IPv6來臨 企業如何因應

2011-05-05
今年二月,負責全球網際網路位址分配的單位IANA(Internet Assigned Numbers Authority)正式宣佈將最後五個/8網段IPv4發放給北美、亞太、歐洲、拉丁美洲以及非洲等五大網址分配單位RIR(Regional Internet Registry),而就在不久之前(四月中旬),亞太網路中心APNIC(Asia-Pacific Network Information Centre)宣佈已釋出最後一個/8網段的IPv4網址,顯見亞太地區將會成為第一個耗盡IPv4位址的地區。  

IPv4位址耗盡,對於企業的衝擊是什麼?企業網路又該如何因應?目前市場現況如何?ISP與設備供應商、還有企業對於此一現況的認識度如何?讓我們繼續看下去。  

IPv4與IPv6不相容所帶來的問題 

當IPv4位址發放完畢時,企業將面臨的問題主要來自於IPv4與IPv6兩者無法相互溝通,最首當其衝的部份,即是IPv6使用者無法存取IPv4網路,換言之,就算企業認為不須轉換到IPv6,也必須思考企業所提供的網路服務能否繼續運行。這不僅只影響到如企業官方網路無法運作,像是VoIP、視訊會議等,都會是問題。此外,當IPv4位址發放完畢之後,企業若想擴大網路服務與應用,就得申請IPv6位址,屆時將會連企業內部的服務都無法相容,既有網路設備與新佈建的網路設備要如何整合搭配使用,都是企業接下來在採購與部署網路時所必須思考的環節。  

Blue Coat技術總監曾良駿表示,企業必須同時維持IPv4既有投資,而又要擁有IPv6的專業技能來規劃與部署IPv6網路與安全,然而IPv6的問題才剛浮現,一方面企業對於IPv6尚未感到需求急迫性,另一方面該專業技術的人才也還有所不足。而Arbor Networks也於日前調查大型電信服務業者結果顯示,技術問題加上使用者缺乏採用意願,還有IPv6沒有充足的內容,都是導致使用者與ISP業者意興闌珊的原因之一。曾良駿也表示:「其實國內電信業者開始部署IPv6已有一段時間,但在市場推動上需要改變思維,缺乏內容吸引力,企業很難買單。」  

市場現況、資安變化與企業因應之道 

其實,現在電信服務業者已開始研究與部署IPv6,加上國內ISP業者都已經先行囤積了些IPv4位址,短時間內台灣的企業還不會面臨IPv4位址殆盡的景況。然而,誠如前述所言,企業仍須評估現有網路設備與未來網路服務擴充性與相容性的問題,也因此,目前大多數設備供應商所推出的新產品,已紛紛標榜可支援IPv6,企業在未來評估採購時也可多加留意。  

台灣思科客戶解決方案顧問錢小山也認為,企業必須先對既有設備進行評估清點,包括有哪些設備可相容IPv6、哪些不行;設備記憶體大小、效能與功能等等,這些都關係到後續是否能轉換與IPv6相容、以及應該採用何種轉換方式。「清點與評估主要是為了決定後續要如何轉換與IPv6結合,背後的技術需求複雜,建議企業可向設備供應商尋求採購協助盤點與評估的服務方案。」  

曾良駿也表示,企業部署IPv6所面臨的問題,很大一部分來自於缺乏IPv6專業技能,諸如缺少漸進式部署規劃、缺少維運經驗(不知道如何著手控管)、對於IPv6投資回報難以評量(不知道應該投資多少才足夠),這些問題都足以讓企業對於IPv6產生卻步。顯見設備與服務供應商未來在IPv6所需要提供的協助規劃建置與管理的服務將會佔重要性角色。  

除了網路設備之外,與網路息息相關的網路資安防護同樣受到挑戰。Fortinet台灣區技術顧問劉乙表示,惡意攻擊也將會以IPv6作為新的目標,像是利用惡意程式將VoIP連線佔滿、或者是IPv6垃圾郵件攻擊等等,「企業須留意的是,當採購的是多功能整合性的安全設備時,是否每項功能都能支援IPv6,或僅只有部分功能支援。設備供應商應該要將所有功能是否支援IPv6都標示清楚,才不會造成企業採購與實際使用上的落差。」而就在不久之前,網路上也發生了駭客利用IPv4外包IPv6網址執行中間人(man-in-the-middle)攻擊,可見IPv6時代還沒真正到來,駭客卻已經蓄勢待發。  

各有優劣的轉換技術 

那麼,IPv4到底要怎麼和IPv6相互轉換與溝通呢?目前主要能夠將IPv4移轉IPv6的技術,包括Dual Stack(雙協定化)、Tunneling(穿隧技術)以及Translation(轉換機制)等三種技術方法。Dual Stack雙協定化顧名思義就是所有網路設備都須具備IPv4與IPv6能力,錢小山表示,這種技術方式困難點在於中間不能有任何一台機器設備是不具備Dual Stack能力的產品,否則就無法順利轉換。此外,這種技術也必須在每個節點上同時佔用一個IPv4與IPv6位址以達到轉換目的,因此耗用資源也增加網路與管理複雜性。  

Tunneling穿隧技術指的則是在網路兩端建置雙協定化設備,中間傳輸過程則建立虛擬網路隧道,以IPv4包裝IPv6封包,進行傳輸,到達傳送端點時再拆解成原有的IPv6,如此一來,傳輸過程中間的節點設備即可不需支援IPv6也可傳遞。「但與雙協定化技術相同,這種技術也必須事先評估所有網路設備對於IPv4與IPv6的支援性。」且單就只穿隧技術來說,僅能解決IPv6與IPv6中間傳輸的問題,如果要連同IPv4與IPv6互通的問題,則必須搭配雙協定化的技術一起使用。  

舉例來說,企業內部可將系統設備區分成IPv4與IPv6區塊,IPv6區塊與外部網路或其他系統銜接的網路設備,即可以雙協定化的網路設備進行銜接。另外,曾良駿也表示,由於穿隧技術必須以封包添加封包標頭的方式傳遞,網路效能必然會受到影響,這也是穿隧技術的缺點之一。  

而至於Translation轉換技術,即是藉由NAT-PT(Network Address Translation-Protocol Translation,地址翻譯/協定翻譯)來讓純IPv4與純IPv6可相互翻譯溝通,錢小山表示,Translation轉換技術的好處即在於可讓IPv4與IPv6相互溝通,而另外兩種技術都僅能提供IPv4與IPv4以及IPv6與IPv6各自溝通傳遞,所以轉換期可縮到最短。但該技術的缺點是並非所有應用都能以轉換技術進行轉換。  

曾良駿即舉例表示,轉換技術可讓IPv4與IPv6封包位址相互轉換與傳遞,但無法判斷封包內容,於是封包負載(Payload)欄內的位址並未被辨識與轉換,諸如FTP等需要傳遞Payload內位址資料的應用程式,就必須另外加裝AGL(Application Level Gateway,應用層閘道器)以提供轉換能力,對於企業應用來說反而造成管理上的不便利性與更高的建置成本。  

正因為三種技術各有其先天上的優劣勢,錢小山最後表示,企業在因應IPv6部署建置時,還是應該要先從既有設備以及網路環境開始評估,既有設備的支援性與規格,以及網路環境的應用與企業服務的需求等,都將影響企業採用何種技術來解決IPv4與IPv6的問題。  

不難看出,無論是對於企業、電信服務供應商以及設備供應商,IPv6時代的腳步正在逼近,對於全球網路架構都將掀起新的浪潮,企業若能越早開始正視此一轉變並且著手規劃因應措施,相信能夠越早站上浪頭掌握新的網路方向。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!