賀冠博

摘要：隨著技術(shù)的進步，同時在國家戰(zhàn)略的推動下，近年來大量企業(yè)開展了IPv6網(wǎng)絡(luò)的建設(shè)工作，但從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過渡是一個漫長的過程，現(xiàn)有網(wǎng)絡(luò)架構(gòu)多由IPv4網(wǎng)絡(luò)部署實施，當遇到老舊設(shè)備對IPv6支持不夠，如何讓IPv6網(wǎng)絡(luò)在雙棧部署的過程中，能夠盡快地完成部署，盡量兼容現(xiàn)有網(wǎng)絡(luò)，是一個必須考慮的問題。本文從一種網(wǎng)絡(luò)隧道的介紹入手，對IPv6兼容現(xiàn)有IPv4網(wǎng)絡(luò)進行了簡要分析，并對測試成果進行戰(zhàn)士，旨在為技術(shù)研究人員提供有價值的參考建議。

關(guān)鍵詞：網(wǎng)絡(luò)隧道技術(shù);IPv6;網(wǎng)絡(luò)建設(shè)

一、網(wǎng)絡(luò)隧道機制說明

鑒于IPv4已經(jīng)具有巨大的網(wǎng)絡(luò)、終端和應(yīng)用市場，而IPv6與IPv4互不兼容的事實，是的IPv4與IPv6的共存、發(fā)展和平滑過渡必將是一個長期的過程。在IPv6與IPv4共存的技術(shù)中，“雙棧”是最常被用的技術(shù)，通過對現(xiàn)有IPv4網(wǎng)絡(luò)的改造，讓IPv6和IPv4共存。雙棧技術(shù)能夠有效解決兩種協(xié)議共存的問題，同時可以有效依托已部署的IPv4網(wǎng)絡(luò)進行參照部署，但雙棧技術(shù)要求所有網(wǎng)絡(luò)節(jié)點同時支持2種協(xié)議，當網(wǎng)絡(luò)通路種存在不支持IPv6的設(shè)備時，網(wǎng)絡(luò)實施無法繼續(xù)完成。而這種情形，就需要使用IPv6 to IPv4隧道，在不支持IPv4的設(shè)備兩端或更遠的網(wǎng)絡(luò)節(jié)點配置隧道，通過隧道技術(shù)，讓原有IPv4網(wǎng)絡(luò)承載IPv6業(yè)務(wù)流量，同時在隧道2端，繼續(xù)通過雙棧技術(shù)進行網(wǎng)絡(luò)轉(zhuǎn)發(fā)，實現(xiàn)對IPv6網(wǎng)絡(luò)的建設(shè)。隧道技術(shù)是對雙棧技術(shù)的有效補充。

二、網(wǎng)絡(luò)隧道技術(shù)基本框架

（一）架構(gòu)設(shè)計

IPv6兼容IPv4隧道技術(shù)有IPv6 in IPv4 GRE隧道（簡稱GRE隧道）、IPv6 in IPv4手動隧道（簡稱手動隧道）、IPv4兼容IPv6自動隧道（簡稱自動隧道）、IPv6 in IPv4手動隧道等多種隧道，本次筆者測試使用的隧道技術(shù)為IPv6 in IPv4手動隧道。通過在三個試點局域網(wǎng)之間采取IPv6 in IPv4手動隧道技術(shù)兩兩互聯(lián)。同時三個局域網(wǎng)內(nèi)部通過雙棧配置IPv6和IPv4網(wǎng)絡(luò)，三個試點網(wǎng)絡(luò)間通過IPv4城域網(wǎng)進行互聯(lián)，IPv6業(yè)務(wù)流量通過隧道技術(shù)可以充分利用城域網(wǎng)多平面的冗余性，保證網(wǎng)絡(luò)可靠性。

架構(gòu)設(shè)計圖如下：

（二）IP地址設(shè)計

筆者測試工作采用IPv6站點本地地址（類似IPv4的私有地址）開展工作，在實際的建設(shè)工作中，可以通過成為CNNIC會員向CNNIC（中國互聯(lián)網(wǎng)中心）申請，可獲得1個獨立的AS自治號碼及/32位的IPv6地址段，或向運營商申請/48或/64位的IPv6地址段來進行實際的網(wǎng)絡(luò)建設(shè)工作。

三、隧道技術(shù)驗證

（一）隧道技術(shù)配置

IPv6 in IPv4手動隧道需在每個隧道端點通過配置IPv6對應(yīng)轉(zhuǎn)IPv4，配置tunnel，通過指定tunnel本地源接口和目的IPv4地址的方式，IPv6報文被包含在IPv4報文中作為載荷，發(fā)送方封裝報文，接收方解封裝，實現(xiàn)通過IPv4網(wǎng)絡(luò)對IPv6網(wǎng)絡(luò)流量的隧道中繼，從而實現(xiàn)IPv6網(wǎng)絡(luò)連通。

參考配置如下（筆者采用華三設(shè)備實施，其他品牌可參照進行類似配置。）

ipv6 route-static ：0 Tunnel2? ? 配置默認路由指向IPv6隧道

interface Tunnel2? ? ? ? ? ? ? ? ?指定隧道名稱

ipv6 address 2002：1/64? ? ? ? ? 配置隧道使用的IPv6地址

tunnel-protocol ipv6-ipv4? ? ? ? 隧道模式IPv6轉(zhuǎn)IPv4

source Vlan-interface10? ? ? ? ?選擇隧道本地源接口

destination 1.1.1.2? ? ? ? ? ? ? 配置隧道對端的目的IPv4地址

interface vlan 10

ip address 2.2.2.3 255.255.255.0

在以上配置中，前置的必要條件是目的地址1.1.1.2的網(wǎng)絡(luò)可達，且1.1.1.2有回指向2.2.2.3的路由，并且同樣網(wǎng)絡(luò)可達。隧道才能夠成功建立，并轉(zhuǎn)發(fā)IPv6業(yè)務(wù)數(shù)據(jù)。在路由配置方面，可采用靜態(tài)路由或ospfv3動態(tài)2種網(wǎng)絡(luò)路由模式進行配置，在IPv6技術(shù)中，無IPv4的廣播地址，因此當配置靜態(tài)路由時地址可從0開始進行規(guī)劃，但在ospfv3路由時，IPv6會類似IPv4采用網(wǎng)段的首個地址為任播地址，在采用2種不同的路由配置時的地址規(guī)劃會有些不同，在實施時需提前考慮。

（二）安全設(shè)計

在IPv6的安全防護中，在常見的防火墻、WAF等安全設(shè)備，IPv6網(wǎng)絡(luò)內(nèi)部的防護策略配置與普通IPv4的配置類比相似，均為地址+端口的防護配置。

IPv6隧道使用了特殊的IP協(xié)議，協(xié)議號41;在隧道2端的安全設(shè)備，需配置特殊的防火墻策略，開放雙向策略，才能放開隧道的通信流量，讓隧道正常運轉(zhuǎn)。

（三）業(yè)務(wù)測試

通過對三個局域網(wǎng)配置兩兩的6to4網(wǎng)絡(luò)隧道，在3個局域網(wǎng)間互相可以ping通內(nèi)部IPv6地址，同時對城域網(wǎng)來說，3個局域網(wǎng)IPv6業(yè)務(wù)流量對城域網(wǎng)透明，城域網(wǎng)的任何改動，只要保證隧道的源和目的地址互通，不會影響3個局域網(wǎng)IPv6相關(guān)業(yè)務(wù)的運行。

四、隧道技術(shù)在網(wǎng)絡(luò)建設(shè)中的應(yīng)用

在IPv4與IPv6的共存、發(fā)展和平滑過渡必將是一個長期的過程的前景下，隧道技術(shù)是IPv6網(wǎng)絡(luò)建設(shè)的一個有效的實施技術(shù)，是對雙棧技術(shù)的一個有效的補充，可以在部分網(wǎng)絡(luò)節(jié)點設(shè)備無法有效支撐IPv6實施建設(shè)時，提供臨時的解決措施，同時由于隧道技術(shù)僅與隧道端點2端的網(wǎng)絡(luò)設(shè)備節(jié)點有關(guān)，與隧道通路中的網(wǎng)絡(luò)設(shè)備無關(guān)（通路中設(shè)備僅提供IPv4網(wǎng)絡(luò)連通支撐），因此可在最大限度與核心網(wǎng)絡(luò)解耦，為實施提供了更加靈活的選擇。

參考文獻：

[1]朱剛.淺談IPv6的發(fā)展和完善[J].網(wǎng)絡(luò)技術(shù)，2020（04）.

[2]張衍澤，趙阿群.IPv6隧道技術(shù)在高校駐地網(wǎng)建設(shè)中的應(yīng)用[J].軟件導(dǎo)刊，2013，12（10）：2.