IPv6技术培训交流汇报课件.pptx
IPv6技术培训交流
汇报PPT
XX有限公司
2022年X月
CONTENTS
目录
01
IPv6改造流程与演进
Addatitle
03
IPv6协议栈安全防护
Addatitle
05
IPv6协议管理与经验
Addatitle
02
IPv6规划与混合组网
Addatitle
04
IPv6技术革新与规避
Addatitle
IPv6改造流程与演进
01
一、IPv6改造流程与演进
IPv4向IPv6演进将存在一个较长的过渡期,在某些特定环境下,直接升级双栈可能存在条件不成熟、系统复杂、耗时较久、网络风险较大等情况。这时可以采用“地址转换/协议转换”过渡技术,实现网站对IPv6用户访问的支持。
IPv6转换技术改造流程
边界部署v4/V6转换设备,同时接入v4和v6地址,全球IPv6用户在访问域名时,解析为AAAA地址,由内部转换设备提供转换功能,实现v6tov4的过渡,提供可正常访问的数据报文。
IPv6转换技术的特点
一、IPv6改造流程与演进
网络层改造
设备层改造
业务层改造
代码层改造
制定IPv6网络升级规划,接入IPv6带宽,获得IPv6地址,制订内部IPv6地址DHCP策略。
所有硬件设备均需支持IPv6,全部开启IPv6协议栈。
对网站代码不能运行IPv6协议栈的部分进行修改。
前后台业务管理系统、数据库系统、网络安全系统、应用系统支持同时运行IPv4/IPv6双协议栈。
IPv6双栈技术改造流程
IPv6改造流程涵盖对全系统整体升级改造,全部软硬件设备同时运行IPv4和IPv6两类协议栈,并能及时处理两类数据报文,实现同时支持IPv6和IPv4访问
一、IPv6改造流程与演进
过渡阶段
双栈阶段
纯IPv6阶段
IPv6是互联网演进升级的必然趋势,在从IPv4向IPv6演进的过程中,web网站支持IPv6的升级路线,将经历以下三个阶段。
升级所有软硬件设施,同步支持IPv6技术并与v4共存从而实现双栈。
为降低投入成本,对于不支持IPv6的设备,在边界可配备转换设备。
业务及代码层面推动IPv6-only协议,仅支持v6,少量v4逐步剔除化。
01
02
03
IPv6改造演进
IPv6规划与混合组网
02
二、IPv6规划与混合组网
网络层面
设备层面
业务层面
代码层面
互联网出口带宽IPv6接入,合理规划IPv6地址。使用IPv6静态地址或自有IPv6地址接入运营商BGP网络。
理清现网设备支持IPv6情况,排查交换机和安全设备以及哑终端的IPv6授权,明确清单和预算。
操作系统全面启用IPv6协议,排查数据库、中间件、云平台是否支持IPv6,对旧版本的业务进行升级。
网站代码、业务系统代码、应用系统的代码进行修改,API接口、数据库函数调用等全部支持IPv6协议。
规
划
IPv6
二、IPv6规划与混合组网
网络架构
复用IPv4原有网络架构拓扑,在三层接口开启IPv6功能,配置动态路由协议实现IPv6数据交互。
安全防护
安全设备同时启用IPv4和IPv6两类策略,对于不同策略配置分组。
业务系统
对于老旧版本的业务系统进行整体升级,精准估计,多部门共同协作。
IPv6混合组网-双栈解决方案
从三大维度实现混合组网,最大程度复用现网络架构,将业务影响最小化。同时对安全策略实施分组区分,对IPv6单独划分组别。业务系统全面升级为支持IPv6协议。
IPv6协议栈安全防护
03
三、IPv6协议栈安全防护
IPv6报头
安全威胁
ICMPv6协议
安全威胁
IPv6地址
安全威胁
在IPv4网络向IPv6网络的逐步迁移和过渡中,IPv6网络除了面临协议、机制自身存在的安全问题,还需应对IPv4向IPv6迁移过程中存在的安全威胁,且目前针对IPv6网络的攻击案例呈现逐步递增趋势。
IPv6网络安全威胁分析
邻居发现协议
安全威胁
地址自动配置
安全威胁
过渡机制
安全威胁
安全威胁
IPv6
图1IPv6防护集群拓扑图
图2IPv6安全威胁架构图
三、IPv6协议栈安全防护
IPv6网络安全防护建议
IPv6网络知识及安全威胁培训
IPv6协议应用漏洞挖掘与修补
IPv6网络防护设备与产品升级
IPv6与v4共存网络的综合防护
当前IPv6研究主要侧重于IPv6组网部署、升级改造与协议测试等,有关IPv6环境下的网络威胁和安全防护的研究相对匮乏,主要关注地址隐私保护、真实源地址验证、安全标准制订、网络实体身份行为关联、安全风险框架等方面。为更好防范IPv6网络部署可能带来的安全威胁,保障IPv6网络与