跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
本节介绍在站点上规划和部署 IPv6 时可能遇到的疑问和问题。有关实际的规划任务,请参阅第 4 章。
如果现有设备无法升级,则可能必须购买支持 IPv6 的设备。有关为支持 IPv6 而必须执行的特定于设备的任何过程,请查阅制造商的文档。
某些 IPv4 路由器无法进行升级以支持 IPv6。如果您的拓扑属于这种情况,请紧邻该 IPv4 路由器物理连接一个 IPv6 路由器。然后,可以从 IPv6 路由器建立经由 IPv4 路由器的隧道。有关配置隧道的任务,请参阅针对 IPv6 支持配置隧道所需的任务(任务列表)。
在准备服务使其支持 IPv6 时,可能会遇到下列情况:
某些应用程序,即使在移植到 IPv6 之后,缺省情况下也不会启用 IPv6 支持。可能必须配置这些应用程序以启用 IPv6。
运行多个服务(其中的一些服务仅使用 IPv4,而其他服务既使用 IPv4 又使用 IPv6)的服务器可能会遇到问题。某些客户机可能需要同时使用这两种类型的服务,这会在服务器端导致混乱。
如果想要部署 IPv6,但是当前的 ISP 不支持 IPv6 寻址,则可考虑通过以下备选方法改用其他 ISP:
租用一个 ISP,为您站点的 IPv6 通信提供第二条线路。此解决方案成本较高。
获取一个虚拟 ISP。虚拟 ISP 可为您的站点提供 IPv6 连通性,但不提供链路。您需要从您的站点建立一个经由 IPv4 ISP 到达虚拟 ISP 的隧道。
使用经由 ISP 到达其他 IPv6 站点的 6to4 隧道。对于地址,请使用 6to4 路由器的已注册 IPv4 地址作为 IPv6 地址的公共拓扑部分。
本质上,6to4 路由器与 6to4 中继路由器之间的隧道是不安全的。此类隧道存在以下固有安全问题:
尽管 6to4 中继路由器确实会对包进行封装和取消封装,但是这些路由器并不检查这些包中所包含的数据。
地址欺骗是通往 6to4 中继路由器的隧道中的主要问题。对于传入通信,6to4 路由器无法将中继路由器的 IPv4 地址与源 IPv6 地址匹配。因此,IPv6 主机的地址很容易被欺骗,6to4 中继路由器的地址也可能会被欺骗。
缺省情况下,6to4 路由器与 6to4 中继路由器之间不存在信任机制。因此,6to4 路由器无法识别 6to4 中继路由器是否受信任,或者甚至无法识别它是否是合法的 6to4 中继路由器。6to4 站点与 IPv6 目标之间必须存在信任关系,否则这两个站点会很容易受到攻击。
Internet 草案《Security Considerations for 6to4》中对这些问题和 6to4 中继路由器固有的其他安全问题进行了说明。通常,仅出于以下几种原因才考虑启用 6to4 中继路由器支持:
6to4 站点尝试与受信任的专用 IPv6 网络通信。例如,可以在由隔离的 6to4 站点和本地 IPv6 站点组成的校园网络上启用 6to4 中继路由器支持。
出于迫切的商业需求,6to4 站点需要与某些本地 IPv6 主机通信。
已实现了 Internet 草案《Security Considerations for 6to4》中建议的检查和信任模型。