IPv6環(huán)境下企業(yè)網(wǎng)的部署與安全策略

朱慶軍

[摘 要]本文首先分析了在當前企業(yè)環(huán)境下，通信網(wǎng)絡(luò)從IPv4朝向IPv6實現(xiàn)遷移的過渡，然后在此基礎(chǔ)之上討論了IPv6的安全部署策略，對于深入認識IPv6網(wǎng)絡(luò)環(huán)境的相關(guān)特征，促進企業(yè)發(fā)展有著一定的積極作用。

[關(guān)鍵詞]IPv4；IPv6；企業(yè)網(wǎng)；安全

doi：10.3969/j.issn.1673 - 0194.2016.06.045

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2016）06-00-01

在信息環(huán)境日益發(fā)達的今天，企業(yè)對通信網(wǎng)絡(luò)的依賴也日益突出。通信網(wǎng)絡(luò)體系在企業(yè)環(huán)境中的拓展，一方面體現(xiàn)為更為龐大和多樣化的數(shù)據(jù)不斷涌現(xiàn)，另一方面也意味著物聯(lián)網(wǎng)等新型應(yīng)用模式的出現(xiàn)。這幾個方面的發(fā)展特征，都成為推動互聯(lián)網(wǎng)協(xié)議第六版（Internet Protocol Version 6，IPv6）加速深入到企業(yè)通信環(huán)境中的重要因素。

1 企業(yè)網(wǎng)向IPv6協(xié)議網(wǎng)絡(luò)過渡的策略

互聯(lián)網(wǎng)協(xié)議第四版（Internet Protocol Version 4，IPv4）自誕生開始，一直都以簡潔和高效著稱，并且多年來推動網(wǎng)絡(luò)環(huán)境的繁榮和發(fā)展。隨著網(wǎng)絡(luò)環(huán)境的不斷進化，IPv6開始登上歷史舞臺，其針對IPv4的不足，在地址資源以及尋址能力等多個方面都進行了顯著改善，尤其在安全以及對于移動網(wǎng)絡(luò)環(huán)境的支持方面尤其突出。

但是對于企業(yè)環(huán)境而言，從IPv4向IPv6的進化本身必然面臨一個相對動蕩的時期，對應(yīng)地，國際互聯(lián)網(wǎng)工程任務(wù)組（The Internet Engineering Task Force，IETF）給出了3種主要的過渡遷移機制，即雙協(xié)議棧、協(xié)議翻譯和隧道。

雙協(xié)議棧過渡方式指網(wǎng)絡(luò)環(huán)境中的各個網(wǎng)絡(luò)節(jié)點同時對IPv4和IPv6兩種協(xié)議實現(xiàn)支持，從而網(wǎng)絡(luò)可以從使用層面實現(xiàn)從IPv4到IPv6的平穩(wěn)過渡。但是從技術(shù)角度看，此種工作方式要求網(wǎng)絡(luò)環(huán)境中的每個節(jié)點持有兩個地址，一個處于IPv4體系之下，另一個則處于IPv6體系之下，因此會導(dǎo)致一定程度上網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，并且IPv4及IPv6兩個系統(tǒng)之下的主機間的通信也會因此被限制。

協(xié)議翻譯是指在網(wǎng)絡(luò)環(huán)境中，利用協(xié)議網(wǎng)關(guān)執(zhí)行對于數(shù)據(jù)包的轉(zhuǎn)換，使兩種協(xié)議之下不同網(wǎng)絡(luò)節(jié)點之間能夠?qū)崿F(xiàn)有效地通信。當前常用的協(xié)議翻譯為NAT- PT，其能夠面對IPv4及IPv6實現(xiàn)互通，并且在應(yīng)用層協(xié)議無需修改的環(huán)境之下即可執(zhí)行，對于網(wǎng)絡(luò)環(huán)境的支持和重建有著積極價值，但是此種翻譯機制本身會破壞端對端的數(shù)據(jù)傳輸服務(wù)，因此其應(yīng)用受到一定的限制。

隧道技術(shù)是指在既有的IPv4網(wǎng)絡(luò)環(huán)境中部署出一個能夠?qū)崿F(xiàn)IPv6業(yè)務(wù)的隧道，從而在現(xiàn)有的網(wǎng)絡(luò)環(huán)境中同時實現(xiàn)兩種數(shù)據(jù)包的通信。當前該領(lǐng)域的技術(shù)已經(jīng)相對成熟，包括MPLS、ISATAP以及隧道代理等多種技術(shù)都可以用于隧道的實現(xiàn)。

2 IPv6網(wǎng)絡(luò)體系下的安全策略

在當前企業(yè)環(huán)境中，尤其對于大型的企業(yè)網(wǎng)絡(luò)而言，通常其異構(gòu)特征會影響到不同協(xié)議支持的功能以及應(yīng)用展開和實施情況。這些特征直接影響到企業(yè)環(huán)境中各個部門之間的信息流動，因此在IPv6協(xié)議支持下，多節(jié)點的協(xié)同機制以及安全策略必然成為通信環(huán)境的重點。

對于IPv6協(xié)議網(wǎng)絡(luò)環(huán)境來說，其提供了一個可擴展的分布式框架來發(fā)現(xiàn)、協(xié)商和管理IPSec策略，是IPSec策略管理的目標，其核心價值在于實現(xiàn)一種能夠適應(yīng)大量IPSec應(yīng)用的方式來控制安全策略，此種方式遠遠優(yōu)于單獨的SPS。而對于大型IPv6網(wǎng)絡(luò)而言，由于地址空間大大擴容，因此安全策略的不一致狀況更容易發(fā)生，必須引起足夠重視。具體而言，對于大型企業(yè)網(wǎng)的IPv6網(wǎng)絡(luò)環(huán)境安全問題，有以下兩個方面需要重點關(guān)注。

首先，在于網(wǎng)絡(luò)的多節(jié)點劃分。多節(jié)點協(xié)同機制作為網(wǎng)絡(luò)環(huán)境中重要的安全策略，通常需要注重三個方面的重要原則。第一，要依據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境自身需求進行域的劃分；第二，要依據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)展開對應(yīng)的劃分；第三，要對安全需求和網(wǎng)絡(luò)拓撲結(jié)構(gòu)兩個方面展開綜合衡量，盡量減少跨域的安全需求。而安全需求則需要進一步展開對域內(nèi)以及域間安全策略的分析。在域內(nèi)環(huán)境中，要在執(zhí)行策略時注重目標策略的主要方向，實現(xiàn)對執(zhí)行策略和目標策略的查詢支持，以及對域內(nèi)安全節(jié)點策略信息的有效管理和維護，并對于目標策略發(fā)生沖突的情況展開及時的信息反饋。與此同時，在域間環(huán)境中，對于鄰域的策略信息不能實現(xiàn)直接的干涉修改，但是對于變更所需的策略可以同時鄰域，由其對應(yīng)的策略管理職能實現(xiàn)維護和修正。此外還需要支持面向鄰域展開對應(yīng)策略信息的查詢，并且接收來自于鄰域的應(yīng)答信息，以及依據(jù)對應(yīng)的信息實現(xiàn)通話。

其次，在安全策略服務(wù)器的選取方面，也應(yīng)當給予充分重視。在當前網(wǎng)絡(luò)環(huán)境中，IPv6應(yīng)用以FTP、WEB服務(wù)、視頻點播、文件共享等作為主要形式，此類服務(wù)對于網(wǎng)絡(luò)環(huán)境的信息傳輸帶寬均有一定要求，但對于服務(wù)器本身的運算方面沒有更多壓力。當前網(wǎng)絡(luò)環(huán)境中，常用多層結(jié)構(gòu)來實現(xiàn)對于網(wǎng)絡(luò)的構(gòu)建，其中C/S架構(gòu)和B/S多層應(yīng)用都較為多見，同時也在實際的應(yīng)用環(huán)境中表現(xiàn)出不同的特征，在選擇時需要依據(jù)實際的需求情況予以謹慎選擇。C/S架構(gòu)能夠有效面向客戶端PC處理能力實現(xiàn)支持，因此，許多工作可以放在客戶端進行處理然后進一步將結(jié)果提交給服務(wù)器，這種資源利用方式對于客戶端和服務(wù)器的響應(yīng)時間都有一定的優(yōu)化價值。此種模式多用于專用網(wǎng)絡(luò)，在較小范圍內(nèi)實現(xiàn)子網(wǎng)環(huán)境，并且進一步通過專用服務(wù)器將多個子網(wǎng)連接起來實現(xiàn)交換服務(wù)，這比較符合當前大型企業(yè)網(wǎng)的發(fā)展趨勢，因此得到更廣地應(yīng)用。

3 結(jié) 語

IPv6協(xié)議網(wǎng)絡(luò)在技術(shù)方面有著毋庸置疑的優(yōu)勢，更符合企業(yè)大型通信網(wǎng)絡(luò)的發(fā)展趨勢，但其在部署和安全方面欠缺實踐的檢驗。因此，只有不斷對對企業(yè)通信網(wǎng)絡(luò)的實際環(huán)境展開分析，并且不斷對IPv6進行學(xué)習，才能研究出合理的，并與需求環(huán)境保持契合的網(wǎng)絡(luò)，以此促進企業(yè)的發(fā)展。

主要參考文獻

[1]張雅瓊.淺談IPv4向IPv6過渡技術(shù)[J].科技傳播，2010（18）.

[2]姜曉琳.IPv6在企業(yè)網(wǎng)中的部署[J].硅谷，2013（11）.