2011年4月7日,“2011年全球IPv6高峰会议”正式召开。
主持人:谢谢,下面有请IPv6首席科学家兼高级技术专家、Blue Coat系统公司李庆先生。
李庆:大家好,去年跟大家分享的是我们在Blue Coat系统,通过一年我们通过客户群应用IPv6原因和部署计划方式进行分析中总结出这些IPv6现有采用情况,只是实际部署,部署系统。大家可以看到我们这个客户群代表典型大型企业,还有大型运营商在北美,日本,欧洲都有,现在使用我们技术有香港政府,也有美国,联邦和地方政府,我们这个数据对现在进行或者即将进行部署IPv6系统有很高的参考价值,原因是我们这些案例全部都是在大型企业上应用,得到验证一些实际部署方案。很多客户问这个问题,我购买IPv6这些设备,我是不是已经可以很完全过渡到迁移到IPv6,这个问题我们可以做一个很简易解答,比如说你有IP地址Windows计算机,访问一个IPv6视频网站,但是这个Windows无法理解SP,有效载荷中IPv6地址,所以这个应用层不兼容导致访问失败。
面临其中一个问题就是说从商业角度,迁移不能阻碍企业操作对它操作有任何的妨碍,还有整个投资方向有一定保护。我们现在也知道很多IT还有网管人员对IP技术和协议理解上并不缺欠,不是说IPv6专家大多数缺乏实际IPv6应用生产网络运维管理的经验,如果在避免再迁移引入安全风险是非常重要,我们从IPv4迁移到IPv6,把网络安全入口打开,会带来很多网络安全上的威胁,会导致企业不会很迅速接受IPv6这个技术。
这个迁移方案要求都有哪些,有从技术角度讲,我们回到上一个投影片中的例子,我们必须采用这些智能设备,就是分别以原生IPv6理解服务给客户,才能实现Windows成功访问IPv6视频,在这个迁移过程,一定要保障企业在经营时候不受任何阻碍,我们也知道IPv6灵活性还有移动性,解决方案提供强大并且灵活策略,才能提供IPv4等效安全还有管理策略,我们通过我们的客户可以认可这个代理是经过实际部署验证,还有我们都是客户认可这些解决方法。
所以如果这个企业运营商,政府,他们如果能很快接受IPv6这个技术必须在短期时间之内要把这个应用层和服务层迁移到IPv6,我们也知道从2000年讨论到骨干网迁移,现在把所有应用层软件还有服务转移大IPv6的话,这个要求是非常不实际,在应用层很多应用层软件还有服务有互相依赖性和相关联这些部位,你有一个应用迁移到IPv6,并不等于解决了这个迁移问题在使用当中。如果我们要很快迁移到IPv6需要非常迅速还要同时要维护这个IPv4和IPv6并存的时期,但是这个期间,就算是很多设备,还有架构上是双栈IPv4和IPv6并存。
但是这些企业还是需要维护现有IPv4网还要上面增加他的这些现有的价值,所以成本投入成本很高,但是效益比较低。我们从客户应用我们IPv6这些技术中总结出一些其他方面采用IPv6的原因,比如说索尼是我们在日本最大企业客户,已经在日本成功实施IPv6部署,现在开始在美国,欧洲用同一个IPv6部署策略,全球推广它的部署,在美国我们客户HP在网络中启用IPv6主要原因评估网络架构,现有IPv6知识状态,这样可以进一步的探讨全面策划提供一些数据,可以把计划做得更完美。
在日本NTT运营商是我们全球最大一个运营商客户,这个NTT有很多不同部门,现在通过我们技术想把IPv6中一些新兴应用作为增值服务卖给他的这些企业客户。我们另外一个客户就是NTTCOM把现有IPv6在IPv6上提供IPTV服务内容卖给现有IPv4客户群。我们最近发现有很多运营商提到在企业当中很多企业这些员工,用ipad等,移动设备侵入企业可以说是成为这些不可避免趋势,所以在美国我们帮助AT&T帮助企业移动业务做准备,同时在美国政府,我们也帮助美国政府希望6月8日以前将政府官方网站内容在IPv6上发布。
我们公司Blue Coat怎么迎接这个IPv6日把位于各地研发中心通过隧道连接方式跟总部联结在一起,我们IPv6这些线是从NTT购买过来把研发部门跟我们总部连接在一起,可以把开发出来的软件进行很有效测试,做一个测试平台。我们现在把我们很多服务器比如说FTP服务器架构在IPv6骨干网,Blue Coat现有IPv6客户可以通过这个IPv6网络从我们服务器上进行软件更新,我们也把我们自己服务器放我们骨干网上把现有的安全云服务迁移到IPv6骨干网,同时也在我们企业内部公司本身部署IPv6视频与协同应用,主要是想提高IP管理方面效益,降低成本。
然后,可以加强与合作伙伴联系,这是一个NTT为我们提供他们部署的案例,你们可以看到很多增值服务现在是提供IPv6骨干网上,尤其是宽带电视,现有NTTIPv6客户需要购买它的一些专有IPv6视频设备,通过Blue Coat IPv6我们帮助NTT把现有视频宽带电视内容卖给现有IPv4客户群,也是反之亦然,所以新的IPv6客户群纯IPv6客户群同时通过我们服务器连接到现有的IPv4服务上面。
我们做一下总结,通过这些客户群我们看到IPv6这个部署方式,由5个代表部署一个显示,透明,正向代理,反向代理,有些客户索尼还有NTT已经把故障切换要求变成一个必须的要求,设备必须要求,所以在部署IPv6骨干网必须有这个故障切换功能,因为Blue Coat设备技术支持非常丰富的协议,为了让各位更直观了解我们Blue Coat核心技术,我通过以下几个实例介绍以下我们在客户群中部署IPv6的一些典型的方式。这个例子就是说把现有IPv4提供给新的IPv6用户,这个是一个非常典型的所谓反向代理部署方式,大家可以问大这个问题我们怎么达到这个架构呢,怎么连接把纯IPv6客户连接到纯的IPv4服务器上。
给大家一个例子,左手我们看到客户终端只有IPv4的地址,右手服务器web服务器架构IPv4主干网也只有IPv4地址,我们说了很多时候,迁移一定要考虑到内容的迁移,服务的迁移和应用的迁移,如果纯IPv6客户端要访问纯IPv4,web服务器只会请求DNS这个记录请求出去,DNS服务器回报一个IPv6地址可能是虚拟地址,第三步要拿到这个地址以后提出请求,这个请求会通过我们服务器这个时候我们会做终结,然后通过设置策略重新用DNS请求IPv4地址下载IPv4内容,再把这个内容提供给客户。
从这个客户角度讲,终端不需要有IPv4地址也不需要做任何特殊的软件的增加在他的主机上面,所以对客户IPv6应用是非常透明的应用,这个是一个典型的显示代理部署,无论您客户是纯IPv4或者纯IPv6,无论应用是纯IPv4还是纯IPv6,通过Blue Coat显示器可以实现相互访问,对于双栈主机,Blue Coat技术可以靠策略,管理人员可以设置策略来选择优先访问IPv4还是IPv6,有一点需要提出来,显示代理模式下,需要在浏览器中配制IPv4地址。
这是一个比较典型的透明代理部署,在透明代理部署模式之下,用户不需要做任何的额外设置,可以实现与显示代理同样这些功能, 需要注意不是所有应用层协议和软件都可以通过透明代理方式来达到纯IPv4或纯IPv6连接,所以这个透明代理支持协议是有限的。帮助这些客户做IPv4到IPv6迁移中我们碰到过很多问题,这些问题是客户提出来,我们通过很长时间做一些研发,很多非常有挑战性课题出现过,如果做到完全透明,下一页会讲一个例子,很多客户化应用需要很多时候要重新设计改写,没有重新设计改写我们没有办法做代理的服务。
还有一点就是说在迁移过程中,怎么样可以迁移现在这个网络管理和安全策略,很多时候很多管理人员认为做策略安全迁移只是说很轻易把它从IPv4翻译到IPv6并不是这么简单,很多策略在以IPv4地址为主策略,在IPv4上非常不适合,很多时候应用是通过分析这个策略要达到的目的,然后在IPv6骨干网重新改写,有的时候从IPv4一个策略在IPv6有4、5个策略才能达到目前,IPv6地址是非常多,所以这些用户是需要终结洞察管理IPv6加码流量。
我们大的客户比如说索尼等他们是跨国大公司,世界各地有他们分公司,在IPv6基础上我们需要提供应用层和服务层加速,还有在初期做IPv6骨干网部署的时候,我们也发现很多互联网还有联网上问题,被IPv6加大了,给大家举一个例子,我刚才也提到过在部署IPv6骨干网的时候,故障切换功能是非常重要的,因为每一个客户都提出这个要求,第一个很复杂问题就是说怎么样可以做到全透明,就是说把用户跟最终服务器连接在一起,这个例子可以看到,如果你访问一个web服务器,这个网站内容可能是从多处提供这个内容,这个内容来自不同动态连接,可能是IPv4连接也可能是IPv6连接,一个请求可能会转换成40到80不同请求,如果你用户端比如说用户端是纯IPv4用户,如果这个网站是纯IPv6或者其中一个动态连锁是纯IPv6,用户只会提出DNS请求要一种网址,如果这个动态连锁没有这个网址怎么办,所以DNS回应,如果回应不了我们中间这个技术需要有非常智能看到这个DNS回应不了,是不是我们需要在中介回应一个相应地址给用户,这样可以从第三步第二步跳到第四步再大第五步,问题在DNS请求下一个应用协议请求之间都是独立没有任何关系,服务器在中国没有任何办法把关系建立起来,我们在DNS有错误做了终结以后我们没有办法做代理服务,用户端会出现问题,我们做了将近一年研发已经有很好的效果了。
Blue Coat在现在技术上我们把IPv4网管安全性能扩展到IPv6,中间这一部分是我们增加很多为总IPv4过渡还有到IPv6专用策略,为了辅助用户实现非常平滑透明IPv6过渡,索尼是第一个向我们公司提出这个要求,很多大型分布公司企业他们需要刚才讲提到过他们有很多跨国分布,他们在分布式企业部署IPv6的时候,他们需要对这个加速需求非常强烈,我们公司是作为全球唯一的IPv6广域网加速提供商,去年一年里面帮助索尼实现全球广域加速设施,从日本到北美,从日本到欧洲,我们要强调Blue Coat广域网加速高度灵活性,为什么索尼应用我们技术的原因,这个图片可以展示大从客户端应用途径可以采用不同IPv4IPv6混合部署网络,我们这个技术可以不受任何影响,实现端到端加速。
我们大型IPv6部署,发现IPv6对非对称路由这个问题有凸现性,一般有非对称路由防火墙很多智能防火墙代理服务器就不能工作了,因为它的出路途径是不同,为了这个问题我们做出了很多专门技术设计,现在我们有通过群集方案解决比较困难的题目,现在这个技术已经应用在索尼还有NTT的网络部署上面。我们这个故障切换部署有两种,一个是串接故障方式,还有一种是并行切换方式,20分钟是没有办法把所有技术都表达出来,大家也知道IPv6很快就要到了,所以我们希望通过非常鸟瞰方式介绍一下我们公司的技术,帮助你们快速简易实现IPv4到IPv6过渡,至少到IPv6日以前把你的对对外端口转移大IPv6上去发布,谢谢大家。
