IPv6(Internet Protocol Version 6),即互联网协议第6版,是全球公认的下一代互联网解决方案,能够提供更广泛的互联网连接,促进物联网、工业互联网、人工智能等新应用、新领域不断发展,推动万物互联的时代来临。然而,我国IPv6用户数和普及率都远远低于美国、德国、英国、印度、俄罗斯等国家,推动IPv6的发展与普及迫在眉睫。
当前,政府、金融、央企等各个行业都在全面推动IPv6改造。对于用户来说,要完成整网的IPv6改造,涉及改造的内容和设施非常多,改造的周期也会比较漫长。通常采用逐步改造、稳步推进的方式,将全部改造内容重点分为三部分:
基础设施改造。
基础设施改造主要包括向运营商进行IPv6线路和地址的申请,完成对PC和移动终端设备IPv6地址的配置,及对所有IP地址进行科学有效的规划和管理。
DNS服务器改造。
作为IPv6改造的主体,DNS服务器改造主要包括在DNS服务器增加一条域名所对应的AAAA记录,及为DNS服务器配置IPv6地址,确保其能接收来自单栈IPv6的DNS访问请求。
业务系统改造。
在完成对底层基础设施和DNS服务器的改造后,就要对上层业务进行IPv6改造。此时分为两种情况:
不直接改造业务。
如果不打算直接改造业务,可以通过单纯添加协议转换设备的方式来实现IPv6改造。这其中需要考虑协议转换设备的部署位置以及现有网络中的设备对IPv6的支持度。
直接改造业务。
对整个IPv6改造来说,业务层面的改造是难度最大,也是最可能影响业务正常使用的。
因此,业务系统的IPv6改造一般被放在最后去完成,具体包括对业务代码中涉及IP地址的部分做修改,同时业务服务器、数据库、日志服务器以及大数据分析平台等都需要改为支持IPv4/IPv6双栈。
完整的IPv6改造至少会涉及到上述三大部分内容,那么您的IPv6改造进行到哪一步了呢?又是打算如何完成IPv6改造呢?
四大IPv6改造方案,简单可靠、省心便捷
IPv6的整网改造,是一个任重而道远的工作。深信服推荐基于负载均衡翻译转换技术的四大IPv6改造方案,助力用户分步快速完成改造,既能解决IPv6和IPv4的兼容问题,又能实现IPv6网络升级。通过在改造过程中实现复杂度低、安全性高和对用户业务影响最小,让IPv6改造变得简单可靠、省心便捷。
网络边界改造方案
用户特征:快速实现IPv6改造,不希望改动内网现有设备适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:仅在网络出口部署负载均衡设备
方案部署:通过将负载均衡设备部署在网络出口处,做IPv6 DNS域名解析,实现IPv6到IPv4的快速转换。
该方案只需出口设备和负载均衡设备支持IPv4/IPv6双栈即可,负载均衡设备以下网络、安全设备及业务系统无需调整,满足用户不希望对内网现有设备和后端业务系统做改动的需求。
网络出口改造方案
用户特征:满足门户网站IPv6线路安全接入访问,同时不破坏现有网络的安全体系
适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)改造内容:安全设备及核心以上网络设备需要支持IPv4/IPv6双栈+部署负载均衡设备
方案部署:对于关注IPv6安全建设的用户来说,为了确保当前网络的整体安全体系不受影响,将负载均衡设备部署在安全设备的下面,通过负载均衡设备的NAT-PT功能,将IPv6访问请求转换为IPv4访问请求。
该方案要求负载均衡设备以上网络、安全设备均需支持IPv4/IPv6双栈,满足用户安全防护层次不发生改变,确保端到端安全,同时不需要对后端业务系统进行改动的需求。
新建网络出口改造方案
用户特征:满足门户网站IPv6线路安全接入访问,不想改变现有的IPv4网络架构适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:新建网络出口平面,包括支持IPv4/IPv6双栈的安全、负载均衡设备
方案部署:对于注重IPv6安全,同时现有网络很多设备不支持IPv6的中大型用户来说,新建网络出口改造方案是指运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变。然后通过新建一个IPv6网络出口,并部署负载均衡设备,实现所有IPv6访问请求在这里转换为IPv4访问请求。
该方案不会对用户现有的IPv4网络架构和安全体系,及后端业务系统造成任何影响,助力用户有效防范IPv6安全风险,减少运维和现有设备压力。
业务系统改造方案
用户特征:不想改动现有IPv4网络架构,但希望逐步改造后端业务系统
适用场景:IPv4业务系统改造(包括网站、互联网业务及APP等)
改造内容:网络、安全设备、操作系统及业务系统本身都要支持IPv4/IPv6双栈+部署负载均衡设备
方案部署:该方案采用双平面由IPv4向纯IPv6网络过渡,运营商提供IPv6接入,保持原有IPv4内网网络和应用不变,新增负载均衡设备提供IPv6接入,并包含外网防火墙,DNS v6等功能。IPv6客户端可通过该入口访问内部的IPv6业务,同时原有IPv4网络中的业务将逐步向IPv6网络进行迁移。
该方案对用户目前已有IPv4网络架构无任何改动,同时不会对现有的业务产生任何影响。业务系统做完双栈改造后,整网的改造也就完成。
IPv6的改造过程极其繁杂,容易出现各种各样的问题,比如:改造后验收不通过、改造后网络安全性降低、改造后部分页面无法访问等,深信服应用交付AD IPv6改造方案能有效解决这些问题。
在国内负载均衡市场连续五年国产品牌第一,深信服应用交付AD方案通过中国信息通信研究院的官方检测,确保产品功能与性能满足IPv6改造要求,同时在纯IPv6和双栈环境下的性能与纯IPv4环境下的性能相差无几。意味着深信服应用交付AD能够确保政府、金融和央企等
国家要求IPv6改造的单位顺利通过验收。
安全溯源。
采用翻译转换方式实现IPv6改造后,由于转换设备在出口做了IPv6到IPv4的转换,导致内网的安全设备和业务服务器无法看到客户端的真实源地址,导致无法溯源,运行监控体系无法发挥效果,存在安全隐患。而深信服应用交付AD可以通过在HTTP header中插入X-Forwarded-For字段的方式,将客户端的源地址透传进内网,实现客户端审计、信息校验等业务需求,为安全溯源提供有效保障。
“天窗”问题攻克。
“天窗”指的是一个页面通常会包含其他网站的链接或本站子链接,这些链接如果不支持IPv6,就无法响应纯IPv6的访问请求,就会出现“天窗”问题。如图,某客户已完成官网IPv6改造,在纯IPv6环境访问时,主页出现“天窗”问题。
在用户网站群IPv6升级改造工作中,针对越来越多大型网站平台和地方网站反应出现的"天窗"问题,深信服应用交付AD方案通过特殊的改写策略,保证客户端的请求会再次到AD,由AD发起请求,再将得到的结果返回给客户端。这样就能够保证客户端正常访问外链和子网站,从而顺利解决“天窗”问题,保障IPv6、IPv4互联互通。
满足监管合规要求,同时作为国内首家解决IPv6改造过程中天窗问题的ADC厂商,深信服应用交付AD方案成功解决了IPv6和IPv4的兼容问题,并实现IPv6网络升级,在保证用户应用体验的同时,帮助用户获得充裕的时间,进行整体统筹规划,完成互联网向IPv6演进升级的最终目标。
深信服应用交付AD已经在政府、金融、央企等行业帮助用户完成IPv6平滑过渡与快速改造,如:国家信息中心、中英人寿、中盐集团、国投集团等,并在帮助用户完成IPv6改造的同时,带给用户服务器负载、链路负载功能等附加价值,极大保护用户投资。