因此，我们正在研究在我们的网络中实施 IP 移动性。

用例是笔记本电脑能够在有线和无线操作模式之间漫游，同时保留所有基于 TCP/UDP 的连接（正在进行的浏览器下载、会议会话、SIP/RTM 软电话连接、RDP 连接）

当前状态

由于过去慷慨的 /16 IPv4 网络分配，我们几乎没有被迫实施 IPv6。所以我们没有。环境基本概况：

• 公共 IPv4 地址空间中的 Windows 服务器，具有永久分配的 IPv4 地址
• 基于Cisco UCM的电话网络
• 公共 IPv4 地址空间中的 Windows 客户端，具有永久分配的 IPv4 地址
• 无数无线客户端从私有 IPv4 地址空间获取动态分配的地址
• 私有地址空间路由器正在 NATting 出站连接到公共 IPv4 地址池
• 客户端和服务器主要是 Windows，基本上所有仍在微软扩展支持政策（Server 2008-2016、Windows 7 - Windows 10 1607）下的内容
• 所有主机都是 AD 域的成员。
• 网络侧的思科设备
• 有线网络上基于MAC/ VMPS的 VLAN 分配
• 有线主机没有 802.1x 身份验证
• Radius-backed 802.1x (EAP-TTLS-PAP) 用于无线连接
• 客户端和服务器之间的通信受 Cisco 路由器的 ACL 以及服务器端 Windows 防火墙规则的限制

用例的辅助条件是

1. 不应要求用户启动/连接单独的 VPN 客户端
2. 我们可能没有资源来实施代理移动 IPv6，因为我们需要首先工作的 IPv6 路由和地址管理，我们没有，也不会在短期内获得

考虑的选项

我们有一个基于 Cisco ASA 的 VPN，因此远程和无线用户能够连接到我们的网络。但是由于我们基于每个地址限制对我们系统的访问，使用它为我们的所有用户创建一个覆盖网络具有严重的管理影响：

• 我们将永远需要从公共 VPN 地址池中为每个员工分配一个额外的 IPv4 地址，这将耗尽我们的地址池
• 路由器 ACL 和主机防火墙规则通常配置有线网络中的范围和子网的豁免，这反映了我们组织的结构（具有自己的子网的部门）。如果我们只是从一个连续的、非结构化的池中为员工分配地址，这种访问控制方法将变得不可用。
• 目前，连接 VPN 的客户端正在通过 ASA 网关路由所有流量。如果我们让所有用户始终连接到网关以支持无缝漫游场景，这将不会很好地扩展。即使只有到我们内部服务器的连接会通过隧道路由，我们也在研究隧道端点上的带宽，这超出了我们的处理能力。

Windows 显然带有 Teredo 和 6to4 隧道以及针对 IPSEC 连接的机会加密，我们可能会考虑使用它来代替当前基于网络地址的访问控制。但据我所知，当前没有 Windows 堆栈正在实现移动 IPv6，我很难找到完全可行的实现。

我已经知道LISP，但即使在阅读了有关此主题的概述出版物之后，我仍然难以接受它为我们工作所需的基础架构更改程度。此外，由于大多数出版物都提到了“数据中心移动性”，我还不确定它是否也适合我们漫游客户端的用例。

那么还有哪些选择呢？