2019年05月06日 | IPv6推动安防阶段性改革 安防厂商将面临新安全挑战

为什么我们要了解IPv6

一般当我们提及IPv6，无非IPv6地址空间巨大，可以让地球上的每一粒沙子拥有一个IP地址，IPv6更加安全！但是今天小编要讲的，是不上IPv6，会有哪些后果和我们及时了解IPv6的必要性。

势不可挡：各大运营商已经在全面铺设IPv6，包括手机、家庭宽带，比如笔者所在地福州的移动4G手机，已经获得IPv6地址。

坐以待毙：当IPv6占用率达到一定比例的时候，我相信已有的网站、新申请备案的网站，会被强制要求上IPv6，如果不配置，已有网站停止运营、申请备案不予通过。甚至，到那时，手机、家庭宽带，会仅获得IPv6地址，无法获得IPv4地址。最后，IPv4从中国互联网中废除。

通过上述2点，可以知道，作为服务端（如WEB服务提供方）是必须要上IPv6的，否则不仅无法运营、连用户也都无法访问。

问题一：内网需要IPv6吗？

家庭内网，比如连着wifi的手机、电脑

企业内网，比如办公室内每个工位上的电脑

数据中心内网，比如机房内的服务器、公有云主机

这些内网环境，是否也需要配置ipv6地址？

只要你想访问IPv6互联网，就必须要在终端上配置IPv6地址。原因在于“IPv6优先原则”，越来越多的程序，比如各大编程语言的许多主流模块／框架，在进行域名解析时，会通过dns优先查询AAAA记录（对应IPv4的A记录） ，若该域名有提供IPv6访问，就必然会解析出AAAA记录。接着，就会优先通过IPv6来访问（即使本机没有配置IPv6，甚至没有启用IPv6），如果IPv6网络不通，则该访问直接失败，即便有的模块／框架在失败后会尝试IPv4，但已经增加了许多的延时。

问题二：IPv6地址太复杂了，记不住啊

说的好像IPv4地址你能背下来似的，其实IPv6地址只是长度增加，并且展示方式从十进制改为十六进制，具体的计算方式是一样的。而且有dns在，没必要去背IP地址，就算是内网的IPv6地址，也可以通过DHCPv6或者路由器发送RA包来自动生成IPv6地址。

问题三：每台服务器都有IPv6地址，会暴露整个内网，不安全

担心是对的，但解决方案也和IPv4一样，有2种：

可以在内网服务器上配置“IPv6私网地址”，这样公网就访问不到了。在IPv6中，私网地址是fd00：：／8，这相当于IPv4的10．0．0．0／8、172．16．0．0／12、192．168．0．0／16。然后在网关上配置NAT；

依然用“IPv6公网地址”（即全球单播地址），但在网关上配置“有状态防火墙”。

无论是哪种方案，最终都实现了“只出不进”，即服务器可以主动访问IPv6公网，但公网无法主动访问进来，保证了内网的安全。

IPv6基础知识

关于IPv6的教程，网络上已经有非常多写的很棒的教程了，现编没有把握能写出更好的，因此《IPv6系列》文章，将把重点放在一些概念、解决方案、很多人没注意到的坑、工作原理等等

IPv6地址长度

？ IPv4：32 bit

？ IPv6：128 bit

可以这么记忆，IPv6比IPv4多了一倍的段落，并且每个段落里增加了一倍的长度，所以IPv6比IPv4长了2×2＝4倍

IPv6地址组成

？ IPv4：网络号＋主机号／子网掩码，如192．168．1．2／24

？ IPv6：前缀ID＋接口ID／前缀长度，如2001：0000：0000：0000：0011：0000：0000：0010／64

地址简写

？ IPv4：不支持

？ IPv6：压缩0

注意：IPv6单个段落内可重复压缩，比如上述可压缩为2001：0：0：0：11：0：0：10／64；若多个段落连续为0，可压缩，但只能压缩一次，比如上述可进一步压缩为2001：：11：0：0：10／64，或者2001：0：0：0：11：：10／64，通常为前者。

检验方法

找一台linux服务器，比如centos7系统，执行ip addr add ＄｛IPv6地址｝ dev eth0，然后ip addr show dev eth0看一下会如何压缩。

另外，除了单播、多播，IPv6相比IPv4新增了一种任播（anycast），任播是属于单播范畴内的，无法单纯从地址识别出任播。

术语

节点：任何运行IPv6的设备

路由器：转发不是发给自己的IPv6报文的节点

主机：非路由器的节点

接口：节点和链路相连的物理或逻辑配件

链路：由路由器分割的网络接口集合

邻居：同一链路上的节点

链路MTU：链路能传输的最大单位，即最大的IPv6报文字节数

路径MTU：IPv6源端和目的端之间能传输的最大的IPv6报文字节数，通常是路径中所有链路的最小链路MTU

IPv6地址生成

？ IPv4：手工指定、dhcp分配

？ IPv6：手工指定、dhcp分配、自动生成

在IPv6里，主流方案就是自动生成IP，而不是手工指定或dhcp分配。当然，作为服务端是需要手工指定的，但对于更广阔的客户端来说，基本都是自动生成。这种自动生成的，叫做“无状态”，相对于“无状态”，通过dhcp获取到的固定IP，就叫做“有状态”（dhcp也支持“无状态”，这里不做详解）。

除了协议规定的特殊地址，其他可自行分配的地址，都是可以在具体范围内自动生成的，包括链路本地、全球单播、唯一本地。其中全球单播、唯一本地，是在接收到路由器发送的RA包后自动生成，具体生成的是全球单播还是唯一本地，是根据RA包内容中的前缀而定。

IPv6推动安防阶段性改革

在物联网感知层中，摄像机采集的数据信息占据世界物联网数据约一半以上的存储量。传统视频监控技术在智慧城市、公共安全等各行业已获得广泛的应用，而目前网络视频监控技术正在升级为“以视频为核心的物联信息服务”，即“视频＋”“视频＋多维感知”和“视频＋多维应用”，视频监控网络已成为目前应用广泛、技术成熟的物联网。

IPv6在地址空间的扩充对于智慧安防在视频监控领域的设备连接上、云服务平台的管理上、以及视频数据传输安全上都起到很好的管控作用。结合5G的不断发展，在数据传输速率与频段上，也能起到良好的省时省力作用，IPv6为智慧安防带来的双效应值得引起关注。

因此，IPv6的发展与规模化推进落地，在互联网产业上将是一次新的产业革命，同样对于智慧安防领域也会是一场阶段性改革。这场局，智慧安防不仅该迅速进场，更应该趁势追击，迅速拓展应用试点加速全面落地范围。

安防厂商将面临新安全挑战

IPv6带来的另一个优点，就是大幅提升的安全性。在IPv6的部署中，IPSec一度是标配，这意味着在IPv6地址之间传输数据往往是经由加密的，信息不再会被轻易劫持。在智慧城市势如破竹的发展趋势下，智能视频监控、人脸识别、车牌识别等技术带来的信息安全问题引发了大众的高度关注，IPv6无疑将很大程度上满足公众对个人信息安全的要求。

不过，IPv6的安全性也不是高枕无忧。随着IPv6的大规模推进部署，全球互联网安全格局将发生重大变化。Pv6会面临现有IPv4网络下碎片化的攻击，地址欺骗和泛洪等问题依然存在。专家表示，网络安全威胁和新型网络安全形势严峻，IPv6将会成为主要的攻击点。万物互联时代，安防厂商也将迎来新的要求和挑战。