IPv6浪潮來臨

隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)4.0等新興產(chǎn)業(yè)迅速發(fā)展，接入網(wǎng)絡(luò)的終端數(shù)量呈指數(shù)級(jí)增長(zhǎng)，從傳統(tǒng)的PC、手機(jī)，到未來無處不在的物聯(lián)網(wǎng)終端，都需要通過IP地址接入互聯(lián)網(wǎng)，預(yù)計(jì)2020年，全球?qū)⒂?00億設(shè)備在線，地址需求數(shù)量是IPv4地址總數(shù)的十倍以上。目前IPv4地址已經(jīng)全部分配完畢，地址緊缺的問題十分嚴(yán)峻。

[[248629]]

經(jīng)過二十多年的發(fā)展，IPv6已經(jīng)是一個(gè)非常成熟的技術(shù)。IPv6具有更多地址數(shù)量、更小路由表、更好安全性等優(yōu)點(diǎn)，可以有效解決當(dāng)前IPv4面臨的問題。

2017年11月26，中共中央辦公廳、國務(wù)院辦公廳聯(lián)合印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署的行動(dòng)計(jì)劃》(下稱《行動(dòng)計(jì)劃》)?！缎袆?dòng)計(jì)劃》要求，用5到10年時(shí)間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實(shí)現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量，IPv6的浪潮真正來臨了。

IPv6過渡技術(shù)介紹

由于IPv6本身不兼容IPv4，大規(guī)模部署IPv6還面臨不少挑戰(zhàn)。目前可行的辦法是使用過渡技術(shù)，將IPv4逐漸演進(jìn)到IPv6，當(dāng)前主要有三種主流的過渡技術(shù)：

1. 雙線技術(shù)

雙棧示意圖

雙棧技術(shù)，是指在終端各類應(yīng)用系統(tǒng)、運(yùn)營(yíng)支撐系統(tǒng)和各網(wǎng)絡(luò)節(jié)點(diǎn)之間同時(shí)運(yùn)行IPv4和IPv6協(xié)議棧(兩者具有相同的硬件平臺(tái))，從而實(shí)現(xiàn)分別與IPv4或IPv6節(jié)點(diǎn)間的信息互通。

具有IPv4/IPv6雙協(xié)議棧的結(jié)點(diǎn)稱為雙棧節(jié)點(diǎn)，這些結(jié)點(diǎn)既可以收發(fā)IPv4報(bào)文，也可以收發(fā)IPv6報(bào)文。它們可以使用IPv4與IPv4結(jié)點(diǎn)互通，也可以直接使用IPv6與IPv6結(jié)點(diǎn)互通。雙棧節(jié)點(diǎn)同時(shí)包含IPv4和IPv6的網(wǎng)絡(luò)層，但傳輸層協(xié)議(如TCP和UDP)的使用仍然是單一的。

雙棧協(xié)議模型

雙棧節(jié)點(diǎn)可以運(yùn)行以下三種模式，靈活啟用/關(guān)閉IPv4/IPv6功能：

• 使能它們的IPv4棧并關(guān)閉它們的IPv6棧，表現(xiàn)為IPv4節(jié)點(diǎn)。 
• 使能它們的IPv6棧并關(guān)閉它們的IPv4棧，表現(xiàn)為IPv6節(jié)點(diǎn)。 
• 使能雙棧，同時(shí)開啟IPv4和IPv6協(xié)議。

雙棧模式的工作原理可以簡(jiǎn)單描述為：

• 若目的地址是一個(gè)IPv4地址，則使用IPv4地址;
• 若目的地址是一個(gè)IPv6地址，則使用IPv6地址。使用IPv6地址時(shí)有可能要進(jìn)行封裝。

雙棧技術(shù)是所有過渡技術(shù)的基礎(chǔ)，支持靈活地啟用或關(guān)閉節(jié)點(diǎn)的IPv4/IPv6功能，可以很好地過渡到純IPv6的環(huán)境。但同時(shí)，要求所有節(jié)點(diǎn)都支持雙棧，增加了改造和部署難度。

2. 隧道技術(shù)

隧道技術(shù)示意圖

基于IPv4隧道來傳送IPv6數(shù)據(jù)報(bào)文的隧道技術(shù)，是將IPv6報(bào)文封裝在IPv4報(bào)文中，這樣IPv6協(xié)議包就可以穿越IPv4網(wǎng)絡(luò)進(jìn)行通信。因此被孤立的IPv6網(wǎng)絡(luò)之間可以通過IPv6的隧道技術(shù)利用現(xiàn)有的IPv4網(wǎng)絡(luò)互相通信而無需對(duì)現(xiàn)有的IPv4網(wǎng)絡(luò)做任何修改和升級(jí)。IPv6隧道可以配置在邊界路由器之間也可以配置在邊界路由器和主機(jī)之間，但是隧道兩端的節(jié)點(diǎn)都必須既支持IPv4協(xié)議棧又支持IPv6協(xié)議棧。

IPv6數(shù)據(jù)報(bào)在IPv4中的封裝

IPv4/IPv6隧道技術(shù)的實(shí)現(xiàn)機(jī)制：

• 隧道入口節(jié)點(diǎn)(封裝路由器)創(chuàng)立一個(gè)用于封裝的IPv4報(bào)文頭，并傳送此被封裝的分組。
• 隧道出口節(jié)點(diǎn)(解封裝路由器)接收此被封裝的分組，如果需要重新組裝此分組，移去IPv4報(bào)文頭，并處理收到的IPv6分組。
• 封裝路由器或許需要為每個(gè)隧道記錄維持軟狀態(tài)信息，這類參數(shù)諸如隧道MTU，以便處理轉(zhuǎn)發(fā)的IPv6分組進(jìn)隧道。

隧道技術(shù)封裝示意圖

IPv6隧道技術(shù)分為手動(dòng)隧道和自動(dòng)隧道：

(1) 手動(dòng)隧道：即邊界設(shè)備不能自動(dòng)獲得隧道終點(diǎn)的IPv4地址，需要手工配置隧道終點(diǎn)的IPv4地址，報(bào)文才能正確發(fā)送至隧道終點(diǎn)，通常用于路由器到路由器之間的隧道，常用的手動(dòng)隧道技術(shù)如下：

• IPv6 over IPv4手動(dòng)隧道
• GRE隧道

(2) 自動(dòng)隧道： 即邊界設(shè)備可以自動(dòng)獲得隧道終點(diǎn)的IPv4地址，所以不需要手工配置終點(diǎn)的IPv4地址，一般的做法是隧道的兩個(gè)接口的IPv6地址采用內(nèi)嵌IPv4地址的特殊IPv6地址形式，這樣路由設(shè)備可以從IPv6報(bào)文中的目的IPv6地址中提取出IPv4地址，自動(dòng)隧道可用于主機(jī)到主機(jī)，或者主機(jī)到路由器之間，常用的自動(dòng)隧道技術(shù)如下：

• 6to4
• ISATAP
• 6RD

通過隧道技術(shù)，依靠現(xiàn)有IPv4設(shè)施，只要求隧道兩端設(shè)備支持雙棧，即可實(shí)現(xiàn)多個(gè)孤立IPv6網(wǎng)絡(luò)的的互通，但是隧道實(shí)施配置比較復(fù)雜，也不支持IPv4主機(jī)和IPv6主機(jī)直接通信。

地址協(xié)議轉(zhuǎn)換技術(shù)

地址轉(zhuǎn)換技術(shù)示意圖

1. NAT-PT轉(zhuǎn)換技術(shù)

NAT-PT(Network Address Translation-Protocol Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換)：由SIIT(Stateless IP/ICMP Translation，無狀態(tài)翻譯技術(shù))協(xié)議轉(zhuǎn)換技術(shù)和動(dòng)態(tài)地址翻譯(NAT)技術(shù)結(jié)合和演進(jìn)而來，SIIT提供IPv4和IPv6一對(duì)一的映射轉(zhuǎn)換，NAT-PT支持在SIIT基礎(chǔ)上實(shí)現(xiàn)多對(duì)一或多對(duì)多的地址轉(zhuǎn)換。

NAT-PT分為靜態(tài)和動(dòng)態(tài)兩種形式：

(1) 靜態(tài)NAT-PT：

靜態(tài)模式提供一對(duì)一的IPv6地址和IPv4地址的映射。IPv6單協(xié)議網(wǎng)絡(luò)域內(nèi)的節(jié)點(diǎn)要訪問IPv4單協(xié)議網(wǎng)絡(luò)域內(nèi)的每一個(gè)IPv4地址，都必須在NAT-PT網(wǎng)關(guān)中配置。每一個(gè)目的IPv4在NAT-PT網(wǎng)關(guān)中被映射成一個(gè)具有預(yù)定義NAT-PT前綴的IPv6地址。在這種模式下，每一個(gè)IPv6映射到IPv4地址需要一個(gè)源IPv4地址。靜態(tài)配置適合經(jīng)常在線，或者需要提供穩(wěn)定連接的主機(jī)。

(2) 動(dòng)態(tài)NAT-PT：

在動(dòng)態(tài) NAT-PT中，NAT-PT網(wǎng)關(guān)向IPv6網(wǎng)絡(luò)通告一個(gè)96位的地址前綴，并結(jié)合主機(jī)32位IPv4地址作為對(duì)IPv4網(wǎng)絡(luò)中主機(jī)的標(biāo)識(shí)。從IPv6網(wǎng)絡(luò)中的主機(jī)向IPv4網(wǎng)絡(luò)發(fā)送的報(bào)文，其目的地址前綴與NAT-PT發(fā)布的地址前綴相同，這些報(bào)文都被路由到NAT-PT網(wǎng)關(guān)，由NAT-PT網(wǎng)關(guān)對(duì)報(bào)文頭進(jìn)行修改，取出其中的IPv4地址信息，替換目的地址。同時(shí)，NAT-PT網(wǎng)關(guān)定義了IPv4地址池，它從地址池中取出一個(gè)地址來替換IPv6報(bào)文的源地址，從而完成從IPv6地址到IPv4地址的轉(zhuǎn)換。動(dòng)態(tài)NAT-PT支持多個(gè)IPv6地址映射為一個(gè)IPv4地址，節(jié)省了IPv4地址空間。

NAT-PT支持IPv4和IPv6兩種協(xié)議的相互翻譯和轉(zhuǎn)換，但是存在如下問題：

• 屬于同一會(huì)話的請(qǐng)求和響應(yīng)都必須通過同一NAT-PT設(shè)備才能進(jìn)行轉(zhuǎn)換，比較適合單一出口設(shè)備的環(huán)境;
• 不能轉(zhuǎn)換IPv4報(bào)文頭的可選項(xiàng)部分;
• 缺少端到端的安全性。

因此，NAT-PT逐漸被廢棄，不推薦使用，最新的地址協(xié)議轉(zhuǎn)換技術(shù)是NAT64。

2. NAT64轉(zhuǎn)換技術(shù)

NAT64是一種有狀態(tài)的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，一般只支持通過IPv6網(wǎng)絡(luò)側(cè)用戶發(fā)起連接訪問IPv4側(cè)網(wǎng)絡(luò)資源。但NAT64也支持通過手工配置靜態(tài)映射關(guān)系，實(shí)現(xiàn)IPv4網(wǎng)絡(luò)主動(dòng)發(fā)起連接訪問IPv6網(wǎng)絡(luò)。其中，NAT64執(zhí)行IPv4-IPv6有狀態(tài)的地址和協(xié)議轉(zhuǎn)換，DNS64實(shí)現(xiàn)域名地址解析，兩者配合工作，不需要在IPv6客戶端或IPv4服務(wù)器端做任何修改。

DNS64主要是將DNS查詢信息中的A記錄(IPv4地址)合成到AAAA記錄(IPv6地址)中，返回合成的AAAA記錄用戶給IPv6側(cè)用戶。DNS64也解決了NAT-PT中的DNS-ALG存在的缺陷。

NAT64 和DNS64流程圖

NAT64和DNS64的流程如下：

• IPv6主機(jī)發(fā)起到DNS64 server的IPv6域名解析請(qǐng)求(主機(jī)配置的DNS地址是DNS64)，解析域名為www.abc.com;
• DNS64觸發(fā)到DNS server中查詢IPv6地址;
• 若能查詢到則返回域名對(duì)應(yīng)的IPv6地址，若查詢不到，則返回空;
• DNS64再次觸發(fā)到DNS server中查詢IPv4地址;
• DNS server返回www.abc.com的IPv4記錄(192.168.1.1);
• DNS64合成IPv6地址(64::FF9B::192.168.1.1)，并返回給IPv6主機(jī);
• IPv6主機(jī)發(fā)起目的地址為64::FF9B::192.168.1.1的IPv6數(shù)據(jù)包;由于NAT64在IPv6域內(nèi)通告配置的IPv6 Prefix，因此這個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)到NAT64設(shè)備上;
• NAT64執(zhí)行地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換，目的地址轉(zhuǎn)換為192.168.1.1，源地址根據(jù)地址狀態(tài)轉(zhuǎn)換(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域內(nèi)路由到IPv4 server;
• IPv4數(shù)據(jù)包返回，目的地址為172.16.1.1;
• NAT64根據(jù)已有記錄進(jìn)行轉(zhuǎn)換，目的地址轉(zhuǎn)換為3ffe:100:200:1::1，源地址為加了IPv6前綴的IPv4 server地址64::FF9B::192.168.1.1，發(fā)送到IPv6主機(jī)，流程結(jié)束。

地址協(xié)議轉(zhuǎn)換技術(shù)對(duì)現(xiàn)有IPv4環(huán)境做少量改造(通常是更換出口網(wǎng)關(guān))，即可實(shí)現(xiàn)對(duì)外支持IPv6訪問，部署簡(jiǎn)單便捷。

3. 如何選擇?

業(yè)務(wù)系統(tǒng)對(duì)穩(wěn)定性有很高的要求，任何改造都不能影響現(xiàn)有業(yè)務(wù)的運(yùn)行。當(dāng)我們做IPv6升級(jí)改造的時(shí)候，面對(duì)眾多技術(shù)方案如何選擇，需要考慮到諸多情況：

• 實(shí)施部署的便捷性，周期不能太長(zhǎng)，如何保證在國家或監(jiān)管機(jī)構(gòu)的規(guī)定時(shí)間內(nèi)完成全部業(yè)務(wù)平臺(tái)的改造，并對(duì)外提供IPv6服務(wù);
• 方案須支持雙棧，對(duì)后續(xù)的演進(jìn)發(fā)展到純IPv6沒有障礙;
• 要考慮投資成本和影響面，分步進(jìn)行，優(yōu)先完成對(duì)外系統(tǒng)改造(如門戶網(wǎng)站)，再進(jìn)行內(nèi)網(wǎng)系統(tǒng)改造;
• 對(duì)現(xiàn)有業(yè)務(wù)的影響最小，已有的IPv4訪問不受影響;
• 技術(shù)的通用性，不同廠商產(chǎn)品能夠?qū)崿F(xiàn)對(duì)接支持;
• 不增加過多的運(yùn)維負(fù)擔(dān)，對(duì)IPv6網(wǎng)絡(luò)的維護(hù)工作可以平穩(wěn)過渡。

4. 三種技術(shù)對(duì)比

每種過渡技術(shù)都有各自的優(yōu)點(diǎn)和缺點(diǎn)，結(jié)合金融行業(yè)的應(yīng)用場(chǎng)景和需求，在不同的場(chǎng)景下我們需要選擇不同的過渡技術(shù)以實(shí)現(xiàn)IPv6改造：

• 對(duì)于新建業(yè)務(wù)系統(tǒng)的場(chǎng)景，推薦采用雙棧技術(shù)，同時(shí)支持IPv4和IPv6，一步到位實(shí)現(xiàn)最優(yōu)改造;
• 對(duì)于多個(gè)孤立IPv6網(wǎng)絡(luò)互通的場(chǎng)景，如多個(gè)IPv6的數(shù)據(jù)中心區(qū)域互聯(lián)，可以采用隧道技術(shù)，讓IPv6數(shù)據(jù)封裝到IPv4網(wǎng)絡(luò)上傳輸，減少部署的成本和壓力;
• 對(duì)于已經(jīng)上線的業(yè)務(wù)系統(tǒng)，建議采用地址協(xié)議轉(zhuǎn)換技術(shù)，對(duì)現(xiàn)網(wǎng)的改動(dòng)最小，可以快速部署，投資成本最低，可支持后期逐漸演進(jìn)到純IPv6環(huán)境。