"企業網路佈署IPv6個案分析:Microsoft。整體來看。(Part 2)", Cisco學習資訊分享
Cisco學習資訊分享
"企業網路佈署IPv6個案分析:Microsoft。整體來看。(Part 2)", Cisco學習資訊分享
|
|
|
企業網路佈署IPv6個案分析:Microsoft。整體來看。(Part 2) Posted: 08 Jan 2013 03:47 PM PST  昌德宮敦化門, 韓國首爾市本文是這篇文章的續篇。 目前的ISP實務政策,要求至少短於 32-bit 的IPv6地址。 值得類似於Microsoft的全球佈局的公司,在規劃IPv6時作為參考。
Microsoft(或是典型的全球佈局的公司)IPv6總網段的數目大約是 3,100筆 您的公司網路,會比 Microsoft 還要複雜嗎?如果不是,那IPv6 的網段數目大概就是4,000筆上下。所以,可以放心地去使用 "/64”作為子網段的固定長度,因為就連 ”/48” 都有六萬多個網段可以定址,非常夠用了!
還記得我之前的大膽假設嗎?
OSPFv3 比 OSPFv2 少了一些可調整的參數? 我不確定Microsoft所指的是那些功能,不過,可以想像得出來。我個人比較樂觀,就好比OSPF自己的演進歷史,遲早所有的功能都會補齊的。
(至少Microsoft的描述驗證一件事:不用IS-IS的企業網路,還是可以正常運作的!呵呵!)
目前 Microsoft 使用 Stateless Auto Configuration來分配Client端點的IPv6 地址 是的,並不是DCHPv6。我個人認為,只要系統日誌監控完整,再加上PC電子憑證的管理,使用Stateless Auto Configuration並不會比較不安全。
Microsoft 內部透過群組政策(Group Policy)封鎖6to4 我個人也認為,6to4適合小型網路的過渡期使用,如果管理不當,本身就是一個潛在的安全漏洞。
Microsoft內部網路採取開放式模型,流量阻絕點放在Client端點上面的Windows Firewall Windows Firewall是使用群組政策(Group Policy)來部署的。
至於文中所提到的,網路的中介系統(intermediate system)例如路由器,並沒有參與流量阻絕,我個人認為有點過於樂觀,我建議企業還是需要有適當的網路防火牆來隔絕潛在的漏洞。也許Microsoft只是要來強調Windows Firewall本身功能就很強了。Windows Firewall本身功能就很強大這點,我個人是相信的。
另外Microsoft內部client端點要連網,都不允許直連,都需要透過代理伺服器(Proxy),這點提醒我們IPv6導入後,既有的管理模式還是可以沿用的。
全文還沒有完畢,待續。         
 |
| You are subscribed to email updates from Cisco學習資訊分享
To stop receiving these emails, you may unsubscribe now. |
Email delivery powered by Google |
| Google Inc., 20 West Kinzie, Chicago IL USA 60610 | |