TWNIC IPv6推广座谈会协助企业从上云与网管掌握IPv6

TWNIC与5大产业协会于TWNIC「IPv6 推广座谈会」共同为推广IPv6发声，左起台湾网际网络协会常务理事郭宇泰、台湾实境科技创新发展协会理事长暨台湾数码应用多媒体协会理事白璧珍、TWNIC财团法人台湾网络信息中心董事暨CEO黄胜雄、台湾云端物联网产业协会总干事程怀妥、台湾资通产业标准协会秘书长周胜邻。DIGITIMES摄

随着生活型态改变，网络已成生活中不可或缺的关键要素，IPv4位址不足问题也日益受到产业关切，为解决问题，台湾运营商于2018年陆续启动支持IPv6商转服务，期能加速推动台湾IPv6的发展。

日前，台湾网络信息中心(TWNIC)亦举办「前进全球的绝佳利器- IPv6推广座谈会」，邀请产业专家发表专题演讲，从上云与网管维运两个角度，希望协助企业有效了解IPv6架构。

这场座谈会不只吸引许多听众在线报名，亦有多位贵宾莅临现场，包括台湾云端物联网产业协会总干事程怀妥、台湾网际网络协会常务理事郭宇泰、台湾实境科技创新发展协会理事长暨台湾数码应用多媒体协会理事白璧珍、台湾资通产业标准协会秘书长周胜邻、台湾资通产业标准协会执行秘书许建昌等人，共同为推广台湾IPv6发展而努力。

IPv6前景可期

活动一开始，TWNIC财团法人台湾网络信息中心董事暨CEO黄胜雄便表示，过往因为需求不明显，以致于IPv4到IPv6的升级道路走得较为缓慢，不过近二年受到以下三个因素影响，有了明显改变。

一来所有终端设备在出厂时皆已缺省支持IPv6；二来随着IPv4使用成本愈来愈高，IPv6目前还是处于免费使用阶段，更具吸引企业切换到IPv6的诱因；三来在网安上，因为IPv6子网络所配置的位址有64位元空间，黑客很难用传统扫描方式去找出位于子网络的IP位址，而且IPv6去掉了IPv4的假性安全机制NAT，反而更能让企业重视网络架构的安全性。

程怀妥也认为，疫情带来新常态时代，更加凸显网络的重要性，相信未来在线上服务需求持续增加的情况下，台湾IPv6将会有更好的发展。

郭宇泰指出，台湾IPv6使用率目前全球排名第12位，虽说表现很不错，但若进一步分析可发现，主要来自于移动网络用户的贡献，未来还有很大的成长空间。白璧珍表示，IPv6已经是必然趋势，未来在数码经济或网络的推波助澜下，可望协助企业发展出更多符合时代趋势的创新服务。

云端转型 透过IPv6确保传输效率

铨锴国际资深技术顾问杨昌达与AWS新创加速器经理郑凯富两人，皆从云服务角度来看IPv6的重要性。

杨昌达表示，新3C时代带来了改变的机会，企业在改变过程中，网络传输的效率和品质，是改变能否成功的关键。举例来说，智能物联网(AIoT)应用，传感器蒐集到的信息要实时传输到边缘设备或云平台，必须做到低延迟传输，才能避免影响后续的数据分析或相关应用。

又如高效能运算(HPC)有大量的运算节点，网络传输的效率，对产出运算结果(output)或设备吞吐量都有很大的影响；再如5G上路后，凭藉着高带宽、广连结与低延迟特性，将会创造许多数据传输需求，如果传输效率不佳，就会影响5G应用的发展速度。

不过，要做到有效率的传输并不容易，企业需要很有效率的寻址模式(Addressing)，才能在茫茫网海中，快速找到要传输的对象，而IPv6新的寻址模式，恰巧能满足企业对网络传输效率的要求，因此，未来无论是点对点或多点传输，都需要IPv6技术。

无论企业的改变属于哪一种，最终都有可能上云，杨昌达建议企业可以导入AWS服务，降低上云的挑战与成本。杨昌达进一步说明，多数云服务供应商都是采取动态分配IP的做法，这种方式无论操作界面或流程都不够友善。

因此，亚马逊(AWS)允许企业自带IP上云，透过AWS BYOIP(Bring your own IP)机制，企业可以把现有IP位址很轻松平顺地转移到云端，假设企业已经在地端启用IPv6，未来一旦有上云需求，透过AWS服务便能继续使用既有IP。

「除了支持IPv6网络设定，亚马逊也积极协助新创，希望创新更多网络应用模式，」郑凯富说，像是成立AWS Activate、AWS 新创云端搬迁计划等多项计划，希望能协助新创成长。

以AWS Activate来说，考量到新创在草创期比较容易遇到财务紧缩问题，AWS透过AWS Activate计划，免费提供一定额度的AWS服务给新创使用，透过这项计划，AWS协助过包括airbnb、Stripe等在内的全球新创团队，已经超过3万家以上，2020年提供给新创免费使用的额度更高达10亿美元。

郑凯富指出，新创团队只要上网就可以申请AWS Activate计划，如果成立时间在5年以内，可以免费获得的使用额度为1千到 5千元美元，如果有超过5万美元的融资纪录，则会提供1万美元的使用额度。至于AWS新创云端搬迁计划，则是针对已经成立一段期间且没有上市的新创团队，协助他们将服务转移到云端，除了免费提供资源，还有技术支持，像17LIV直播互动平台就是透过此计划，将影音串流服务搬上云端。

IPv6网络维运管理的重点

西拉雅网络技术长郑钧文与安华联网科技副理杨承颖两人，则是从设备管理与信息安全的角度，分析IPv6在日常维运管理上的重点。

郑钧文以自身在网络管理长达7年的经验指出，IT人员在进行IPv6网络设备的维运管理时，最重要的是掌握终端设备在网络不同层的身份，如此才能在问题发生时快速处理。

举例来说，遇到网安事件时，网安设备可能会通报哪一个IP有问题，但这个IP是对应到哪一个设备？这台设备连到哪一个交换机？IT人员必须先建好对应的数据表，才能在第一时间进行相应措施。

目前IP和MAC地址的对应方式有两种，SNMP pooling和LAN listening。先就SNMP pooling来说，首先要找到交换器的FDB(Forwarding DB)表，其用于列出该交换机所有设备的MAC信息。

再来则是ND(Neighbor Discovery)表，如果是IPv4则为ARP(Address Resolution Protocol)表，则可知道每一个IP对应的MAC信息。将FDB与ND(或ARP)两张表对照，就可以将IP、MAC与交换机串连起来，由于这几张表都会动态变化，因此IT人员必须定期蒐集，才能掌握最新信息。

至于LAN listening，在IPv6环境中，可藉由NDP协议下的四种封包：RS、RA、NS、NA，了解IP与MAC位址的对应信息。

郑钧文强调，IT人员在日常就要掌握好IP、MAC与交换机的对应信息，因为很多蠕虫病毒会变造MAC试图规避防火墙检查，透过数据蒐集可以快速侦测出异常状况，及早发现一些不该出现的IP/MAC，只要能清楚掌握底层信息，就越能实时做出防范措施。

在掌握底层信息外，针对IPv6常见的网安威胁形式与防御重点，杨承颖也提出几点建议。杨承颖指出，许多设备/主机已经缺省启动IPv6，但企业网安人员常常忽略这一点，因而没有做好相关的防御规则设定，导致企业即便尚未开始使用IPv6，也很容易成为攻击媒介，如：劫持流量(hijack traffic)攻击等，此外，包括DDoS攻击、ND攻击等，也都是目前IPv6比较常见的网安攻击形态。

因此，网管维运者及网安人员应掌握以下三大重点，及早做好IPv6的防御机制：

第一、IPv4有的弱点与攻击方式，在IPv6大多也同样会出现，只是技术规格，实作攻击的方式不一样而已，因此既有IPv4网络安全机制多可沿用于IPv6。 第二、即便如此，网管维运者及网安人员仍不能低估IPv6和IPv4之间的差异，必须更加注意部分IPv6才有的新弱点，并培养IPv6安全功能的操作能力。

第三、IPv6的安全性不比IPv4高或低，只是现今的设备与产品缺少IPv6安全功能。IPv6可能永远不会完全替代IPv4，企业应注意双协定环境的安全议题。

未来，TWNIC将持续举办各类推广活动，盼能促进企业升级IPv6架构的意愿，提高台湾整体使用率，成为全球网络应用的先驱。