系统管理指南：IP 服务

准备现有的网络以支持 IPv6

注 –

Oracle Solaris ：双协议栈支持同时执行 IPv4 操作和 IPv6 操作。在网络上部署 IPv6 期间或在部署之后，可以成功运行与 IPv4 相关的操作。

IPv6 在现有的网络中引入了其他功能。因此，在首次部署 IPv6 时，必须确保不会中断正在使用 IPv4 的任何操作。本节中的主题介绍如何在现有的网络中分步引入 IPv6。

准备网络拓扑以支持 IPv6

IPv6 部署中的第一步就是评估网络上现有的哪些实体能够支持 IPv6。大多数情况下，在实现 IPv6 时，网络拓扑（电缆、路由器和主机）可以保持不变。但是，在实际为网络接口配置 IPv6 地址之前，可能必须针对 IPv6 准备现有的硬件和应用程序。

检验网络上的哪个硬件可以升级到 IPv6。例如，可以就下列类别的硬件，查阅制造商的文档，确定是否已经针对 IPv6 做好准备：

路由器
防火墙
服务器
交换机

注 –

本部分中的所有过程都假定您的设备（尤其是路由器）可以升级到 IPv6。

某些型号的路由器无法升级到 IPv6。有关更多信息和解决方法，请参阅IPv4 路由器无法升级到 IPv6。

准备网络服务以支持 IPv6

在当前的 Oracle Solaris ：发行版中，下列典型的 IPv4 网络服务可以支持 IPv6：

sendmail
NFS
HTTP（Apache 2.x 或 Orion）
DNS
LDAP

IMAP（Internet 消息访问协议）邮件服务仅适用于 IPv4。

针对 IPv6 配置的节点可以运行 IPv4 服务。在打开 IPv6 时，并非所有的服务都能够接受 IPv6 连接。已经移植到 IPv6 的服务将能够接受连接。尚未移植到 IPv6 的服务将使用 IPv4 协议栈。

在将服务升级到 IPv6 之后，可能会出现一些问题。有关详细信息，请参见将服务升级到 IPv6 之后遇到的问题。

准备服务器以支持 IPv6

因为服务器被视为 IPv6 主机，所以，在缺省情况下，服务器的 IPv6 地址会由相邻节点搜索协议自动配置。但是，许多服务器会有多个网络接口卡 (network interface card, NIC)，您可能希望将它们换出以进行维修或更换。更换 NIC 后，相邻节点搜索会自动为新 NIC 生成一个新的接口 ID。对于特定的服务器，可能不支持此行为。

因此，请考虑为服务器的每个接口手动配置 IPv6 地址的接口 ID 部分。有关说明，请参阅如何配置用户指定的 IPv6 标记。以后需要更换现有的 NIC 时，已经配置的 IPv6 地址可应用于更换后的 NIC。

如何准备网络服务以支持 IPv6

更新以下网络服务以支持 IPv6：
- 邮件服务器
- NIS 服务器
- NFS
  
  注 –
  LDAP 无需执行特定于 IPv6 的配置任务即可支持 IPv6。

检验防火墙硬件是否能够支持 IPv6。

有关说明，请参阅与防火墙有关的文档。

检验网络上的其他服务是否已移植到 IPv6。

有关更多信息，请参阅软件的营销宣传材料和相关文档。

如果您的站点部署了下列服务，请确保已经针对这些服务采取了相应的措施：
- 防火墙
  
  考虑增强面向 IPv4 的策略以支持 IPv6。有关更多的安全注意事项，请参见IPv6 实现的安全注意事项。
- 邮件
  
  在 DNS 的 MX（邮件交换）记录中，考虑添加邮件服务器的 IPv6 地址。
- DNS
  
  有关特定于 DNS 的注意事项，请参见如何准备 DNS 以支持 IPv6。
- IPQoS
  
  在主机上使用先前用于 IPv4 的同一 Diffserv 策略。有关更多信息，请参见分类器模块。

在将某个节点转换为支持 IPv6 以前，审计由该节点提供的任何网络服务。

如何准备 DNS 以支持 IPv6

当前的 Oracle Solaris ：发行版在客户端和服务器端均支持 DNS 解析。要使 DNS 服务支持 IPv6，请执行以下准备工作。

有关与准备 DNS 以支持 IPv6 相关的更多信息，请参阅《系统管理指南：名称和目录服务（DNS、NIS 和 LDAP）》。

确保执行递归名称解析的 DNS 服务器是双栈（IPv4 和 IPv6）服务器或者仅包含 IPv4。

在 DNS 服务器上，使用转发区域中相关的 IPv6 数据库 AAAA 记录填充 DNS 数据库。

注 –
需要特别注意那些运行多个关键服务的服务器。确保网络正常工作，还要确保所有的关键服务都已经移植到 IPv6。然后，将服务器的 IPv6 地址添加到 DNS 数据库中。

向反向区域中添加与 AAAA 记录相关联的 PTR 记录。

向描述区域的 NS 记录中仅添加 IPv4 数据或者同时添加 IPv6 和 IPv4 数据。

在网络拓扑中规划隧道

在将网络迁移到 IPv4 和 IPv6 的混合网络时，IPv6 实现支持将许多隧道配置作为转换机制。隧道可以使隔离的 IPv6 网络能够进行通信。因为大多数 Internet 都运行 IPv4，所以，来自您的站点的 IPv6 包需要借助于通往目标 IPv6 网络的隧道在 Internet 上传播。

下面是在 IPv6 网络拓扑中使用隧道的一些主要方案：

从其购买 IPv6 服务的 ISP 允许您建立一个从您的站点的边界路由器到 ISP 网络的隧道。图 4–1 显示了这样的隧道。在这种情况下，需要建立 IPv6 over IPv4 手动隧道。
管理具有 IPv4 连通性的大型分布式网络。要连接使用 IPv6 的分布式站点，可以从每个子网的边界路由器建立 6to4 自动隧道。
有时，基础结构中的某个路由器无法升级到 IPv6。在这种情况下，可以建立将两个 IPv6 路由器作为端点且经由 IPv4 路由器的手动隧道。

有关配置隧道的过程，请参阅针对 IPv6 支持配置隧道所需的任务（任务列表）。有关隧道的相关概念信息，请参阅IPv6 隧道。

IPv6 实现的安全注意事项

在现有网络中引入 IPv6 时，必须注意不要危及站点的安全性。在分阶段实现 IPv6 时，需要注意以下安全问题：

对于 IPv6 包和 IPv4 包，需要相同的过滤量。
通常，IPv6 包通过防火墙进行隧道传送。因此，您应当实现下列任一方案：
- 让防火墙在隧道内部执行内容检查。
- 在隧道的另一个端点设置一个具有相似规则的 IPv6 防火墙。
在 IPv4 隧道上存在某些使用 IPv6 over UDP 的转换机制。这些机制能够绕过防火墙，因此被认为存在危险。
IPv6 节点可从企业网络外部进行全局访问。如果安全策略禁止公共访问，则必须为防火墙制定更严格的规则。例如，考虑配置有状态的防火墙。

本书包括可用在 IPv6 实现中的安全功能。

IP 安全体系结构 (IPsec) 功能允许您为 IPv6 包提供加密保护。有关更多信息，请参阅第 19 章。
Internet 密钥交换 (Internet Key Exchange, IKE) 功能允许您针对 IPv6 包使用公钥验证。有关更多信息，请参阅第 22 章。