IPv6技术培训交流汇报课件.pptxVIP

IPv6技术培训交流

汇报PPT

XX有限公司

2022年X月

CONTENTS

目录

01

IPv6改造流程与演进

Addatitle

03

IPv6协议栈安全防护

Addatitle

05

IPv6协议管理与经验

Addatitle

02

IPv6规划与混合组网

Addatitle

04

IPv6技术革新与规避

Addatitle

IPv6改造流程与演进

01

一、IPv6改造流程与演进

IPv4向IPv6演进将存在一个较长的过渡期，在某些特定环境下，直接升级双栈可能存在条件不成熟、系统复杂、耗时较久、网络风险较大等情况。这时可以采用“地址转换/协议转换”过渡技术，实现网站对IPv6用户访问的支持。

IPv6转换技术改造流程

边界部署v4/V6转换设备，同时接入v4和v6地址，全球IPv6用户在访问域名时，解析为AAAA地址，由内部转换设备提供转换功能，实现v6tov4的过渡，提供可正常访问的数据报文。

IPv6转换技术的特点

一、IPv6改造流程与演进

网络层改造

设备层改造

业务层改造

代码层改造

制定IPv6网络升级规划，接入IPv6带宽，获得IPv6地址，制订内部IPv6地址DHCP策略。

所有硬件设备均需支持IPv6，全部开启IPv6协议栈。

对网站代码不能运行IPv6协议栈的部分进行修改。

前后台业务管理系统、数据库系统、网络安全系统、应用系统支持同时运行IPv4/IPv6双协议栈。

IPv6双栈技术改造流程

IPv6改造流程涵盖对全系统整体升级改造，全部软硬件设备同时运行IPv4和IPv6两类协议栈，并能及时处理两类数据报文，实现同时支持IPv6和IPv4访问

一、IPv6改造流程与演进

过渡阶段

双栈阶段

纯IPv6阶段

IPv6是互联网演进升级的必然趋势，在从IPv4向IPv6演进的过程中，web网站支持IPv6的升级路线，将经历以下三个阶段。

升级所有软硬件设施，同步支持IPv6技术并与v4共存从而实现双栈。

为降低投入成本，对于不支持IPv6的设备，在边界可配备转换设备。

业务及代码层面推动IPv6-only协议，仅支持v6，少量v4逐步剔除化。

01

02

03

IPv6改造演进

IPv6规划与混合组网

02

二、IPv6规划与混合组网

网络层面

设备层面

业务层面

代码层面

互联网出口带宽IPv6接入，合理规划IPv6地址。使用IPv6静态地址或自有IPv6地址接入运营商BGP网络。

理清现网设备支持IPv6情况，排查交换机和安全设备以及哑终端的IPv6授权，明确清单和预算。

操作系统全面启用IPv6协议，排查数据库、中间件、云平台是否支持IPv6，对旧版本的业务进行升级。

网站代码、业务系统代码、应用系统的代码进行修改，API接口、数据库函数调用等全部支持IPv6协议。

规

划

IPv6

二、IPv6规划与混合组网

网络架构

复用IPv4原有网络架构拓扑，在三层接口开启IPv6功能，配置动态路由协议实现IPv6数据交互。

安全防护

安全设备同时启用IPv4和IPv6两类策略，对于不同策略配置分组。

业务系统

对于老旧版本的业务系统进行整体升级，精准估计，多部门共同协作。

IPv6混合组网-双栈解决方案

从三大维度实现混合组网，最大程度复用现网络架构，将业务影响最小化。同时对安全策略实施分组区分，对IPv6单独划分组别。业务系统全面升级为支持IPv6协议。

IPv6协议栈安全防护

03

三、IPv6协议栈安全防护

IPv6报头

安全威胁

ICMPv6协议

安全威胁

IPv6地址

安全威胁

在IPv4网络向IPv6网络的逐步迁移和过渡中，IPv6网络除了面临协议、机制自身存在的安全问题，还需应对IPv4向IPv6迁移过程中存在的安全威胁，且目前针对IPv6网络的攻击案例呈现逐步递增趋势。

IPv6网络安全威胁分析

邻居发现协议

安全威胁

地址自动配置

安全威胁

过渡机制

安全威胁

安全威胁

IPv6

图1IPv6防护集群拓扑图

图2IPv6安全威胁架构图

三、IPv6协议栈安全防护

IPv6网络安全防护建议

IPv6网络知识及安全威胁培训

IPv6协议应用漏洞挖掘与修补

IPv6网络防护设备与产品升级

IPv6与v4共存网络的综合防护

当前IPv6研究主要侧重于IPv6组网部署、升级改造与协议测试等，有关IPv6环境下的网络威胁和安全防护的研究相对匮乏，主要关注地址隐私保护、真实源地址验证、安全标准制订、网络实体身份行为关联、安全风险框架等方面。为更好防范IPv6网络部署可能带来的安全威胁，保障IPv6网络与