擁有一個可找到的IPv6地址。靜態(tài)(配置的)模式使用IPv6動態(tài)主機配置協(xié)議(DHCPv6)安裝和管理網(wǎng)絡節(jié)點。以前版本的操作系統(tǒng)也許有有限的IPv6靜態(tài)功能。例如，Windows Server 2003需要DHCP以便實現(xiàn)IPv6靜態(tài)服務。

階段3 -- 識別和升級非IPv6設備和應用。在你完全轉換到本地IPv6之前，這個步驟是必要的。如果你運營一個龐大的網(wǎng)絡，使用一個專門設計的第三方應用程序識別IPv6連接的局限性(如，依賴IPv4)是必要的。#p#

5.創(chuàng)建一個地址計劃

IPv6中的地址空間成倍增加，地球上的每一個人都可能有10個地址。這種數(shù)量龐大的唯一地址消除了子網(wǎng)的沖突，允許機構根據(jù)其物理的或者邏輯的編組自由地制定靈活的地址方案，或為為了增強隱私使用配置的隨機地址。

·多播 -- 向一個多播組的所有的接口發(fā)送數(shù)據(jù)包。多播組代表這個數(shù)據(jù)包的IPv6目標地址。允許匯聚路由前綴以限制全球路由表項目的數(shù)量。

·任播 -- 向與這個地址有關的一個接口發(fā)送數(shù)據(jù)包，一般路由到最近的節(jié)點。

·單播 -- 設別一個單個接口。

·全球可聚合的 -- 允許聚合路由前綴以限制全球路由表項目的數(shù)量。

·連接本地 -- 允許本地鏈路上設備之間的通訊，不需要全球唯一的前綴。

·本地網(wǎng)站 -- 允許在機構內部通訊，不需要公共前綴。

·回送 -- 節(jié)點使用回送方式向自己發(fā)送IPv6數(shù)據(jù)包。

·未指定 -- 新的節(jié)點在應用程序或者設備獲得主機源地址之前使用“未指定”。

6. 理解風險和制定一個安全政策

機構必須制定計劃解決IPv6對網(wǎng)絡安全的影響。例如，讓IPv4和IPv6主機之間通訊更加順暢的隧道和解析機制通過攜帶避開非IPv6防火墻的惡意軟件還可能帶來風險。此外，那個惡意軟件一旦避開防御進入網(wǎng)絡，IPv6的自動配置功能可用于進一步路由惡意通訊。

在積極的方面，支持IPSec現(xiàn)在是IPv6協(xié)議中必須具備的功能。IPSec是IETF(互聯(lián)網(wǎng)工程任務組)制定的，旨在提供數(shù)據(jù)保密性、完整性和數(shù)據(jù)包來源身份識別等安全服務。IPSec在網(wǎng)絡層運行。當配置正確的時候，IPSec是保護和識別IPv6通訊的非常強大的工具。雖然要求IPv6支持IPSec，但是，這并不意味著在一開始就有內置的安全。IPSec必須正確地進行配置以便提供它要提供的保護功能。

【編輯推薦】

1. IPv6系列專訪：用戶如何應對IPv6應用的過渡
2. IPv6系列專訪：支招企業(yè)IPv6部署
3. 實現(xiàn)IPv6兼容并不是僅僅更換硬件設備
4. 5個步驟解決IPv6規(guī)劃難題