IPv6浪潮來臨
隨著移動互聯(lián)網(wǎng)��、物聯(lián)網(wǎng)���、工業(yè)4.0等新興產(chǎn)業(yè)迅速發(fā)展,接入網(wǎng)絡(luò)的終端數(shù)量呈指數(shù)級增長�����,從傳統(tǒng)的PC���、手機��,到未來無處不在的物聯(lián)網(wǎng)終端���,都需要通過IP地址接入互聯(lián)網(wǎng),預(yù)計2020年,全球?qū)⒂?00億設(shè)備在線�,地址需求數(shù)量是IPv4地址總數(shù)的十倍以上。目前IPv4地址已經(jīng)全部分配完畢��,地址緊缺的問題十分嚴峻�。
經(jīng)過二十多年的發(fā)展,IPv6已經(jīng)是一個非常成熟的技術(shù)��。IPv6具有更多地址數(shù)量�、更小路由表、更好安全性等優(yōu)點���,可以有效解決當前IPv4面臨的問題���。
2017年11月26,中共中央辦公廳���、國務(wù)院辦公廳聯(lián)合印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署的行動計劃》(下稱《行動計劃》)�����?��!缎袆佑媱潯芬?���,用5到10年時間�,形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài),建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)��,實現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟社會各領(lǐng)域深度融合應(yīng)用�,成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量,IPv6的浪潮真正來臨了�����。
IPv6過渡技術(shù)介紹
由于IPv6本身不兼容IPv4����,大規(guī)模部署IPv6還面臨不少挑戰(zhàn)��。目前可行的辦法是使用過渡技術(shù)�����,將IPv4逐漸演進到IPv6���,當前主要有三種主流的過渡技術(shù):
1. 雙線技術(shù)
雙棧示意圖
雙棧技術(shù)��,是指在終端各類應(yīng)用系統(tǒng)�、運營支撐系統(tǒng)和各網(wǎng)絡(luò)節(jié)點之間同時運行IPv4和IPv6協(xié)議棧(兩者具有相同的硬件平臺),從而實現(xiàn)分別與IPv4或IPv6節(jié)點間的信息互通����。
具有IPv4/IPv6雙協(xié)議棧的結(jié)點稱為雙棧節(jié)點,這些結(jié)點既可以收發(fā)IPv4報文����,也可以收發(fā)IPv6報文。它們可以使用IPv4與IPv4結(jié)點互通��,也可以直接使用IPv6與IPv6結(jié)點互通���。雙棧節(jié)點同時包含IPv4和IPv6的網(wǎng)絡(luò)層�,但傳輸層協(xié)議(如TCP和UDP)的使用仍然是單一的����。
雙棧協(xié)議模型
雙棧節(jié)點可以運行以下三種模式,靈活啟用/關(guān)閉IPv4/IPv6功能:
使能它們的IPv4棧并關(guān)閉它們的IPv6棧����,表現(xiàn)為IPv4節(jié)點。?
使能它們的IPv6棧并關(guān)閉它們的IPv4棧�����,表現(xiàn)為IPv6節(jié)點。?
使能雙棧�,同時開啟IPv4和IPv6協(xié)議。
雙棧模式的工作原理可以簡單描述為:
雙棧技術(shù)是所有過渡技術(shù)的基礎(chǔ)����,支持靈活地啟用或關(guān)閉節(jié)點的IPv4/IPv6功能����,可以很好地過渡到純IPv6的環(huán)境。但同時����,要求所有節(jié)點都支持雙棧���,增加了改造和部署難度。
2. 隧道技術(shù)
隧道技術(shù)示意圖
基于IPv4隧道來傳送IPv6數(shù)據(jù)報文的隧道技術(shù)����,是將IPv6報文封裝在IPv4報文中,這樣IPv6協(xié)議包就可以穿越IPv4網(wǎng)絡(luò)進行通信��。因此被孤立的IPv6網(wǎng)絡(luò)之間可以通過IPv6的隧道技術(shù)利用現(xiàn)有的IPv4網(wǎng)絡(luò)互相通信而無需對現(xiàn)有的IPv4網(wǎng)絡(luò)做任何修改和升級���。IPv6隧道可以配置在邊界路由器之間也可以配置在邊界路由器和主機之間�����,但是隧道兩端的節(jié)點都必須既支持IPv4協(xié)議棧又支持IPv6協(xié)議棧�����。
IPv6數(shù)據(jù)報在IPv4中的封裝
IPv4/IPv6隧道技術(shù)的實現(xiàn)機制:
隧道入口節(jié)點(封裝路由器)創(chuàng)立一個用于封裝的IPv4報文頭�,并傳送此被封裝的分組���。
隧道出口節(jié)點(解封裝路由器)接收此被封裝的分組���,如果需要重新組裝此分組�,移去IPv4報文頭�����,并處理收到的IPv6分組�����。
封裝路由器或許需要為每個隧道記錄維持軟狀態(tài)信息����,這類參數(shù)諸如隧道MTU,以便處理轉(zhuǎn)發(fā)的IPv6分組進隧道����。
隧道技術(shù)封裝示意圖
IPv6隧道技術(shù)分為手動隧道和自動隧道:
(1) 手動隧道:即邊界設(shè)備不能自動獲得隧道終點的IPv4地址,需要手工配置隧道終點的IPv4地址���,報文才能正確發(fā)送至隧道終點,通常用于路由器到路由器之間的隧道�����,常用的手動隧道技術(shù)如下:
(2) 自動隧道: 即邊界設(shè)備可以自動獲得隧道終點的IPv4地址�,所以不需要手工配置終點的IPv4地址�,一般的做法是隧道的兩個接口的IPv6地址采用內(nèi)嵌IPv4地址的特殊IPv6地址形式�,這樣路由設(shè)備可以從IPv6報文中的目的IPv6地址中提取出IPv4地址,自動隧道可用于主機到主機����,或者主機到路由器之間,常用的自動隧道技術(shù)如下:
通過隧道技術(shù)���,依靠現(xiàn)有IPv4設(shè)施�,只要求隧道兩端設(shè)備支持雙棧�,即可實現(xiàn)多個孤立IPv6網(wǎng)絡(luò)的的互通,但是隧道實施配置比較復(fù)雜����,也不支持IPv4主機和IPv6主機直接通信。
地址協(xié)議轉(zhuǎn)換技術(shù)
地址轉(zhuǎn)換技術(shù)示意圖
1. NAT-PT轉(zhuǎn)換技術(shù)
NAT-PT(Network Address Translation-Protocol Translation�,網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換):由SIIT(Stateless IP/ICMP Translation,無狀態(tài)翻譯技術(shù))協(xié)議轉(zhuǎn)換技術(shù)和動態(tài)地址翻譯(NAT)技術(shù)結(jié)合和演進而來�����,SIIT提供IPv4和IPv6一對一的映射轉(zhuǎn)換���,NAT-PT支持在SIIT基礎(chǔ)上實現(xiàn)多對一或多對多的地址轉(zhuǎn)換�����。
NAT-PT分為靜態(tài)和動態(tài)兩種形式:
(1) 靜態(tài)NAT-PT:
靜態(tài)模式提供一對一的IPv6地址和IPv4地址的映射����。IPv6單協(xié)議網(wǎng)絡(luò)域內(nèi)的節(jié)點要訪問IPv4單協(xié)議網(wǎng)絡(luò)域內(nèi)的每一個IPv4地址,都必須在NAT-PT網(wǎng)關(guān)中配置�。每一個目的IPv4在NAT-PT網(wǎng)關(guān)中被映射成一個具有預(yù)定義NAT-PT前綴的IPv6地址。在這種模式下�,每一個IPv6映射到IPv4地址需要一個源IPv4地址。靜態(tài)配置適合經(jīng)常在線�����,或者需要提供穩(wěn)定連接的主機���。
(2) 動態(tài)NAT-PT:
在動態(tài) NAT-PT中�,NAT-PT網(wǎng)關(guān)向IPv6網(wǎng)絡(luò)通告一個96位的地址前綴��,并結(jié)合主機32位IPv4地址作為對IPv4網(wǎng)絡(luò)中主機的標識�。從IPv6網(wǎng)絡(luò)中的主機向IPv4網(wǎng)絡(luò)發(fā)送的報文,其目的地址前綴與NAT-PT發(fā)布的地址前綴相同�����,這些報文都被路由到NAT-PT網(wǎng)關(guān)��,由NAT-PT網(wǎng)關(guān)對報文頭進行修改�����,取出其中的IPv4地址信息����,替換目的地址。同時���,NAT-PT網(wǎng)關(guān)定義了IPv4地址池�����,它從地址池中取出一個地址來替換IPv6報文的源地址���,從而完成從IPv6地址到IPv4地址的轉(zhuǎn)換。動態(tài)NAT-PT支持多個IPv6地址映射為一個IPv4地址�,節(jié)省了IPv4地址空間。
NAT-PT支持IPv4和IPv6兩種協(xié)議的相互翻譯和轉(zhuǎn)換����,但是存在如下問題:
因此�,NAT-PT逐漸被廢棄,不推薦使用����,最新的地址協(xié)議轉(zhuǎn)換技術(shù)是NAT64。
2. NAT64轉(zhuǎn)換技術(shù)
NAT64是一種有狀態(tài)的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)���,一般只支持通過IPv6網(wǎng)絡(luò)側(cè)用戶發(fā)起連接訪問IPv4側(cè)網(wǎng)絡(luò)資源����。但NAT64也支持通過手工配置靜態(tài)映射關(guān)系�����,實現(xiàn)IPv4網(wǎng)絡(luò)主動發(fā)起連接訪問IPv6網(wǎng)絡(luò)��。其中�,NAT64執(zhí)行IPv4-IPv6有狀態(tài)的地址和協(xié)議轉(zhuǎn)換���,DNS64實現(xiàn)域名地址解析,兩者配合工作���,不需要在IPv6客戶端或IPv4服務(wù)器端做任何修改。
DNS64主要是將DNS查詢信息中的A記錄(IPv4地址)合成到AAAA記錄(IPv6地址)中��,返回合成的AAAA記錄用戶給IPv6側(cè)用戶���。DNS64也解決了NAT-PT中的DNS-ALG存在的缺陷�����。
NAT64 和DNS64流程圖
NAT64和DNS64的流程如下:
IPv6主機發(fā)起到DNS64 server的IPv6域名解析請求(主機配置的DNS地址是DNS64)��,解析域名為www.abc.com;
DNS64觸發(fā)到DNS server中查詢IPv6地址;
若能查詢到則返回域名對應(yīng)的IPv6地址��,若查詢不到�,則返回空;
DNS64再次觸發(fā)到DNS server中查詢IPv4地址;
DNS server返回www.abc.com的IPv4記錄(192.168.1.1);
DNS64合成IPv6地址(64::FF9B::192.168.1.1)�,并返回給IPv6主機;
IPv6主機發(fā)起目的地址為64::FF9B::192.168.1.1的IPv6數(shù)據(jù)包;由于NAT64在IPv6域內(nèi)通告配置的IPv6 Prefix,因此這個數(shù)據(jù)包轉(zhuǎn)發(fā)到NAT64設(shè)備上;
NAT64執(zhí)行地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換��,目的地址轉(zhuǎn)換為192.168.1.1�����,源地址根據(jù)地址狀態(tài)轉(zhuǎn)換(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域內(nèi)路由到IPv4 server;
IPv4數(shù)據(jù)包返回,目的地址為172.16.1.1;
NAT64根據(jù)已有記錄進行轉(zhuǎn)換�����,目的地址轉(zhuǎn)換為3ffe:100:200:1::1���,源地址為加了IPv6前綴的IPv4 server地址64::FF9B::192.168.1.1����,發(fā)送到IPv6主機���,流程結(jié)束�����。
地址協(xié)議轉(zhuǎn)換技術(shù)對現(xiàn)有IPv4環(huán)境做少量改造(通常是更換出口網(wǎng)關(guān))���,即可實現(xiàn)對外支持IPv6訪問,部署簡單便捷�。
3. 如何選擇?
業(yè)務(wù)系統(tǒng)對穩(wěn)定性有很高的要求,任何改造都不能影響現(xiàn)有業(yè)務(wù)的運行��。當我們做IPv6升級改造的時候,面對眾多技術(shù)方案如何選擇�,需要考慮到諸多情況:
實施部署的便捷性,周期不能太長��,如何保證在國家或監(jiān)管機構(gòu)的規(guī)定時間內(nèi)完成全部業(yè)務(wù)平臺的改造�����,并對外提供IPv6服務(wù);
方案須支持雙棧�,對后續(xù)的演進發(fā)展到純IPv6沒有障礙;
要考慮投資成本和影響面�����,分步進行����,優(yōu)先完成對外系統(tǒng)改造(如門戶網(wǎng)站),再進行內(nèi)網(wǎng)系統(tǒng)改造;
對現(xiàn)有業(yè)務(wù)的影響最小�����,已有的IPv4訪問不受影響;
技術(shù)的通用性��,不同廠商產(chǎn)品能夠?qū)崿F(xiàn)對接支持;
不增加過多的運維負擔����,對IPv6網(wǎng)絡(luò)的維護工作可以平穩(wěn)過渡���。
4. 三種技術(shù)對比
每種過渡技術(shù)都有各自的優(yōu)點和缺點,結(jié)合金融行業(yè)的應(yīng)用場景和需求�,在不同的場景下我們需要選擇不同的過渡技術(shù)以實現(xiàn)IPv6改造:
對于新建業(yè)務(wù)系統(tǒng)的場景,推薦采用雙棧技術(shù)���,同時支持IPv4和IPv6����,一步到位實現(xiàn)最優(yōu)改造;
對于多個孤立IPv6網(wǎng)絡(luò)互通的場景�,如多個IPv6的數(shù)據(jù)中心區(qū)域互聯(lián),可以采用隧道技術(shù)��,讓IPv6數(shù)據(jù)封裝到IPv4網(wǎng)絡(luò)上傳輸����,減少部署的成本和壓力;
對于已經(jīng)上線的業(yè)務(wù)系統(tǒng),建議采用地址協(xié)議轉(zhuǎn)換技術(shù)�����,對現(xiàn)網(wǎng)的改動最小,可以快速部署�����,投資成本最低���,可支持后期逐漸演進到純IPv6環(huán)境�。
