1. <dl id="hiwnz"><legend id="hiwnz"><blockquote id="hiwnz"></blockquote></legend></dl>

        1. IPv6改造,過渡技術明爭暗斗,如何選擇?
          發布時間: 2018-11-05

          IPv6浪潮來臨

          隨著移動互聯網、物聯網、工業4.0等新興產業迅速發展,接入網絡的終端數量呈指數級增長,從傳統的PC、手機,到未來無處不在的物聯網終端,都需要通過IP地址接入互聯網,預計2020年,全球將有500億設備在線,地址需求數量是IPv4地址總數的十倍以上。目前IPv4地址已經全部分配完畢,地址緊缺的問題十分嚴峻。

          經過二十多年的發展,IPv6已經是一個非常成熟的技術。IPv6具有更多地址數量、更小路由表、更好安全性等優點,可以有效解決當前IPv4面臨的問題。

          2017年11月26,中共中央辦公廳、國務院辦公廳聯合印發了《推進互聯網協議第六版(IPv6)規模部署的行動計劃》(下稱《行動計劃》)。《行動計劃》要求,用5到10年時間,形成下一代互聯網自主技術體系和產業生態,建成全球最大規模的IPv6商業應用網絡,實現下一代互聯網在經濟社會各領域深度融合應用,成為全球下一代互聯網發展的重要主導力量,IPv6的浪潮真正來臨了。

           

          IPv6過渡技術介紹

          由于IPv6本身不兼容IPv4,大規模部署IPv6還面臨不少挑戰。目前可行的辦法是使用過渡技術,將IPv4逐漸演進到IPv6,當前主要有三種主流的過渡技術:

          • 雙棧技術


          ▲圖 1 雙棧示意圖

          雙棧技術,是指在終端各類應用系統、運營支撐系統和各網絡節點之間同時運行IPv4和IPv6協議棧(兩者具有相同的硬件平臺),從而實現分別與IPv4或IPv6節點間的信息互通。

          具有IPv4/IPv6雙協議棧的結點稱為雙棧節點,這些結點既可以收發IPv4報文,也可以收發IPv6報文。它們可以使用IPv4與IPv4結點互通,也可以直接使用IPv6與IPv6結點互通。雙棧節點同時包含IPv4和IPv6的網絡層,但傳輸層協議(如TCP和UDP)的使用仍然是單一的。

          ▲圖 2 雙棧協議模型

          雙棧節點可以運行以下三種模式,靈活啟用/關閉IPv4/IPv6功能:

          1.使能它們的IPv4棧并關閉它們的IPv6棧,表現為IPv4節點。

          2.使能它們的IPv6棧并關閉它們的IPv4棧,表現為IPv6節點。

          3.使能雙棧,同時開啟IPv4和IPv6協議。

          雙棧模式的工作原理可以簡單描述為:

          1.若目的地址是一個IPv4地址,則使用IPv4地址;

          2.若目的地址是一個IPv6地址,則使用IPv6地址。使用IPv6地址時有可能要進行封裝。

          雙棧技術是所有過渡技術的基礎,支持靈活地啟用或關閉節點的IPv4/IPv6功能,可以很好地過渡到純IPv6的環境。但同時,要求所有節點都支持雙棧,增加了改造和部署難度。

          •隧道技術


          ▲圖 3 隧道技術示意圖

          基于IPv4隧道來傳送IPv6數據報文的隧道技術,是將IPv6報文封裝在IPv4報文中,這樣IPv6協議包就可以穿越IPv4網絡進行通信。因此被孤立的IPv6網絡之間可以通過IPv6的隧道技術利用現有的IPv4網絡互相通信而無需對現有的IPv4網絡做任何修改和升級。IPv6隧道可以配置在邊界路由器之間也可以配置在邊界路由器和主機之間,但是隧道兩端的節點都必須既支持IPv4協議棧又支持IPv6協議棧。

          ▲圖 4 IPv6數據報在IPv4中的封裝

          IPv4/IPv6隧道技術的實現機制:

          1.隧道入口節點(封裝路由器)創立一個用于封裝的IPv4報文頭,并傳送此被封裝的分組。

          2.隧道出口節點(解封裝路由器)接收此被封裝的分組,如果需要重新組裝此分組,移去IPv4報文頭,并處理收到的IPv6分組。

          3.封裝路由器或許需要為每個隧道記錄維持軟狀態信息,這類參數諸如隧道MTU,以便處理轉發的IPv6分組進隧道。

          ▲圖 5 隧道技術封裝示意圖

          IPv6隧道技術分為手動隧道和自動隧道:

          1.手動隧道

          即邊界設備不能自動獲得隧道終點的IPv4地址,需要手工配置隧道終點的IPv4地址,報文才能正確發送至隧道終點,通常用于路由器到路由器之間的隧道,常用的手動隧道技術如下:

          (1)IPv6 over IPv4手動隧道

          (2)GRE隧道

          2.自動隧道

          即邊界設備可以自動獲得隧道終點的IPv4地址,所以不需要手工配置終點的IPv4地址,一般的做法是隧道的兩個接口的IPv6地址采用內嵌IPv4地址的特殊IPv6地址形式,這樣路由設備可以從IPv6報文中的目的IPv6地址中提取出IPv4地址,自動隧道可用于主機到主機,或者主機到路由器之間,常用的自動隧道技術如下:

          (1)6to4

          (2)ISATAP

          (3)6RD

          通過隧道技術,依靠現有IPv4設施,只要求隧道兩端設備支持雙棧,即可實現多個孤立IPv6網絡的的互通,但是隧道實施配置比較復雜,也不支持IPv4主機和IPv6主機直接通信。

           

          • 地址協議轉換技術


          ▲圖 6 地址轉換技術示意圖

           

          1.NAT-PT轉換技術

          NAT-PT(Network Address Translation-Protocol Translation,網絡地址轉換-協議轉換):由SIIT(Stateless IP/ICMP Translation,無狀態翻譯技術)協議轉換技術和動態地址翻譯(NAT)技術結合和演進而來,SIIT提供IPv4和IPv6一對一的映射轉換,NAT-PT支持在SIIT基礎上實現多對一或多對多的地址轉換。

          NAT-PT分為靜態和動態兩種形式:

          (1)靜態NAT-PT

          靜態模式提供一對一的IPv6地址和IPv4地址的映射。IPv6單協議網絡域內的節點要訪問IPv4單協議網絡域內的每一個IPv4地址,都必須在NAT-PT網關中配置。每一個目的IPv4在NAT-PT網關中被映射成一個具有預定義NAT-PT前綴的IPv6地址。在這種模式下,每一個IPv6映射到IPv4地址需要一個源IPv4地址。靜態配置適合經常在線,或者需要提供穩定連接的主機。

          (2)動態NAT-PT

          在動態 NAT-PT中,NAT-PT網關向IPv6網絡通告一個96位的地址前綴,并結合主機32位IPv4地址作為對IPv4網絡中主機的標識。從IPv6網絡中的主機向IPv4網絡發送的報文,其目的地址前綴與NAT-PT發布的地址前綴相同,這些報文都被路由到NAT-PT網關,由NAT-PT網關對報文頭進行修改,取出其中的IPv4地址信息,替換目的地址。同時,NAT-PT網關定義了IPv4地址池,它從地址池中取出一個地址來替換IPv6報文的源地址,從而完成從IPv6地址到IPv4地址的轉換。動態NAT-PT支持多個IPv6地址映射為一個IPv4地址,節省了IPv4地址空間。

          NAT-PT支持IPv4和IPv6兩種協議的相互翻譯和轉換,但是存在如下問題:

          屬于同一會話的請求和響應都必須通過同一NAT-PT設備才能進行轉換,比較適合單一出口設備的環境;

          不能轉換IPv4報文頭的可選項部分;

          缺少端到端的安全性。

          因此,NAT-PT逐漸被廢棄,不推薦使用,最新的地址協議轉換技術是NAT64。

           

          2.NAT64轉換技術

          NAT64是一種有狀態的網絡地址與協議轉換技術,一般只支持通過IPv6網絡側用戶發起連接訪問IPv4側網絡資源。但NAT64也支持通過手工配置靜態映射關系,實現IPv4網絡主動發起連接訪問IPv6網絡。其中,NAT64執行IPv4-IPv6有狀態的地址和協議轉換,DNS64實現域名地址解析,兩者配合工作,不需要在IPv6客戶端或IPv4服務器端做任何修改。

          DNS64主要是將DNS查詢信息中的A記錄(IPv4地址)合成到AAAA記錄(IPv6地址)中,返回合成的AAAA記錄用戶給IPv6側用戶。DNS64也解決了NAT-PT中的DNS-ALG存在的缺陷。

          ▲圖7 NAT64 和DNS64流程圖

          NAT64和DNS64的流程如下:

          (1)IPv6主機發起到DNS64 server的IPv6域名解析請求(主機配置的DNS地址是DNS64),解析域名為www.abc.com;

          (2)DNS64觸發到DNS server中查詢IPv6地址;

          (3)若能查詢到則返回域名對應的IPv6地址,若查詢不到,則返回空;

          (4)DNS64再次觸發到DNS server中查詢IPv4地址;

          (5)DNS server返回www.abc.com的IPv4記錄(192.168.1.1);

          (6)DNS64合成IPv6地址(64::FF9B::192.168.1.1),并返回給IPv6主機;

          (7)IPv6主機發起目的地址為64::FF9B::192.168.1.1的IPv6數據包;由于NAT64在IPv6域內通告配置的IPv6 Prefix,因此這個數據包轉發到NAT64設備上;

          (8)NAT64執行地址轉換和協議轉換,目的地址轉換為192.168.1.1,源地址根據地址狀態轉換(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域內路由到IPv4 server;

          (9)IPv4數據包返回,目的地址為172.16.1.1;

          (10)NAT64根據已有記錄進行轉換,目的地址轉換為3ffe:100:200:1::1,源地址為加了IPv6前綴的IPv4 server地址64::FF9B::192.168.1.1,發送到IPv6主機,流程結束。

          地址協議轉換技術對現有IPv4環境做少量改造(通常是更換出口網關),即可實現對外支持IPv6訪問,部署簡單便捷。

           

          如何選擇?

          業務系統對穩定性有很高的要求,任何改造都不能影響現有業務的運行。當我們做IPv6升級改造的時候,面對眾多技術方案如何選擇,需要考慮到諸多情況:

          • 實施部署的便捷性,周期不能太長,如何保證在國家或監管機構的規定時間內完成全部業務平臺的改造,并對外提供IPv6服務;

          • 方案須支持雙棧,對后續的演進發展到純IPv6沒有障礙;

          • 要考慮投資成本和影響面,分步進行,優先完成對外系統改造(如門戶網站),再進行內網系統改造;

          • 對現有業務的影響最小,已有的IPv4訪問不受影響;

          • 技術的通用性,不同廠商產品能夠實現對接支持;

          • 不增加過多的運維負擔,對IPv6網絡的維護工作可以平穩過渡。

          三種過渡技術的對比如下:

          每種過渡技術都有各自的優點和缺點,結合金融行業的應用場景和需求,在不同的場景下我們需要選擇不同的過渡技術以實現IPv6改造:

          •     對于新建業務系統的場景,推薦采用雙棧技術,同時支持IPv4和IPv6,一步到位實現最優改造;

          •     對于多個孤立IPv6網絡互通的場景,如多個IPv6的數據中心區域互聯,可以采用隧道技術,讓IPv6數據封裝到IPv4網絡上傳輸,減少部署的成本和壓力;

          •     對于已經上線的業務系統,建議采用地址協議轉換技術,對現網的改動最小,可以快速部署,投資成本最低,可支持后期逐漸演進到純IPv6環境。

           

          相關閱讀

          銳捷網絡近二十款設備在全球下一代互聯網峰會上獲得IPv6 Ready證書,深入踐行兩辦文件要求

          升級IPv6專網 成都新都區借力“智簡”網絡助推“教育強國”

          插深点