李碩

摘 要：建設(shè)基于IPv6的下一代互聯(lián)網(wǎng)絡(luò)將成為海油企業(yè)網(wǎng)絡(luò)發(fā)展中的關(guān)鍵一步。在企業(yè)網(wǎng)絡(luò)建設(shè)中，關(guān)于網(wǎng)絡(luò)安全、服務(wù)質(zhì)量和地址可擴(kuò)展性等方面，IPv6相較于IPv4的優(yōu)勢(shì)明顯，如何實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)從IPv4到IPv6的平穩(wěn)過(guò)渡轉(zhuǎn)化成為了企業(yè)網(wǎng)絡(luò)研究的重點(diǎn)。文章結(jié)合某海油企業(yè)的網(wǎng)絡(luò)現(xiàn)狀，探討了IPv6改造的難點(diǎn)與挑戰(zhàn)，給出了IPv6改造實(shí)施方案，分析了方案中應(yīng)用的過(guò)渡技術(shù)。

關(guān)鍵詞：IPv4;IPv6;網(wǎng)絡(luò)改造;過(guò)渡技術(shù)

1 背景

目前，海油企業(yè)的信息化建設(shè)經(jīng)過(guò)長(zhǎng)期的發(fā)展，逐步形成了一套完善的網(wǎng)絡(luò)體系，該體系是以各應(yīng)用系統(tǒng)為核心，以服務(wù)器為基礎(chǔ)，以網(wǎng)絡(luò)為支撐的大型信息系統(tǒng)。雖然在海油企業(yè)中基于IPv4的網(wǎng)絡(luò)目前運(yùn)行良好，能夠滿(mǎn)足用戶(hù)的各類(lèi)需求，但是隨著信息技術(shù)的迅猛發(fā)展，特別是5G技術(shù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)的應(yīng)用與推廣，用戶(hù)的需求將會(huì)呈現(xiàn)多樣化發(fā)展。當(dāng)前的這套網(wǎng)絡(luò)體系不論從可擴(kuò)展性還是從安全性上來(lái)說(shuō)，都顯得有些捉襟見(jiàn)肘，具體表現(xiàn)為以下幾個(gè)方面：

（1）隨著用戶(hù)對(duì)移動(dòng)辦公和BYOD的需求日益強(qiáng)烈，海油企業(yè)中各種對(duì)外的應(yīng)用系統(tǒng)將不斷部署、測(cè)試、認(rèn)證和上線運(yùn)行，但是可用的公網(wǎng)IP地址已是稀缺資源，因此公網(wǎng)IP地址短缺的問(wèn)題將愈演愈烈。

（2）企業(yè)內(nèi)網(wǎng)IP地址隨著無(wú)線、虛擬化的不斷應(yīng)用，數(shù)量急劇消減。在海油企業(yè)內(nèi)部，部署無(wú)線內(nèi)網(wǎng)有很多隱患，除了安全性降低之外，內(nèi)網(wǎng)終端接入的爆發(fā)式增長(zhǎng)導(dǎo)致企業(yè)內(nèi)網(wǎng)IP地址資源的消耗過(guò)快。

（3）IPv4地址轉(zhuǎn)換技術(shù)為現(xiàn)階段海油企業(yè)提供了大量?jī)?nèi)部網(wǎng)絡(luò)IPv4地址資源，同時(shí)也提供了天然的外內(nèi)網(wǎng)的界限，但是該機(jī)制破壞了計(jì)算機(jī)間的透明性，仿造的IPv4地址泛濫，大量有針對(duì)性的網(wǎng)絡(luò)安全事件頻發(fā)，造成一定安全隱患。

（4）海油企業(yè)內(nèi)部對(duì)一些實(shí)時(shí)數(shù)據(jù)或多媒體數(shù)據(jù)的傳輸要求有一定的服務(wù)質(zhì)量保證，然而網(wǎng)絡(luò)中IPv4協(xié)議提供的是無(wú)連接、不可靠、點(diǎn)對(duì)點(diǎn)的分組傳送服務(wù)，采用“盡力投遞”（best-effort）的傳輸機(jī)制，因此無(wú)法保證一些關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量（QoS）。

上述問(wèn)題難以通過(guò)改進(jìn)IPv4協(xié)議版本來(lái)解決，而基于IPv6的新一代互聯(lián)網(wǎng)絡(luò)相較于現(xiàn)在的海油企業(yè)網(wǎng)絡(luò)具有更大、更快、更安全、更及時(shí)、更方便和更可控的特征?！案蟆敝窱Pv6協(xié)議為網(wǎng)絡(luò)空間提供了巨大的IP地址資源;“更快”指IPv6協(xié)議采用全新報(bào)頭結(jié)構(gòu)，可以承載更多數(shù)據(jù)內(nèi)容，提高了路由器的轉(zhuǎn)發(fā)速率;“更安全”指IPSec作為IPv6的綁定安全機(jī)制，一定程度上保障了OSI網(wǎng)絡(luò)層級(jí)的安全;“更及時(shí)”指IPv6加強(qiáng)了組播支持以及通過(guò)在數(shù)據(jù)報(bào)頭中添加流標(biāo)記和業(yè)務(wù)級(jí)別極大地改善QoS[1];“更方便”指可提供無(wú)處不在的移動(dòng)和無(wú)線通信應(yīng)用;“更可控”指IPv6支持有狀態(tài)和無(wú)狀態(tài)兩種自動(dòng)配置技術(shù)，典型代表分別對(duì)應(yīng)DHCPv6和RADVD，兩者結(jié)合的配置使得網(wǎng)絡(luò)的管控效果更加明顯。

2 IPv6網(wǎng)絡(luò)改造建設(shè)的難點(diǎn)與挑戰(zhàn)

切實(shí)推進(jìn)IPv6的網(wǎng)絡(luò)改造建設(shè)將是海油企業(yè)未來(lái)幾年的一項(xiàng)重要工作。但是考慮到海油企業(yè)中業(yè)務(wù)應(yīng)用系統(tǒng)與基礎(chǔ)設(shè)施規(guī)模龐大，改造升級(jí)工作將面臨巨大挑戰(zhàn)，主要難點(diǎn)與挑戰(zhàn)來(lái)自以下3個(gè)方面。

2.1 實(shí)施改造涉及面廣

海油企業(yè)的IPv6網(wǎng)絡(luò)改造需要經(jīng)歷一段漫長(zhǎng)的過(guò)渡時(shí)期，改造涉及基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)兩個(gè)部分。需改造的基礎(chǔ)設(shè)施類(lèi)型較多，包含但不限于計(jì)算機(jī)、服務(wù)器、DNS、聯(lián)網(wǎng)辦公設(shè)備、路由交換機(jī)、負(fù)載均衡、安全防護(hù)設(shè)備等，改造后的基礎(chǔ)設(shè)施需支持雙棧協(xié)議。對(duì)于應(yīng)用系統(tǒng)部分，需要評(píng)估系統(tǒng)中是否涉及IP協(xié)議相關(guān)的代碼，同時(shí)還要梳理IP地址信息是否需要在交互過(guò)程中進(jìn)行存儲(chǔ)等。

2.2 網(wǎng)絡(luò)安全防護(hù)形勢(shì)復(fù)雜嚴(yán)峻

在海油企業(yè)的網(wǎng)絡(luò)安全防護(hù)體系中，針對(duì)IPv6的安全防護(hù)案例與經(jīng)驗(yàn)較少，因此推進(jìn)網(wǎng)絡(luò)建設(shè)改造過(guò)程中，任何一處的安全防護(hù)缺失都可能造成整體網(wǎng)絡(luò)系統(tǒng)的漏洞，提前測(cè)試與評(píng)估安全防護(hù)體系能否防御基于IPv6的網(wǎng)絡(luò)攻擊勢(shì)在必行。

2.3 技術(shù)支持處于發(fā)展初期

IPv6網(wǎng)絡(luò)改造不斷深入推進(jìn)，但相應(yīng)的技術(shù)支持與網(wǎng)絡(luò)服務(wù)卻還處于初級(jí)階段。海油企業(yè)內(nèi)IPv4向IPv6過(guò)渡期間，為保障網(wǎng)絡(luò)穩(wěn)定性和業(yè)務(wù)連續(xù)性，需要項(xiàng)目組保持適度的建設(shè)實(shí)施進(jìn)度與發(fā)展節(jié)奏。

3 IPv6網(wǎng)絡(luò)改造方案實(shí)施解析

面對(duì)IPv6改造的難點(diǎn)與挑戰(zhàn)，本文結(jié)合海油企業(yè)內(nèi)部的網(wǎng)絡(luò)現(xiàn)狀，設(shè)計(jì)了基于IPv6的網(wǎng)絡(luò)改造基礎(chǔ)方案，通過(guò)綜合考慮終端用戶(hù)、業(yè)務(wù)、安全、網(wǎng)絡(luò)、成本等多種因素，按照“投資小、風(fēng)險(xiǎn)低、效果好”的目標(biāo)，分階段逐步完成對(duì)網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)終端、服務(wù)器和應(yīng)用系統(tǒng)等的IPv6升級(jí)改造工作，實(shí)現(xiàn)IPv4向IPv6的順利過(guò)渡。

3.1 申請(qǐng)IPv6地址資源并合理地實(shí)施子網(wǎng)劃分

企業(yè)需要向相關(guān)組織機(jī)構(gòu)申請(qǐng)IPv6線路與地址資源，同時(shí)應(yīng)及時(shí)向運(yùn)營(yíng)商了解針對(duì)IPv6網(wǎng)絡(luò)的相應(yīng)防護(hù)產(chǎn)品與服務(wù)。結(jié)合海油內(nèi)網(wǎng)絡(luò)環(huán)境的實(shí)際需要，一是在小型網(wǎng)絡(luò)組織中，通過(guò)為子網(wǎng)編號(hào)，采用無(wú)層次化尋址方式;二是在多層次或跨區(qū)域的大型網(wǎng)絡(luò)結(jié)構(gòu)中，使用/64固定長(zhǎng)度的前綴是絕大部分IPv6網(wǎng)絡(luò)設(shè)備都支持的選擇，剩余部分的子網(wǎng)劃分與IPv4環(huán)境下模式相似。

3.2 調(diào)研網(wǎng)絡(luò)設(shè)備并實(shí)施升級(jí)

在全面部署IPv6升級(jí)前，需要對(duì)企業(yè)內(nèi)的網(wǎng)絡(luò)設(shè)備如防火墻、流控網(wǎng)關(guān)、路由交換設(shè)備、無(wú)線AP等設(shè)備進(jìn)行全面核查。針對(duì)不支持IPv6地址協(xié)議的設(shè)備，一是，可以實(shí)施IOS版本優(yōu)化升級(jí)來(lái)處理，二是，提前申請(qǐng)采購(gòu)支持IPv6的替代設(shè)備來(lái)進(jìn)行更換，最終確保所有的網(wǎng)絡(luò)設(shè)備支持雙棧協(xié)議后啟用IPv4/IPv6雙棧協(xié)議。

3.3 對(duì)DHCP服務(wù)器實(shí)施升級(jí)

采用IPv6無(wú)狀態(tài)地址配置方式，可以與以太網(wǎng)連接的網(wǎng)絡(luò)終端自行配置IPv6地址，將其采用EUI-64位格式的48位MAC地址附加在路由器所廣播的64位本地鏈路前綴后面，因此不需要DHCP服務(wù)器;如果采用基于狀態(tài)的DHCPv6方式，DHCP服務(wù)器的操作系統(tǒng)需要升級(jí)至Windows Server 2008以上版本，升級(jí)完成后啟用雙棧協(xié)議，該服務(wù)器配置一個(gè)IPv4地址和IPv6地址，從而可以配置DHCPv4和DHCPv6服務(wù)器，該服務(wù)器可以同時(shí)支持IPv4和IPv6地址的分配。

3.4 對(duì)客戶(hù)端實(shí)施升級(jí)

針對(duì)企業(yè)內(nèi)眾多的聯(lián)網(wǎng)計(jì)算機(jī)，采用由點(diǎn)到面的方式推進(jìn)IPv6的升級(jí)工作，用戶(hù)依然以原有的方式訪問(wèn)IPv4資源，同時(shí)可以通過(guò)隧道技術(shù)訪問(wèn)部分IPv6資源。經(jīng)過(guò)此階段的改造建設(shè)，企業(yè)基礎(chǔ)網(wǎng)絡(luò)終端實(shí)現(xiàn)了對(duì)IPv4/IPv6雙協(xié)議棧的全面支持。如果ISP還未全面支持IPv6，則需要建立IPv4隧道，將IPv6的數(shù)據(jù)報(bào)通過(guò)封裝、隧道傳輸和拆封3個(gè)流程來(lái)實(shí)現(xiàn)對(duì)IPv6資源的訪問(wèn)。

3.5 對(duì)服務(wù)器實(shí)施IPv6升級(jí)改造

服務(wù)器的IPv6升級(jí)依然采用雙棧模式，推進(jìn)方式按照客戶(hù)端升級(jí)的方式，可按照服務(wù)器的重要程度等級(jí)進(jìn)行分類(lèi)，按由低到高的順序進(jìn)行先測(cè)試后逐步推廣升級(jí)。

3.6 對(duì)DNS服務(wù)器實(shí)施IPv6改造

DNS服務(wù)器的升級(jí)采用雙棧模式，建議重新建立一套測(cè)試DNS系統(tǒng)供IPv6升級(jí)測(cè)試使用，改造主要包括在DNS服務(wù)器內(nèi)增加一條域名所對(duì)應(yīng)的AAAA記錄，確保其能接收來(lái)自IPv4/IPv6的DNS訪問(wèn)請(qǐng)求。原DNS系統(tǒng)作為備用，測(cè)試無(wú)誤后再將測(cè)試DNS轉(zhuǎn)正。按RFC規(guī)定，雙棧主機(jī)訪問(wèn)DNS時(shí)，優(yōu)先使用IPv6訪問(wèn)IPv6的DNS服務(wù)器，且IPv6的DNS服務(wù)器響應(yīng)中必須包括AAAA地址（即域名和IPv6地址的對(duì)應(yīng)關(guān)系）。如果沒(méi)有AAAA地址，則再使用Ipv4請(qǐng)求Ipv4的DNS服務(wù)器。

3.7 對(duì)應(yīng)用系統(tǒng)實(shí)施IPv6改造

對(duì)于新建的應(yīng)用系統(tǒng)，應(yīng)提前考慮IPv6需求，推薦應(yīng)用雙棧技術(shù)、隧道技術(shù)，支持在IPv4與IPv6的網(wǎng)絡(luò)環(huán)境中信息傳輸，實(shí)現(xiàn)最佳改造。對(duì)于已經(jīng)上線的應(yīng)用系統(tǒng)，首先應(yīng)評(píng)估其IPv6的改造工作量，有些系統(tǒng)重建的工作量比IPv6改造的工作量要小，有些應(yīng)用系統(tǒng)推薦采用地址轉(zhuǎn)換技術(shù)，對(duì)現(xiàn)有網(wǎng)絡(luò)配置改動(dòng)小，投資成本較低，可支持后期逐漸演進(jìn)到純IPv6環(huán)境。應(yīng)用系統(tǒng)的IPv6改造一般被放在最后來(lái)完成，因?yàn)樾枰紤]的因素多、準(zhǔn)備的環(huán)節(jié)復(fù)雜，包括針對(duì)業(yè)務(wù)代碼、數(shù)據(jù)庫(kù)、中間件、開(kāi)發(fā)語(yǔ)言等環(huán)節(jié)的IPv6測(cè)試與試用。

當(dāng)關(guān)鍵應(yīng)用系統(tǒng)、聯(lián)網(wǎng)終端、網(wǎng)絡(luò)設(shè)備都支持IPv6后，可以規(guī)劃實(shí)施關(guān)閉基于IPv4的網(wǎng)絡(luò)或協(xié)議棧，通過(guò)在IPv4與IPv6的網(wǎng)絡(luò)之間部署NAT64（過(guò)渡網(wǎng)關(guān)）來(lái)實(shí)現(xiàn)IPv6節(jié)點(diǎn)對(duì)IPv4資源的訪問(wèn)與信息傳遞。

在業(yè)務(wù)連續(xù)性方面，推進(jìn)IPv6應(yīng)用系統(tǒng)部署的設(shè)計(jì)中，應(yīng)進(jìn)行長(zhǎng)期規(guī)劃，按照“機(jī)房備份+異地災(zāi)備”的策略進(jìn)行建設(shè)，實(shí)現(xiàn)雙棧接入后業(yè)務(wù)連續(xù)不間斷;在安全防護(hù)方面，應(yīng)提前準(zhǔn)備轉(zhuǎn)向資金用于安全設(shè)備升級(jí)換代，建立升級(jí)的網(wǎng)絡(luò)安全防護(hù)體系，有效應(yīng)對(duì)信息系統(tǒng)中基于IPv6協(xié)議的網(wǎng)絡(luò)攻擊（RHO攻擊、分片攻擊、洪水攻擊等）。

4 過(guò)渡技術(shù)淺析

在網(wǎng)絡(luò)改造期間，IPv4和IPv6共存于一個(gè)網(wǎng)絡(luò)環(huán)境中，此共存過(guò)渡時(shí)期會(huì)產(chǎn)生所謂海洋和孤島，即采用兩種不同協(xié)議的網(wǎng)絡(luò)并存，其中采用一種協(xié)議的網(wǎng)絡(luò)需要穿越采用另外一種協(xié)議的網(wǎng)絡(luò)進(jìn)行通信或兩種不同的網(wǎng)絡(luò)間相互通信[2]。雙棧、隧道和翻譯3種過(guò)渡技術(shù)各有特點(diǎn)，相互輔助配合，共同實(shí)現(xiàn)過(guò)渡期間的信息交互。

（1）雙協(xié)議棧技術(shù)是在網(wǎng)絡(luò)節(jié)點(diǎn)上采用集成方式，同時(shí)支持IPv4和IPv6兩種協(xié)議棧，主要對(duì)計(jì)算機(jī)終端、服務(wù)器、路由器等網(wǎng)絡(luò)通信節(jié)點(diǎn)進(jìn)行配置。支持雙協(xié)議棧的節(jié)點(diǎn)收到數(shù)據(jù)包時(shí)拆開(kāi)并檢測(cè)，如果IPv4/IPv6中的第一個(gè)字段的版本是4，該報(bào)文就由IPv4棧來(lái)處理，若是6，該報(bào)文就由IPv6棧來(lái)處理[3]。該技術(shù)易于實(shí)現(xiàn)、互聯(lián)互通性較好，但是雙棧節(jié)點(diǎn)要同時(shí)運(yùn)行兩種協(xié)議，對(duì)整體網(wǎng)絡(luò)資源的消耗大、負(fù)擔(dān)重。

（2）隧道技術(shù)指在IPv4網(wǎng)絡(luò)中出現(xiàn)一些采用IPv6協(xié)議的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)之間有數(shù)據(jù)通信時(shí)需要跨越IPv4網(wǎng)絡(luò)，將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)報(bào)中，通過(guò)IPv4網(wǎng)絡(luò)進(jìn)行傳輸。因?yàn)樵摷夹g(shù)中隧道具有透明性，在純IPv6節(jié)點(diǎn)間的信息傳輸中隧道只展現(xiàn)物理通道的作用。

（3）NAT64是一種基于翻譯的過(guò)渡技術(shù)，IPv6數(shù)據(jù)包通過(guò)IPv6網(wǎng)絡(luò)傳送至NAT64雙棧路由器中，經(jīng)過(guò)翻譯模塊將數(shù)據(jù)包中的目的地址與源地址進(jìn)行翻譯，之后經(jīng)過(guò)SIIT翻譯算法轉(zhuǎn)換成IPv4數(shù)據(jù)包，轉(zhuǎn)發(fā)到外部IPv4網(wǎng)絡(luò)中，從而實(shí)現(xiàn)了IPv6終端對(duì)IPv4網(wǎng)絡(luò)資源的單方面訪問(wèn)。

5 結(jié)語(yǔ)

IPv4向IPv6的迭代演進(jìn)是Internet發(fā)展的必然趨勢(shì)，也是中國(guó)參與全球互聯(lián)網(wǎng)技術(shù)發(fā)展的重要契機(jī)，海油企業(yè)的網(wǎng)絡(luò)建設(shè)應(yīng)站在IPv6研究與應(yīng)用的前沿。基于IPv6的網(wǎng)絡(luò)建設(shè)是一項(xiàng)長(zhǎng)期而復(fù)雜的工程，隨著IPv6網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷發(fā)展，海油企業(yè)未來(lái)部署IPv6網(wǎng)絡(luò)的難點(diǎn)不在技術(shù)領(lǐng)域而在于人，企業(yè)內(nèi)各級(jí)領(lǐng)導(dǎo)與員工對(duì)IPv6的理解與支持是決定該項(xiàng)跨時(shí)代的網(wǎng)絡(luò)改造項(xiàng)目成敗的關(guān)鍵。IPv6時(shí)代未來(lái)可期，應(yīng)盡早籌劃、順勢(shì)而為。

[參考文獻(xiàn)]

[1]倪紅彪.基于IPv6的下一代網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全[J].信息安全與技術(shù)，2013（1）：26-28.

[2]任陽(yáng)陽(yáng).IPv6技術(shù)在抗冰防災(zāi)中的應(yīng)用探索[J].貴州電力技術(shù)，2014（9）：54-55.

[3]周素青.基于GNS3的IPv6校園網(wǎng)絡(luò)的組網(wǎng)設(shè)計(jì)與仿真實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2014（34）：8140-8142.

（編輯 何 琳）