文/周志峰 何章科

IPv4 over IPv6隧道技術(shù)在IPv6校園網(wǎng)的應(yīng)用

文/周志峰 何章科

在高校已經(jīng)建成互通的純IPv6網(wǎng)絡(luò)中，通過運(yùn)用IPv4 over IPv6隧道技術(shù)將高校中無法IPv6化的應(yīng)用進(jìn)行互聯(lián)，為高校的IPv4業(yè)務(wù)拓展和資源共享提供了有效途徑。

隨著國際互聯(lián)網(wǎng)的不斷發(fā)展，現(xiàn)存的IPv4網(wǎng)絡(luò)的一些不足已經(jīng)暴露出來：IPv4地址空間不足，骨干路由器維護(hù)的路由表項數(shù)量過大，不易進(jìn)行自動配置和重新編址，不能解決日益突出的安全問題。為了解決這些問題，IETF制定并逐漸完善了新一代國際IP協(xié)議，即IPv6。IPv6的優(yōu)點從最本質(zhì)上來說都源于其128位的地址結(jié)構(gòu)，從而解決了IPv4協(xié)議中地址枯竭、路由效率差、安全性不足、移動性差和報頭不易擴(kuò)展等問題。目前IPv4骨干網(wǎng)絡(luò)無法在短時間內(nèi)過渡到IPv6網(wǎng)絡(luò)，兩者將長期共存。目前已經(jīng)提出了多種IPv4到IPv6的過渡技術(shù)的解決方案，大體上分為雙協(xié)議棧、隧道技術(shù)、NAT-PT（地址/協(xié)議轉(zhuǎn)換）。其中，隧道技術(shù)是過渡初期最易采用的技術(shù)，但多數(shù)隧道的應(yīng)用都是基于IPv4的，即IPv6孤島跨越IPv4海洋的通信。本文將從另一個角度討論基于IPv6協(xié)議的IP隧道,并使用該類隧道實現(xiàn)跨純IPv6網(wǎng)絡(luò)的IPv4業(yè)務(wù)傳輸。

隧道技術(shù)

隧道是一種封裝技術(shù)，它利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，即利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報文封裝在它自己的報文中，然后在網(wǎng)絡(luò)中傳輸。隧道可以看做是一條虛擬的點對點連接，隧道的兩端需要對數(shù)據(jù)報文進(jìn)行封裝及解封裝。隧道技術(shù)就是指包括數(shù)據(jù)封裝、傳輸和解封裝在內(nèi)的全過程，如圖1所示。

隧道技術(shù)具有以下用途：

1.在IPv6網(wǎng)絡(luò)取代IPv4網(wǎng)絡(luò)之前，應(yīng)用隧道技術(shù)實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)互通，如6to4隧道技術(shù)。

2.創(chuàng)建虛擬專用網(wǎng)（Virtual Private Network，簡稱VPN），如IPv4 over IPv4隧道、IPv4/IPv6 over IPv6隧道、IPsec隧道技術(shù)等。

3.進(jìn)行流量的負(fù)載均衡，緩解網(wǎng)絡(luò)擁塞，如多協(xié)議標(biāo)記交換流量工程（Multiprotocol Label Switching Traffic Engineering，簡稱MPLSTE）。

IPv4 over IPv6隧道原理

在IPv6網(wǎng)絡(luò)全面部署前，IPv4孤島可以通過IPv4 over IPv6隧道連通，IPv4 over IPv6隧道是以IPv6作為隧道底層封裝協(xié)議承載上層IPv4報文。隧道的入口節(jié)點對收到的原始IPv4報文進(jìn)行封裝，隧道的出口節(jié)點完成對收到的隧道報文的解封裝工作。IPv4報文在隧道中傳輸經(jīng)過的封裝與解封裝過程如圖2所示。

圖1 隧道數(shù)據(jù)傳輸全過程

圖2 IPv4報文的封裝與解封裝

圖3 隧道的組網(wǎng)示意

應(yīng)用需求及實現(xiàn)

近年來，學(xué)校與另一所部屬兄弟院校在校務(wù)辦公資源共享、數(shù)據(jù)容災(zāi)備份等業(yè)務(wù)上的合作比較密切。但隨著學(xué)校校園網(wǎng)規(guī)模的擴(kuò)大，業(yè)務(wù)負(fù)載的不斷增加，出口線路經(jīng)常擁塞，受此影響，兩校之間的業(yè)務(wù)數(shù)據(jù)通過目前的IPv4隧道傳輸很難保證充足的帶寬。另外，部分業(yè)務(wù)應(yīng)用僅支持IPv4協(xié)議傳輸。相比之下，兩校加入的IPv6網(wǎng)絡(luò)的出口帶寬充足，利用空余的IPv6線路傳送IPv4流量能夠很好解決這個問題，并能進(jìn)一步提高帶寬利用率。因此，我們設(shè)計了應(yīng)用IPv4 over IPv6隧道的方法來滿足需求。

具體的設(shè)計思路如下：

1.A校和B校的IPv4網(wǎng)絡(luò)分別通過路由器A和路由器B與IPv6網(wǎng)絡(luò)連接，兩臺路由器均支持IPv4 over IPv6隧道的建立，且相互之間IPv6報文路由可達(dá)。

2.流量通過隧道傳輸（假設(shè)A校的流量傳送至B校，反之亦然），IPv4報文到達(dá)A校部署的邊界路由器A后，經(jīng)過IPv6報頭封裝送往隧道接口。

圖4 隧道驗證結(jié)果

3.流量到達(dá)對端隧道接口，B校部署的邊界路由器B將收到的該隧道報文進(jìn)行IPv6解封裝，根據(jù)還原出的原始IPv4報文的目的地址進(jìn)行路由轉(zhuǎn)發(fā)。

按照設(shè)計思路，本文采用IPv4 over IPv6手動隧道模式實現(xiàn)了該應(yīng)用，以異地備份應(yīng)用的實現(xiàn)為例，組網(wǎng)如圖3所示。

根據(jù)組網(wǎng)圖，具體實現(xiàn)過程如下：

1.假設(shè)備份數(shù)據(jù)流量從A校送往B校，反之亦然，通過配置內(nèi)部路由將目的地址為192.168.3.215的報文轉(zhuǎn)發(fā)至接口IP為172.30.30.130的A校隧道節(jié)點路由器，路由配置略。

2.根據(jù)兩校IPv6網(wǎng)絡(luò)互連設(shè)置的源地址和目的地址，配置A校的隧道節(jié)點路由器，創(chuàng)建IPv6隧道。為了避免報文分片，建立隧道時需要同時設(shè)置隧道兩端的tcp mss值為1400。

3.配置轉(zhuǎn)發(fā)路由，將流向B校的IPv4流量報文送至IPv6隧道進(jìn)行封裝后轉(zhuǎn)發(fā)?？紤]到B校私網(wǎng)IP與A校的設(shè)置可能存在重疊，B校的隧道節(jié)點路由器完成隧道報文的解封裝后，需要對源地址為A校私網(wǎng)IP的IPv4流量報文進(jìn)行NAT轉(zhuǎn)換，從而保證路由回送的正確性。

4.IPv4 over IPv6隧道驗證，分別從A校和B校的路由器可以Ping通對端的內(nèi)網(wǎng)IPv4接口的地址，如圖4所示。

本文從學(xué)校實際需求的角度，應(yīng)用IPv4 over IPv6隧道技術(shù)實現(xiàn)了兩校內(nèi)網(wǎng)的IPv4業(yè)務(wù)跨IPv6網(wǎng)絡(luò)的傳輸。由于兩校間的IPv6帶寬充足，有效保障了容災(zāi)備份、資源共享等關(guān)鍵業(yè)務(wù)的所需帶寬。該應(yīng)用方案的成功部署，進(jìn)一步緩解了學(xué)校IPv4互聯(lián)網(wǎng)出口壓力，提高了出口帶寬利用率。同時，也為各高校間的資源共享、云聯(lián)盟建立提供了一個有效途徑。在IPv4向IPv6過渡階段，IPv6新業(yè)務(wù)應(yīng)用發(fā)揮著重要作用，通過我們的積極探索，使得IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)更好地融合。

（作者單位為大連海事大學(xué)網(wǎng)絡(luò)信息中心）