韓立強(qiáng) ，習(xí)穎潔 ，李 赟 ，楊靖凡

1.中國(guó)鐵路信息科技集團(tuán)有限公司，北京 100038

2.中鐵信（北京）網(wǎng)絡(luò)技術(shù)研究院有限公司，北京 100038

隨著IPv6網(wǎng)絡(luò)商用化的進(jìn)行和大面積部署，IPv6管理方向的研究也在如火如荼地開(kāi)展。相對(duì)于IPv4而言，IPv6地址位有128比特，因此其生成、使用、安全等方面的情況也要比IPv4更加復(fù)雜，二者的管理模式也有顯著區(qū)別[1]。

基于IPv6地址結(jié)構(gòu)，業(yè)界一般將IPv6地址規(guī)劃、IPv6網(wǎng)絡(luò)探測(cè)和管理列為下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)管理的重要研究目標(biāo)[2]。隨著IPv4地址的逐漸耗盡和物聯(lián)網(wǎng)的大面積推廣，IPv6正在以越來(lái)越快的速度走向大規(guī)模商用[3]。與IPv4相比，IPv6最大的特點(diǎn)是具有超大的地址空間，這使得高效路由報(bào)頭、高安全性、高服務(wù)質(zhì)量成為可能，但是這也帶來(lái)了IPv6地址分配、使用、管理等多方面的問(wèn)題[4]。

1 IPv4管理模式及與IPv6的區(qū)別

（1）IPv4管理模式。既往的科研課題構(gòu)建了一種基于IP地址狀態(tài)的管理方法，即空閑地址池中的IP地址被規(guī)劃到某業(yè)務(wù)下，與具體用途相關(guān)的地址分配給相應(yīng)的人和設(shè)備；通過(guò)系統(tǒng)探針及在線分析功能，被分配的地址在使用時(shí)能在網(wǎng)關(guān)設(shè)備上檢測(cè)到對(duì)應(yīng)的上聯(lián)設(shè)備名稱、MAC地址及接口信息；在長(zhǎng)期未檢測(cè)到地址上線的情況下觸發(fā)地址回收機(jī)制，確定被回收的地址將在系統(tǒng)中刪除相關(guān)信息，使之重新回到被規(guī)劃的狀態(tài)以等待再次分配，以此建立地址管理的閉環(huán)。

（2）IPv4與IPv6的區(qū)別。①IPv6地址的長(zhǎng)度和數(shù)量遠(yuǎn)超過(guò)IPv4地址。IPv6的地址長(zhǎng)度為128位，是IPv4地址長(zhǎng)度的4倍，且數(shù)量巨大，顯著增加了管理難度和成本，受其復(fù)雜性和規(guī)模的制約，系統(tǒng)管理員無(wú)法逐個(gè)管理和分配。②IPv6地址分配方式不同于IPv4。IPv4地址在分配時(shí)可基于DHCP模式或者手工配置的方法，而IPv6地址目前大多基于DHCP模式進(jìn)行自動(dòng)分配，較為突出的問(wèn)題是因地址自動(dòng)配置而引起分配不可控，這也決定了IPv6地址無(wú)法直接使用IPv4地址的管理模式，需要在考慮分配方式不同的情況下設(shè)計(jì)符合工作需要的專有管理模式。③IPv6地址的字段結(jié)構(gòu)復(fù)雜。它取消了IPv4的網(wǎng)絡(luò)號(hào)、主機(jī)號(hào)和子網(wǎng)掩碼概念，代以前綴、接口標(biāo)識(shí)符和前綴長(zhǎng)度，不再有A類、B類、C類等劃分，但I(xiàn)Pv6地址的各個(gè)字段均具備了更加具體的內(nèi)涵，使用方式的不同也決定了其無(wú)法仿照IPv4地址管理模式。

2 IPv6地址管理模式思考

自20世紀(jì)80年代以來(lái)，IPv4一直維持著穩(wěn)定運(yùn)行，其管理模式十分成熟，因此在對(duì)IPv6地址進(jìn)行管理時(shí)應(yīng)結(jié)合既有IPv4地址的管理經(jīng)驗(yàn)，并融合IPv6地址的特殊性[5]。

2.1 IPv6的特殊性

從規(guī)劃、分配和使用三個(gè)階段出發(fā)，文章針對(duì)IPv6的特殊性分別進(jìn)行如下分析。

（1）規(guī)劃時(shí)。IPv6地址可讀性強(qiáng)，能夠包含所屬區(qū)域、用途等信息，便于識(shí)別用戶所在區(qū)域及用途；按照地址聚合原則分片規(guī)劃，IPv6需做到地址高效聚合，可簡(jiǎn)化路由表；IPv6擁有更大的地址空間，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)及各種特殊的業(yè)務(wù)需求，為未來(lái)擴(kuò)容預(yù)留空間。

（2）分配時(shí)。在DHCPv4協(xié)議中，客戶端發(fā)送廣播報(bào)文來(lái)定位服務(wù)器。為避免廣播風(fēng)暴，在IPv6中，已經(jīng)沒(méi)有了廣播類型的報(bào)文，而是采用組播報(bào)文；在IPv4協(xié)議中原本由IPv4地址提供的特殊功能，IPv6通過(guò)在基本報(bào)頭之后增加擴(kuò)展報(bào)頭實(shí)現(xiàn)。

（3）使用時(shí)。IPv4逐漸過(guò)渡到IPv6，可由雙棧技術(shù)、隧道技術(shù)和轉(zhuǎn)換技術(shù)等實(shí)現(xiàn)；IPv6協(xié)議在地址、報(bào)文結(jié)構(gòu)方面大幅優(yōu)化，并采取了自身特有的安全措施，但也不可能徹底解決所有網(wǎng)絡(luò)安全問(wèn)題，同時(shí)其自身的使用還會(huì)產(chǎn)生新的安全問(wèn)題；訪問(wèn)場(chǎng)景發(fā)生變化，包括互聯(lián)網(wǎng)訪問(wèn)場(chǎng)景、內(nèi)部訪問(wèn)場(chǎng)景和云環(huán)境訪問(wèn)場(chǎng)景等；設(shè)備需要升級(jí)改造，IPv6涉及互聯(lián)網(wǎng)接入?yún)^(qū)、網(wǎng)絡(luò)核心和應(yīng)用類服務(wù)區(qū)的改造工作。

2.2 大型集團(tuán)企業(yè)的IPv6管理模式

IPv6在企業(yè)中大規(guī)模部署已成為一種趨勢(shì)，眾多大型企業(yè)集團(tuán)通過(guò)采取科學(xué)的方式對(duì)IPv6地址進(jìn)行使用和管理，文章對(duì)部分管理模式進(jìn)行簡(jiǎn)單介紹。

（1）IPv6地址的劃分按照語(yǔ)義化、可聚合、連續(xù)可擴(kuò)展、可管控原則規(guī)劃，增強(qiáng)IPv6的地址可讀、分片簡(jiǎn)化、地址冗余及安全管控的能力。

（2）從使用場(chǎng)景的角度來(lái)看，作為信息基礎(chǔ)設(shè)施基本元素的IP地址可以分為以下三大類：服務(wù)類、終端類、基礎(chǔ)類。針對(duì)不同的類別應(yīng)采用不同的IPv6地址分配策略進(jìn)行地址分配管理。

（3）IP地址管理實(shí)行統(tǒng)一管理、逐級(jí)分配的原則。地址規(guī)劃將IPv6子網(wǎng)前綴規(guī)劃為信息網(wǎng)絡(luò)、組織機(jī)構(gòu)、下屬機(jī)構(gòu)（功能區(qū)域）、用途類型等幾個(gè)層次。

（4）IPv6地址分配遵循統(tǒng)一規(guī)劃、分批啟用的原則。前期以5年為周期對(duì)各下級(jí)單位的IPv6地址需求進(jìn)行預(yù)規(guī)劃，下級(jí)單位在規(guī)劃周期內(nèi)根據(jù)網(wǎng)絡(luò)建設(shè)和業(yè)務(wù)發(fā)展需求，在得到分配的IPv6地址空間后，完成自身的內(nèi)部規(guī)劃，并將規(guī)劃報(bào)備給上級(jí)。

（5）在每年初可以向上級(jí)提交IP地址申請(qǐng)，每次申請(qǐng)的IPv6地址數(shù)量應(yīng)保證其5年的使用增量，對(duì)不合格材料將要求修改或進(jìn)一步提供材料，審核合格之后，在一個(gè)月內(nèi)統(tǒng)一批復(fù)各單位IPv6地址申請(qǐng)；如遇特殊情況，下級(jí)單位也可以在其他時(shí)間提出IP地址申請(qǐng)，但需說(shuō)明具體原因。

（6）下級(jí)單位定期將地址使用詳情向上級(jí)報(bào)備。報(bào)備時(shí)需詳細(xì)說(shuō)明每一個(gè)地址的區(qū)域中心歸屬、業(yè)務(wù)板塊、應(yīng)用、穿透性等屬性，系統(tǒng)管理員需對(duì)各單位和部門的地址分配和使用的報(bào)備情況進(jìn)行全網(wǎng)通報(bào)。

（7）系統(tǒng)管理員需定期結(jié)合地址探測(cè)技術(shù)和各級(jí)單位的實(shí)際反饋，對(duì)各級(jí)組織機(jī)構(gòu)的地址空閑情況進(jìn)行統(tǒng)計(jì)分析，對(duì)于空閑未使用的地址經(jīng)通知落實(shí)后進(jìn)行回收，并做好回收地址的資料更新及再分配工作。

2.3 IPv6探測(cè)技術(shù)

IP地址的探測(cè)主要通過(guò)獲取交換機(jī)上ARP表和MAC地址表來(lái)完成。二層網(wǎng)絡(luò)設(shè)備是根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀的。在交換機(jī)中有一張記錄著局域網(wǎng)主機(jī)MAC地址與交換機(jī)接口的對(duì)應(yīng)關(guān)系的表，交換機(jī)就是根據(jù)這張表將數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C(jī)上的，而在每臺(tái)主機(jī)中都有一張ARP表，它記錄著主機(jī)的IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)獲取到ARP表和MAC表之后，就可以將特定的IP地址對(duì)應(yīng)到其所連接的網(wǎng)絡(luò)設(shè)備端口上。因此，對(duì)IP地址的探測(cè)可轉(zhuǎn)化為ARP表和MAC表的獲取上。

3 結(jié)束語(yǔ)

目前IPv6發(fā)展前景較好，具有地址空間大和地址結(jié)構(gòu)復(fù)雜的特點(diǎn)，但仍會(huì)在一段時(shí)間內(nèi)與IPv4共存，并逐步由IPv4過(guò)渡到IPv6。新的網(wǎng)絡(luò)協(xié)議勢(shì)必會(huì)帶來(lái)新的管理問(wèn)題，可以借鑒目前IPv4成熟的管理模式，并在差異中不斷改進(jìn)和完善，這對(duì)網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全及應(yīng)用服務(wù)的進(jìn)步具有重要意義。