百科名片
ipv6資訊網隨著DNS安全擴展(DNSSEC)不斷地套用,IPv6最終將為未來的網際網路提供穩定的和安全的基地。但是,為了成功地從IPv4向IPv6過渡,叢基礎設施運營商和服務提供商到應用程式開發商和用戶的每一個人都必須在廣泛的活動方面進行合作。這些合作包括:支持和開發IPv6功能並且建立起作用的IPv4對等功能;排除新的僅用於IPv6的軟體和應用程式的故障;完善與IPv4的配合工作和過渡性的共存。
ipv6過渡技術簡述
目前全球IPv4公有地址池已經全部分配完畢,IPv6在全球的部署和發展呈現加速趨勢。由於當前Internet中數量龐大的IPv4設備和用戶,以及IPv6網路和IPv4網路所採用的協定格式和地址的差異,現行的IPv4網路不可能在短時間內全部升級為IPv6網路。因此在IPv4占主導的網路環境下,IPv4能否向IPv6平滑過渡決定了IPv6能否取得成功。針對IPv4向IPv6演進中終端側、網路側和業務側遇到的問題,我們深入調研和分析了各種最新的主流的過渡技術,包括:DSLite/GI-DSLite,6RD,4RD,BIH,NAT64/DNS64,ivi,AplusP等,並進行了相應的原型實現與現網部署。在此基礎上,提出了針對DSLite和6RD等過渡技術的改進方案,設計了CDN網路的IPv6過渡方案。同時,我們分別與中國移動、中國電信、中國聯通、法國電信等國內外運營商合作,進一步開展IPv4/IPv6過渡技術在傳統網際網路、移動網際網路以及未來網際網路中的研究與套用。IPv6過渡與共存解決方案
目前過渡問題成熟的技術方案基本分為三種:[1]雙協定棧(DualStack,RFC2893):主機同時運行IPv4和IPv6兩套協定棧,同時支持兩套協定
[2]隧道技術(Tunnel,RFC2893):這種機制用來在IPv4網路之上連線IPv6的站點,站點可以是一台主機,也可以是多個主機。隧道技術將IPv6的分組封裝到IPv4的分組中,封裝後的IPv4分組將通過IPv4的路由體系傳輸,分組報頭的"協定"域設定為41,指示這個分組的負載是一個IPv6的分組,以便在適當的地方恢復出被封裝的IPv6分組並傳送給目的站點。根據封裝/解封裝操作發生位置的不同,隧道可以分為四種:
路由器到路由器l(Router-to-Router)
主機到路由器(Host-to-Router)l
主機到主機(Host-to-Hostl)
路由器到主機(Router-to-Host)l
根據建立方式的不同,隧道又可以分成兩類:
(手工)配置的隧道(lConfiguredTunnel)
自動配置的隧道(Auto-configuredTunnell)
[3]翻譯技術,最具代表性的是NAT-PT(NetworkAddressTranslation-ProtocolTranslation,RFC2766):利用轉換網關來在IPv4和IPv6網路之間轉換IP報頭的地址,同時根據協定不同對分組做相應的語義翻譯,從而使純IPv4和純IPv6站點之間能夠透明通信。
需要指出的是,這些過渡機制都不是普遍適用的,每一種機制都適用於某種或幾種特定的網路情況,而且常常需要和其它的技術組合使用。在實際套用時需要綜合考慮各種實際情況來制定合適的過渡策略。
IPv6過渡的8個安全問題
1.從IPv4翻譯至IPv6處理過程的安全漏洞因為IPv4和IPv6不是完全兼容的,協定翻譯被看作是擴大部署和套用的一個途徑。把IPv4通訊翻譯為IPv6,通訊將不可避免地導致這些通訊,在網路上通過的時候調解處理過程。
2.大型網段即是好的也是壞的
IPv6引進了比我們現在所看到的更大的網段,當前建議的IPv6子網的前綴是/64(264),能夠在一個網段容納大約18quintillion(百萬的三次方)個主機地址。雖然這能夠實現區域網路的無限增長,但是,它的規模也帶來了難題。
3.鄰居發現協定和鄰居請求能夠暴露網路問題
IPv6的鄰居發現協定使用五個不同類型ICMPv6(網際網路控制訊息協定第6版)信息用於若干目的,如確定在附加鏈路上的鄰居的鏈路層地址、清除非法的快取值和發現願意代表他們傳送數據包的鄰居。雖然鄰居發現協定提供了許多有用的功能(包括重複地址檢測),但是,它還給攻擊者帶來了機會。
IPv6中的攻擊很可能取代ARP(地址解析協定)欺騙攻擊等IPv4中的攻擊。總的來說,關閉明確配置的以外的其它連線埠、採用鏈路層訪問控制和安全機制、保證在不使用的時候完全關閉IPv6是一個好主意。
4.阻塞大型擴展標頭(header)、防火牆和安全網關可能成為分散式拒絕服務攻擊的目標
IPv6增加了更多的需要過濾的組件或者需要廣泛傳播的組件,如一些擴展標頭、多播地址和增加的ICMP(網際訊息控制協定)的套用。
5.6TO4和6RD代理伺服器也許會鼓勵攻擊和濫用
6to4以及網際網路服務提供商迅速部署6RD會允許IPv6數據包跳出IPv4的壕溝,不用配置專用的隧道。但是,使用IPv6代理伺服器也許會給代理伺服器運營商帶來許多麻煩,如發現攻擊、欺騙和反射攻擊。代理伺服器運營商本身可能被利用為攻擊和濫用的“源”。
6.支持IPv6服務可能會暴露現有的IPv4套用或者系統
一個限制是現有的安全補丁也許僅適用於IPv4技術支持。因此,在iPv4之前,在進行DNS查詢已經更快部署IPv6的時候,大多數核心將喜歡IPv6接口。確實,IPv6與IPv4之間的相互作用方式可能導致每一個DNS查詢的通訊量增加一倍。這將導致大量的不必要的DNS通訊量以便最佳化用戶的體驗。
7.許多用戶被隱蔽在固定的一套地址後面
把用戶隱蔽在大型網路地址轉換協定轉換((NAT-PT)設備後面會破壞一些有用的功能,如地理位置或者查找惡意網路行為根源的工具,使基於號碼和名稱空間聲譽的安全控制出現更多的問題。
8.當建立通向其它網路的隧道時的IP安全問題
IP安全可能對傳送者進行身份識別,提供完整性保護,加密數據包以提供傳輸數據的保密性。IP安全對於IPv4來說是一個可選擇的功能,但是,它是IPv6強制規定的功能。[2]
IPv6過渡時間表
我國已為國家域名體系向IPv6全面過渡初步制定了為期3年的時間表。從2011年開始,CNNIC除了要與域名註冊服務機構共同建立10個“下一代可信域名權威域名示範節點”外,還將與網際網路基礎運營商共建7個“下一代可信域名遞歸域名示範節點”,同時還將推出公益的域名解析服務支持IPv6部署;2012年,半數以上的國家域名註冊服務機構將支持IPv6註冊和解析;到2013年,力爭實現我國國家域名註冊服務機構全面支持IPv6註冊和解析。IPv6過渡的六項準備工作
1、從你的上游提供商或者RIR那裡申請一個IPv6前綴2、進行簡單的IPv6“你好,世界”測試
3、在IIS中建立一個新的網站。、
4、在名為“index.html”的新網站的主目錄的一個檔案中存儲下列文本:HelloWorld
5、確認你在使用的分配的IPv4地址(如,http://192.168.0.1)的伺服器瀏覽器中能夠看到這個網頁。
6、向這個區域網路接口增加一個新的靜態的IPv6地址[3]
IPv6過渡必須遵循的原則和目標
◆保證IPv4和IPv6主機之間的互通;◆在更新過程中避免設備之間的依賴性(即某個設備的更新不依賴於其它設備的更新);
◆對於網路管理者和終端用戶來說,過渡過程易於理解和實現;
◆過渡可以逐個進行;
◆用戶、運營商可以自己決定何時過渡以及如何過渡。
