【51CTO.com 綜合消息】IPV6時代到來

2011年2月10日，全球互聯(lián)網(wǎng)IP地址相關管理組織發(fā)出正式通告，現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當天分配完畢。中國互聯(lián)網(wǎng)絡信息中心(CNNIC)方面也確認，IP地址總庫已于過年期間正式枯竭。

6月8日世界IPv6日這天，400多家運營商、企業(yè)和機構參與了IPv6試運行測試，未發(fā)現(xiàn)任何重大事故。之后，Google、Facebook、Yahoo等互聯(lián)網(wǎng)巨頭宣布將在他們自己的主要網(wǎng)站上永久支持IPv6訪問。

國內(nèi)IPV6的發(fā)展業(yè)已取得長足進步，各大運營商都在積極備戰(zhàn)，紛紛推出商用IPV6網(wǎng)絡。下一代互聯(lián)網(wǎng)絡已經(jīng)成為中國信息化發(fā)展的戰(zhàn)略性任務。

IPV6時代真的要來了！?。。?！

IPV6帶來的變化

IPv6是IETF設計的用來替代現(xiàn)行的IPv4協(xié)議的下一代網(wǎng)絡標準，IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進。 

◆地址容量大大擴展，由原來的32位擴充到128位，徹底解決IPv4地址不足的問題； 

◆報頭格式大大簡化，從而有效減少路由器或交換機對報頭的處理開銷，這對設計硬件報頭處理的路由器或交換機十分有利；  

◆服務質量(QoS)提高，流標簽的使用讓我們可以為數(shù)據(jù)包所屬類型提供個性化的網(wǎng)絡服務，并有效保障相關業(yè)務的服務質量；  

◆認證與私密性，IPv6把IPSec作為必備協(xié)議，保證了網(wǎng)絡層端到端通信的完整性和機密性；  

◆地址的結構層次更加優(yōu)化，從而減小路由表的大小，并且可以通過地區(qū)本地地址和選路控制來定義某個組織的內(nèi)部網(wǎng)絡。 

◆更容易配置和部署，只要機器一連接上網(wǎng)絡便可自動設定地址。它有兩個優(yōu)點。一是最終用戶用不著花精力進行地址設定，二是可以大大減輕網(wǎng)絡管理者的負擔。

IPV6的安全解決方案

為了解決IPV4在數(shù)據(jù)安全上面的不足，IPV6協(xié)議將IPSec集成到協(xié)議內(nèi)部，從此IPSec將不再單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPV6的各個領域。

IPsec使用兩種安全協(xié)議來加強IP協(xié)議的安全性： IP認證頭（Authentication Header，AH）協(xié)議和封裝安全負載（Encapsulating Security Payload，ESP）協(xié)議，完全實現(xiàn)了數(shù)據(jù)傳輸過程中的完整性、保密性、無可抵賴性。為了實現(xiàn)AH和ESP的功能，還要有相關的密鑰管理協(xié)議實現(xiàn)密鑰的預共享。

借助集成的IPSEC協(xié)議的安全特性，IPV6協(xié)議本身可以實現(xiàn)IPV4+IPSEC數(shù)據(jù)傳輸安全解決方案的所有特性。同時由于IPSEC協(xié)議本身仍然只是專注于網(wǎng)絡層安全，而忽略應用層安全和服務可用性，所以IPV6安全方案也延續(xù)了IPV4+IPCEC方案在與應用緊密結合方面的弱點。

IPV6 vs IPV4+IPSEC vs SSL

在當前網(wǎng)絡中，主要存在兩種數(shù)據(jù)傳輸安全解決方案，IPSEC VPN和SSL VPN。由于SSL VPN在應用相關、細粒度授權以及部署便捷等方面的優(yōu)勢特點，越來越成為用戶安全接入領域的首選方案。

在下一代IPV6網(wǎng)絡中，基于集成的IPSEC協(xié)議，在移動安全接入方面徹底擺脫了原有的客戶端方式，提高了易用性和簡便性，但是由于協(xié)議本身工作在網(wǎng)絡層面，無法和應用緊密結合，更不用說基于應用的訪問控制、多重認證方式、細粒度授權、應用負載等功能特性。所以仍然無法替代SSL VPN在用戶業(yè)務網(wǎng)絡中的重要作用。

IPV6時代的SSL VPN

在IPV6網(wǎng)絡中，各種產(chǎn)品都需要做出調(diào)整以適應變化，SSL VPN 系統(tǒng)也同樣面臨著挑戰(zhàn)，除了保持原有接入、認證、授權、訪問控制等功能外，還需要全面適應IPV6網(wǎng)絡帶來的各種新變化：

1、IPV6終端接入

IPV6網(wǎng)絡發(fā)展，終端的IPV6支持首當其沖，而SSL VPN系統(tǒng)作為實現(xiàn)終端安全接入的首選方案，對于支持IPV6協(xié)議的終端要求能夠實現(xiàn)輕松接入。

2、IPV6業(yè)務發(fā)布

在IPV6網(wǎng)絡中，服務應用全部工作在IPV6協(xié)議之上，SSL VPN系統(tǒng)中基于應用的業(yè)務發(fā)布、細粒度授權和訪問控制等功能，都和這些服務應用息息相關，所以要求SSL VPN系統(tǒng)能夠發(fā)布基于IPV6協(xié)議的服務應用。

3、雙棧工作

IPV4網(wǎng)絡向IPV6網(wǎng)絡遷移的過程不會是一蹴而就的，會有很長一段時間是IPV4和IPV6并存的階段，兩套協(xié)議將同時使用，目前解決該問題的最好方法就是雙棧。所謂雙棧(Dual IP Stack) ,就是在一個系統(tǒng)(如一臺主機或一臺路由器) 中同時使用IPv6/ IPv4 兩個可以并行工作的協(xié)議棧。在雙棧的工作環(huán)境匯中，就要求SSL VPN設備支持雙棧，即可以同時接入分別工作在V6和V4協(xié)議棧的終端，也可以同時發(fā)布基于V6和V4的業(yè)務應用。

4、協(xié)議轉換

在IPV6和IPV4并存的網(wǎng)絡中，網(wǎng)絡設備具備除了雙棧機制外，還要求可以實現(xiàn)IPV4和V6之間的協(xié)議裝換。作為接入網(wǎng)關，具備IPV6功能的SSL VPN設備要求能夠平滑實現(xiàn)不同協(xié)議棧的終端和應用服務之間的靈活訪問。

網(wǎng)神新一代SSL VPN安全接入網(wǎng)關全面支持IPV6

網(wǎng)神新一代SecSSL 3600網(wǎng)關是網(wǎng)神SSL VPN核心研發(fā)團隊在近10年的SSL VPN研發(fā)經(jīng)驗和對SSL VPN具有深入的研究的基礎上，研發(fā)出的一款面向企業(yè)、電信級用戶網(wǎng)絡核心應用的產(chǎn)品設備。

網(wǎng)神SSL VPN產(chǎn)品全面支持IPV6協(xié)議： 

◆產(chǎn)品自身支持基于IPV6的網(wǎng)絡配置和管理，可以無縫的部署在IPV6網(wǎng)絡中； 

◆產(chǎn)品支持IPV4和IPV6客戶端的代理和NC模式實現(xiàn)網(wǎng)絡安全接入，支持雙棧工作和IPV4 和V6之間的協(xié)議轉換； 

◆產(chǎn)品可以同時發(fā)布工作在IPV6和IPV4協(xié)議之上的應用服務； 

◆產(chǎn)品可以與工作在IPV6協(xié)議上的認證服務器和日志服務器配合工作。

基于以上功能，網(wǎng)神SSL VPN系統(tǒng)給用戶提供了一套可以完美工作在IPV6時代的安全接入解決方案。