目前来说,主要是全局负载均衡与本地负载均衡厂家在进行配合与测试。
主要是分四个阶段进行:
第一阶段:公网逐步改造,公网逐渐进行IPv6的替换,此时应用交付可以通过NATPT(NAT44/NAT64)可实现将IPv6向IPv4自动切换,首先AD上发布IPv6业务地址,用户内网不做改动,适应运营商骨干网的业务改造。
第二阶段:内网逐步改造,内网逐渐进行IPv6的替换,业务内网并存IPv4和IPv6服务器,此时应用交付可以通过NATPT(NAT44/NAT66)实现IPv4和IPv6的业务转换,可同时兼容内网双栈改造。方便用户将IPv4、IPv6业务逻辑分离,可看出IPv6的业务分布情况和客户端流量等,便于服务器审计
第三阶段:内网改造完成,内网业务系统全面切换到IPv6,此时应用交付可以通过NATPT(NAT46/NAT66)可兼容骨干网上未改造完成的IPv4业务。
第四阶段:内外网完全改造,内网完全完成IPv6的替换,此时应用交付可以通过NATPT(NAT66)实现最终改造完成。
改造方式主要是2种:
改造方式一:在整个互联网出口边界最外侧进行改造,从运营商引入IPv6出口,增加网站域名对应IPv6地址的域名解析。在出口增加两台负载均衡做IPv6改造,将新增的IPv6线路连接到新增的负载均衡设备上,使用NAT-PT技术将访问业务系统的IPv6报文转换为IPv4报文,保证从负载均衡向内网业务系统方向出去的数据报文全部转换为IPv4的报文,实现的效果是负载均衡设备以上的网络运行IPv6和IPv4双栈,负载均衡以下的设备运行仅IPv4地址.
优点:改造实现简单,只需要出口网络设备和NAT设备(负载均衡)支持双协议栈即可,其他网络设备、安全设备以及业务系统无需调整。
缺点:1.端到端的安全性无法保证,在攻击溯源、流量审计等方面存在较大隐患,难以定位和具体封堵攻击源;
2.原有运行逻辑,业务流程,防护层次被打破,运行监控体系无法发挥效果。
改造方式二:从运营商引入IPv6出口,增加网站域名对应IPv6地址的域名解析。IPv6改造深入至业务边界,在业务负载均衡上配置IPv6虚地址(站点本地地址),在负载均衡设备上进行IPv6虚地址与IPv6实地址(全局单播地址)的一对一映射,在业务负载均衡上同时监听IPv4和IPv6的端口访问请求,通过业务负载均衡将IPv6访问请求转换为IPv4访问请求,发送给对应的业务系统。业务负载均衡设备及以上的网络运行IPv6和IPv4双栈,业务负载均衡设备及以下运行仅IPv4地址。
优点:1.改造实现难度适中,只需要业务负载均衡及以上设备支持双协议栈即可,其他网络设备及业务系统无需调整;