Microsoft IT部門(MSIT),經常會將佈署的實務經驗,公開在網站上給大家參考。今天我討論其中一篇「How Microsoft IT has Deployed IPv6 on the Microsoft Corpnet」。
我將我所讀到的重點,跟大家分享。這篇先從IPv6佈署的整體來看。
佈署IPv6的其中一個原因,是Microsoft所開發的產品需要在上面驗證
我們都知道Windows Vista以後,和Windows Server 2008之後的作業系統產品,全部內建IPv6。但是,這只是實驗室的結果,還是真的有公司這樣佈署?
這篇的文章告訴我們,Microsoft自己內部就是這樣的範例。IPv6不只是理論的技術,而且已經是成熟可用的技術了。
反過來看,如果一家生產網路產品的公司,內部網路不支援IPv6,我實在很難相信那家公司的技術能力,和他們產品的IPv6相容性。
Microsoft幾乎是一個均勻一致的運算環境(homogeneous computing environment)
這一點指的是Microsoft內部的Windows桌面和Server,幾乎都是使用最新版本的、支援IPv6的產品。
IPv6要佈署成功,很重要的一環就是運算的作業系統。如果作業系統支援不足,更新跟不上技術的趨勢,很多IPv6的功能就無法發揮。
一般的企業客戶即使無法在短時間內,全部完成Windows作業系統的更新,至少可以馬上開始做應用的盤點,明確定義哪些運算,非得要舊版本的Windows不可。
這項工作,無論是否有導入IPv6的計畫,都應該趕快去做。Windows Update已經停止提供安全更新服務的作業系統,例如Windows XP,如果繼續使用,就會有資訊安全的隱憂。
就升級的成本來看,我的理解,企業每年付給Microsoft的授權費用,只跟安裝的「套數」有關,跟版本是無關的。既然費用成本都一樣,為何不用最新的版本?
佈署的哲學:雙協定(Dual-Stack)
雖然IPv6提供很多的共存轉移機制,為了讓原有的IPv4同時可以共享既有的線路,端到端雙協定是無法避免的場景。
佈署的哲學: IPv6佈署順序Backbone -> WAN -> LAN,而且IPv6「全面佈署」才會是長遠無憂的
Backbone -> WAN -> LAN的佈署順序,對使用者的衝擊是最小的。在Backbone或是WAN上面,在啟用雙協定的時候,一般使用者幾乎察覺不到。等到Backbone和WAN都完成雙協定佈署後,LAN再啟用雙協定的IPv6,這時候只需要作一次性切換,IPv4和IPv6的使用者,就可以各自獨立使用網路了。
同時,IPv6只要一開始佈署,最好是「全面佈署」。Microsoft的經驗裡面,發現將部分區域單獨隔離成完全不支援IPv6的小口袋,反而增加了維護成本和不穩定性,同時在提供使用者接入時,為了要區分供裝的區域是否支援IPv6,反而讓作業程序變得很複雜。
網路設備如果不支援雙協定,應該要及早更換。新採購的設備,支援雙協定,絕對是必要的需求。
ISATAP是過度的轉換機制,本身有無法延展的問題,不能太依賴。
這點從MSIT的歷史中可以看得出來。
Forefront Unified Access Gateway (UAG) 2010 提供IPv6接入IPv4-only的服務 (NAT64)
也許還有其他的,至少這是一個可行的方案。算是Microsoft給自己的廣告。
長期抗戰,及早開始
Microsoft從2001年開始佈署IPv6到現在,也經歷了十多年。雖然現在企業網路要佈署IPv6,可以藉著前人的經驗,例如Microsoft,節省一些時間,但是我個人的初步估計,跨國公司至少需要三年才能完成基礎建設的全部轉換。
所以,如果企業內部有轉換IPv6的時間的壓力,請及早開始。
(待續)
0 意見:
張貼留言
小技巧:也可以 匿名 留言!