随着互联网以及物联网的飞速发展,特别是发展中国家的经济崛起,对互联网IPv4地址产生极大需求,IPv4地址已经面临着不足的威胁。
IPv6是国际IETF互联网工程任务组设计的用于替代IPv4(现行版本IP协议)的下一代IP协议,IPv6将IPv4中32位的地址长度扩展到了128位,使用IPv6,可以让全世界的“每一粒沙子”都能分配到一个IP地址。
数据中心IPv6改造势在必行
2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》。2018年5月2日,工信部发文:工业和信息化部关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知。
主要包括:1、实施LTE网络端到端IPv6改造;2、加快固定网络基础设施IPv6改造;3、推进应用基础设施IPv6改造;4、开展政府网站IPv6改造与工业互联网IPv6应用;5、强化IPv6网络安全保障;6、落实配套保障措施。强化IPv6网络安全保障已经正式提上议程。
在未来的10年内,随着国家大力推进IPv6的升级改造,无论是云数据中心,还是企业自建数据中心,数据中心的IPv6改造都将成为其信息化建设的重头戏。数据中心IPv6改造,需要安全保障先行。
数据中心IPv6改造任重道远
数据中心IPv6改造是一项长期工作,需要有计划、分步骤实现。主要工作内容包括:管理认同、人员储备、技术方案三个方面。
管理认同。对于数据中心来说,IPv6改造是一项消耗精力和费用的项目,从前期调研规划、方案设计、预算采购、实施方案到最终落地,都需要多部门协调,管理层的认同和支持尤为重要。管理层主动推进的改造,有利于尽快明确系统更新换代的多方面需求,有利于最大化的利用现有设备,从而更加快速高效地推进IPv6改造进程。
人员储备。IPv6与IPv4是不同的网络协议,在运行原理、协议架构、网络配置、运维管理等诸多方面,都需要更新网络工程师的知识储备,这对数据中心是极大的挑战。
在无法确认人员能力的情况下,贸然启动改造工作会产生很多意外风险,如果没有实际的操作及管理经验,工程师又无法实现快速的学习和经验的积累。
因此,在改造过程中,除了做好改造前培训外,还要对现有系统分批次、分阶段进行改造,特别是先针对非关键部分改造,再对关键部分改造。边改造边培养人员。
技术方案。IPv6改造的技术问题纷繁复杂,涉及到诸多方面,需要认真准备、严谨谋划、精确部署。
针对数据中心的系统设备来说,首先需部署IPv4和IPv6双栈,再通过双栈逐渐转移到IPv6。IPv6的迁移必须保证在既有应用业务持续服务的基础上平滑地迁移到目标状态。
在IPv6的改造过程中,堡垒机扮演着数据通讯控制和安全保障的双重角色,为实现数据中心的IPv6改造,首先要实现堡垒机自身的IPv6改造。
数据中心IPv6改造工作涉及主机、数据库、网关、防火墙、各种服务器、交换机等设备,而堡垒机对这些设备承担着管理作用,因此,堡垒机的IPv6改造对于数据中心的IPv6改造工作至关重要。
总之,数据中心IPv6改造任重道远,是一场攻坚战,堡垒机IPv6改造则是这场攻坚战的突破口。IPv6改造需要从全局出发,不仅要培训人员,作好技术储备,还要尽早完成堡垒机的IPv6的改造工作。
堡垒机IPv6改造一马当先
堡垒机产品通过对用户进行统一实名管理、统一认证来控制用户访问主机的权限;通过记录用户对主机的操作行为,回放操作日志实现事后审计、监控用户会话,实现事中的监督与控制。
2006年以来,堡垒机产品先后支撑了建设银行、中信银行、民生银行、兴业银行、交通银行、广发银行、新疆农信社、天津滨海农商银行、太仓农商行、昆山农商行、兴业数字金融中心、中关村银行、大连银行、成都农商银行等多家银行数据中心,并广受好评。
目前,堡垒机已率先完成了自身产品的IPv6改造,主要包括:管理台子系统、门户子系统、堡垒机后台子系统等方面。堡垒机可同时支持IPv4设备和IPv6设备的运维。
数据中心IPv6改造三部曲
新版堡垒机,将为数据中心的IPv6改造工作提供有力支撑,从而助力数据中心IPv6改造工作的全面推进:
首先,通过堡垒机进行地址协议转换,数据中心可快速实现业务平台对外提供IPv6服务,利用堡垒机完成内网出口的改造。
其次,改造堡垒机内网业务平台软件以及数据库、Web服务器等支撑系统,逐步实现对双栈的支持,以及对堡垒机以外提供IPv6服务,在数据中心内,最终实现对堡垒机以外提供IPv6服务的能力。
最后,在对堡垒机的IPV6改造过程中积累了大量的经验,包括在堡垒机的内网建立仿真模拟网,试点进行IPv6改造等。待系统完善和稳定后,再逐步分区进行堡垒机内部网络和内部应用基础设施的IPv6改造。
数据中心IPV6相关文章阅读: