在ＩＰＶ４環(huán)境下部署ＩＰＶ６網(wǎng)絡(luò)的策略

徐志桐

摘要：本文主要介紹在IPv4網(wǎng)絡(luò)上部署IPv6的各種策略，包括Ipv6 over Ipv4隧道技術(shù)、在專用數(shù)據(jù)鏈路上部署Ipv6、在MPLS骨干網(wǎng)上部署Ipv6、使用雙協(xié)議棧部署Ipv6。并對(duì)各種技術(shù)進(jìn)行詳細(xì)分析、比較及部署應(yīng)用。

關(guān)鍵詞：IPv6；隧道；數(shù)據(jù)鏈路專線；MPLS；雙協(xié)議棧

在完全過渡到IPv6骨干網(wǎng)絡(luò)之前，一般可以在邊緣網(wǎng)絡(luò)上部署IPv6，涉及在IPv4網(wǎng)絡(luò)上承載IPv6的流量，允許互相隔離的IPv6孤島互相通信。從所有的邊緣網(wǎng)絡(luò)到核心網(wǎng)絡(luò)，全網(wǎng)運(yùn)行IPv4和IPv6，或者IPv4主機(jī)和IPv6主機(jī)之間透明通信，技術(shù)上都是可能的。各種技術(shù)的保證網(wǎng)絡(luò)可以平滑升級(jí)以增加IPv6的部署，這種升級(jí)對(duì)現(xiàn)有的IPv4網(wǎng)絡(luò)的正常運(yùn)行不會(huì)帶來太大或幾乎沒有影響。

以下介紹并討論IPv6的四種主要部署策略。

1基于IPv4隧道部署IPv6

隧道是用IPv4的包封裝IPv6的流量，這樣IPv6的報(bào)文才能在IPv4的骨干網(wǎng)絡(luò)上傳送。在不升級(jí)現(xiàn)有IPv4系統(tǒng)結(jié)構(gòu)的前提下，允許孤立的IPv6端系統(tǒng)或路由器可以互相通信。對(duì)于服務(wù)提供商或企業(yè)來說，在IPv4和IPv6的共存階段，隧道技術(shù)是IPv6部署的關(guān)鍵策略之一。

隧道允許服務(wù)提供商在不用大量升級(jí)IPv4的網(wǎng)絡(luò)架構(gòu)或?qū)Ξ?dāng)前的IPv4業(yè)務(wù)有影響的前提下，可以維用戶提供端到端的IPv6業(yè)務(wù)。隧道也可以使企業(yè)的IPv6孤島互聯(lián)或連接到遠(yuǎn)端的IPv6網(wǎng)絡(luò)上（如6bone），只需通過現(xiàn)有的IPv4網(wǎng)絡(luò)即可實(shí)現(xiàn)。

1.1 IPv6手動(dòng)配置隧道

手動(dòng)配置隧道等價(jià)于在跨IPv4骨干網(wǎng)的IPv6域之間的永久鏈路。主要的功能用于安全穩(wěn)定的連接，如兩個(gè)邊緣路由器間、端系統(tǒng)和邊緣路由器間的通信，或者在端系統(tǒng)到IPv6的Internet之間的連接（6bone或CNGI）。在隧道一端的邊緣路由器和端系統(tǒng)，必須支持雙棧功能。

在隧道的每一端，需要在隧道終結(jié)的雙棧路由器的接口上配置IPv4和IPv6的地址， 用IPv4地址標(biāo)識(shí)實(shí)體和出口（源和目的）。對(duì)于企業(yè)來說，ISP將為其提供合適的IPv6地址前綴，同時(shí)ISP也需要為其提供隧道出口的IPv4地址。

因?yàn)樵诿織l隧道只在兩個(gè)路由器之間存在，增加路由器就需要在每兩臺(tái)路由器之間著增加隧道。因?yàn)槊織l隧道需要獨(dú)立的管理，路由器越多，就需要更多的管理開銷。就如使用NAT等其它隧道機(jī)制一樣，當(dāng)應(yīng)用到外部的IPv4頭時(shí)，如果傳輸映射是穩(wěn)定和預(yù)先建立，只允許沿著隧道的的路徑傳送。

1.2 IPv6 over IPv4 GRE 隧道

IPv6 over IPv4 GRE隧道使用標(biāo)準(zhǔn)的GRE隧道技術(shù)，被設(shè)計(jì)用來提供標(biāo)準(zhǔn)的點(diǎn)到點(diǎn)封裝業(yè)務(wù)的實(shí)現(xiàn)。如IPv6手動(dòng)配置的隧道，GRE隧道用于實(shí)現(xiàn)兩點(diǎn)之間的鏈路實(shí)現(xiàn)，每條鏈路之間都有一條獨(dú)立的隧道。這些隧道一般不捆綁某種特定的傳輸協(xié)議，但在這里IPv6作為承載于GRE之上的承載協(xié)議。

IPv6 over IPv4 GRE隧道的主要用途是可以在兩個(gè)邊緣路由器或邊緣路由器和端系統(tǒng)之間提供安全穩(wěn)定的連接。這里的端系統(tǒng)和邊緣路由器，要求必須實(shí)現(xiàn)雙堆棧。

1.3 隧道代理

隧道代理業(yè)務(wù)允許IPv6業(yè)務(wù)應(yīng)用在遠(yuǎn)端的雙堆棧端系統(tǒng)上，或IPv6端系統(tǒng)連接到雙堆棧路由器上，接入到IPv6的骨干網(wǎng)上。隧道代理業(yè)務(wù)用6-over-4隧道將IPv6的端系統(tǒng)連接到遠(yuǎn)端的IPv6骨干網(wǎng)上。一般隧道代理用戶企業(yè)用戶，隧道代理可以自動(dòng)管理隧道的建立請(qǐng)求和配置，而不必通過網(wǎng)絡(luò)管理員手動(dòng)配置隧道。

使用這種業(yè)務(wù)的關(guān)鍵限制是，端系統(tǒng)或路由器從遠(yuǎn)端的服務(wù)器上接受配置的改變，這樣就存在一定的安全性隱患。并非所有的服務(wù)提供商都能提供隧道代理業(yè)務(wù)，并且也并非所有的可靠的隧道代理業(yè)務(wù)支持路由器實(shí)用此類腳本。

1.4 自動(dòng)IPv4兼容隧道

自動(dòng)IPv4兼容隧道可以配置在兩臺(tái)邊緣路由器之間或邊緣路由器和端系統(tǒng)之間。邊緣路由器和端系統(tǒng)之間必須是雙堆棧。IPv4兼容隧道在隧道的端點(diǎn)之間（隧道的源和目的），可以自動(dòng)由IPv4兼容的IPv6地址的低32位定義IPv4地址。IPv4兼容的IPv4地址是一種特殊的IPv6地址，其中高96位為0:0:0:0:0:0，而低32位表示為隧道相應(yīng)的IPv4地址。

IPv4兼容的隧道機(jī)制是一種轉(zhuǎn)換機(jī)制，盡管這種機(jī)制的隧道容易在IPv4的上建立IPv6，但這種機(jī)制卻不適合再大規(guī)模的網(wǎng)絡(luò)上建立，因?yàn)槊總€(gè)主機(jī)需要IPv4和IPv6的地址，用來決定隧道的端點(diǎn)。進(jìn)一步的限制是所有的通信只能在IPv4兼容的地址間實(shí)現(xiàn)。

1.5 自動(dòng)的 6to4 隧道

自動(dòng)的6to4隧道可以使孤立的IPv6域通過IPv4的網(wǎng)絡(luò)互聯(lián)或者連接孤立的IPv6域到IPv6的骨干網(wǎng)上，如CNGI或6bone。這種隧道和手動(dòng)隧道關(guān)鍵的不同是，路由器不需要被成對(duì)配置（這樣也不需要手動(dòng)配置），因?yàn)檫@里把IPv4的網(wǎng)絡(luò)看成虛擬的非廣播域連接。使用嵌在IPv6地址中的IPv4地址來尋找隧道的另一端點(diǎn)。

每個(gè)IPv6的域也需要一個(gè)雙堆棧路由器，通過唯一的IPv6地址前綴的路由表來識(shí)別IPv4的隧道（隧道目的端的IPv4地址相關(guān)的IPv6地址前綴是2002::/16)。這個(gè)唯一的路由前綴由（IANA Internet Assigned Number Authority）分配，用于 6to4的隧道策略。每個(gè)節(jié)點(diǎn)即使只有一個(gè)共有的IPv4地址，也會(huì)分配唯一的IPv6路由前綴。

2 在MPLS骨干網(wǎng)上部署IPv6

使用IPv6 over MPLS backbones的技術(shù)，使互相孤立的IPv6域能夠互相通信，這種技術(shù)可以在基于MPLS IPv4的骨干網(wǎng)上實(shí)現(xiàn)。因?yàn)檗D(zhuǎn)發(fā)基于標(biāo)簽實(shí)現(xiàn)而不是IP報(bào)文頭實(shí)現(xiàn)，可以提供更高效的機(jī)制來實(shí)現(xiàn)IPv6的部署，這種實(shí)現(xiàn)方式可以使骨干網(wǎng)的結(jié)構(gòu)盡量少的升級(jí)和重新配置。 另外，MPLS固有的VPN及流量工程的可靠性，保證了IPv6和VPN或外部網(wǎng)絡(luò)能夠很好的結(jié)合在一起，這種VPN是基于IPv4的VPN和MPLS-TE的技術(shù)實(shí)現(xiàn)。

2.1 利用客戶邊緣路由器（CE）間的隧道實(shí)現(xiàn)IPv6

利用MPLS網(wǎng)絡(luò)上CE路由器間的隧道實(shí)現(xiàn)IPv6是一種最簡單的IPv6部署方式，不會(huì)影響MPLS網(wǎng)絡(luò)的運(yùn)行，也不需改變相關(guān)的骨干網(wǎng)P路由器和連接到客戶端PE路由器的配置。

在遠(yuǎn)端IPv6域之間的通信使用標(biāo)準(zhǔn)的隧道機(jī)制，如使用IPv6 over IPv4 的隧道機(jī)制，這種機(jī)制與純IPv4隧道的MPLS VPN非常相似。CE路由器需要升級(jí)成雙棧路由器，需要配置IPv4兼容的隧道或6to4的隧道，但在PE路由器之間的通信使用純IPv4，在MPLS域中的流量也是IPv4。雙棧路由器使用IPv4兼容或6to4的地址，而不是由服務(wù)提供商提供的IPv6地址。

2.2邊緣路由器上（PE）實(shí)現(xiàn)IPv6

進(jìn)一步的部署策略是在MPLS PE 路由器上配置IPv6。這種策略對(duì)服務(wù)提供商來說有一個(gè)最大的優(yōu)點(diǎn)，即不必升級(jí)核心網(wǎng)絡(luò)的軟件和硬件，這樣可以減小對(duì)現(xiàn)有IPv4業(yè)務(wù)帶來的運(yùn)營和成本影響。這種策略也可以保持當(dāng)前MPLS特性的優(yōu)點(diǎn)，如保持基于IPv4的MPLS或VPN業(yè)務(wù)，同時(shí)可以給企業(yè)客戶提供純IPv6的業(yè)務(wù)，企業(yè)客戶也可以使用由ISP提供的IPv6地址前綴。每臺(tái)PE路由器必須要支持IPv6的連通性，這樣要求將PE升級(jí)為雙棧（變?yōu)?PE路由器），并且需要在連接到核心網(wǎng)絡(luò)的接口上運(yùn)行MPLS。根據(jù)節(jié)點(diǎn)的業(yè)務(wù)需要，每個(gè)路由器可以在到CE路由器的接口上配置只IPv6或同時(shí)配置IPv6和IPv4業(yè)務(wù)，這樣可以提供純IPv6或IPv6和IPv4兩種混合業(yè)務(wù)。6PE路由器既可以交換IPv4的路由器協(xié)議，也可交換IPv6路由協(xié)議，而CE路由器的相應(yīng)接口不必運(yùn)行MPLS。 6PE路由器用兩層MPLS標(biāo)簽封裝IPv6的業(yè)務(wù)流量。上層標(biāo)簽由標(biāo)簽分發(fā)協(xié)議（LDP）分發(fā)標(biāo)簽，標(biāo)簽分發(fā)協(xié)議利用核心層的設(shè)備的，通過IPv4路由信息將報(bào)文傳送到目的的6PE路由器。第二層或底層的標(biāo)簽附帶目的IPv6的前綴，通過多協(xié)議BGP4的路由協(xié)議來傳遞IPv6的路由。

3用雙協(xié)議棧骨干網(wǎng)部署IPv6

使用雙協(xié)議棧骨干網(wǎng)是同時(shí)部署IPv4和IPv6的基本策略。要求所有網(wǎng)絡(luò)中的設(shè)備升級(jí)成支持雙協(xié)議棧。IPv4通信使用IPv4協(xié)議棧，通過運(yùn)行特殊的IPv4路由協(xié)議，來轉(zhuǎn)發(fā)基于路由器學(xué)習(xí)的IPv4報(bào)文。IPv6的通信使用IPv6的協(xié)議棧，路由器運(yùn)行特定的IPv6的路由協(xié)議，來轉(zhuǎn)發(fā)基于路由器學(xué)習(xí)的IPv6報(bào)文。關(guān)鍵的需求是每個(gè)節(jié)點(diǎn)都需要有一個(gè)全球單播的IPv6地址前綴，另外還需要合適的IPv6 DNS解析服務(wù)，可以將主機(jī)名同時(shí)映射到IPv4和IPv6的地址，具體選擇IPv4和IPv6的應(yīng)用取決與從DNS解析庫返回的響應(yīng)，根據(jù)應(yīng)用選擇基于IP流量的類型的正確地址，及特殊的通信請(qǐng)求。

4在專用數(shù)字鏈路上部署IPv6

除以上在IPv4環(huán)境下部署IPv6的策略，還需要考慮協(xié)議轉(zhuǎn)換機(jī)制，如實(shí)現(xiàn)將IPv6-only 的瀏覽器連接到IPv4-only的WEB服務(wù)器，或雙協(xié)議棧的服務(wù)器（如同時(shí)處理IPv4-only和IPv6-only的郵件服務(wù)器），可以同時(shí)處理IPv4和IPv6的應(yīng)用。這些機(jī)制的實(shí)現(xiàn)驅(qū)動(dòng)IPv6從測(cè)試階段向?qū)嶋H的應(yīng)用階段發(fā)展。更重要的是能讓應(yīng)用開發(fā)商認(rèn)識(shí)到從長遠(yuǎn)角度IPv6更能降低成本，從而開發(fā)出更多的IPv6的應(yīng)用。

對(duì)運(yùn)營級(jí)網(wǎng)絡(luò)來說，在IPv4環(huán)境下部署IPv6，要視具體的網(wǎng)絡(luò)環(huán)境及網(wǎng)絡(luò)規(guī)模，酌情考慮部署策略，綜合考慮投資、可持續(xù)發(fā)展等因素。建議從初期的在Ipv4環(huán)境下部署，逐步過渡到最終的全I(xiàn)Pv6網(wǎng)絡(luò)。