互联网的新通信技术——IPv6即将到来,CIO是否已经做好准备?如果准备到位就可以节省数百万美元资金,还能降低安全风险。
Ben Worthen
2003年6月,美国国防部(以下简称DoD)CIO,John Stenbit宣布,美国国防部将于2008年全面转用互联网协议第6版(Internet Protocol version 6,即IPv6)——下一代互联网通信技术。
唯一的问题是,政府内部(或其他机构)几乎没有人知道他在说什么。
IPv6是由互联网工程任务组(Internet Engineering Task Force)选择的新国际标准来取代现有协议——IPv4(第五版从来没成功地取代过它的位置)。它(IPv6)更为安全,并且能将互联网连接扩展至一个几乎无限数量,同时还能将网络管理成本削减约三分之一。
Stenbit的宣言是为了让IPv6生态系统逐步在美国国防部得到发展而精心设计的。“转到IPv6需要很长时间,”Stenbit这样说道,他于2004年从美国国防部退休。“在美国国防部的采购系统里,人们在五年后才会出现的(系统)上押了很大一笔钱。如果那些搞系统的人不了解我们(将来)使用的IP协议新版本的话,他们只会以现有的协议为基础去开发系统,而我们则会在未来丧失前进的能力。”
而迄今为止,只有很少量的美国公司跟随着美国国防部的脚步开展IPv6的未雨绸缪。因此,过去3年业界都没有引起对IPv6认识的增进。最近一个对IPv6采纳情况的民意调查更只是只收到了两个回复,而且作答的两位CIO在实际工作中都没有接触IPv6。从某种意义上来说出现这种状况可以理解的:现行的互联网的版本运行得好好的,且目前为止并没有太大转换新版本的压力。但是,这种情况很快就要改变了。
后发劣势(Last-Mover Disadvantage)
在美国以外,IPv6的转换工作都进行地很顺利。亚洲中国、日本还有韩国都把本国的互联网全面转移到IPv6视为国家要务,欧盟也是如此。特别是中国现正在打造一个全部基于IPv6的新互联网,希望能够在“一切皆为互联网”的时代成为引导世界的翘楚(见《中国下一代互联网战略》一文)。
在美国,很多在采纳IPv6过程中的“拦路虎”因素也将会消失,这在很大程度上要感谢美国国防部的行动以及要求联邦机构要在2008年前把网络全部转换到IPv6的后续规定。硬件、软件以及电讯业的进步保证了这个转变将同样也会在美国发生——无论有没有CIO们的合作。
比如说,以Cisco和Juniper为首的很多网络设备制造商已经卖了好几年兼容IPv6的路由器和交换机产品。在软件方面,微软即将推出的Windows Vista操作系统将默认IPv6为其内置网络协议,同时Windows Vista有几个小组功能(collaborative features)是要与IPv6一起发挥作用的。最后,一些主要的电讯公司也正在悄悄地升级他们的网络来承载IPv6流量;(他们希望)能够为自己赢得和美国综合服务局签订未来十年价值200亿美元的电信合同的机会,这份合同要求承接商必须具备支持IPv6的网络。
不是“如果”,而是“何时”
“关于‘我们应不应该转换到IPv6’的‘宗教战争’已经结束了。”Tom Patterson这样说道,他是IPv6业务咨询公司Command Information的CEO。“现在是讨论‘何时上马IPv6’问题的时候了。”但是CIO可不能光坐着休息,等着新的互联网来突袭他们。如果他们想避免新网络带来的复杂性、安全风险以及长时间维持两个网络协议带来的附加成本,他们就需要积极地计划把他们网络上的所有东西都升级到支持IPv6的版本上来。每个路由器、笔记本电脑、应用程序还有其他一切连接上互联网的设备都将继续与旧网络并行工作,不过是需要IT员工以更为高效的态度去工作。关键问题是,把这个转变纳入机构正常技术更新周期,还是等到竞争压力迫使你转向IPv6,等死并痛苦吸收这巨大的一次性冲击。
好消息是,现在已经没有类似“千年虫”那样的最后期限压力了,这意味着CIO有时间去制定计划,并且逐步投资,这样可以避免附件成本陡增以及突然转向带来的风险。“如果你没有做恰当准备,将惹来很多不必要的麻烦。”Yanick Pouffary如是说,他是北美IPv6工作任务组的技术主管,同时也是IPv6论坛的成员。
好的计划始于把IPv6看作比战略更重要的问题。“别把它看作单纯的网络硬件设备更新,”John McManus这样说道,他是NASA(美国太空总署)代理CIO以及联邦CIO委员会IPv6工作小组的联合主席。他认为,升级到IPv6将能帮机构降低网络成本和复杂性,并且能把那些仅限于想象的新服务变为可能。虽然McManus说“如果你没有做好准备的话, 数不清事情将有可能出错。”但实际上,要做事情的话却是意外的简单。而且如果你现在开始动手的话,价格还不会贵得离谱。下文列示了一个帮助CIO升级到IPv6的六步骤指南,它能帮你以最少的支出获得尽可能大的收益。
一、切勿坐失IPv6良机
互联网协议是互联网的邮封,里面包含着诸如数据包目标地址和返回地址等信息,还有数据包的详细内容。现行的IPv4标准是在1976年开发的,当时互联网只是供一小部分政府研究人员和学者使用,要用尽43亿个地址的想法在当时是不可能的。此外,IPv4也不带有任何安全性或移动性特征。
IPv6就是为了弥补这些不足才出现的。它有更大容量的地址分配(addressing scheme),允许几乎等于无限数量的网络设备拥有自己的唯一地址。它也拥有嵌入安全特性以及网络自动配置能力,这使得移动性和综合网管工作变得更轻松。就其身本特质而论,从探测气候的遥感网络,到通过电邮发送购物清单到主人手机的电冰箱,有了IPv6之后这一切都会成为可能。
本文只是简单谈谈。事实上,要在一篇文章里获取你所需要了解的关于IPv6的一切信息几乎是不可能的。CIO需要在他们的员工中寻找看看有没有人懂得IPv6。如果幸运的话,说不定能找到。但是不能抱有太大期望。这意味着必须任命一位专门负责迁移的IPv6精英专业人士,Lisa Schlosser这样说,她是美国住房与城市发展服务部(Department of Housing and Urban Development,以下简称HUD)的CIO,“这人麾下应该有一位执行发起人,他要向CIO汇报IPv6工作。”
二、开发商业案例
每个行业的每家公司应该都能想到IPv6在什么方面能帮助公司发展业务。举例来说,在美国国防部,Stenbit就想建立一个全球信息网络:有一个虚拟交通地图,处理并储存信息,用户可以从此获得他们工作所需的数据,这份远见卓识在他退休以后还得以继续。大多数CIO可以找到更多普通挑战的解决办法。又例如在HUD,卡特列娜飓风灾后,灾区的住房毁损情况调查能够更轻松地完成。由于有了更多可分配IP地址,相比回到办公室以后再在电脑上面敲打现场报告,调查人员直接使用用移动装置就能完成这项工作。“更多的IP地址能使我们扩展自己的网络”Schlosser说,“增加IP地址的数量,你就能获取更多的实时信息。”
对于像Bechtel那样的建筑公司来说,IPv6带来了更多的IT系统与其他如监控摄像机(security camera)和空调机组(air-conditioning unit)等系统组合的可能性。比如说,由精细、无线以及IP兼容的设备组成的测感网络可以为现有设备管理系统添加新的功能。假设Bechtel要在炎热的气候地区建一家一天只开12小时的工厂,感测器就能收集实时气候及气温信息,这些信息能与实时电价组合到一起,帮助公司找出什么时候打开空调设备是最划算的。
IPv6也可以减少IT管理的成本和复杂性。在今年早些时候发布的IPv6经济性评估报告里,国家标准与技术协会(National Institute of Standards and Technology,以下简称NIST)估计新的网络协议将使通过IP进行的对话变得容易,这样做的结果将使一般公司在互联网通讯支出上面节约20%。再者,NIST估计,通过消除对网址转换设备(network address translation devices)的需求,IPv6能给IT部门节省约30%的总体IT支出,而且公司能采取联合行动,支持IPv4把网络连接扩展到自己的内部网络设备上去。IPv6也支持端对端的安全性策略(步骤六将详细讨论),这将允许公司逐步淘汰周围的安全工具,如防火墙。IPv6也节约了CIO及其员工的时间,因为它有自动配置的能力,这种能力是让采用IPv6的设备——如电脑、监控摄像机或IP电话,忽略地理界限实现即插即用的关键原因,并且这对军方和Bechtel那样的公司有着明显的好处,它减少了设置本地网络所要花费的时间。Bechtel技术小组的成员之一Fred Wettling说,现在每当有人开拖车,Bechtel的工程师们就得不断中止语音及数据传输网络的运行。随着IPv6的到来,问题也会随之消失。在公司里面,IPv6使人们更加良好地合作。每一台IPv6电脑都能够扮演自己的服务器角色,这意味着用户可以直接互连。利用这个优势的一个大型程序就是Windows Vista操作系统,它允许IPv6用户在同一Word文档、Exele电子表格以及PowerPoint演示文档上协同工作,可以不考虑物理距离,更无需通过以前的虚拟主机完成文档协同操作工作。
三、盘点你的网络
接下来的一步是找出你的网络上确切有什么设备,并分辨出哪些已经应用了IPv6,哪些可以升级到IPv6。这些装置并不仅限于路由器和交换机,还包括了安全工具(如防火墙)、笔记本电脑、甚至是打印机。“公司部署了数百台的打印机和数千台的电脑,但是却没有给他们做针对性的统计。”Vic Berger说,他是CDW咨询公司的负责政府高科技业务的咨询顾问。
McManus是NASA的代理CIO,他说自己把这件工作分成两个独立任务。先是盘点有哪些设备是与外部世界相连的,像路由器和防火墙。然后在局域网内盘点内部网络连接设备,例如笔记本电脑。这样做使得该任务变得更好管理。同样地,他说,这一策略有助于我们尽可能多地使用各种网络查找工具。
随着你辨认出每一件设备,你还需要分辨出它是否已经应用了IPv6,或者它是否能够升级到IPv6,又或者它是不是应该被替换。“设备上面没有盖着IPv6认可的印章,”Patterson说,“所以你最后可能要阅读使用手册,打电话给你的供应商,查阅网站才能搞清楚。”McManus强调说,全部盘点清楚并不是一夜就能完成的工作。“即使有自动化技术,我们还是花费了三个月时间。”而且那仅仅是清查外部网络。
获取你供应商的IPv6转型计划也是很重要的。“你不能在不明白合作伙伴计划的情况下,制定自己的转换计划。”McManus说。Wettling警告说,供应商的计划可能还没有制定完整。“我们与伙伴分享经验,”他说,“我们与对方密切合作,我们吸取他们已经做过的事情的经验教训,也让他们吸取我们的经验教训。”如果供应商不愿意和你在制定IPv6转换计划上一起合作,那就再找一个新的合作伙伴吧。
四、重新思考遗留系统及方法
然而,在转换到IPv6这件事情上你不能总期望得到外部的帮助。你需要带上根据的计划来逐步淘汰旧的技术,像那些不再能支持升级的电脑。然后,升级公司内部开发出的软件。
那些在公司内部监督大量软件开发工作的CIO需要保证每个开发者都把IPv6的理念深深印在脑中。例如,微软就有这样一个开发应用程序,可以让程序员检查某个应用程序的源代码,找出找现在还使用IPv4的地方。在Bechtel公司,Wettling在监督开发过程中发现一个重要的要点:就是在开发周期中,程序员要将他的源代码交给质量检测人员。这些人员在应用程序转移到最终生产环节之前,都必须负责保证该应用程序适用于IPv6。
五、把IPv6纳入更新周期
我们并不知道升级到IPv6会有多贵。NIST估计,一家中型公司,配备有8个路由器,150个交换机还有4个防火墙,升级的话需要不到200万美元。但这个数字还没有包括笔记本电脑、打印机和软件的费用。在六月底发布的联邦政府会计总署(Government Accountability Office,以下简称GAO)的审计报告中发现,政府机构预计将支付100万到两千万美元以上的价钱来进行升级IPv6。
这是一个沉重的财务打击。但是很大一部分成本可以被吸收成为正常技术更新周期的一块,David Powner这样说道,他是GAO的IT管理事务主管。只要CIO带着主要库存清单以及相应的计划在恰当的时候购买恰当的产品,就可以把转移到IPv6的额外成本最小化。“我们把计划分解到单件设备的层面上。我们清楚到2010年我们应该升级什么东西以及何时升级。”Schlosser这么说。
为了使用这项新技术,必须重新训练网管。而CIO应该建立实验室来测试新的网络负载能力,并获取有关IPv6如何工作的第一手资料。Bechtel现在就有4个这样的实验室,200台装有IPv6的机器工作着。在向外界公开IPv6网络之前,它给公司提供了一个熟悉IPv6前提下网络如何运行的机会。
六、评估你的安全状况
对IT而言,IPv6改变了传统的网络安全条例,从用防火墙和入侵检测软件来保护周边设备,到直接保护个人设备和应用程序。最终,这会使取得安全保障更加容易,因为在IPv6环境下,CIO将有能力把连接到公司的数据接触请求限制在认证设备和认证用户的水平上。
但是转变在短期内将带来巨大挑战。
大多数网络监控系统不能检测到IPv6流量。且由于网络设备制造商已经卖了好几年兼容IPv6的设备,所以大多数公司可能正在运行着一些他们不知道的IPv6设备。这意味着黑客可以用IPv6入侵你的网络,且理论上,他们的行踪是不会被发现的。最好的防御方法就是先关掉你产品的IPv6功能,直到你准备好提供或购买IPv6服务。Schlosser说她的工作就是来监控HUD的网络以保证没有过早地打开IPv6的网络开关。
小心拨动开关
CIO应该何时开放IPv6的功能是由公司和市场决定的。(Bechtel 预期美国政府能够在2008年最后期限之前运行IPv6。) 但是这不代表你就能坐等升级开始。“公司需要明白,IPv6即将来临,这不无可避免的”。
现在,教育和意识是唯一最大的挑战。“现在购买IPv4产品不必增加额外的支出成本,所以很容易做到。但是我不明白为什么这么多人要买一些不兼容IPv6的产品呢?”,Wettling说。
培训IPv6战士
根据美国CIO委员会IPv6转换指南,现在公司的IPv6精英需要以下四种训练:
1. 商业方面——在IPv6研讨会和其他会议上,有着很多提供IPv6技术通用信息的参加者,可以从中找到支持IPv6的买家,帮助他们理解转换背后的商业因素,并且把由IPv6提供新能力的产品和服务介绍给他们。
2. 架构方面——这点涵盖了所有的东西,从自动配置到路由,多重播送,还有连接到IPv6互联网的准则。这对制定成功的IPv6整合计划有着至关重要的影响。
3. 操作方面——公司需要在如何支持IPv6环境这方面训练他们的员工。大量的操作训练应该集中在支持IPv6应用程序(例如,支持IPv6的电子邮件和网络服务器)方面。操作训练经常应该带有硬件、软件针对性,而且是针对特定供应商的产品。
4. 技术方面——要探讨其它由IPv6扮演重要角色的技术性话题,如移动性和安全性,必须进行额外的专门训练。
(本文可参考“经理世界网”专题文章《中国下一代互联网战略》)。
The viewpoints of the article:
The Internet's new communication technology, IPv6, is coming—whether CIOs are ready or not. But being ready could save you millions and reduce security risks.
What follows is a six-step guide to help CIOs upgrade to IPv6 with the minimal possible expense and the greatest possible benefit。
1. Don't Miss the IPv6 Boat
2. Develop a Business Case
3. Inventory Your Network
4. Rethink Legacy Systems and Practices
5. Make IPv6 Part of the Refresh Cycle
6. Assess Your Security Posture
According to the federal CIO Council's IPv6 transition guide, there are four kinds of training that a company's IPv6 champion needs:
Business — IPv6 workshops and conferences provide participants with general information on the technology, identify vendors that support IPv6, help them understand the business drivers behind the transition and introduce them to services or products enabled by IPv6.
1. Architecture — This covers everything from auto-configuration to routing,
2. multicasting and principles for connecting to the IPv6 Internet. This area will have the greatest impact on the development of successful IPv6 integration plans.
3. Operations — Companies need to train their staffs on how to support the IPv6 environment. The bulk of operational training should focus on supporting IPv6 applications (for example, IPv6-enabled e-mail and Web servers). Operational training will often be hardware- or software-specific, generally produced by, or for, a particular vendor's product.
Technology — Extra specialized training will be needed to address other technological topics in which IPv6 plays an important role, such as mobility and security.
《CIO》Ben Worthen 文 Silon 编译
网友评论