周凱

摘? ?要：伴隨應(yīng)用和用戶的增長(zhǎng)，IPv4最初設(shè)計(jì)存在的諸多問(wèn)題已嚴(yán)重限制了互聯(lián)網(wǎng)的發(fā)展。發(fā)展下一代互聯(lián)網(wǎng)協(xié)議IPv6已勢(shì)在必行。目前，各高校紛紛響應(yīng)國(guó)家對(duì)下一代互聯(lián)網(wǎng)建設(shè)的戰(zhàn)略部署，開(kāi)始研究并對(duì)現(xiàn)有校園網(wǎng)絡(luò)進(jìn)行升級(jí)改造。然而，高校IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過(guò)渡是一個(gè)長(zhǎng)期而漫長(zhǎng)的過(guò)程，它將長(zhǎng)期處于兩協(xié)議共存階段。面對(duì)這種過(guò)渡時(shí)期，文章將從實(shí)際出發(fā)，首先，提出高校IPv6網(wǎng)絡(luò)建設(shè)的必然性;其次，通過(guò)對(duì)各種過(guò)渡機(jī)制的研究給出校園網(wǎng)絡(luò)IPv4/IPv6共存的過(guò)渡技術(shù)方案。

關(guān)鍵詞：第6版互聯(lián)網(wǎng)協(xié)議;校園網(wǎng);部署應(yīng)用

隨著互聯(lián)網(wǎng)的高速發(fā)展，第6版互聯(lián)網(wǎng)協(xié)議（Internet Protocol Version 6，IPv6）將不可避免地取代第4版（IPv4）。基于IPv6的下一代互聯(lián)網(wǎng)建設(shè)是解決地址殆盡、提高網(wǎng)絡(luò)承載能力、服務(wù)質(zhì)量、增強(qiáng)網(wǎng)絡(luò)安全性等制約性問(wèn)題的有效辦法，也是融入國(guó)際互聯(lián)網(wǎng)、共享全球發(fā)展成果、贏得未來(lái)發(fā)展主動(dòng)性的途徑。本文將從高校IPv6建設(shè)的驅(qū)動(dòng)力、IPv6過(guò)渡技術(shù)方案兩個(gè)方面探討和研究高校IPv6網(wǎng)絡(luò)建設(shè)。

1? ? 高校IPv6建設(shè)的驅(qū)動(dòng)力

高校IPv6網(wǎng)絡(luò)建設(shè)是順應(yīng)互聯(lián)網(wǎng)發(fā)展的，它可以“激活”高校信息化的創(chuàng)新性應(yīng)用、優(yōu)化網(wǎng)絡(luò)、提高網(wǎng)絡(luò)信息安全等，驅(qū)動(dòng)高校采用IPv6的主要因素有以下幾點(diǎn)。

1.1? IPv4的缺陷

IPv4的缺陷是由最初Internet的設(shè)計(jì)無(wú)法滿足現(xiàn)今高速發(fā)展的互聯(lián)網(wǎng)需求而產(chǎn)生的。主要問(wèn)題是地址空間耗盡和IP路由表的膨脹。IPv4使用32位（4字節(jié)）地址，地址空間中只有42億（4.294×109）個(gè)。據(jù)官方消息稱，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（Internet Assigned Numbers Authority，IANA）的主要地址池已于2011年2月3日全部分配完結(jié)。距離地址耗盡只是時(shí)間問(wèn)題，伴隨當(dāng)今全球化和諸多業(yè)務(wù)驅(qū)動(dòng)，主要原因有以下幾個(gè)方面：

（1）移動(dòng)設(shè)備，面對(duì)移動(dòng)互聯(lián)網(wǎng)的今天，智能手機(jī)的普及以及設(shè)備成本的降低，使智能手機(jī)已成為Internet的主要成員，從而急速加大了IP地址的需求。

（2）虛擬化，可以將物理設(shè)備虛擬為多個(gè)虛擬機(jī)，每個(gè)虛擬系統(tǒng)都將配備一個(gè)或多個(gè)IP地址，如托管虛擬桌面、虛擬桌面基礎(chǔ)設(shè)施（Virtual Desktop Infrastructure，VDI）等。

（3）地址使用效率低，20世紀(jì)八九十年代初，那些有幸攫取了大量IP地址的單位，實(shí)際需求的使用量遠(yuǎn)小于攫取量，造成了很大程度上的地址浪費(fèi)。

（4）IPv4私有地址沖突或重疊，如兩所異地學(xué)校合并，進(jìn)行整合統(tǒng)一組網(wǎng)，兩校之間不僅需要單獨(dú)建設(shè)一條同城光纜進(jìn)行網(wǎng)絡(luò)通信，還需要對(duì)IP地址進(jìn)行重新編址，否則很有可能發(fā)生請(qǐng)求評(píng)論（Request for Comments，RFC）1981 IPv4私有地址沖突或重疊問(wèn)題。雖然可以通過(guò)部署一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）重疊地址池來(lái)解決，但會(huì)在一定程度上影響網(wǎng)絡(luò)的性能。

1.2? 政府的戰(zhàn)略規(guī)劃

根據(jù)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略部署，促進(jìn)互聯(lián)網(wǎng)演進(jìn)升級(jí)和健康創(chuàng)新發(fā)展。國(guó)家出臺(tái)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第6版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，明確了IPv6建設(shè)的重要性、目標(biāo)、任務(wù)、實(shí)施步驟及保障措施。各省依據(jù)文件要求，結(jié)合實(shí)際情況也相繼制定了適應(yīng)本省IPv6建設(shè)的部署計(jì)劃。加之第二代中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（China Education and Research Network 2，CERNET2）已成功接入IPv6網(wǎng)絡(luò)，為高校IPv6的建設(shè)和發(fā)展提供了良好的環(huán)境。

1.3? 軟硬設(shè)備的支持

多年前，網(wǎng)絡(luò)廠家就開(kāi)始了IPv6的研究與開(kāi)發(fā)，近幾年主流網(wǎng)絡(luò)設(shè)備廠家的網(wǎng)絡(luò)設(shè)備都以默認(rèn)的形式具備了部署IPv6網(wǎng)絡(luò)的相關(guān)功能。個(gè)人終端及應(yīng)用服務(wù)器操作系統(tǒng)也都以默認(rèn)的方式啟動(dòng)IPv6的支持，如Windows系列（個(gè)人PC系統(tǒng)及服務(wù)器系統(tǒng)）、Linux系列、Apple Mac OS X等。

1.4? IPv6的技術(shù)優(yōu)勢(shì)

IPv6的優(yōu)勢(shì)主要包括：（1）更大的地址空間（2128）。（2）地址部署更簡(jiǎn)單。（3）完整的端對(duì)端網(wǎng)絡(luò)連接。（4）具有增強(qiáng)的安全能力，針對(duì)安全性、服務(wù)質(zhì)量（Quality of Service，QoS）和加密功能改進(jìn)了擴(kuò)展屬性報(bào)頭。（5）移動(dòng)性的改善。（6）使用流標(biāo)簽改進(jìn)了數(shù)據(jù)流的資源分配等。這些優(yōu)勢(shì)可以極大提高校園網(wǎng)的性能、可靠性和安全性。解決IPv4網(wǎng)絡(luò)中存在的諸多問(wèn)題。

2? ? IPv6部署的技術(shù)方案研究

IPv6規(guī)模部署是一個(gè)長(zhǎng)期、復(fù)雜的過(guò)程。目前高校基本不具備改造純IPv6（IIPv6-only）網(wǎng)絡(luò)的條件。在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施由IPv6統(tǒng)一之前，它將長(zhǎng)時(shí)間處于過(guò)渡期階段。IPv4/IPv6將以共存的機(jī)制運(yùn)行。下面將介紹幾種IPv4向IPv6的過(guò)渡機(jī)制。

2.1? 雙棧技術(shù)

雙棧機(jī)制是一種自然、成熟的基本過(guò)渡機(jī)制。該機(jī)制采用雙棧模型，拓?fù)淙鐖D1所示，指在一個(gè)接口或者一條鏈路上同時(shí)啟用IPv4/IPv6兩種協(xié)議，并以雙協(xié)議棧的模式運(yùn)行。它最大的優(yōu)勢(shì)在于不用建立隧道，并且兩種協(xié)議將以“ships-in-the-night”的方式運(yùn)行，除共享相同網(wǎng)絡(luò)資源外，兩種協(xié)議獨(dú)立運(yùn)行，互不相關(guān)。無(wú)論是路由選擇、HA，QoS、安全、多播策略，兩種協(xié)議都“各自為政”。數(shù)據(jù)包轉(zhuǎn)發(fā)上，由于不需要額外的封裝、查表方面的開(kāi)銷，相比其他機(jī)制在轉(zhuǎn)發(fā)性能上更具優(yōu)勢(shì)。

雙棧技術(shù)缺點(diǎn)如下：

（1）需對(duì)現(xiàn)網(wǎng)不支持IPv6協(xié)議的設(shè)備進(jìn)行升級(jí)。

（2）現(xiàn)網(wǎng)中開(kāi)啟雙棧協(xié)議有可能會(huì)對(duì)老設(shè)備的性能及可靠性造成影響。

（3）由于雙棧協(xié)議IPv4/IPv6的獨(dú)立運(yùn)行，會(huì)增加網(wǎng)絡(luò)整體運(yùn)營(yíng)、維護(hù)成本。

2.2? 隧道技術(shù)

隧道機(jī)制：在一種協(xié)議上運(yùn)載或傳輸另一種協(xié)議數(shù)據(jù)包。本文主要指將IPv6數(shù)據(jù)包封裝在IPv4隧道之內(nèi)進(jìn)行傳輸，以此來(lái)建立端到端的IPv6通信機(jī)制。這種隧道建立的方法主要分為以下幾種。

2.2.1? 手工配置

手工配置隧道依據(jù)RFC4213，它是建立在雙協(xié)議棧上的以靜態(tài)形式來(lái)定義的隧道[1]。拓?fù)淙鐖D2所示，每一端主機(jī)運(yùn)行IPv6，主機(jī)間建立隧道的路由器運(yùn)行雙協(xié)議棧，隧道則建立在IPv4網(wǎng)絡(luò)之上。

通過(guò)IPv4通用路由封裝（Generic Routing Encapsulation，GRE）傳輸IPv6數(shù)據(jù)包是手工配置隧道的另一種方法。該方式需建立在雙協(xié)議棧上，采用點(diǎn)到點(diǎn)的封裝方法來(lái)提供服務(wù)。IPv6數(shù)據(jù)包作為GRE隧道的荷載。

此類隧道的缺點(diǎn)：隨著站點(diǎn)數(shù)的增加，隧道數(shù)會(huì)呈幾何級(jí)增長(zhǎng)，可擴(kuò)展性不強(qiáng);后期網(wǎng)絡(luò)運(yùn)維、故障排除難度大。

2.2.2? 隧道代理

隧道代理定義于RFC 3053《IPv6 Tunnel Broker》，即虛擬IPv6 ISPs，隧道代理模型如圖3所示[2]。此機(jī)制使用專業(yè)隧道代理服務(wù)器自動(dòng)管理來(lái)自用戶的隧道請(qǐng)求。

隧道代理平臺(tái)可尋址IPv4或IPv6，當(dāng)隧道代理服務(wù)的客戶端與隧道代理平臺(tái)連接時(shí)，首先，提供標(biāo)識(shí)和憑證來(lái)執(zhí)行用戶的認(rèn)證、授權(quán)、計(jì)費(fèi);其次，進(jìn)入平臺(tái)后完成隧道的生成、修改、刪除、啟動(dòng);再次，隧道服務(wù)器是雙棧路由器連接到互聯(lián)網(wǎng);最后，依據(jù)隧道代理平臺(tái)的配置指令生成、修改、刪除、統(tǒng)計(jì)每個(gè)隧道的服務(wù)器側(cè)配置。

此類隧道的缺點(diǎn)：比較適合小型孤立的IPv6站點(diǎn)，便捷地連接到IPv6網(wǎng)絡(luò)中。當(dāng)遠(yuǎn)程修改隧道代理服務(wù)配置時(shí)會(huì)帶來(lái)安全隱患。

2.2.3? 6to4隧道

6to4隧道定義于RFC 3056《Connection of IPv6 Domains via IPv4 Clouds》，是一種自動(dòng)隧道建立機(jī)制[3]。通過(guò)用IPv4（協(xié)議類型41）數(shù)據(jù)包來(lái)封裝傳輸IPv6數(shù)據(jù)包。6to4隧道機(jī)制部署場(chǎng)景適用于互聯(lián)6to4網(wǎng)域，利用中斷路由器互聯(lián)6to4網(wǎng)域和純IPv6網(wǎng)域。6to4的IPv6地址的前綴為2002：：/16。

此類隧道的缺點(diǎn)：必須擁有至少一個(gè)公網(wǎng)IPv4地址，底層IPv4地址前綴決定6to4的IPv6地址前綴，若遷移到純IPv6環(huán)境需要重新編址;在隧道沿途路徑上不支持NAT和多播;在利用中斷路由器互聯(lián)6to4網(wǎng)域和純IPv6網(wǎng)域時(shí)，6to4路由器和6to4中斷路由器之間的隧道存在很大的安全隱患，如地址欺騙等。

2.2.4? ISATAP

ISATAP定義于RFC 5214《Intra-Site Automatic Tunnel Addressing Protocol （ISATAP）》是一種站點(diǎn)內(nèi)部自動(dòng)隧道尋址協(xié)議的簡(jiǎn)單機(jī)制[4]。IPv4網(wǎng)絡(luò)上的雙棧節(jié)點(diǎn)通過(guò)ISATAP自動(dòng)隧道化，并將IPv4網(wǎng)絡(luò)視為非廣播多路訪問(wèn)鏈路。雙棧IPv6主機(jī)和ISATAP路由器創(chuàng)建ISATAP隧道如圖4所示。

此類隧道的缺點(diǎn)：必須不支持多播和傳輸層NAT;出于安全考慮，IPv4虛擬鏈路需設(shè)定界線。

2.3? 翻譯技術(shù)方案

本文所闡述的翻譯技術(shù)方案主要包括兩個(gè)類型：（1）在IPv4和IPv6之間執(zhí)行轉(zhuǎn)換或代理的技術(shù)方案，如NAT-PT，NAT64，TCP-UDP中斷、啟動(dòng)整體服務(wù)（Boot Integrity Services，BIS）等。（2）政府或相關(guān)網(wǎng)絡(luò)設(shè)備廠家所推薦的融合了網(wǎng)絡(luò)層協(xié)議轉(zhuǎn)換和應(yīng)用層協(xié)議翻譯的技術(shù)方案，如基于云服務(wù)提供商IPv6過(guò)渡引擎的應(yīng)用（Service-Providers Application Cloud-based Engine for IPv6 Transition，SPACE6）、SDT6等。這兩種類型的差異是顯而易見(jiàn)的，前者是通過(guò)網(wǎng)絡(luò)層來(lái)實(shí)現(xiàn)IPv6報(bào)文向IPv4報(bào)文的轉(zhuǎn)化，而后者不僅使用相關(guān)網(wǎng)絡(luò)技術(shù)完成網(wǎng)絡(luò)層兩協(xié)議之間的轉(zhuǎn)換，還在一定程度上解決了應(yīng)用層協(xié)議的翻譯，如7層反向代理等。下面將詳細(xì)闡述下基于SPACE6的翻譯方案。

SPACE6是一種集成了網(wǎng)絡(luò)層協(xié)議轉(zhuǎn)換和應(yīng)用層協(xié)議翻譯的新技術(shù)，能把單棧IPv4或IPv6網(wǎng)站的內(nèi)容自動(dòng)發(fā)布到IPv4和IPv6兩個(gè)網(wǎng)絡(luò)平面，從而可以快速實(shí)現(xiàn)網(wǎng)站的雙棧升級(jí)，部署靈活。網(wǎng)站只需在其授權(quán)的域名系統(tǒng)（Domain Name System，DNS）上增加一條相應(yīng)的AAAA記錄即可，可有效解決網(wǎng)站中由于外鏈導(dǎo)致的內(nèi)容缺失等問(wèn)題。

這種翻譯技術(shù)部署簡(jiǎn)單，基于原網(wǎng)絡(luò)架構(gòu)不變，只需獲取IPv6地址并制定內(nèi)部IPv6路由策略;域名系統(tǒng)進(jìn)行AAAA記錄的配置升級(jí)，并在網(wǎng)絡(luò)核心交換機(jī)側(cè)旁掛基于翻譯技術(shù)的內(nèi)容發(fā)布平臺(tái)即可。

3? ? 結(jié)語(yǔ)

伴隨高校網(wǎng)絡(luò)的不斷發(fā)展，IPv6取代IPv4成為高校信息化發(fā)展建設(shè)的新網(wǎng)絡(luò)環(huán)境是必然結(jié)果。但限于當(dāng)下互聯(lián)網(wǎng)整體環(huán)境的影響，將會(huì)在很長(zhǎng)的時(shí)間內(nèi)處于IPv4/IPv6共存的過(guò)渡時(shí)期。在這樣一個(gè)過(guò)渡時(shí)期，對(duì)于高校IPv6升級(jí)部署的方案研究是十分必要的，它可以幫助我們積累經(jīng)驗(yàn)，從實(shí)際出發(fā)、預(yù)測(cè)未來(lái)、合理地選擇技術(shù)方案，科學(xué)、系統(tǒng)地分步驟、分層次進(jìn)行改造，以避免盲目建設(shè)帶來(lái)資源浪費(fèi)。

[參考文獻(xiàn)]

[1]RFC 4213.Basic transition mechanisms for ipv6 hosts and routers[EB/OL].（2005-10-23）[2019-08-10].https：//tools.ietf.org/html/rfc4213.

[2]RFC 3053.IPv6 tunnel broker[EB/OL].（2001-01-02）[2019-08-10].https：//tools.ietf.org/html/rfc3053.

[3]RFC 3056.Connection of IPv6 domains via IPv4 clouds[EB/OL].（2001-02-05）[2019-08-10].https：//tools.ietf.org/html/rfc3056.

[4]RFC 5214.Intra-site automatic tunnel addressing protocol（ISATAP）[EB/OL].（2008-05-06）[2019-08-10].https：//tools.ietf.org/html/rfc5214.

Abstract：Accompanied with the growth of applications and users， many problems in the initial design of IPv4 have seriously limited the development of the Internet. It is imperative to develop the next generation Internet protocol IPv6. At present， colleges and universities have responded to the national strategic deployment of the next generation Internet construction， began to study and upgrade the existing campus network. However， the transition from IPv4 network to IPv6 network in colleges and universities is a long and long process， and it will be in the stage of coexistence of two protocols for a long time. In the face of this transitional period， the article will proceed from the reality， first of all， put forward the necessity of the construction of IPv6 network in colleges and universities; secondly， through the study of the transition mechanism gives the transition technology scheme of IPv4/IPv6 coexistence in campus network.

Key words：Internet protocol version 6; campus network; deployment application