企業網路佈署IPv6個案分析：Microsoft。整體來看。(Part 2)

昌德宮敦化門, 韓國首爾市

本文是這篇文章的續篇。
目前的ISP實務政策，要求至少短於 32-bit 的IPv6地址。
值得類似於Microsoft的全球佈局的公司，在規劃IPv6時作為參考。
 
Microsoft(或是典型的全球佈局的公司)IPv6總網段的數目大約是 3,100筆
您的公司網路，會比 Microsoft 還要複雜嗎？如果不是，那IPv6 的網段數目大概就是4,000筆上下。所以，可以放心地去使用 "/64”作為子網段的固定長度，因為就連 ”/48” 都有六萬多個網段可以定址，非常夠用了！
 
還記得我之前的大膽假設嗎?
 
OSPFv3 比 OSPFv2 少了一些可調整的參數？
我不確定Microsoft所指的是那些功能，不過，可以想像得出來。我個人比較樂觀，就好比OSPF自己的演進歷史，遲早所有的功能都會補齊的。
 
(至少Microsoft的描述驗證一件事：不用IS-IS的企業網路，還是可以正常運作的！呵呵！)
 
目前 Microsoft 使用 Stateless Auto Configuration來分配Client端點的IPv6 地址
是的，並不是DHCPv6。我個人認為，只要系統日誌監控完整，再加上PC電子憑證的管理，使用Stateless Auto Configuration並不會比較不安全。
 
Microsoft 內部透過群組政策(Group Policy)封鎖6to4
我個人也認為，6to4適合小型網路的過渡期使用，如果管理不當，本身就是一個潛在的安全漏洞。
 
Microsoft內部網路採取開放式模型，流量阻絕點放在Client端點上面的Windows Firewall
Windows Firewall是使用群組政策(Group Policy)來部署的。
 
至於文中所提到的，網路的中介系統(intermediate system)例如路由器，並沒有參與流量阻絕，我個人認為有點過於樂觀，我建議企業還是需要有適當的網路防火牆來隔絕潛在的漏洞。也許Microsoft只是要來強調Windows Firewall本身功能就很強了。Windows Firewall本身功能就很強大這點，我個人是相信的。
 
另外Microsoft內部client端點要連網，都不允許直連，都需要透過代理伺服器(Proxy)，這點提醒我們IPv6導入後，既有的管理模式還是可以沿用的。
 
 
全文還沒有完畢，待續。