李 實(shí)

（中國(guó)電信股份有限公司上海研究院 上海200122）

1 引言

基于IPv4的互聯(lián)網(wǎng)是由美國(guó)軍方的網(wǎng)絡(luò)發(fā)展起來的，采用了32 bit的地址，總地址空間為232≈42億個(gè)。但后來IPv4網(wǎng)絡(luò)迅速擴(kuò)展到全球，再加上一些比較奢侈的設(shè)計(jì)浪費(fèi)了較多的地址，地址資源早已經(jīng)枯竭?；ヂ?lián)網(wǎng)迫切需要一個(gè)新的方案來解決地址不足的問題。

2 現(xiàn)有解決方案特點(diǎn)及前景

2.1 IPv6

早在20世紀(jì)90年代初期，互聯(lián)網(wǎng)工程任務(wù)組（IETF）就已經(jīng)預(yù)見到這個(gè)問題并著手下一代互聯(lián)網(wǎng)協(xié)議（IP-the next generation，IPng）的制定工作。IETF在RFC1550里進(jìn)行了征求新的IP（互聯(lián)網(wǎng)協(xié)議）的呼吁，并公布了新的協(xié)議需實(shí)現(xiàn)的主要目標(biāo)：

·支持幾乎無限大的地址空間；

·減小路由表的大?。?/p>

·簡(jiǎn)化協(xié)議，使路由器能更快地處理數(shù)據(jù)分組；

·提供更好的安全性，實(shí)現(xiàn)IP級(jí)的安全；

·支持多種服務(wù)類型，尤其是實(shí)時(shí)業(yè)務(wù)；

·支持多目傳送，即支持多播；

·允許主機(jī)不更改地址實(shí)現(xiàn)異地漫游；

·支持未來協(xié)議的演變；

·允許新舊協(xié)議共存一段時(shí)間；

·支持未來協(xié)議的演變以適應(yīng)底層網(wǎng)絡(luò)環(huán)境或上層應(yīng)用環(huán)境的變化；

·支持自動(dòng)地址配置；

·協(xié)議必須能擴(kuò)展，它必須能通過擴(kuò)展來滿足將來互聯(lián)網(wǎng)的服務(wù)需求；擴(kuò)展必須是不需要網(wǎng)絡(luò)軟件升級(jí)就可實(shí)現(xiàn)的；

·協(xié)議必須支持可移動(dòng)主機(jī)和網(wǎng)絡(luò)。

作為對(duì)RFC1550的響應(yīng)，包括SIPP等在內(nèi)的若干IPng提案被提交到IETF。最終IETF決定以SIPP作為IPng的基礎(chǔ)，同時(shí)把地址長(zhǎng)度由64 bit增加到128 bit。新的IP稱為IPv6。其版本是在1994年由IETF批準(zhǔn)的RFC1752，在RFC1884中介紹了IPv6的地址結(jié)構(gòu)（現(xiàn)在RFC1884已經(jīng)被RFC2373所替代）。

2.1.1 技術(shù)特點(diǎn)

IETF在RFC1550中提出了若干要求，但不幸的是，其中偏偏沒有對(duì)兼容性的要求。最終選定的IPng方案——IPv6，也確實(shí)與IPv4不兼容。IPv4的地址空間約為42億個(gè)，當(dāng)這個(gè)網(wǎng)絡(luò)因?yàn)榈刂凡蛔愣?jí)的時(shí)候，可以想象網(wǎng)絡(luò)中已經(jīng)有了太多的IPv4終端和網(wǎng)絡(luò)設(shè)備。兼容性的缺失導(dǎo)致全球網(wǎng)絡(luò)升級(jí)變得極端復(fù)雜與昂貴。

2.1.2 推廣面臨的困難

雖然用IPv6來解決IPv4地址不足的問題儼然已是眾望所歸，但I(xiàn)Pv6從1994年誕生至今已經(jīng)過去了20年，使用范圍仍然局限于少數(shù)的教育機(jī)構(gòu)和實(shí)驗(yàn)場(chǎng)所，沒有進(jìn)行大規(guī)模的商用。究其原因，還是因?yàn)镮Pv6不兼容IPv4所致。

對(duì)網(wǎng)絡(luò)而言，初期IPv4地址很多，用戶很少，沒有升級(jí)的必要；后期IPv4地址基本耗竭，但同時(shí)已經(jīng)有太多的IPv4用戶。網(wǎng)絡(luò)需要升級(jí)以允許更多新用戶加入，但需要首先解決數(shù)以億計(jì)的既有用戶的升級(jí)問題。實(shí)際上，由于IPv6與IPv4不互通，IPv6網(wǎng)內(nèi)可以訪問的資源極其貧乏，SP和用戶并沒有加入IPv6網(wǎng)絡(luò)的愿望。

2.1.2.1 運(yùn)營(yíng)商的困境

（1）由于西方國(guó)家在IT產(chǎn)業(yè)上的領(lǐng)先，西方國(guó)家的IP地址資源相對(duì)豐富，不急于升級(jí)到IPv6；非西方國(guó)家因地址相對(duì)匱乏，更有升級(jí)的緊迫性。但是同樣由于西方在IT產(chǎn)業(yè)上的領(lǐng)先優(yōu)勢(shì)，非西方國(guó)家又必須保持訪問西方國(guó)家IPv4網(wǎng)絡(luò)中的資源的能力。這就導(dǎo)致非西方國(guó)家的運(yùn)營(yíng)商即使在升級(jí)到IPv6之后也必須長(zhǎng)期向公眾提供IPv4接入服務(wù)（無論運(yùn)營(yíng)商自身網(wǎng)絡(luò)運(yùn)行在何種協(xié)議棧上）而不可能斷然關(guān)閉IPv4服務(wù)。

（2）由于IPv4地址緊張，長(zhǎng)期以來運(yùn)營(yíng)商給每個(gè)寬帶公眾用戶只分配1個(gè)IP地址，而用戶又確實(shí)存在多終端接入的需求，這導(dǎo)致用戶自備NAT型家庭網(wǎng)關(guān)成為普遍現(xiàn)象，而這些家庭網(wǎng)關(guān)又普遍不支持IPv6。如果運(yùn)營(yíng)商希望用戶默認(rèn)使用IPv6網(wǎng)絡(luò)，將不得不為用戶提供支持IPv6的家庭網(wǎng)關(guān)。否則，對(duì)用戶而言，既然運(yùn)營(yíng)商仍然支持IPv4接入，那就繼續(xù)使用原有家庭網(wǎng)關(guān)和IPv4吧！以中國(guó)為例：到目前為止中國(guó)已經(jīng)有了約2億戶寬帶用戶，升級(jí)到IPv6需要為所有用戶更換家庭網(wǎng)關(guān)。按保守價(jià)格每只150元計(jì)算，光家庭網(wǎng)關(guān)就要花費(fèi)300億元，代價(jià)極為巨大。同時(shí)，由于需要上門為用戶更換設(shè)備，工程量也是巨大的。而這些被換下的用戶家庭網(wǎng)關(guān)將很難再有新的用處，又形成了巨大的浪費(fèi)。

（3）升級(jí)到IPv6需要大規(guī)模地升級(jí)網(wǎng)絡(luò)中的設(shè)備（多數(shù)是基于硬件的替換），而這個(gè)行為客觀上只是替換了目前運(yùn)行良好的IPv4設(shè)備。運(yùn)營(yíng)商投資巨大卻無實(shí)際回報(bào)，從企業(yè)運(yùn)營(yíng)的角度來說不是個(gè)理性的行為。所以運(yùn)營(yíng)商更傾向于深入挖掘已有IPv4設(shè)備的潛力而沒有升級(jí)到IPv6網(wǎng)絡(luò)的積極性。

（4）就過渡方案而言，兼容性太差會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常使用，兼容性太好又會(huì)讓用戶感覺沒有必要切換到IPv6網(wǎng)絡(luò)，從而導(dǎo)致IPv6遲遲不能成為主流。目前主流運(yùn)營(yíng)商已經(jīng)計(jì)劃通過NAT444、DS-Lite和LAFT等技術(shù)來過渡。這些技術(shù)都包括了運(yùn)營(yíng)商給用戶分配私網(wǎng)IPv4地址+NAT，在解決IPv4接入的同時(shí)又導(dǎo)致網(wǎng)絡(luò)進(jìn)一步向NAT結(jié)構(gòu)的IPv4網(wǎng)絡(luò)深度深化了。同時(shí)一些主流過渡方案也要求運(yùn)營(yíng)商對(duì)用戶的家庭網(wǎng)關(guān)擁有最高控制權(quán)，這也導(dǎo)致必須由運(yùn)營(yíng)商來負(fù)責(zé)給用戶提供家庭網(wǎng)關(guān)。

（5）運(yùn)營(yíng)商需要為過渡準(zhǔn)備若干軟硬件設(shè)備，而這些設(shè)備僅僅是在過渡過程中臨時(shí)使用的，在過渡完成后將沒有任何價(jià)值，也形成巨大的浪費(fèi)。

2.1.2.2 SP的困境

IPv4網(wǎng)絡(luò)采用32 bit的地址標(biāo)識(shí)主機(jī)，而IPv6網(wǎng)絡(luò)采用128 bit的地址標(biāo)識(shí)。對(duì)于很多在應(yīng)用層標(biāo)識(shí)主機(jī)的應(yīng)用而言，如果要升級(jí)到IPv6，必須修改應(yīng)用層的主機(jī)標(biāo)識(shí)。而要做到這一點(diǎn)，往往意味著軟件甚至在應(yīng)用層面也必須做出較大的調(diào)整。事實(shí)上這是所有在IP網(wǎng)絡(luò)上提供較大范圍業(yè)務(wù)的組織的困境，包括通常意義上的互聯(lián)網(wǎng)SP、擁有復(fù)雜內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的大型企業(yè)以及擁有諸多業(yè)務(wù)平臺(tái)的運(yùn)營(yíng)商。對(duì)他們而言，這個(gè)升級(jí)實(shí)際上也只是替代了目前運(yùn)營(yíng)良好的業(yè)務(wù)系統(tǒng)，并沒有功能的增強(qiáng)或者性能的提升，也是投入巨大但沒有實(shí)際回報(bào)的行為。

另一方面，既然運(yùn)營(yíng)商仍然支持用戶的IPv4接入，即使分配給用戶的是私網(wǎng)地址并且需要經(jīng)過NAT才能訪問SP提供的業(yè)務(wù)，經(jīng)過這么多年的發(fā)展，對(duì)大多數(shù)業(yè)務(wù)而言，這種模式也已經(jīng)工作得足夠好。也就是說，業(yè)務(wù)本身不要求SP升級(jí)。

如果SP不升級(jí)，那么將來還可能面臨公網(wǎng)IPv4地址不足導(dǎo)致服務(wù)器無法開通的問題?？紤]到目前有大量公網(wǎng)IPv4地址是動(dòng)態(tài)分配給寬帶用戶的，隨著分配私網(wǎng)地址的過渡方案的逐漸成熟，收回一些公網(wǎng)地址給服務(wù)器使用將是很容易做到的事。那么地址不足的問題對(duì)服務(wù)器而言也不復(fù)存在了。既然如此，為什么還要升級(jí)到IPv6呢？

2.1.2.3 寬帶用戶的困境

對(duì)寬帶用戶而言，升級(jí)不僅沒好處，反而可能有諸多不便之處：需要追加投資、升級(jí)操作系統(tǒng)、更換家庭網(wǎng)關(guān)等。但因?yàn)榫W(wǎng)絡(luò)轉(zhuǎn)發(fā)IPv6報(bào)文效率偏低以及IPv6網(wǎng)絡(luò)上資源不足等原因，用戶得到的卻是網(wǎng)絡(luò)體驗(yàn)的下降。而如果什么也不做，現(xiàn)有的網(wǎng)絡(luò)已經(jīng)能夠很好地滿足需要。既然如此，為什么要升級(jí)到IPv6呢？

2.1.3 小結(jié)

概言之，對(duì)運(yùn)營(yíng)商、SP和寬帶用戶而言，升級(jí)到IPv6帶來的感受都是負(fù)面的。眼下就要付出很大的代價(jià)，面對(duì)很大的麻煩，好處卻還在遙遠(yuǎn)的未來。所以各方都是口號(hào)大于行動(dòng)也就很好理解了。

在2011年6月舉辦的“世界IPv6日”活動(dòng)上，有不少專家認(rèn)為：“盡管IETF、ISOC和其支持者正在不遺余力地推廣IPv6，但是IPv6并不是一件必然要發(fā)生的事情?！?/p>

2.2 NAT

網(wǎng)絡(luò)中的地址至少有兩個(gè)含義：主機(jī)在網(wǎng)絡(luò)中的唯一標(biāo)識(shí)；網(wǎng)絡(luò)將報(bào)文轉(zhuǎn)發(fā)至主機(jī)的尋路依據(jù)。NAT協(xié)議通過為內(nèi)網(wǎng)主機(jī)分配私網(wǎng)地址，并將私網(wǎng)的IP:port對(duì)映射為公網(wǎng)的IP:port對(duì)，一定程度上緩解了IPv4地址不足的問題。但NAT為主機(jī)分配私網(wǎng)地址，導(dǎo)致主機(jī)失去了網(wǎng)絡(luò)中的唯一標(biāo)識(shí)。NAT破壞了網(wǎng)絡(luò)的對(duì)稱性，導(dǎo)致網(wǎng)絡(luò)日益向C/S結(jié)構(gòu)演化。同時(shí)，家庭網(wǎng)關(guān)層面采用NAT技術(shù)也沒有徹底解決IPv4地址不足的問題，運(yùn)營(yíng)商仍然缺乏足夠的地址分配給用戶。

前已述及，運(yùn)營(yíng)商計(jì)劃通過給用戶分配私網(wǎng)IPv4地址+NAT將新用戶接入IPv4網(wǎng)絡(luò)。這樣的方案同時(shí)包括在主流運(yùn)營(yíng)商優(yōu)選的幾個(gè)過渡方案如NAT444、DS-Lite和LAFT 4over6等方案中，雖然細(xì)節(jié)各有不同。雖然NAT的引入會(huì)破壞網(wǎng)絡(luò)的對(duì)稱性，但NAT技術(shù)在家庭網(wǎng)關(guān)上的廣泛應(yīng)用已經(jīng)充分證明了它的生命力。

雖然這些方案都是作為過渡方案出現(xiàn)的，但這些方案應(yīng)用后的確會(huì)有效緩解IPv4網(wǎng)絡(luò)中地址不足的問題。如果業(yè)界以IPv6為下一代互聯(lián)網(wǎng)解決方案，考慮到所有各方升級(jí)到IPv6將要付出的成本和面對(duì)的麻煩，有理由相信這些過渡模式中的NAT成分會(huì)得到充分的發(fā)展。人們會(huì)信任并依賴這些方案中包含的NAT技術(shù)而忽略這些方案中的IPv6部分，地址不足不再是個(gè)問題，進(jìn)而網(wǎng)絡(luò)會(huì)長(zhǎng)期停留在“過渡階段”并失去向IPv6演化的動(dòng)力。

3 IPng應(yīng)有的特點(diǎn)

如果不希望網(wǎng)絡(luò)長(zhǎng)久地停留在邁向IPv6的過渡狀態(tài)中，不希望網(wǎng)絡(luò)長(zhǎng)久地停留在被NAT破壞了對(duì)稱性的狀態(tài)中，那么應(yīng)該重新考慮：下一代互聯(lián)網(wǎng)解決方案，是否還有更好的選擇？

IPng應(yīng)該具備哪些特點(diǎn)？1993年IETF提供的RFC1550列舉了若干條件，唯獨(dú)沒有要求與已有的IPv4兼容。20年后再來審視這份文稿，已經(jīng)可以清晰地看到兼容性要求的缺失導(dǎo)致網(wǎng)絡(luò)升級(jí)所面臨的巨大困難。因?yàn)镮Pv6與IPv4不兼容，升級(jí)遲遲不能完成，甚至在IPv4地址已經(jīng)耗竭的今天，仍然沒有足夠的樂觀的理由。

有理由要求一個(gè)合格的IPng技術(shù)必須同時(shí)具備兩個(gè)特點(diǎn)：地址空間充分大，以解決IPv4地址不足的問題；與IPv4網(wǎng)絡(luò)兼容，以方便順利升級(jí)。

一個(gè)偶然的機(jī)會(huì)，筆者想到了一個(gè)可以同時(shí)滿足上述兩個(gè)要求的方案。因?yàn)楦叨燃嫒軮Pv4網(wǎng)絡(luò)，需要升級(jí)的網(wǎng)絡(luò)設(shè)備極少，升級(jí)既經(jīng)濟(jì)又容易，與IPv6方案相比成本幾乎可以忽略不計(jì)。在此將這個(gè)新方案介紹給大家。

4 新思路：雙網(wǎng)絡(luò)層方案

4.1 協(xié)議棧

新協(xié)議在原IP層之上增加一層，放入報(bào)文的源、目標(biāo)主機(jī)的域名——姑且稱之為域名層。以常見的IP over Ethernet為例，增加了域名層的新協(xié)議棧如圖1所示。鑒于原協(xié)議被稱為TCP/IP，此處姑且將新協(xié)議稱為TCP/DN/IP（DN=domain name）。

新協(xié)議使用域名作為主機(jī)全球唯一的標(biāo)識(shí)和尋址依據(jù)。

新協(xié)議在域名覆蓋的范圍內(nèi)（可以包括部分或全部子域）使用整個(gè)IPv4地址空間進(jìn)行編址，因此域名還可代表IP域。

圖1 TCP/DN/IP協(xié)議棧

IP域的特點(diǎn)如下。

·每個(gè)IP域獨(dú)立編址，IP地址在單個(gè)IP域內(nèi)唯一。

·IP域內(nèi)的路由器按傳統(tǒng)方式根據(jù)IP地址轉(zhuǎn)發(fā)報(bào)文。也就是說，IP域內(nèi)的IP路由器不需要升級(jí)。（TCP/DN/IP報(bào)文因?yàn)闆]有修改IP層報(bào)文格式，仍是標(biāo)準(zhǔn)的IP報(bào)文，在IP域內(nèi)轉(zhuǎn)發(fā)時(shí)可以在傳統(tǒng)IP路由器上正常轉(zhuǎn)發(fā)）。

·不同的IP域在IP層不互通。報(bào)文跨IP域轉(zhuǎn)發(fā)時(shí)，需要域名路由器（domain name router，DNR）根據(jù)報(bào)文頭部的域名層信息進(jìn)行轉(zhuǎn)發(fā)。

不考慮少數(shù)被保留用于特殊目的的地址段，目前的IPv4地址正是在全球范圍內(nèi)統(tǒng)一編址的，正好符合定義，姑且稱之為“全球域”。

第4.2節(jié)的“轉(zhuǎn)發(fā)場(chǎng)景”可幫助理解上述概念、特點(diǎn)以及本方案的實(shí)現(xiàn)機(jī)制。

4.2 完整的轉(zhuǎn)發(fā)場(chǎng)景

4.2.1 跨域訪問

如圖2所示，有3個(gè)IP域，分別是全球域(.)、中國(guó)國(guó)家域(cn.)和美國(guó)國(guó)家域（us.）。每個(gè)IP域獨(dú)立編址。不同的IP域在IP層不互通，須通過域名路由器轉(zhuǎn)發(fā)。

圖2中各設(shè)備基本配置見表1。

表1 典型流程中各網(wǎng)絡(luò)設(shè)備基本配置

圖2 典型的TCP/DN/IP報(bào)文跨域轉(zhuǎn)發(fā)流程

可以看到，由于劃分了不同的IP域，同一個(gè)域名在不同的域中可以映射為不同的IP地址，不同域中的主機(jī)也可以擁有同樣的IP地址。

另外，需要在DNS中新增DNA資源類，已升級(jí)的主機(jī)在DNS中注冊(cè)DNA資源，仍舊映射為IP地址，用以告知查詢方目標(biāo)主機(jī)已升級(jí)。未升級(jí)的主機(jī)只有A類型的資源。

host.cn向host.us發(fā)出的報(bào)文全程轉(zhuǎn)發(fā)流程如下。

（1）host.cn向本域的DNS服務(wù)器查詢host.us的IP地址（DNA資源類型）。

（2）dns.cn在cn域內(nèi)的接口上維持表2所示的解析。

表2 dns.cn在cn域內(nèi)的解析

此表將域內(nèi)的域名（以cn.結(jié)尾）解析為對(duì)應(yīng)的域內(nèi)IP地址，將所有其他域名（根據(jù)DNS命名規(guī)則，一個(gè)域名要么屬根域，要么屬根域的子域，必然可與“*.”匹配）解析為通向全球域的DNR的IP地址。

在本例中，dns.cn發(fā)現(xiàn)是域內(nèi)主機(jī)在查詢域外主機(jī)host.us，返回相應(yīng)的CN DNR在cn域內(nèi)的接口IP地址：1.1.1.1。

（1）host.cn收到DNS查詢結(jié)果后，域名層填入host.us為目標(biāo)地址，host.cn為源地址，IP層填入DNS返回的CN DNR IP作為目標(biāo)地址，見表3，然后將報(bào)文發(fā)出。

表3 host.cn發(fā)送報(bào)文前的報(bào)頭內(nèi)容

（2）此報(bào)文被cn域內(nèi)的所有IP路由器作為標(biāo)準(zhǔn)IP報(bào)文轉(zhuǎn)發(fā)，并最終抵達(dá)dnr.cn。

（3）dnr.cn收到報(bào)文后，發(fā)現(xiàn)目標(biāo)地址是host.us，在全球域內(nèi)查詢host.us對(duì)應(yīng)的IP。

（4）全球域DNS維持的表格中包含表4所示記錄。

表4 全球域DNS（dns.）解析

根據(jù)DNS的實(shí)現(xiàn)機(jī)制，全球域中的DNS 3.3.3.4負(fù)責(zé)解析us.域內(nèi)的域名。此時(shí)查詢會(huì)被轉(zhuǎn)向到dnr.us。

dns.us面向全球域的接口維持這樣的解析表格，見表5。

表5 dns.us在全球域內(nèi)的解析

也就是說，對(duì)所有從us.域外查詢us.域內(nèi)主機(jī)的請(qǐng)求，一律返回3.3.3.3。

對(duì)于dnr.cn的查詢host.us的請(qǐng)求，DNS最終返回

3.3.3.3 。

（5）dnr.cn將IP層的目標(biāo)地址替換為DNS返回值，IP層的源地址替換為本機(jī)出口地址，見表6。

表6 dnr.cn轉(zhuǎn)發(fā)前的報(bào)頭內(nèi)容

然后，dnr.cn將報(bào)文從全球域端口發(fā)送出去。

（6）dnr.us收到報(bào)文后，在us.域內(nèi)通過DNS查詢到host.us的IP地址為100.100.100.100，將IP層目標(biāo)地址替換為DNS返回的100.100.100.100，IP源地址替換為dnr.us出口地址1.1.1.1，見表7。

表7 dnr.us轉(zhuǎn)發(fā)前的報(bào)頭內(nèi)容

然后將報(bào)文從us.域內(nèi)接口發(fā)出。報(bào)文在us域被若干IP路由器視為普通IP報(bào)文轉(zhuǎn)發(fā)，直至抵達(dá)目標(biāo)主機(jī)host.us。

作一個(gè)類比：IP報(bào)文穿越不同的以太網(wǎng)廣播域時(shí)，IP層的源和目標(biāo)地址保持不變，而MAC層的源和目標(biāo)地址在不停地變化。TCP/DN/IP報(bào)文穿越不同的IP域時(shí)，域名層的源和目標(biāo)地址保持不變，而IP層的源和目標(biāo)地址在不停地變化。兩者的思路是一致的。

最后，由于域名層含有源地址“host.cn”，反向報(bào)文可以循相同的機(jī)制返回。

4.2.2 域內(nèi)訪問

（1）hostA.cn（已 升級(jí)主機(jī)）發(fā) 出 基 于TCP/DN/IP的DNS query到DNS服務(wù)器，查詢hostB.cn的IP地址（DNA資源類型）。

（2）DNS服務(wù)器發(fā)現(xiàn)是域內(nèi)主機(jī)在查詢域內(nèi)主機(jī)的IP地址，返回hostB.cn的IP地址。

（3）hostA.cn將hostB.cn和hostA.cn分 別 作 為 報(bào) 文 的目標(biāo)地址和源地址填入報(bào)文的域名層，DNS返回的IP地址作為目標(biāo)地址填入IP層，即可正常訪問hostB.cn。

可以看到，域內(nèi)的訪問流程與既有模式是完全一致的。

值得一提的是，本協(xié)議中在單個(gè)IP域內(nèi)域名與IP地址保持一一對(duì)應(yīng)關(guān)系，既可以用域名標(biāo)識(shí)主機(jī)，也可以繼續(xù)使用IP地址標(biāo)識(shí)主機(jī)。這個(gè)特點(diǎn)為那些只需要在單IP域內(nèi)運(yùn)作的業(yè)務(wù)平臺(tái)提供了很大的方便——它們根本就不需要升級(jí)。

4.3 NAT家庭網(wǎng)關(guān)之后的終端接入方案

如前所述，目前NAT型家庭網(wǎng)關(guān)得到了最為廣泛的應(yīng)用。

TCP/DN/IP報(bào)文無法通過NAT路由器（即使能通過，因?yàn)镹AT路由器無法進(jìn)行反向映射，返回的報(bào)文將無法到達(dá)正確的內(nèi)網(wǎng)主機(jī)）。

可以考慮用如圖3所示的方案來解決這個(gè)問題。

如圖3所示，在IP層與DN層之間再插入一個(gè)標(biāo)準(zhǔn)的UDP層。這個(gè)新增的UDP層可以保證報(bào)文正常通過NAT網(wǎng)關(guān)。需要為TCP/DN/IP分配一個(gè)標(biāo)準(zhǔn)的UDP端口，所有支持TCP/DN/IP的設(shè)備都在這個(gè)端口偵聽，DNR則仍然按前述規(guī)則根據(jù)域名轉(zhuǎn)發(fā)。

用戶不必對(duì)NAT路由器做任何改動(dòng)，只要升級(jí)所有的終端使用這樣的協(xié)議棧，就可以同時(shí)實(shí)現(xiàn)多終端接入以及對(duì)全球網(wǎng)絡(luò)的無障礙訪問。

如果將來家庭網(wǎng)關(guān)設(shè)備商生產(chǎn)支持TCP/DN/IP的路由器，那么每個(gè)家庭內(nèi)部將有一個(gè)獨(dú)立的IP域，而且仍然只需要運(yùn)營(yíng)商分配1個(gè)IP地址作為WAN口地址，路由器根據(jù)域名進(jìn)行轉(zhuǎn)發(fā)，那么家庭內(nèi)部可以接入任意多個(gè)主機(jī)并且全部全球可達(dá)。

這個(gè)設(shè)計(jì)還有個(gè)附帶的優(yōu)點(diǎn)是：升級(jí)對(duì)用戶的影響是正向的。用戶如果不升級(jí)家庭網(wǎng)關(guān)，那么可以獲得與當(dāng)前一樣的服務(wù)（可以主動(dòng)發(fā)起連接，但不能接收傳入的連接）；用戶如果升級(jí)家庭網(wǎng)關(guān)，那么家庭所有終端就外部可達(dá)了。因此用戶會(huì)傾向于主動(dòng)升級(jí)。

4.4 域名解析方案

4.4.1 DNS響應(yīng)規(guī)則

比較前述跨域訪問與域內(nèi)訪問的全過程，可以發(fā)現(xiàn)在兩種場(chǎng)景下主機(jī)的行為并無不同。差異完全來自DNS的解析機(jī)制。事實(shí)上本方案嵌入的域名層成為了新的網(wǎng)絡(luò)層，DNS實(shí)際上構(gòu)成了域名層的路由平面。

本方案中DNS響應(yīng)規(guī)則如下。

·對(duì)于同域的查詢，返回目標(biāo)主機(jī)在本域內(nèi)的IP地址。

·對(duì)于跨域的查詢，返回可以轉(zhuǎn)發(fā)報(bào)文到目標(biāo)域的DNR在本域內(nèi)的接口IP地址。

在這個(gè)機(jī)制中，DNS實(shí)際負(fù)責(zé)域名層的路由，而DNR只負(fù)責(zé)轉(zhuǎn)發(fā)。

4.4.2 固定域名解析

DNS中增加一個(gè)DNA資源類型，值為升級(jí)后的TCP/DN/IP主機(jī)的IP地址。DNS以此方式告知查詢發(fā)起方：目標(biāo)主機(jī)已支持TCP/DN/IP。

主機(jī)完成升級(jí)后增加DNA類型的項(xiàng)目到DNS數(shù)據(jù)庫中。

4.4.3 動(dòng)態(tài)接入用戶的域名自動(dòng)配置方案

新協(xié)議要求每臺(tái)主機(jī)都需要一個(gè)可解析的域名。這對(duì)原先已有域名的網(wǎng)站來說不是問題，但動(dòng)態(tài)接入的寬帶用戶則比較麻煩。目前的寬帶用戶多數(shù)是按需接入并動(dòng)態(tài)分配IP地址的，如果為它們提供可解析的域名，則DHCP系統(tǒng)要進(jìn)行調(diào)整，涉及幾乎所有的寬帶用戶（數(shù)以億計(jì)）。建議采用如下的自動(dòng)配置主機(jī)域名方案，只需對(duì)DNS稍作調(diào)整，即可給動(dòng)態(tài)接入的主機(jī)分配合法、可訪問的域名而完全不必觸及DHCP。

自動(dòng)配置主機(jī)域名方案如下。

（1）在本域DNS中添加localdomain對(duì)應(yīng)的別名，值設(shè)置為本域域名。譬如cn.域內(nèi)就將localdomain對(duì)應(yīng)的別名設(shè)置為“cn.”。

（2）升級(jí)到TCP/DN/IP的主機(jī)接入網(wǎng)絡(luò)后，按傳統(tǒng)方式通過DHCP向網(wǎng)絡(luò)申請(qǐng)IP地址和DNS服務(wù)器。

圖3 可通過NAT路由器的TCP/DN/IP協(xié)議棧

（3）主機(jī)在配置IP并得到DNS地址后，向DNS服務(wù)器查詢“l(fā)ocaldomain”對(duì)應(yīng)的CName字段，并將返回的別名設(shè)置為本機(jī)所在域的域名。

（4）將本機(jī)的IP地址的點(diǎn)分十進(jìn)制字符串，用“[]”括起來作為主機(jī)名。

（5）通過以上方式生成本機(jī)的完整域名。譬如一臺(tái)主機(jī)分配到的IP地址是100.100.100.100，所在域是“cn.”，那么按這個(gè)規(guī)則生成的域名就是“[100.100.100.100].cn”。也可以考慮采用其他編碼方式如十六進(jìn)制等以充分縮短域名長(zhǎng)度。

（6）可以考慮前述生成規(guī)則允許嵌套（例如當(dāng)主機(jī)位于支持TCP/DN/IP的家庭網(wǎng)關(guān)之后時(shí)），這樣會(huì)生成諸如“[192.168.1.10].[100.100.100.100].cn”形式的地址。這樣的地址客觀上具備源路由性質(zhì)，但過長(zhǎng)的域名同時(shí)也會(huì)降低報(bào)文的效率，需要謹(jǐn)慎考慮。

網(wǎng)絡(luò)上的TCP/DN/IP主機(jī)在解析域名時(shí)，先比較目標(biāo)主機(jī)所在域與本機(jī)所在域是否相同。若相同，視為處于同一個(gè)域。再看去掉域名后最右的部分是否符合自配置的主機(jī)域名的格式。如是，則直接從中還原出IP地址，不必再向DNS查詢。其他情況仍舊向DNS查詢目標(biāo)主機(jī)IP地址。

（7）還可以再擴(kuò)展一下：假設(shè)一個(gè)NAT網(wǎng)關(guān)公網(wǎng)地址為100.100.100.100，一臺(tái)位于該NAT網(wǎng)關(guān)之后的主機(jī)地址為192.168.1.10，在UDP端口2000偵聽TCP/DN/UDP/IP格式的報(bào)文，而NAT網(wǎng)關(guān)已經(jīng)預(yù)先配置好將UDP端口2010映射到該主機(jī)的2000端口。該主機(jī)知道自己位于NAT網(wǎng)關(guān)之后并且知道端口對(duì)應(yīng)關(guān)系，則可以將自己的地址配置為[100.100.100.100:2010].cn。域內(nèi)其他主機(jī)看見這樣格式的目標(biāo)地址時(shí)，即可啟用TCP/DN/UDP/IP協(xié)議棧并將目標(biāo)端口設(shè)為2010。通過這種方式，NAT網(wǎng)關(guān)之后的多臺(tái)主機(jī)能夠接收外部發(fā)起的到TCP/DN/UDP/IP協(xié)議棧任意端口的傳入連接。

這個(gè)機(jī)制同時(shí)還會(huì)帶來另一個(gè)好處：主機(jī)除了在接入時(shí)查詢一次本域域名外，同域其他主機(jī)訪問時(shí)不需要查詢DNS，充分節(jié)省DNS資源。

4.5 過渡方案

4.5.1 未升級(jí)主機(jī)訪問域內(nèi)主機(jī)

（1）hostA.cn（未升級(jí)主機(jī)）向DNS服務(wù)器查詢hostB.cn的IP地址（A型資源）。

（2）DNS服務(wù)器發(fā)現(xiàn)查詢的是本域的目標(biāo)主機(jī)，返回hostB.cn的IP地址（A型資源）。

（3）hostA.cn通過TCP/IP與hostB.cn通信。

此例中無論hostB.cn是否已升級(jí)，hostA.cn均可使用TCP/IP與hostB.cn正 常 通 信。

事實(shí)上，如果hostA沒有訪問域外主機(jī)的需求（可以相信較長(zhǎng)一段時(shí)間之內(nèi)cn域會(huì)是中國(guó)唯一的IP域，亦即用戶沒有訪問境外主機(jī)的需求），那么用戶主機(jī)甚至不需要升級(jí)。

4.5.2 已升級(jí)主機(jī)訪問域內(nèi)主機(jī)

（1）hostA.cn（已升級(jí)主機(jī)）發(fā) 出 基 于TCP/DN/IP的DNS query到DNS服務(wù)器，查詢hostB.cn的IP地址。為了促進(jìn)全網(wǎng)早日完成升級(jí)，操作系統(tǒng)默認(rèn)優(yōu)先查詢DNA類型。

（2）DNS服務(wù)器發(fā)現(xiàn)查詢的是本域目標(biāo)主機(jī)，應(yīng)返回hostB.cn的IP地址：

·如果數(shù)據(jù)庫中有對(duì)應(yīng)于hostB.cn的DNA資源類型，說明hostB.cn已升級(jí)，返回標(biāo)明為DNA類型的IP地址；

·如果數(shù)據(jù)庫中只有對(duì)應(yīng)于hostB.cn的A資源類型，說明hostB.cn未升級(jí)，返回標(biāo)明為A類型的IP地址。

（3）hostA.cn收到DNS查詢結(jié)果：

·如果收到的是DNA類型的返回結(jié)果，說明目標(biāo)主機(jī)已升級(jí)，采用TCP/DN/IP與之通信；

·如果收到的是A類型的返回結(jié)果，說明目標(biāo)主機(jī)未升級(jí)，采用TCP/IP與之通信。

4.5.3 未升級(jí)主機(jī)訪問域外主機(jī)

未升級(jí)主機(jī)是無法訪問域外主機(jī)的。本方案可以自然地將用戶導(dǎo)向指導(dǎo)升級(jí)的網(wǎng)頁。

（1）host.cn（未 升 級(jí) 主 機(jī)）發(fā) 出 基 于TCP/IP的DNS query到DNS服務(wù)器，查詢host.us的IP地址（A型資源）。

（2）DNS服務(wù)器發(fā)現(xiàn)這是一個(gè)域外的主機(jī)域名，且源主機(jī)未升級(jí)（因其查詢A型資源），返回引導(dǎo)升級(jí)的Web服務(wù)器的IP地址。

（3）host.cn如果是想打開目標(biāo)主機(jī)上的Web網(wǎng)頁，此時(shí)會(huì)自然打開引導(dǎo)升級(jí)的Web頁面。

4.5.4 已升級(jí)主機(jī)訪問域外未升級(jí)主機(jī)

4.5.4.1 NAT方案

如圖4所示，本場(chǎng)景中，中國(guó)國(guó)家域內(nèi)的主機(jī)host.cn和DNS.cn均已升級(jí)，而全球域中的目標(biāo)主機(jī)server.com未升級(jí)。

步驟（1）～步驟（3）同第4.2.1節(jié)，步驟（4）如下。

CN DNR收到報(bào)文后，發(fā)現(xiàn)目標(biāo)地址是host.us，在全球域內(nèi)查詢host.us對(duì)應(yīng)的IP地址。由于server.com未升級(jí)，CN DNR只能得到一條A記錄的返回。

圖4 TCP/DN/IP主機(jī)訪問TCP/IP主機(jī)-NAT型過渡方案

·如果繼續(xù)轉(zhuǎn)發(fā)報(bào)文到server.com，連接將會(huì)因?yàn)閟erver.com無法解析TCP/DN/IP協(xié)議棧而失敗。為避免這種情況，CN DNR轉(zhuǎn)入NAT模式，將cn域內(nèi)的（DN圳DN）報(bào)文映射為全球域內(nèi)的（IP圳IP）報(bào)文。

·目前已經(jīng)從IANA申請(qǐng)到的所有IP地址均可視為全球域中的地址，可作為此NAT中的源地址。由于地址數(shù)量充足，此處的NAT甚至不需要進(jìn)行端口轉(zhuǎn)換。此舉可以節(jié)省相當(dāng)多的路由器資源。

本方案屬過渡方案，是DNR的可選功能。

4.5.4.2 VPN方案

通常NAT方案已經(jīng)滿足要求。有一些特殊的應(yīng)用如果未及時(shí)升級(jí)，可能會(huì)因?yàn)锳LG問題不能成功連接。此時(shí)用戶可選擇VPN方案。

（1）用 戶 通 過TCP/DN/IP連 接 到 全 球 域 內(nèi) 的VPN服務(wù)器，獲得一個(gè)全球域內(nèi)有效的IP地址。此時(shí)即可通過TCP/IP訪問全球域內(nèi)任意主機(jī)。

（2）VPN建立期間，主機(jī)同時(shí)擁有兩個(gè)IP域的IP地址，可能會(huì)導(dǎo)致一定的混亂。可以考慮利用協(xié)議棧區(qū)分兩者。即，只用TCP/DN/IP訪問物理接口所在的IP域，只用TCP/IP訪問VPN接口所在的IP域。需要為兩個(gè)協(xié)議棧啟用獨(dú)立的路由表。

（3）運(yùn)營(yíng)商鼓勵(lì)用戶和服務(wù)提供商盡快升級(jí)操作系統(tǒng)。VPN方案可交由社會(huì)上獨(dú)立的商業(yè)機(jī)構(gòu)運(yùn)營(yíng)，運(yùn)營(yíng)商不一定需要自己建立這樣的服務(wù)器?；ヂ?lián)網(wǎng)上現(xiàn)有的VPN提供商的服務(wù)器稍加改造即可提供此項(xiàng)服務(wù)。

4.5.4.3 部署策略

客觀上，過渡技術(shù)始終面臨一個(gè)悖論：如果新技術(shù)的兼容性不好，那么會(huì)面臨強(qiáng)烈的反對(duì)；如果兼容性太好，那么用戶根本沒有過渡的愿望。所以運(yùn)營(yíng)商必須在過渡技術(shù)的選擇上尋找一個(gè)平衡點(diǎn)。

事實(shí)上，運(yùn)營(yíng)商可以完全不部署本節(jié)描述的兩個(gè)過渡方案，只需要在主流網(wǎng)站和多數(shù)終端升級(jí)之后從全球域中分離出國(guó)家域。這樣，未升級(jí)的主機(jī)將無法完成跨域的訪問，未升級(jí)的服務(wù)器也無法響應(yīng)跨域的請(qǐng)求，如此也可以對(duì)用戶和服務(wù)商形成升級(jí)壓力，促進(jìn)全網(wǎng)加速升級(jí)。

5 升級(jí)路線

5.1 運(yùn)營(yíng)商網(wǎng)絡(luò)升級(jí)

5.1.1 DNS服務(wù)器

IP域內(nèi)的全部DNS服務(wù)器需要升級(jí)以按前述本協(xié)議的響應(yīng)規(guī)則動(dòng)作。理論上在域邊界上至少設(shè)置一臺(tái)本域的DNS服務(wù)器以響應(yīng)外部主機(jī)查詢本域主機(jī)地址的請(qǐng)求。

同時(shí)所有DNS服務(wù)器在數(shù)據(jù)庫中新增DNA數(shù)據(jù)類型，升級(jí)到TCP/DN/IP的主機(jī)在DNS數(shù)據(jù)庫中配置此數(shù)據(jù)。查詢方借此可獲得被查詢方是否已完成升級(jí)的信息。

5.1.2 邊界路由器

將域邊界 （相當(dāng)于國(guó)際出口）上的路由器升級(jí)為DNR。這個(gè)升級(jí)可能是基于硬件的，但網(wǎng)絡(luò)一直在擴(kuò)張，換下來的路由器可以用在IP域內(nèi)其他節(jié)點(diǎn)，不會(huì)形成浪費(fèi)。

國(guó)際出口鏈路通常有多根，域邊界DNR也可能不止一臺(tái)。DNS可以順次返回不同的DNR域內(nèi)接口地址給查詢者以引導(dǎo)流量至不同的出口鏈路，以實(shí)現(xiàn)流量均衡。

5.2 用戶主機(jī)升級(jí)

5.2.1 家庭網(wǎng)關(guān)

家庭網(wǎng)關(guān)可以有如下調(diào)整辦法。

（1）家庭網(wǎng)關(guān)工作在二層橋接模式（關(guān)閉NAT功能）。運(yùn)營(yíng)商給用戶多個(gè)終端分配同網(wǎng)段的IP地址。此方案可以讓用戶使用TCP/IP訪問域內(nèi)主機(jī)、使用TCP/DN/IP訪問全球主機(jī)，但要求運(yùn)營(yíng)商分配較多的地址資源。

（2）家庭網(wǎng)關(guān)工作在三層路由模式（關(guān)閉NAT功能）。運(yùn)營(yíng)商給用戶分配WAN口地址以及LAN網(wǎng)段的地址段。此方案可以讓用戶使用TCP/IP訪問域內(nèi)主機(jī)、使用TCP/DN/IP訪問全球主機(jī)，但對(duì)運(yùn)營(yíng)商要求較高，運(yùn)營(yíng)商不僅要有足夠的資源分配給用戶，同時(shí)還要考慮分配的技術(shù)，如用戶的LAN網(wǎng)段的地址段如何分配（手工還是自動(dòng)分配），用戶的內(nèi)網(wǎng)路由如何與運(yùn)營(yíng)商的網(wǎng)絡(luò)路由協(xié)同。

（3）家庭NAT網(wǎng)關(guān)保持不變

·用戶終端繼續(xù)使用TCP/IP，按傳統(tǒng)方式訪問域內(nèi)其他主機(jī)。

·用戶終端使用TCP/DN/IP中的TCP/DN/UDP/IP協(xié)議棧，訪問全球已升級(jí)主機(jī)。

（4）長(zhǎng)遠(yuǎn)來看，家庭網(wǎng)關(guān)會(huì)向支持TCP/DN/IP發(fā)展。此時(shí)運(yùn)營(yíng)商只需要分配1個(gè)IP地址給用戶，用戶的LAN網(wǎng)段自成IP域，自行分配地址即可。此時(shí)只需要做一個(gè)事情：將用戶的TCP/DN/IP路由器注冊(cè)到Internet的域名系統(tǒng)以實(shí)現(xiàn)正常解析。

比較而言，方案（1）、方案（2）對(duì)地址資源要求比較高，而且技術(shù)較復(fù)雜，運(yùn)營(yíng)商需要調(diào)整為數(shù)眾多的接入層設(shè)備。同時(shí)，因?yàn)樾枰峙漭^多的地址給用戶，將來可能不得不設(shè)立省級(jí)IP域，會(huì)帶來較大的復(fù)雜度（譬如，如果運(yùn)營(yíng)商只在國(guó)家級(jí)設(shè)一個(gè)IP域，那么運(yùn)營(yíng)商的業(yè)務(wù)平臺(tái)系統(tǒng)都在同一個(gè)IP域中，現(xiàn)有平臺(tái)不需要任何調(diào)整，可以繼續(xù)運(yùn)行在TCP/IP上。而如果設(shè)立省級(jí)IP域，則運(yùn)營(yíng)商的業(yè)務(wù)平臺(tái)系統(tǒng)需要升級(jí)以支持TCP/DN/IP），不是筆者推薦的方案。方案（3）則比較合適，無論運(yùn)營(yíng)商還是用戶都不需要調(diào)整。如果有合適的協(xié)議讓新增的TCP/DN/IP路由器可以自動(dòng)注冊(cè)到域內(nèi)DNS，方案（3）可以自然發(fā)展到方案（4）。

5.2.2 開發(fā)平臺(tái)

在操作系統(tǒng)升級(jí)之后，業(yè)界主流的開發(fā)平臺(tái)需要及時(shí)升級(jí)，提供新的API以支持新的協(xié)議棧。以此為基礎(chǔ)，應(yīng)用軟件可以及時(shí)升級(jí)以使用新的協(xié)議棧。

5.2.3 操作系統(tǒng)

用戶如果不升級(jí)操作系統(tǒng)，不影響對(duì)域內(nèi)主機(jī)的訪問。

操作系統(tǒng)升級(jí)后處于TCP/IP和TCP/DN/IP的雙棧模式。操作系統(tǒng)升級(jí)以支持TCP/DN/IP后：

·按第4.4.2節(jié)的方案配置本機(jī)；

·為了支持VPN過渡方案，主機(jī)還應(yīng)當(dāng)支持在VPN接口啟用時(shí)，根據(jù)協(xié)議選擇網(wǎng)絡(luò)端口的路由方式（如第4.5.4.2節(jié)所描述）。

5.2.4 應(yīng)用軟件

5.2.4.1 客戶端（發(fā)起方）

將目標(biāo)主機(jī)的域名傳遞給操作系統(tǒng)提供的新API，理論上就足夠了。

有些應(yīng)用在應(yīng)用層攜帶的IP地址信息，如FTP、H.323等，這些協(xié)議/應(yīng)用需要升級(jí)，用域名代替IP地址才可以在跨域的TCP/DN/IP網(wǎng)絡(luò)上正常運(yùn)作。

5.2.4.2 服務(wù)端（接收方）

軟件打開一個(gè)TCP端口進(jìn)行偵聽時(shí)，操作系統(tǒng)自動(dòng)在TCP/IP和TCP/DN/IP兩個(gè)棧上同時(shí)打開。如果軟件涉及具體的IP地址，那么需要用域名代替IP地址；如果軟件不涉及具體的IP地址，那么服務(wù)端軟件就隨著操作系統(tǒng)的升級(jí)而自動(dòng)升級(jí)了。

5.3 平滑升級(jí)方案

第一階段，業(yè)界形成共識(shí)，確定TCP/DN/IP方案為下一代互聯(lián)網(wǎng)方案。然后通信設(shè)備廠商研發(fā)支持TCP/DN/IP轉(zhuǎn)發(fā)的DNR，DNS軟件供應(yīng)商研發(fā)支持TCP/DN/IP解析規(guī)則的DNS升級(jí)版本，操作系統(tǒng)廠商準(zhǔn)備支持TCP/DN/IP協(xié)議棧的OS升級(jí)版本，開發(fā)軟件供應(yīng)商提供支持TCP/DN/IP的API等。

第二階段，政府發(fā)出公告，向社會(huì)公示下一代互聯(lián)網(wǎng)升級(jí)方案，并明示不升級(jí)的主機(jī)可能面臨的訪問限制。運(yùn)營(yíng)商部署DNS（暫時(shí)按傳統(tǒng)規(guī)則解析）和DNR（暫時(shí)無流量）、用戶升級(jí)操作系統(tǒng)，服務(wù)提供商根據(jù)開發(fā)軟件供應(yīng)商提供的新接口升級(jí)自己的應(yīng)用軟件。這個(gè)方案需要至少一臺(tái)全球DNS根服務(wù)器升級(jí)。各方可以自行升級(jí)，不必以其他任意一方已升級(jí)為前提。

第三階段，運(yùn)營(yíng)商從DNS查詢的資源類型比例統(tǒng)計(jì)出網(wǎng)絡(luò)中已升級(jí)終端比例。當(dāng)新協(xié)議支持率到達(dá)一定比例時(shí)，可以確定升級(jí)0時(shí)。0時(shí)到來時(shí)，讓DNS按TCP/DN/IP要求進(jìn)行解析，正式從全球域中分離出國(guó)家域，將流量引導(dǎo)至DNR進(jìn)行跨域轉(zhuǎn)發(fā)。國(guó)家域一旦分離，可能出現(xiàn)第4.5.3節(jié)描述的“未升級(jí)主機(jī)訪問域外主機(jī)”以及第4.5.4節(jié)描述的“已升級(jí)主機(jī)訪問域外未升級(jí)主機(jī)”兩種需要特殊處理的情況，按各自的預(yù)案處理即可。由于操作系統(tǒng)已經(jīng)準(zhǔn)備好了升級(jí)版本，境外的未升級(jí)主機(jī)可以認(rèn)為不打算接受TCP/DN/IP主機(jī)的訪問，可以考慮為這樣的訪問提供NAT，也可以直接忽略這樣的主機(jī)。

在升級(jí)階段可能遭遇DNR和DNR NAT性能瓶頸。國(guó)際出口可能有巨大的流量，需要較多的路由器（包括NAT）資源。同時(shí)，本方案采用長(zhǎng)度可變的域名作為唯一尋址依據(jù)。比起定長(zhǎng)的IPv4/IPv6地址，路由器在處理變長(zhǎng)的地址時(shí)效率會(huì)略低。對(duì)策為：多設(shè)置DNR數(shù)量。在遇到跨域查詢時(shí)，DNS返回不同的DNR的IP地址作為網(wǎng)關(guān)，可以有效地均衡負(fù)載。

6 方案優(yōu)勢(shì)

（1）此方案與既有IPv4網(wǎng)絡(luò)兼容度極高。IP域內(nèi)所有三層設(shè)備不需要升級(jí)。包括運(yùn)營(yíng)商設(shè)備中的絕大多數(shù)，單此一項(xiàng)就可為運(yùn)營(yíng)商節(jié)省大量投資。

（2）本方案不要求家庭網(wǎng)關(guān)升級(jí)。推薦的方案是保持NAT網(wǎng)關(guān)不動(dòng)，任其自行向TCP/DN/IP路由器演進(jìn)。目前中國(guó)有1.9億戶寬帶用戶、全球有6.7億戶寬帶用戶，除歐美（約2億戶用戶）地址比較富裕之外，其他地方（包含中國(guó)共4.7億）絕大多數(shù)寬帶接入用戶不可避免地用到NAT型家庭網(wǎng)關(guān)。對(duì)比IPv6方案必須升級(jí)家庭網(wǎng)關(guān)的要求，本方案既可以在經(jīng)濟(jì)上、工程上和時(shí)間上做到極其可觀的節(jié)省，同時(shí)也完全避免了家庭網(wǎng)關(guān)對(duì)升級(jí)形成的阻礙。

（3）DNS需要升級(jí)，但數(shù)量極為有限，與家庭網(wǎng)關(guān)和路由器的數(shù)量不在同一數(shù)量級(jí)上，且升級(jí)基本屬于軟件升級(jí)。另外IPv6方案一樣要求DNS升級(jí)（只是可能很多DNS已經(jīng)完成了這個(gè)工作而已）。但是本方案要求DNS做一點(diǎn)路由平面的控制工作，這是特別的地方。

（4）邊界（初期相當(dāng)于國(guó)際出口）上的路由器需要升級(jí)為DNR，但數(shù)量也極其有限。同時(shí)由于網(wǎng)絡(luò)仍處于擴(kuò)張當(dāng)中，換下的路由器可用于網(wǎng)絡(luò)其他節(jié)點(diǎn)，不會(huì)造成任何浪費(fèi)。截至2013年底中國(guó)出口總帶寬3.4 Tbit/s。如果DNR可以在10 Gbit/s鏈路上線速轉(zhuǎn)發(fā)（包括NAT），那么需340條鏈路。如果用高密度服務(wù)器或者插卡式路由器，也就20～30臺(tái)，占用的機(jī)房面積也很小。如果可以在更高速率的接口上實(shí)現(xiàn)，數(shù)量還可以大大縮減（視業(yè)界實(shí)現(xiàn)水平而定）。

（5）此方案中地址空間是真正無限的。IPv6的地址雖然號(hào)稱無限，但其分配規(guī)則仍然是“先到先得，按需分配”，要求使用者向國(guó)際組織申請(qǐng)地址。而在本方案中，任何組織或個(gè)人只要獲得一個(gè)DNS域名，就可以在其下任意派生無限子域，每個(gè)子域都可以作為一個(gè)獨(dú)立的IP域并擁有整個(gè)IP地址空間。相比IPv6方案，本方案對(duì)后發(fā)國(guó)家更加公平。

（6）如果規(guī)劃得當(dāng)，即便是中國(guó)這樣的人口大國(guó)，運(yùn)營(yíng)商設(shè)立一個(gè)國(guó)家級(jí)的IP域就可以了。運(yùn)營(yíng)商已有的業(yè)務(wù)平臺(tái)的內(nèi)部管理可以繼續(xù)使用現(xiàn)有的模式而不必升級(jí)。

目前DNS已經(jīng)是個(gè)部署完善的系統(tǒng)。根據(jù)早期的一些反饋，有專家認(rèn)為觸動(dòng)DNS不妥。但綜合比較下來，特別是比較不同方案需要升級(jí)的設(shè)備數(shù)量與資金投入，通過升級(jí)DNS和邊界路由器來升級(jí)到下一代互聯(lián)網(wǎng)的方案，比起IPv6方案還是擁有巨大的優(yōu)勢(shì)。

IPv6是現(xiàn)在被廣泛認(rèn)同的下一代互聯(lián)網(wǎng)協(xié)議，而NAT是實(shí)際應(yīng)用最廣泛的解決方案。表8比較了一下TCP/DN/IP與IPv6、NAT技術(shù)的各方面特點(diǎn)。

概括而言，如果以IPv6為目標(biāo)，則會(huì)出現(xiàn)以下情況。

表8 TCP/DN/IP與IPv6、NAT技術(shù)的各方面特點(diǎn)

·運(yùn)營(yíng)商不得不向用戶提供雙棧接入，需要升級(jí)所有三層及三層以上設(shè)備，包括路由器、DNS以及所有寬帶用戶的家庭網(wǎng)關(guān)（數(shù)以億計(jì)），過渡方案還要求在網(wǎng)內(nèi)新增部署地址翻譯設(shè)備等，耗時(shí)耗力，投資巨大。

·因?yàn)檫\(yùn)營(yíng)商會(huì)（不得不）在較長(zhǎng)一段時(shí)間內(nèi)繼續(xù)提供IPv4接入，并且運(yùn)營(yíng)商為數(shù)以億計(jì)的寬帶用戶替換支持IPv6的家庭網(wǎng)關(guān)需要很長(zhǎng)時(shí)間，SP會(huì)傾向于留在IPv4平臺(tái)，不會(huì)急于向IPv6遷移。等到運(yùn)營(yíng)商經(jīng)過漫長(zhǎng)的時(shí)間終于將所有的家庭網(wǎng)關(guān)都換完時(shí)，SP會(huì)覺得經(jīng)過長(zhǎng)期考驗(yàn)的私網(wǎng)IP地址+NAT的訪問模式已經(jīng)很成熟，沒有升級(jí)的必要。

·因?yàn)镮Pv6網(wǎng)內(nèi)資源較少，已升級(jí)到雙棧的寬帶用戶也會(huì)更多地使用IPv4訪問，IPv6流量寥寥無幾。

也就是說，運(yùn)營(yíng)商花費(fèi)了漫長(zhǎng)的時(shí)間、付出了巨大代價(jià)將網(wǎng)絡(luò)升級(jí)到雙棧之后，用戶會(huì)繼續(xù)使用NAT技術(shù)訪問IPv4平臺(tái)上的SP而對(duì)IPv6平臺(tái)置之不理，網(wǎng)絡(luò)最終會(huì)演變成一個(gè)充分NAT化的網(wǎng)絡(luò)，甚至可能包括嵌套的NAT模式。

如果以TCP/DN/IP為目標(biāo)：

·運(yùn)營(yíng)商只需要升級(jí)國(guó)際出口路由器和DNS（兩者數(shù)量都極少）并適時(shí)從全球域中分離出國(guó)家域（讓DNS改變解析策略即可），不必觸及所有其他路由器，不必再新增其他設(shè)備；投資極低，工程量極小，可以迅速地部署完成；

·對(duì)于SP和寬帶用戶而言，升級(jí)以支持TCP/DN/IP可以獲得全球訪問的能力，不升級(jí)也不影響域內(nèi)（相當(dāng)于國(guó)內(nèi)）的訪問。

也就是說，運(yùn)營(yíng)商只要付出極低的代價(jià)將網(wǎng)絡(luò)升級(jí)到支持跨域的TCP/DN/IP轉(zhuǎn)發(fā)（域內(nèi)不觸及），運(yùn)營(yíng)商的所有工作就完成了。剩下的只是SP決定是否以及何時(shí)讓自己的業(yè)務(wù)平臺(tái)支持新協(xié)議。同時(shí)，因?yàn)榉蛛x出了自己的IP域，運(yùn)營(yíng)商在自己的IP域內(nèi)有了足夠多的地址，運(yùn)營(yíng)商不再需要部署NAT。而用戶仍可以繼續(xù)使用他們的NAT家庭網(wǎng)關(guān)且不會(huì)有任何不便。

從歷史的經(jīng)驗(yàn)來看，升級(jí)終端是比升級(jí)網(wǎng)絡(luò)要容易許多的。20世紀(jì)90年代初IETF開始考慮下一代互聯(lián)網(wǎng)方案的時(shí)候，很多提議均假設(shè)網(wǎng)絡(luò)會(huì)先于終端完成升級(jí)。但歷史已經(jīng)證明互聯(lián)網(wǎng)實(shí)際的發(fā)展恰恰與這個(gè)假設(shè)完全相反。經(jīng)過20年的高速發(fā)展之后，IP地址已經(jīng)基本耗竭，幾乎所有主流操作系統(tǒng)都已經(jīng)支持IPv6，但網(wǎng)絡(luò)卻遲遲沒有完成升級(jí)。細(xì)究原因，恐怕還是因?yàn)榻K端升級(jí)主要是以軟件形式進(jìn)行的，而且網(wǎng)絡(luò)協(xié)議只是操作系統(tǒng)的一小部分，因此操作系統(tǒng)在升級(jí)的時(shí)候順便就可以完成網(wǎng)絡(luò)協(xié)議的升級(jí)。而對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)而言，首先部署零星的IPv6設(shè)備沒有意義，其次升級(jí)通常是基于硬件的而且每個(gè)IPv6的許可都需要單獨(dú)支付費(fèi)用，因此運(yùn)營(yíng)商沒有部署IPv6路由器的愿望。而本方案最大的特點(diǎn)恰恰在于運(yùn)營(yíng)商需要升級(jí)的部分被最小化，主要的升級(jí)工作由終端通過操作系統(tǒng)軟件升級(jí)來完成。

另外，隨著用戶終端和家庭網(wǎng)關(guān)的不斷升級(jí)，網(wǎng)絡(luò)將自動(dòng)從被NAT技術(shù)扭曲的狀態(tài)下解放出來，恢復(fù)為對(duì)稱結(jié)構(gòu)，在不需要任何特殊配置的情況下，所有的終端都將在全球范圍內(nèi)可達(dá)。

7 TCP/DN/IP發(fā)展遠(yuǎn)景

7.1 待明確和解決的問題

（1）協(xié)議棧選擇

先后提出了兩個(gè)協(xié)議棧，TCP/DN/IP和TCP/DN/UDP/IP。前者報(bào)文頭開銷較小，后者可以保證報(bào)文順利通過NAT路由器。是同時(shí)支持兩個(gè)協(xié)議棧，還是僅僅支持后者？

（2）TCP/DN/IP報(bào)文頭

本文只是描述了報(bào)文頭部必需的關(guān)鍵字段，其他還需要哪些字段以及各字段具體該如何定義，需要業(yè)界共同明確。

（3）用SDN實(shí)現(xiàn)的可能性

在本方案中，域名層構(gòu)成新的網(wǎng)絡(luò)層，DNS成為DNR分離的路由平面。用DNS進(jìn)行流量引導(dǎo)，DNR執(zhí)行轉(zhuǎn)發(fā)和地址翻譯功能，正好與SDN的控制平面與轉(zhuǎn)發(fā)平面分離的理念相吻合。本協(xié)議可能成為SDN技術(shù)的研究方向。

（4）最優(yōu)路由策略

由于DNS體系是嚴(yán)格的樹型結(jié)構(gòu)，如果IP子域有多個(gè)出口連接到父域（如中國(guó)有多個(gè)國(guó)際出口），或者同一個(gè)父域下的多個(gè)子域彼此相鄰時(shí)，網(wǎng)絡(luò)的實(shí)際拓?fù)渑cDNS的架構(gòu)有一定的偏離。需要研究這些情況下的最佳路由策略。

同時(shí)，因?yàn)門CP/DN/IP中有IP和DN兩個(gè)網(wǎng)絡(luò)層，還可能會(huì)有兩個(gè)平面路由協(xié)同優(yōu)化的問題，需要進(jìn)一步研究加以解決。

7.2 定位

（1）作為IPng的最終解決方案

TCP/DN/IP采用變長(zhǎng)的域名作為地址。變長(zhǎng)的域名優(yōu)點(diǎn)是與真實(shí)的世界相一致，缺點(diǎn)是轉(zhuǎn)發(fā)效率略低。

TCP/DN/IP本身具有極大的地址空間，事實(shí)上可以作為下一代互聯(lián)網(wǎng)的最終解決方案。

（2）作為向IPv6的過渡方案

如果業(yè)界偏愛定長(zhǎng)的IP地址，堅(jiān)持以IPv6作為最終的互聯(lián)網(wǎng)解決方案，事實(shí)上TCP/DN/IP也可以作為從IPv4到IPv6的過渡方案。

主機(jī)同時(shí)支 持3個(gè)協(xié)議棧：TCP/IPv4、TCP/DN/IPv4和IPv6。先從TCP/IPv4平滑過渡到TCP/DN/IPv4，再?gòu)腡CP/DN/IPv4平滑過渡到TCP/IPv6。從IPv4平滑過渡到TCP/DN/IPv4的方案已在前文詳述，從TCP/DN/IP過渡到IPv6時(shí)，DNS和DNR對(duì)于TCP/DN/IPv4報(bào)文按不同IP域處理，對(duì)IPv6報(bào)文按同IP域處理，即可完全平滑地實(shí)現(xiàn)過渡。

8 結(jié)束語

概而言之，雙網(wǎng)絡(luò)層方案有這樣一些特點(diǎn)：地址空間無限、與IPv4網(wǎng)絡(luò)高度兼容、升級(jí)過程非常平滑、投資極小，很好地滿足了對(duì)下一代互聯(lián)網(wǎng)技術(shù)方案的要求。

特別有趣的是，這個(gè)方案對(duì)升級(jí)的激勵(lì)是正向的，所有各方都會(huì)有升級(jí)的主動(dòng)性：對(duì)運(yùn)營(yíng)商而言，升級(jí)只需要極少的投資，就可以獲得無限的地址空間；對(duì)SP而言，如果只是服務(wù)于IP域內(nèi)用戶那么就根本不需要升級(jí)，如果升級(jí)就可以服務(wù)于全球用戶；對(duì)寬帶用戶而言，如果滿足于目前的主動(dòng)訪問域內(nèi)服務(wù)器的模式也不用升級(jí)，如果升級(jí)就可以雙向訪問全球網(wǎng)絡(luò)，而且升級(jí)還很可能是完全自動(dòng)的。

但一個(gè)新的協(xié)議從提出到成熟，畢竟需要較長(zhǎng)的時(shí)間來充分發(fā)展。本文只是提出了一個(gè)簡(jiǎn)單的框架。筆者希望這個(gè)方案能得到大家的認(rèn)同。更多的工作，還要期待業(yè)界共同推進(jìn)和完成。

1 RFC1550.IP:Next Generation(IPng)White Paper Solicitation,1993

2 RFC1752.The Recommendation for the IP Next Generation Protocol,1995

3 RFC2373.IP Version 6 Addressing Architecture,1998

4 RFC1034.Domain Names-Conceptsand Facilities,1987

5 RFC1035.Domain Names-Implementation and Specification,1987

6 RFC1123.Requirements for Internet Hosts——Application and Support,1989

7 IETF.NAT444(draft-shirasaki-nat444-06),2012

8 IETF.LAFT6:Lightweight Address Family Transition for IPv6(draft-sun-v6ops-laft6-01),2011

9 IPv6發(fā)展為何如此糾結(jié).人民郵電報(bào),2013-10-10

10 姜明.IPv6協(xié)議產(chǎn)生的背景過程和現(xiàn)狀.http://tech.ccidnet.com/art/218/20030605/48972_1.html

11 Marsan D C.What happens if IPv6 fails.Network world,2011