长按海报可保存至本地
长按海报可保存至本地
助力海报
返回大厅
1. 方案背景
2017年11月,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,要求用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。由此可见,IPv6大规模部署和商用已经国家战略,势在必行,各运营商企业面临着在指定期限内完成艰巨的IPv6升级改造工作。
总体来说,企业在完成IPv6升级改造过程中将会面临如下问题或困境:
§ 如何实现IPv4网络和IPv6网络的互联互通?从纯IPv4时代迈向纯IPv6时代是一个漫长的过程,因此在IPv6升级改造过程中,必然会存在着IPv4和IPv6网络共存的情况,而客户则需要允许IPv6客户访问其IPv4网络,或者允许IPv4用户访问其IPv6网络。为了解决该问题,客户则必须部署提供IPv6-to-IPv4和IPv4-to-IPv6转换解决方案的产品。
§ 如何提升IPv6应用的性能、稳定性和高可用性?随着用户的增长,同IPv4应用一样,客户需要增加更多的IPv6应用服务器来提升应用的性能,因此客户需要IPv6负载均衡功能来提升IPv6应用的性能、稳定性和高可用性,为用户提供最佳的用户体验。
§ 如何解决IPv6天窗问题?当网页包含其它网站内容的链接(外链),即使采取双栈技术路线,全面升级网络和修改程序,但被引用的其它网站未升级,IPv6用户访问该网站时会出现响应缓慢,部分内容无法显示,部分功能无法使用等情况。该问题被称为“IPv6天窗”问题。IPv6天窗问题直接影响了用户体验,因此客户在IPv6升级改造过程中解决IPv6天窗问题。
针对客户的应用、网络和基础设施的IPv6改造,信安世纪提供了如下解决方案:
§ IPv6应用交付:该解决方案为客户的应用交付提供了IPv6-to-IPv4和IPv4-to-IPv6转换技术,帮助客户将应用业务平滑和无缝迁移到IPv6网络,解决IPv6升级改造过程中遇到的“IPv6天窗”等问题,提供与IPv4应用交付一致的性能、稳定性和高可用性,为用户提供最佳的应用体验。
§ IPv6智能DNS服务器:该解决方案可以帮助客户完成域名系统(DNS)的IPv6改造,根据客户的网络和应用状态智能选择最佳解析结果,有效提升域名系统解析性能和应用访问效率。
§ IPv4/IPv6边界网关:该解决方案提供NAT64/DNS64和NAT46/DNS46功能,帮助客户实现IPv4网络和IPv6网络之间的智能转换,从而实现互联互通。
方案提供全面的IPv4/IPv6双栈支持,IPv4和IPv6协议栈独立运行互不干扰。支持IPv4/IPv6双栈的功能包括但不仅限于:接口地址、路由、DHCP、ARP/NDP、DNS服务器、NTP服务器、负载均衡、智能DNS、智能链路、NAT、访问控制、日志主机、SNMP、故障检测、设备管理、集群和高可用性。
2.2. IPv6负载均衡
提供IPv6负载均衡功能,帮助国家机关、单位、运营商、企业将其应用和网站平滑、无缝迁移到IPv6网络上,同时保证对既有IPv4流量的高效分发与智能交付,实现客户现有资产价值最大化。
IPv6负载均衡功能提供了IPv4-to-IPv4负载均衡,帮助客户继续使用现有IPv4网络、应用和基础设施为IPv4用户提供服务,确保了IPv4应用的最佳性能、稳定性和高可用性。
IPv6负载均衡功能提供了IPv6-to-IPv4负载均衡,帮助客户使用IPv4存量网络、应用和基础设施为IPv6用户提供服务,并为IPv6用户提供同IPv4用户一致的应用体验。
IPv6负载均衡功能提供了IPv6-to-IPv6负载均衡,帮助客户完成内网应用的IPv6升级改造,平滑切换到使用IPv6应用为用户提供服务,提供了与纯IPv4网络环境中一致的应用性能、稳定性、高可用性以及用户体验。
IPv6负载均衡功能提供了IPv4-to-IPv6负载均衡,帮助客户使用IPv6应用为网络中存量的IPv4用户提供服务,为IPv4用户提供了同IPv6用户一致的应用体验。
2.3. “IPv6天窗”解决方案
方案提供高级HTTP内容改写功能,帮助客户解决“IPv6天窗”问题。客户可以启用高级HTTP内容改写功能,配置高级内容改写规则,将HTTP响应主体中的改写为IPv6虚拟服务的IP地址,然后通过IPv6-to-IPv4负载均衡,有效解决用户无法打开网站中的外链或者响应速度过慢的问题。
2.4. HTTP应用优化加速
方案提供一系列功能对HTTP应用进行优化和加速。HTTP缓存功能可以大大加快应用的响应速度,减轻后台服务器的负担;HTTP压缩功能对后台服务返回的数据进行压缩,从而加快客户端下载资源的速度;HTTP改写功能解决外网用户无法访问资源的问题,提高响应速度和用户体验;HTTP过滤功能支持对请求报文的合规性进行检查,避免非法报文到达后台应用服务器;错误页面定制允许客户定制返回给客户端的错误页面。HTTP/2支持使能IPv6网关产品处理HTTP/2协议报文。
所有的HTTP应用优化加速功能均采取了IPv4应用和IPv6应用无差别设计,在IPv4应用升级到IPv6应用后,此等功能可以无缝平滑迁移,客户不需要修改已有配置。
2.5. SSL加速
SSL加速功能采取对IPv4应用和IPv6应用无差别设计,在IPv4应用升级到IPv6应用后,SSL加速功能可以无缝平滑迁移,客户不需要修改任何现有的SSL配置。
SSL加速功能可以为IPv4应用和IPv6应用提供客户端到服务器的端到端SSL安全加密,支持SSL卸载功能将计算密集型的SSL加解密工作卸载到IPv6网关产品,同时也支持SSL加固功能,为未采用SSL加密的应用增加一层SSL安全防护,增加应用的安全性。
安全应用访问功能可以为HTTPS应用提供访问认证,只有通过认证的用户才能访问应用,提升了应用的安全性;该功能可以支持SAML、RADIUS、LDAP和oAuth认证方式。Web应用防火墙功能给HTTP和HTTPS应用提供Web攻击检测和防护。DDoS防御功能可以防护应用免受网络层和应用层的DDoS攻击。会话管理功能可以限制单个用户和应用的会话数量,支持设置会话超时时间和存活时间,提升用户防护效率,避免用户过度占用资源。
IPv6方案提供QoS服务质量功能,允许客户对IPv4和IPv6用户的出向和入向带宽进行控制和管理,帮助客户可以满足服务等级协议(SLA)的要求。
IPv4-to-IPv4负载均衡和IPv6-to-IPv6负载均衡支持反向代理、透明方向代理和三角传输模式。IPv6-to-IPv4负载均衡和IPv4-to-IPv6负载均衡支持反向代理部署模式。
在反向代理部署模式下,支持将客户端源IP地址通过HTTP请求首部、URL或请求Cookie发送给后台应用服务器,方便后台服务器对IPv4和IPv6用户的访问情况进行统计和分析。
IPv6应用交付解决方案已经帮助众多运营商完成了IPv6的升级改造,本章仅列举几个典型的部署场景。
3.1. 由外到内的IPv6应用接入
目前,客户现网还有大量的IPv4应用和基础设置,在短时间很难将网络中的网络基础设施和应用升级改到到IPv6,而为了满足IPv6整改要求,也为了满足未来业务发展的需要,客户需要尽快实现IPv6应用交付。
IPv6应用交付解决方案,在不需要客户改造其网络基础设施和应用情况下,就可以帮助客户将应用平滑迁移到IPv4和IPv6双栈运行,同时为IPv4用户和IPv6用户提供服务。IPv6应用交付解决方案凭借丰富的应用交付功能和可靠的产品质量提升客户应用的稳定性、高性能和高可用性,为IPv4用户和IPv6用户带来一致的应用体验。
3.2. 由内到外的IPv6运营商线路访问
对于内部IPv4环境的办公网也需要使用IPv6线路对互联网的IPv6资源进行访问,信安提供dnsnat46的解决方案,该方案可以帮助用户内网IPv4的网络使用出口IPv6的线路进行互联网IPv6资源的访问,信安IPv6解决方案将IPv4客户端发出的DNS A请求转换为DNS AAAA请求,然后将返回的DNS AAAA响应转换为DNS A记录响应,并建立一条IPv6地址到IPv4地址的映像记录。信安IPv6解决方案返回转换后的IPv4地址给IPv4客户端。当IPv4客户端使用该IPv4地址访问IPv6服务器时,NAT46功能根据已经建立的映像记录将客户端发送的IPv4报文转换为IPv6报文。在收到服务器的IPv6报文后,NAT46功能将IPv6报文转换为IPv4报文。这样确保了IPv4客户端能与IPv6服务器正常通信。
3.3. 优化IPv6用户的下载带宽
对于视频、音乐等需要高下载带宽的应用,客户不仅需要将应用进行IPv6进行升级改造,还需要保证IPv6用户的下载带宽,从而保证用户良好的使用体验。
IPv6应用交付解决方案支持专为低入站/高出站的应用而设计的三角传输部署方式,以最快、最有效的方式响应请求。客户端请求经过IPv6网关到达最佳的后台服务器,后台服务器的响应直接返回给客户端而不再经过IPv6网关设备。该方案为数据响应提供更优化的路径,为客户应用提供更快的响应速度。3.4. 解决“IPv6天窗”问题
如果客户的应用完成了IPv6升级改造,但如果其返回的响应包含IPv4外链资源,IPv6用户访问该网站时会出现响应缓慢,部分内容无法显示,部分功能无法使用等情况。
IPv6应用交付解决方案提供高级内容改写功能,可以将IPv4外链的域名改写为IPv6网关上的虚拟服务地址,代理IPv6用户获取IPv4外链资源,从而解决“IPv6天窗”问题,保证用户的应用体验。
3.5. IPv6域名解析方案介绍-AAAA记录
IPv4业务通过信安网关设备对外提供IPv6发布后,业务域名也需要支持AAAA记录的解析,很多域名服务商虽可配置AAAA记录,但权威域名服务器不具备IPv6地址,不满足现阶段IPv6政策的改造要求。针对此点,可用本地DNS服务器(如应用交付控制器)进行域名AAAA记录解析,并为DNS服务器分配IPv6地址,即可满足改造要求。
对来自互联网用户的解析需求,信安解决方案基于原地址的DNS请求类型给予不同的解析回复,A记录的请求回复A记录的解析结果给用户,用户拿到IPv4的地址对业务进行访问,AAAA记录的请求回复AAAA记录的解析结果给用户,用户拿到IPv6的地址对业务进行访问。
4. IPv6阶段化改造方案
公网逐步开始改造,进行IPv6到IPv4的翻译及转换,此时信安IPv6网关解决方案可以通过NAT64和SLB64的技术实现将业务由IPv4向IPv6进行发布,保障IPv6用户由外到内的应用访问,在信安IPv6网关上发布IPv6业务地址,用户内网不做改动,以最小的网络调整达到IPv6业务的对外发布,满足政策接入需要。
IPv6业务接入后,IPv6的业务逐渐访问量增加,须考虑IPv6线路的接入冗余性、安全性,针对IPv6的解析也同样变得和IPv4同样重要,独立且全面的IPv6互联网出口平面设计势在必行。
1. 部署DNS智能域名解析系统,对IPv4和IPv6互联网出口进行智能解析,保障A记录和AAAA记录的稳定安全解析。
2. 在IPv6互联网出口接入多条IPv6线路,部署链路负载设备对多线路进行管理,保障IPv6线路的高可用性和稳定性。
3. 在IPv6互联网出口部署安全设备,保障该出口的安全性。
4. 在IPv6互联网出口部署IPv6网关设备,完成内网IPv4业务对外IPv6的发布及改写。
随着IPv6的发展,内网逐步增加IPv6区域,大部分用户考虑在内部网络部署IPv6区域或者增加内部IPv6测试区,此时业务内网并存IPv4和IPv6服务器,此时信安IPv6 解决方案在第二阶段的基础上,同时能实现不仅外网和内网的互相访问,也能实现内部IPv6和IPv4网络的互相访问,实现IPv4和IPv6的业务转换。方便用户将IPv4、IPv6业务逻辑分离,可看出IPv6的业务分布情况和客户端流量等,便于服务器审计。
在此阶段IPv6得到充分发展,用户对IPv6的需求日益扩大,IPv6不止是政策的要求,也变成了业务生产的需求,就现在5G时代的到来,IPv6必将成为5G网络支撑的基础驱动环境,因此在此阶段用户大多数会采用双栈方式部署或者会采用IPv6+IPv4双网(双数据中心环境)方式部署。
双栈方式:
IPv4和IPv6双栈环境下,DNS域名解析负责双栈下的A记录和AAAA记录解析;链路负载负责所有运营商的IPv4线路和IPv6线路管理,SSL网关解决所有IPv4和IPv6业务的加解密,服务器负载均衡为所有IPv4和IPv6业务进行应用交付,此情况下还需在内部部署IPv6网关设备,因为即使在双栈环境下IPv4和IPv6之间也不能直接相互访问,两个网络需要使用网关设备进行相互之间的访问。
双网方式:
双网方式相比双栈方式更加具备优势,首先来说,双网方式情况下,当对IPv4的网络及环境进行调试时不影响IPv6网络的使用(对调相同功效),而且还能提供双数据中心的备份,一个专门承接IPv4流量的业务访问,一个承接专门IPv6流量的访问,实现了对于两类网的互相冗余备份,同时相互使用不受影响。另外在IPv4环境下内部环境基本运行在NAT模式下,IPv6环境下内部网络大多数会设计成路由环境,在双栈情况下两种模式的安全级别要求也不一样,对出口设备的部署方式和功能要求也不一样,双网情况下能完美的解决该问题,两数据中心可部署IPv6网关设备进行两个数据中心的相互访问,平顺的解决了双网互访问题。
提供云计算服务
年度最佳行业解决方案(运营商)
信安世纪IPv6解决方案
登陆即可获得 8 次投票机会
