李星

CERNET網(wǎng)絡(luò)中心副主任、清華大學(xué)教授

“向IPv6單棧演進成為全球范圍內(nèi)IPv6發(fā)展的大勢所趨。在推進IPv6跨越式發(fā)展的過程中，要充分關(guān)注和利用IVI翻譯、真實源地址驗證體系結(jié)構(gòu)SAVA、切片等關(guān)鍵技術(shù)?！痹谌涨罢匍_的會議上，CERNET網(wǎng)絡(luò)中心副主任、清華大學(xué)李星教授表示。同時，他呼吁，要為IPv6創(chuàng)新提供環(huán)境和平臺，充分把握互聯(lián)網(wǎng)技術(shù)發(fā)展的時代趨勢，力求為“突破核心技術(shù)，建設(shè)網(wǎng)絡(luò)強國”貢獻力量。

IPv6發(fā)展趨勢

從IPv6的發(fā)展趨勢來看，有一個非常有意思的現(xiàn)象值得我們注意。其中有幾個時間節(jié)點比較關(guān)鍵：

盡管CERNET從一開始就堅持純IPv6網(wǎng)絡(luò)的建設(shè)，但在全球范圍內(nèi)，純IPv6網(wǎng)絡(luò)的技術(shù)路線最初并未得到足夠認(rèn)可，無論從IETF的技術(shù)建議還是各國政府的政策多采用雙棧模式。IPv6過渡技術(shù)實踐之路并非一帆風(fēng)順。直到2016年11月，IETF（互聯(lián)網(wǎng)工程任務(wù)組）最高領(lǐng)導(dǎo)層IAB（互聯(lián)網(wǎng)體系結(jié)構(gòu)委員會）發(fā)表關(guān)于支持IPv6發(fā)展的重要聲明，指出未來的新協(xié)議要全部在IPv6基礎(chǔ)上進行優(yōu)化，而不需要考慮與IPv4的長期兼容。這是互聯(lián)網(wǎng)發(fā)展過程中一個非常重要的里程碑，表明IPv6成為互聯(lián)網(wǎng)技術(shù)無可爭議的發(fā)展趨勢和方向。按照這個趨勢，互聯(lián)網(wǎng)對IPv4的支持會越來越弱，總有一天會過渡到IPv6。

2017年末，中共中央辦公廳、國務(wù)院辦公廳發(fā)布了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》（以下簡稱《行動計劃》），明確指出我國基于IPv6的下一代互聯(lián)網(wǎng)發(fā)展的總體目標(biāo)、路線圖、時間表和重點任務(wù)，提出用5到10年的時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)。《行動計劃》立意拔得很高，充分表明我國向下一代互聯(lián)網(wǎng)演進升級的決心。當(dāng)前我們所進行的各項IPv6規(guī)模部署工作，都是《行動計劃》的一部分。

2020年末，美國管理和預(yù)算辦公室（OMB）發(fā)布了IPv6部署和使用指南終稿。盡管美國的“兩辦通知”比中國晚了不少，但它卻明確提出，雙棧模式未來將難以維護，要向純IPv6網(wǎng)絡(luò)遷移。美國要求政府機構(gòu)的新建系統(tǒng)或網(wǎng)站必須采用IPv6，并通過轉(zhuǎn)換為純IPv6、更換或退役系統(tǒng)，逐步停止對IPv4的使用。可以說，在向純IPv6演進這一點上，美國快了一步。

而我國也很快意識到了這一點。2021年7月，中央網(wǎng)信辦等三部門發(fā)布《關(guān)于加快推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》（以下簡稱《通知》）。比起美國對政府機構(gòu)純IPv6的要求更進一步的是，《通知》提出了全方位的、向IPv6單棧演進的“三部曲”：2023年，IPv6單棧取得積極進展，新增網(wǎng)絡(luò)地址不再使用私有IPv4地址；2025年，新增網(wǎng)站及應(yīng)用、網(wǎng)絡(luò)及應(yīng)用基礎(chǔ)設(shè)施部署IPv6單棧，形成創(chuàng)新引領(lǐng)、高效協(xié)同的自驅(qū)性發(fā)展態(tài)勢；之后再用五年左右時間，也就是到2030年左右，完成向IPv6單棧的演進過渡。

換言之，中國要完成向純IPv6過渡還有8年左右的時間。以高校為例，我們可以想象一下，所有的校園網(wǎng)，包括信息系統(tǒng)、門戶網(wǎng)站、網(wǎng)絡(luò)終端等在8年內(nèi)都需要過渡到純IPv6。雖然IT設(shè)備折舊率很快，但時間卻非常緊迫。高校必須從現(xiàn)在開始就未雨綢繆，為向純IPv6演進做好充足準(zhǔn)備，否則在IPv6過渡浪潮中就會非常被動。

IPv6發(fā)展三部曲

新形勢下推動IPv6發(fā)展，也可以將其概括為“三部曲”：一是平滑過渡，互聯(lián)互通，逐步推進；二是發(fā)展與安全同步；三是跨越式發(fā)展，構(gòu)建切片體系結(jié)構(gòu)。

平滑過渡

總的來說，IPv6規(guī)模部署可以概括為五大任務(wù)：網(wǎng)站IPv6改造、提升IPv6活躍用戶、增加IPv6流量、過渡到IPv6單棧、開發(fā)IPv6創(chuàng)新應(yīng)用。其中最重要的是“網(wǎng)站IPv6改造”和“增加IPv6活躍用戶”，如果網(wǎng)站IPv6改造好，IPv6活躍用戶數(shù)量增加，IPv6流量自然會持續(xù)提升，IPv6單棧才有了演進的基礎(chǔ)，創(chuàng)新應(yīng)用才能夠落實。只有在整個IPv6生態(tài)鏈持續(xù)發(fā)展的基礎(chǔ)上，才能真正推動基于IPv6的創(chuàng)新。

其中，在網(wǎng)站IPv6改造上，有幾個問題要格外注意：第一，從公網(wǎng)訪問和教育網(wǎng)內(nèi)部之間的訪問策略要一致；第二，除了門戶網(wǎng)站首頁，二、三級鏈接的改造也要完備；第三，因為IPv6沒有NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），在公網(wǎng)訪問時需要采取措施，以確保安全。

如何才能又快又好地向IPv6平滑過渡？需要回到具體的IPv6過渡技術(shù)上。在IPv6過渡技術(shù)方面，基于雙棧的IPv6過渡技術(shù)1.0，演進成基于翻譯機制的IPv6過渡技術(shù)2.0，最后演進成純IPv6的3.0。

其中，雙棧技術(shù)需要兩次“硬著陸”才能完成向IPv6的過渡：第一次是從純IPv4升級到雙棧；第二次是把雙棧的IPv4關(guān)掉，成為純IPv6網(wǎng)絡(luò)。

而清華大學(xué)提出的、已經(jīng)成為IETF的RFC標(biāo)準(zhǔn)的翻譯技術(shù)可以讓現(xiàn)有的IPv4服務(wù)器或客戶端，經(jīng)過翻譯與IPv6網(wǎng)絡(luò)實現(xiàn)互聯(lián)互通；同時，新建的純IPv6網(wǎng)絡(luò)，也可以通過翻譯與IPv4網(wǎng)絡(luò)保持互聯(lián)互通。隨著IPv4流量的逐漸減少，自然地過渡到純IPv6。由此，只需要通過兩個“軟著陸”，就可以實現(xiàn)向IPv6的過渡。

圖1 IPv6過渡技術(shù)：從1.0到3.0

雖然純IPv6是未來的必然趨勢，但在全球范圍內(nèi)，IPv4網(wǎng)絡(luò)將會長期存在。哪怕全球僅剩下1%的IPv4用戶，也要保障IPv6與其互聯(lián)互通，否則就違背了互聯(lián)網(wǎng)精神。設(shè)想一下，即使到了2030年，我國已經(jīng)實現(xiàn)了純IPv6互聯(lián)網(wǎng)，但按照“一帶一路”“網(wǎng)絡(luò)空間命運共同體”等要求，中國仍然需要同全世界的IPv4互通。這就意味著，從長遠看來，通過翻譯技術(shù)的“軟著陸”過渡，將是互聯(lián)網(wǎng)從IPv4向IPv6演進的最關(guān)鍵、最主流的過渡方案。

無狀態(tài)IPv4/IPv6翻譯技術(shù)（IVI）的思路可以歸結(jié)為三點。第一，IPv4和IPv6本身不兼容，不可能真的“互通”。第二，翻譯互通的基本原理是：通過翻譯器將真實的IPv4計算機映射成虛擬的IPv6計算機，同時通過翻譯器將真實的IPv6計算機映射成虛擬的IPv4計算機，使得在互相不兼容的IPv4和IPv6協(xié)議空間內(nèi)，分別有真實的計算機和虛擬的計算機進行端對端的通信。第三，如何實現(xiàn)IPv4對IPv6的翻譯是關(guān)鍵。IPv6地址為128位，一個IPv6的子網(wǎng)就有64位，可以輕易地表示32位的IPv4地址，但如何用有限的IPv4地址表示IPv6是基于算法表示和解決的，這是IVI最大的突破點。

高校在進行校園網(wǎng)IPv6部署時，可以根據(jù)現(xiàn)實情況充分運用翻譯技術(shù)。

對于現(xiàn)有IPv4資源，可以將IVI翻譯設(shè)備部署在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)出口之間。這樣，原IPv4資源不需要做改造，就可以被IPv6訪問。

對于新建資源，建議采用純IPv6方案。純IPv6資源可以通過翻譯技術(shù)與此前的IPv4資源互聯(lián)互通。同時，雙棧網(wǎng)絡(luò)的總體安全性取決于IPv4和IPv6中較差的一方，具有“木桶效應(yīng)”，安全性難以保障。在這一點，純IPv6也優(yōu)于雙棧網(wǎng)絡(luò)。此外，對服務(wù)器來說，純IPv6服務(wù)器更容易實現(xiàn)基于地址的控制，更方便進行日志管理；對客戶機來說，由于iOS系統(tǒng)和Android系統(tǒng)都已經(jīng)集成了IVI翻譯技術(shù)，非常適合新建大規(guī)模純IPv6無線網(wǎng)接入。

對于基于IPv4的超算中心等改造成本較高的系統(tǒng)，可以采用雙重翻譯技術(shù)（IPv4即服務(wù)），通過CERNET2建一個純IPv6超算專網(wǎng)，直接利用超算內(nèi)部的私有IPv4地址。這樣，不用改造應(yīng)用系統(tǒng)，超算中心對外特性也將展示為IPv6。

發(fā)展與安全同步

要做到發(fā)展與安全同步，首先要關(guān)注IPv6的網(wǎng)絡(luò)空間安全。

針對互聯(lián)網(wǎng)長期缺乏有效的真實源地址驗證，使得假冒源地址橫行的重大安全隱患，清華大學(xué)提出下一代互聯(lián)網(wǎng)真實源地址驗證體系結(jié)構(gòu)SAVA，支持互聯(lián)網(wǎng)真實源地址的精確定位和地址溯源，突破了下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的安全可信關(guān)鍵核心技術(shù)，并推動IETF成立專門工作組SAVI。近日，基于SAVA已取得的研究成果，更進一步推動IETF在路由域成立SAVNET工作組，聚焦于互聯(lián)網(wǎng)域內(nèi)和域間的源地址驗證技術(shù)。將SAVA技術(shù)落地落實，是當(dāng)前高校在網(wǎng)絡(luò)安全方面應(yīng)重點關(guān)注，全力部署實施的工作。

在網(wǎng)絡(luò)安全方面，IVI翻譯技術(shù)同樣可以起到非常重要的作用。現(xiàn)階段，IPv6網(wǎng)絡(luò)安全的挑戰(zhàn)性相對較大，但IPv4經(jīng)過時間和實踐的千錘百煉更加安全。考慮到這一點，在IPv6安全保障上，我們可以采取這樣的思路：通過虛擬的翻譯技術(shù)，將IPv6的網(wǎng)絡(luò)安全問題轉(zhuǎn)化為更成熟的IPv4安全保護，大幅降低安全保障難度。

可以將IPv6網(wǎng)絡(luò)和IPv6主機之間的防火墻設(shè)想成一個“盒子”，盒子內(nèi)部是具有雙重“虛擬翻譯”功能的IPv4防火墻。防護的過程是，將IPv6映射成IPv4，經(jīng)過IPv4的防火墻，再映射成IPv6。這樣，就可以讓純IPv6網(wǎng)絡(luò)充分利用IPv4成熟的安全保障能力。如此一來，按照原IPv4安全等保等級，只要IPv4不被黑，IPv6就不可能被黑。實際上，用這種方法設(shè)計的IPv6防火墻，并不一定真的采用IVI翻譯設(shè)備，而是充分利用了IVI技術(shù)的翻譯思路。

跨越式發(fā)展

在IPv6部署中，要關(guān)注“切片”技術(shù)。IPv6海量的地址意味著切片是IPv6最顯性的技術(shù)特征之一。比如，可以利用切片技術(shù)為校園網(wǎng)保安全。

傳統(tǒng)的校園網(wǎng)在安全管理上，通常采用“糖葫蘆”式的串通方式，在校園網(wǎng)的出口處設(shè)置各種安全設(shè)備。而高校有聯(lián)網(wǎng)、高性能、安全、科研等多方面的網(wǎng)絡(luò)需求，采用“串聯(lián)”的方式很難滿足所有需求，并存在不少安全隱患。

我們可以將校園網(wǎng)的需求進行如下分類。

用戶上網(wǎng)：包括有線、無線（多SSID）上網(wǎng)；

信息系統(tǒng)：學(xué)校的信息系統(tǒng)通常在校園內(nèi)部專網(wǎng)使用；

視頻系統(tǒng)：用于教學(xué)、研討，在常態(tài)化疫情防控下，視頻系統(tǒng)的使用需求更多；

對外宣傳：也就是通常的學(xué)校網(wǎng)站；

科學(xué)研究：包括超算專網(wǎng)、存儲專網(wǎng)、備份專網(wǎng)等；

物聯(lián)網(wǎng)：包括門禁專網(wǎng)、視頻監(jiān)控專網(wǎng)、井蓋專網(wǎng)等。

有了清晰的分類，就可以按照網(wǎng)絡(luò)切片的思路將高校各種校園網(wǎng)需求拆分，進行功能定制和分區(qū)，并行地處理這些“安全切片”，滿足校園網(wǎng)的多種需求，同時保障網(wǎng)絡(luò)安全。此外，對于部分校園網(wǎng)功能需求，還可以采用外包方式保障安全。

IPv6帶來創(chuàng)新機遇

打造創(chuàng)新空間

要實現(xiàn)創(chuàng)新，就要有相應(yīng)的創(chuàng)新土壤，能夠讓這些創(chuàng)新生存，且茁壯成長。在IPv6的創(chuàng)新上，為激發(fā)年輕的工程師對IPv6的研究與應(yīng)用，從2015年開始，CERNET網(wǎng)絡(luò)中心和賽爾網(wǎng)絡(luò)有限公司設(shè)立“賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項目”。創(chuàng)新項目自設(shè)立以來，共有來自370多所高校的8800余名師生提出1500余項申請；2015~2019年立項批復(fù)共680項（含滾動支持8項）；已申請專利262項、軟著299項，發(fā)表論文1100余篇。其中，完成了近500個可以在純IPv6網(wǎng)絡(luò)環(huán)境下運行的軟件應(yīng)用系統(tǒng)、APP、網(wǎng)站以及硬件設(shè)備等不同形式和應(yīng)用的科技創(chuàng)新成果。

圖2 互聯(lián)網(wǎng)核心技術(shù)演進

根據(jù)對313個項目組的調(diào)研，統(tǒng)計到參與創(chuàng)新項目的學(xué)生有1425人，除去在讀的100人，畢業(yè)后繼續(xù)從事互聯(lián)網(wǎng)和相關(guān)服務(wù)工作或者繼續(xù)攻讀互聯(lián)網(wǎng)相關(guān)專業(yè)的有1051人，比例高達79.3%。項目引導(dǎo)并激勵了大量專業(yè)人才從事互聯(lián)網(wǎng)行業(yè)關(guān)鍵技術(shù)研究或基礎(chǔ)研發(fā)等核心工作。調(diào)研結(jié)果顯示，高校和專家均認(rèn)為創(chuàng)新項目實施在培養(yǎng)人才方面起到了巨大作用。

同樣從2015年開始，CERNET網(wǎng)絡(luò)中心開始舉辦“下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新大賽”。創(chuàng)新大賽自啟動以來，已成功舉辦五屆，吸引了全國高校積極參與，參賽項目廣泛覆蓋IPv6技術(shù)創(chuàng)新和應(yīng)用創(chuàng)新等多個領(lǐng)域。五屆大賽共征集作品997項，參賽高校214所，雙一流高校參賽比例達39.7%，獲獎作品216項，申請知識產(chǎn)權(quán)300余項，已成為國內(nèi)IPv6領(lǐng)域的知名賽事。

創(chuàng)新大賽通過改進專家評審機制、完善賽制、與創(chuàng)新項目結(jié)題驗收緊密結(jié)合等，不斷探索、調(diào)整、改革、提高、創(chuàng)新，初步建立起校企協(xié)同育人機制。今年，教育部正式將大賽納入首屆IPv6技術(shù)應(yīng)用創(chuàng)新大賽科教賽道，期待大賽能進一步激發(fā)高校學(xué)生在下一代互聯(lián)網(wǎng)領(lǐng)域的創(chuàng)新創(chuàng)業(yè)能力，培養(yǎng)下一代互聯(lián)網(wǎng)創(chuàng)新人才，也期待大賽對“純IPv6”創(chuàng)新成果給予更多關(guān)注。

把握時代機遇

互聯(lián)網(wǎng)技術(shù)發(fā)展日新月異，如果以十年為一個周期，在互聯(lián)網(wǎng)的不同發(fā)展階段，有著不同的代表性技術(shù)熱點。1970年代，最重要的技術(shù)是NCP；1980年代，最重要的技術(shù)是TCP/IPv4；1990年代，是DNS和BGP；2000年代，WWW出現(xiàn)，最重要的技術(shù)則是HTTP；2010年代，因受斯諾登事件影響，加密的HTTPS廣受關(guān)注。

那么進入2020年代，最核心的技術(shù)究竟是什么？有兩個問題值得我們思考：一方面，IPv6相關(guān)技術(shù)模式會不會是下一個十年的技術(shù)熱點？另一方面，中國的互聯(lián)網(wǎng)工作者能否把握住全球網(wǎng)絡(luò)信息技術(shù)加速創(chuàng)新變革、信息基礎(chǔ)設(shè)施快速演進升級的歷史機遇，成為未來互聯(lián)網(wǎng)核心技術(shù)的主要貢獻者？這樣重大的互聯(lián)網(wǎng)發(fā)展時機不容我們錯過。

當(dāng)前，我國正加緊推進IPv6規(guī)模部署的國家戰(zhàn)略。IPv6規(guī)模部署工作，不僅僅是向下一代互聯(lián)網(wǎng)的演進升級，更是加快網(wǎng)絡(luò)強國建設(shè)、贏得未來國際競爭新優(yōu)勢的緊迫要求。我們要以這樣的戰(zhàn)略高度來看待IPv6發(fā)展，力求為“突破核心技術(shù)，建設(shè)網(wǎng)絡(luò)強國”貢獻力量。為此，建議把握和落實以下三點：一是國際標(biāo)準(zhǔn)的制定權(quán)，如參與互聯(lián)網(wǎng)RFC標(biāo)準(zhǔn)制定，參與IPv6核心技術(shù)標(biāo)準(zhǔn)制定；二是國際組織的話語權(quán)，如參與IETF、競選IAB等組織的任職；三是基礎(chǔ)設(shè)施的掌控權(quán)，如對IPv6互聯(lián)網(wǎng)、路由、域名等基礎(chǔ)設(shè)施的掌控。