IPv6环境下企业网的部署与安全策略朱庆军[摘要]本文首先分析了在当前企业环境下，通信网络从IPv4朝向IPv6实现迁移的过渡，然后在此基础之上讨论了IPv6的安全部署策略，对于深入认识IPv6网络环境的相关特征，促进企业发展有着一定的积极作用。[关键词]IPv4；IPv6；企业网；安全doi：10.3969/j.issn.1673-0194.2016.06.045[]TP393.08[]A[]1673-0194（2016）06-00-01在信息环境日益发达的今天，企业对通信网络的依赖也日益突出。通信网络体系在企业环境中的拓展，一方面体现为更为庞大和多样化的数据不断涌现，另一方面也意味着物联网等新型应用模式的出现。这几个方面的发展特征，都成为推动互联网协议第六版（InternetProtocolVersion6，IPv6）加速深入到企业通信环境中的重要因素。1企业网向IPv6协议网络过渡的策略互联网协议第四版（InternetProtocolVersion4，IPv4）自诞生开始，一直都以简洁和高效著称，并且多年来推动网络环境的繁荣和发展。随着网络环境的不断进化，IPv6开始登上历史舞台，其针对IPv4的不足，在地址资源以及寻址能力等多个方面都进行了显著改善，尤其在安全以及对于移动网络环境的支持方面尤其突出。但是对于企业环境而言，从IPv4向IPv6的进化本身必然面临一个相对动荡的时期，对应地，国际互联网工程任务组（TheInternetEngineeringTaskForce，IETF）给出了3种主要的过渡迁移机制，即双协议栈、协议翻译和隧道。双协议栈过渡方式指网络环境中的各个网络节点同时对IPv4和IPv6两种协议实现支持，从而网络可以从使用层面实现从IPv4到IPv6的平稳过渡。但是从技术角度看，此种工作方式要求网络环境中的每个节点持有两个地址，一个处于IPv4体系之下，另一个则处于IPv6体系之下，因此会导致一定程度上网络结构趋于复杂，并且IPv4及IPv6两个系统之下的主机间的通信也会因此被限制。协议翻译是指在网络环境中，利用协议网关执行对于数据包的转换，使两种协议之下不同网络节点之间能够实现有效地通信。当前常用的协议翻译为NAT-PT，其能够面对IPv4及IPv6实现互通，并且在应用层协议无需修改的环境之下即可执行，对于网络环境的支持和重建有着积极价值，但是此种翻译机制本身会破坏端对端的数据传输服务，因此其应用受到一定的限制。隧道技术是指在既有的IPv4网络环境中部署出一个能够实现IPv6业务的隧道，从而在现有的网络环境中同时实现两种数据包的通信。当前该领域的技术已经相对成熟，包括MPLS、ISATAP以及隧道代理等多种技术都可以用于隧道的实现。2IPv6网络体系下的安全策略在当前企业环境中，尤其对于大型的企业网络而言，通常其异构特征会影响到不同协议支持的功能以及应用展开和实施情况。这些特征直接影响到企业环境中各个部门之间的信息流动，因此在IPv6协议支持下，多节点的协同机制以及安全策略必然成为通信环境的重点。对于IPv6协议网络环境来说，其提供了一个可扩展的分布式框架来发现、协商和管理IPSec策略，是IPSec策略管理的目标，其核心价值在于实现一种能够适应大量IPSec应用的方式来控制安全策略，此种方式远远优于单独的SPS。而对于大型IPv6网络而言，由于地址空间大大扩容，因此安全策略的不一致状况更容易发生，必须引起足够重视。具体而言，对于大型企业网的IPv6网络环境安全问题，有以下两个方面需要重点关注。首先，在于网络的多节点划分。多节点协同机制作为网络环境中重要的安全策略，通常需要注重三个方面的重要原则。第一，要依据企业网络环境自身需求进行域的划分；第二，要依据网络拓扑结构展开对应的划分；第三，要对安全需求和网络拓扑结构两个方面展开综合衡量，尽量减少跨域的安全需求。而安全需求则需要进一步展开对域内以及域间安全策略的分析。在域内环境中，要在执行策略时注重目标策略的主要方向，实现对执行策略和目标策略的查询支持，以及对域内安全节点策略信息的有效管理和维护，并对于目标策略发生冲突的情况展开及时的信息反馈。与此同时，在域间环境中，对于邻域的策略信息不能实现直接的干涉修改，但是对于变更所需的策略可以同时邻域，由其对应的策略管理职能实现维护和修正。此外还需要支持面向邻域展开对应策略...