test

系统管理指南:IP 服务

第 4 章 规划 IPv6 网络(任务)

在新网络或现有网络上部署 IPv6 需要进行许多规划工作。本章包含在您的站点配置 IPv6 之前必须执行的规划任务。对于现有的网络,IPv6 部署应逐步分阶段进行。本章中的主题有助于您在原本仅使用 IPv4 的网络上分阶段采用 IPv6。

本章讨论以下主题:

有关 IPv6 概念的介绍,请参阅第 3 章。有关详细信息,请参阅第 11 章

IPv6 规划(任务列表)

请依次完成以下任务列表中的任务,以完成 IPv6 部署所必须执行的规划任务。

下表列出了各种配置 IPv6 网络的任务。此表中包含对各项任务要完成的工作的说明,以及当前文档中详细介绍用于执行任务的特定步骤的章节。

任务 

说明 

参考 

1. 准备硬件以支持 IPv6。 

确保硬件可以升级到 IPv6。 

准备网络拓扑以支持 IPv6

2. 找到支持 IPv6 的 ISP。 

确保当前的 ISP 支持 IPv6。否则,请寻找可以支持 IPv6 的 ISP。可以使用两个 ISP,一个 ISP 用于 IPv6 通信,另一个用于 ISP IPv4 通信。 

 

3. 确保应用程序能够支持 IPv6。 

验证应用程序是否可以在 IPv6 环境中运行。 

如何准备网络服务以支持 IPv6

4. 获取站点前缀。 

从 ISP 或最近的 RIR 获取您站点的 48 位站点前缀。 

获取站点前缀

5. 制定子网寻址计划。 

必须先整体规划 IPv6 网络拓扑和寻址方案,然后才能在网络中的各个节点上配置 IPv6。 

为子网制定编号方案

6. 制定隧道使用计划。 

确定应当使用哪些路由器来建立与其他子网或外部网络连接的隧道。 

在网络拓扑中规划隧道

7. 为网络上的实体制定寻址计划。 

在配置 IPv6 之前,应当先制定好服务器、路由器和主机的寻址计划。 

为节点制定 IPv6 寻址计划

8. 制定 IPv6 安全策略。 

在制定 IPv6 安全策略时,需要弄清楚 IP 过滤器、IP 安全体系结构 (IP security architecture, IPsec)、Internet 密钥交换 (Internet Key Exchange, IKE) 和其他 Oracle Solaris : 安全功能。 

第 4 部分, IP 安全性

9. (可选)设置 DMZ。 

出于安全方面的考虑,在配置 IPv6 之前,需要为 DMZ 及其实体制定寻址计划。 

IPv6 实现的安全注意事项

10. 使节点能够支持 IPv6。 

在所有的路由器和主机上配置 IPv6。 

IPv6 路由器配置(任务列表)

11. 打开网络服务。 

确保现有的服务器能够支持 IPv6。 

主要的 TCP/IP 管理任务(任务列表)

12. 更新名称服务器以支持 IPv6。 

确保使用新 IPv6 地址更新 DNS、NIS 和 LDAP 服务器。 

针对 IPv6 配置名称服务支持

IPv6 网络拓扑方案

本章中的任务旨在说明如何在典型企业网络上规划 IPv6 服务。下图显示本章中所谈及的网络。建议的 IPv6 网络可能包括该图中显示的部分或全部网络链路。

图 4–1 IPv6 网络拓扑方案

该图显示 IPv6 网络。下文将对该图的内容进行说明。

企业网络方案由五个具有现有 IPv4 地址的子网组成。网络的链路直接对应于管理子网。四个内部网络以 RFC 1918 样式的专用 IPv4 地址表示,这是在缺少 IPv4 地址时的常见解决方案。下面是这些内部网络的寻址方案:

外部的公共网络 172.16.85 充当企业的 DMZ(隔离区)。此网络中包含 Web 服务器、匿名 FTP 服务器以及企业为外界提供的其他资源。路由器 2 使用防火墙并将公共网络 172.16.85 与内部主干分开。在 DMZ 的另一端,路由器 1 使用防火墙并充当企业的边界服务器。

图 4–1 中,公共 DMZ 具有 RFC 1918 专用地址 172.16.85。在实际应用中,公共 DMZ 必须具有已注册的 IPv4 地址。大多数 IPv4 站点都使用公共地址和 RFC 1918 专用地址的组合。但是,在引入 IPv6 时,公共地址和专用地址的概念发生了变化。因为 IPv6 具有大得多的地址空间,所以,可以将公共 IPv6 地址同时用于专用网络和公共网络。

准备现有的网络以支持 IPv6

注 –

Oracle Solaris : 双协议栈支持同时执行 IPv4 操作和 IPv6 操作。在网络上部署 IPv6 期间或在部署之后,可以成功运行与 IPv4 相关的操作。

IPv6 在现有的网络中引入了其他功能。因此,在首次部署 IPv6 时,必须确保不会中断正在使用 IPv4 的任何操作。本节中的主题介绍如何在现有的网络中分步引入 IPv6。

准备网络拓扑以支持 IPv6

IPv6 部署中的第一步就是评估网络上现有的哪些实体能够支持 IPv6。大多数情况下,在实现 IPv6 时,网络拓扑(电缆、路由器和主机)可以保持不变。但是,在实际为网络接口配置 IPv6 地址之前,可能必须针对 IPv6 准备现有的硬件和应用程序。

检验网络上的哪个硬件可以升级到 IPv6。例如,可以就下列类别的硬件,查阅制造商的文档,确定是否已经针对 IPv6 做好准备:

注 –

本部分中的所有过程都假定您的设备(尤其是路由器)可以升级到 IPv6。

某些型号的路由器无法升级到 IPv6。有关更多信息和解决方法,请参阅IPv4 路由器无法升级到 IPv6

准备网络服务以支持 IPv6

在当前的 Oracle Solaris : 发行版中,下列典型的 IPv4 网络服务可以支持 IPv6:

IMAP(Internet 消息访问协议)邮件服务仅适用于 IPv4。

针对 IPv6 配置的节点可以运行 IPv4 服务。在打开 IPv6 时,并非所有的服务都能够接受 IPv6 连接。已经移植到 IPv6 的服务将能够接受连接。尚未移植到 IPv6 的服务将使用 IPv4 协议栈。

在将服务升级到 IPv6 之后,可能会出现一些问题。有关详细信息,请参见将服务升级到 IPv6 之后遇到的问题

准备服务器以支持 IPv6

因为服务器被视为 IPv6 主机,所以,在缺省情况下,服务器的 IPv6 地址会由相邻节点搜索协议自动配置。但是,许多服务器会有多个网络接口卡 (network interface card, NIC),您可能希望将它们换出以进行维修或更换。更换 NIC 后,相邻节点搜索会自动为新 NIC 生成一个新的接口 ID。对于特定的服务器,可能不支持此行为。

因此,请考虑为服务器的每个接口手动配置 IPv6 地址的接口 ID 部分。有关说明,请参阅如何配置用户指定的 IPv6 标记。以后需要更换现有的 NIC 时,已经配置的 IPv6 地址可应用于更换后的 NIC。

Procedure如何准备网络服务以支持 IPv6

  1. 更新以下网络服务以支持 IPv6:

    • 邮件服务器

    • NIS 服务器

    • NFS

      注 –

      LDAP 无需执行特定于 IPv6 的配置任务即可支持 IPv6。

  2. 检验防火墙硬件是否能够支持 IPv6。

    有关说明,请参阅与防火墙有关的文档。

  3. 检验网络上的其他服务是否已移植到 IPv6。

    有关更多信息,请参阅软件的营销宣传材料和相关文档。

  4. 如果您的站点部署了下列服务,请确保已经针对这些服务采取了相应的措施:

    • 防火墙

      考虑增强面向 IPv4 的策略以支持 IPv6。有关更多的安全注意事项,请参见IPv6 实现的安全注意事项

    • 邮件

      在 DNS 的 MX(邮件交换)记录中,考虑添加邮件服务器的 IPv6 地址。

    • DNS

      有关特定于 DNS 的注意事项,请参见如何准备 DNS 以支持 IPv6

    • IPQoS

      在主机上使用先前用于 IPv4 的同一 Diffserv 策略。有关更多信息,请参见分类器模块

  5. 在将某个节点转换为支持 IPv6 以前,审计由该节点提供的任何网络服务。

Procedure如何准备 DNS 以支持 IPv6

当前的 Oracle Solaris : 发行版在客户端和服务器端均支持 DNS 解析。要使 DNS 服务支持 IPv6,请执行以下准备工作。

有关与准备 DNS 以支持 IPv6 相关的更多信息,请参阅《系统管理指南:名称和目录服务(DNS、NIS 和 LDAP)》

  1. 确保执行递归名称解析的 DNS 服务器是双栈(IPv4 和 IPv6)服务器或者仅包含 IPv4。

  2. 在 DNS 服务器上,使用转发区域中相关的 IPv6 数据库 AAAA 记录填充 DNS 数据库。

    注 –

    需要特别注意那些运行多个关键服务的服务器。确保网络正常工作,还要确保所有的关键服务都已经移植到 IPv6。然后,将服务器的 IPv6 地址添加到 DNS 数据库中。

  3. 向反向区域中添加与 AAAA 记录相关联的 PTR 记录。

  4. 向描述区域的 NS 记录中仅添加 IPv4 数据或者同时添加 IPv6 和 IPv4 数据。

在网络拓扑中规划隧道

在将网络迁移到 IPv4 和 IPv6 的混合网络时,IPv6 实现支持将许多隧道配置作为转换机制。隧道可以使隔离的 IPv6 网络能够进行通信。因为大多数 Internet 都运行 IPv4,所以,来自您的站点的 IPv6 包需要借助于通往目标 IPv6 网络的隧道在 Internet 上传播。

下面是在 IPv6 网络拓扑中使用隧道的一些主要方案:

有关配置隧道的过程,请参阅针对 IPv6 支持配置隧道所需的任务(任务列表)。有关隧道的相关概念信息,请参阅IPv6 隧道

IPv6 实现的安全注意事项

在现有网络中引入 IPv6 时,必须注意不要危及站点的安全性。在分阶段实现 IPv6 时,需要注意以下安全问题:

本书包括可用在 IPv6 实现中的安全功能。

准备 IPv6 寻址计划

从 IPv4 转换到 IPv6 的主要任务包括制定寻址计划。此任务涉及到进行以下准备:

获取站点前缀

在配置 IPv6 之前,必须获取站点前缀。站点前缀用于派生 IPv6 实现中所有节点的 IPv6 地址。有关站点前缀的介绍,请参阅IPv6 中的前缀

支持 IPv6 的任何 ISP 都可以为贵工作单位提供 48 位 IPv6 站点前缀。如果当前的 ISP 仅支持 IPv4,则可以使用另一个 ISP 来支持 IPv6,同时保留当前的 ISP 来支持 IPv4。在这种情况下,您可以使用多种解决方法之一。有关更多信息,请参见当前的 ISP 不支持 IPv6

如果贵工作单位是 ISP,则可以从相应的 Internet 注册机构获取客户的站点前缀。有关更多信息,请参见 Internet Assigned Numbers Authority (IANA)(Internet 编号分配机构)。

制定 IPv6 编号方案

除非建议的 IPv6 网络是全新的网络,否则请将现有的 IPv4 拓扑用作 IPv6 编号方案的基础。

为子网制定编号方案

在制定编号方案时,应首先将现有的 IPv4 子网映射到等效的 IPv6 子网。例如,请考虑图 4–1 中所示的子网。子网 1–4 除了用数字 1–4 来指示子网以外,还使用所指定的 RFC 1918 IPv4 专用地址作为其地址的前 16 位。为了进行说明,假定已将 IPv6 前缀 2001:db8:3c4d/48 指定给该站点。

下表说明了如何将专用的 IPv4 前缀映射到 IPv6 前缀。

IPv4 子网前缀 

等效的 IPv6 子网前缀  

192.168.1.0/24

2001:db8:3c4d:1::/64

192.168.2.0/24

2001:db8:3c4d:2::/64

192.168.3.0/24

2001:db8:3c4d:3::/64

192.168.4.0/24

2001:db8:3c4d:4::/64

为节点制定 IPv6 寻址计划

对于大多数主机,采用无状态自动配置为其接口配置 IPv6 地址是恰当的省时策略。当主机从离其最近的路由器接收到站点前缀时,相邻节点搜索会自动为主机上的每个接口生成 IPv6 地址。

服务器需要具有稳定的 IPv6 地址。如果您未手动配置服务器的 IPv6 地址,那么,更换服务器上的 NIC 卡时,系统会自动配置一个新的 IPv6 地址。在为服务器创建地址时,请记住以下提示:

由于 IPv4 地址的数量有限,因此,在过去,网络设计者必须考虑在何处使用全局已注册地址和专用 RFC 1918 地址。但是,全局和专用 IPv4 地址的概念并不适用于 IPv6 地址。可以在网络的所有链路(包括公共 DMZ)上使用全局单点传送地址(包括站点前缀)。