余波 中國電信江西分公司網(wǎng)絡(luò)運營支撐事業(yè)部 南昌市 330000

0 引言

隨著2017年底國家IPv6的規(guī)模部署號令吹響，政府、運營商、金融、互聯(lián)網(wǎng)企業(yè)等響應號召，實施了IPv4過渡到IPv6的雙棧改造，各類網(wǎng)絡(luò)逐漸地可以提供IPv6為基礎(chǔ)的通信能力，大部分的公眾客戶都能夠通過手機、家庭寬帶獲得IPv6實現(xiàn)互聯(lián)網(wǎng)訪問。但是由于目前對IPv6的一些新特性不夠了解，還是基于IPv4老思維來看待v6技術(shù)，很多人甚至認為IPv6只是簡單的擴容地址數(shù)量，并沒有什么其它太大作用，特別企業(yè)內(nèi)部網(wǎng)絡(luò)推動整改的決心不足，而筆者認為只有真正理解一些IPv6的理念和思想，才能更好地去適應變化，體會到IPv6的優(yōu)勢所在，下面嘗試從技術(shù)特征分析入手列舉了一些IPv6帶來的改變。

1 不要指望手工維護IPv6地址，自動化配置是主流

IPv4時代，分配終端地址主要依靠DHCP或靜態(tài)配置來實現(xiàn)的，大部分IPv6的新手都認為，IPv6太長難以記憶，沒有IPv4方便。實際上由于IPv6龐大到足以為每一粒沙子都可分配地址的數(shù)量級，靠人腦的記憶去手敲地址進行配置幾乎不現(xiàn)實，如果把我們把地址和配置打印出來，恐怕連一間屋子都無法裝下。因此，IPv6引入了的一個殺手特性，即自動配置。IPv4通過DHCP也可以自動配置，但是它們的本質(zhì)卻是不同的。DHCP是IPv4協(xié)議本身之外的服務(wù)，即你需要搭建DHCP服務(wù)器，你需要DHCP客戶端。而IPv6自動配置卻是其內(nèi)在的東西，它是IPv6協(xié)議標準的一部分。一個IPv6終端，只要簡單的開機，它就會自動獲得IPv6地址。

圖1 IPv6地址分配方式示意

IPv6環(huán)境下，終端和服務(wù)器都可以自動配置，但路由器上IPv6是必須使用手工配置，由專業(yè)工程師完成。路由器相當于樹干，而終端是樹葉，樹干嫁接而成，而樹葉自動生成。IPv4卻將IP地址配置這種技術(shù)性的工作交給了終端使用者，除非添加額外的DHCP服務(wù)的方式，非IPv4特性。IPv6設(shè)計時就考慮到這一點，使用IPv6可以輕松實現(xiàn)即插即用，就像家用電器插上電源一樣的方便。

2 復雜的網(wǎng)絡(luò)環(huán)境下，利用IPv6特性自動選擇最優(yōu)路徑

很多企業(yè)為了提升可靠性，會同時選擇多個運營商的出口線路，在某個出口路由器或者負載均衡NAT設(shè)備配置均衡策略，終端按策略通過NAT選擇適合的線路連接互聯(lián)網(wǎng)，因為扁平化的IPv4的分配沒有規(guī)律，只能依靠收集維護大量IP地址的信息策略配置非常復雜，并且很難達到理想的均衡水平。而IPv6的源地址/目標地址選擇的機制和策略帶來了福音，在這種比較常見的場景下可以不用通過特別的設(shè)備和策略設(shè)置很好地實現(xiàn)多條線路的負載均衡，IPv6制定了非常嚴格的源地址/目標地址選擇的機制和策略，每個運營商的IPv6地址都可以配置在同一終端網(wǎng)卡上，每個運營商的IP都是有明顯的區(qū)隔，網(wǎng)卡根據(jù)目標IP自動選擇源地址，路由器則根據(jù)目標地址自動選擇最短路徑（最合理的線路）實現(xiàn)負荷分擔。

大致來講，可以將多條線路的源地址配置在相同或不同的網(wǎng)卡之上，需要發(fā)送數(shù)據(jù)時，根據(jù)不同目標的選擇，將遵循rfc3484給出的規(guī)則進行匹配，最終將會確定源最適合IPv6地址，通過目標IP長度匹配也最終會選擇到最合適的路由。

3 IPv6在設(shè)計之初就考慮到了地址聚合 ，層次化規(guī)劃IPv6是關(guān)鍵核心

就滿足數(shù)量的角度看IPv6地址數(shù)量根本不需要128位，MAC地址位長度為48位從來沒有聽說過不夠用，就已經(jīng)滿足了全球所有的網(wǎng)卡唯一性的需求。再考慮一下我們的身份證。身份證目前有18位10進制數(shù)，11位十進制數(shù)就能編址百億級別的人口了，而整個地球的人口都不足百億，根本用不完，所有人都應知道，身份證并不是連續(xù)編址的，前6位代表省市區(qū)，中間8位代表出生年月日，后4位才代表個人的唯一ID，一看身份證號號碼，就能快速定位到這個人出生時的歸屬地。

與此非常類似，IPv6的編制也是與分層次的設(shè)計。既然都可以為每一粒沙子分配一個IPv6地址，如此龐大的數(shù)量，如果還和IPv4地址摳出來分配，128bits地址空間的IPv6將會產(chǎn)生無數(shù)條離散的路由條目，當前的路由器處理能力需要擴充好多倍也難以應對。因此必須在一開始通過嚴格的分層設(shè)計規(guī)劃，如此才會帶來管理上的方便，也會使得路由效率更高。分層設(shè)計IPv6地址，是體現(xiàn)IPv6優(yōu)勢所在的核心關(guān)鍵。

圖2 IPv6全球可路由地址功能規(guī)劃示意

我們看到，IPv6 地址高含義是該地址的類型，001代表的是全局可路由的單播地址，其次時TLA+RES+NLA ID組成的45bits為前綴，類似身份證號的省市區(qū)，接下來的SLA ID16bit為子網(wǎng)ID，類似于身份證號的派出所，最后的低64bits為接口標識，一般通過EUI-64方式映射，即將自身的ID映射到64bits的空間內(nèi)。因此IPv6地址你可以認為它只有64比特，而不是128比特。大企業(yè)或機構(gòu)在申請到IPv6地址資源后，也應該按層次化思路去規(guī)劃好地址使用，充分考慮地理位置、用途等因素，且盡量保證物理和邏輯之間緊密配合，這樣才能更好地實現(xiàn)路由匯聚和管理。

4 實現(xiàn)安全不能依賴NAT，需要專業(yè)的防火墻和自己定義策略

當前我們被NAT保護著，外面的非法連接和攻擊被NAT擋掉了絕大部分，但是，它不光阻止了惡意的連接，同時也阻止了授權(quán)的連接。筆者就常常被這種限制所困擾，理想的IPv6應該是讓互聯(lián)網(wǎng)變得真正互聯(lián)互通，彼此對等，盡量少地使用到NAT技術(shù)，比如用我們的IPv6手機做熱點，所分配到的址依然是公網(wǎng)IPv6地址。

首先看看臨時地址機制，與IPv4有著本質(zhì)的不同，IPv6真正標識了網(wǎng)絡(luò)，IPv6路由器管理的是網(wǎng)段，而不是主機，主機的IP怎么生成是主機可以自主去完成，并且是可以同時生成多個IP地址，使用EUI-64機制來生成主機標識信息時，很容易被追蹤，于是在某些時候，更希望使用隨機一點的值，這就是所謂IPv6臨時地址。當終端啟用了IPv6臨時地址，收到路由器發(fā)送的前綴信息后將會按EUI-64規(guī)則生成一個常規(guī)的IPv6地址之外，還會使用隨機算法生成一個隨機主機標識并和前綴拼接形成一個隨機的臨時IPv6地址，這個隨機的地址生命周期比較短，到期后會發(fā)生更換。在沒有NAT的環(huán)境下，它可般作為源地址和遠程服務(wù)器通信，從而達到保護隱私的目的。具體可以參加見rfc4941

在IPv6協(xié)議中，另一個值得注意的是IPSec是標準的協(xié)議頭，不像IPv4是額外添加的，可以視為IPv6協(xié)議棧內(nèi)置的安全機制，但將IPsec的ESP頭插入到你的TCP頭之前，必須自己設(shè)定。因此，因此必須了解IPSec的運作方式，才可獲得IP端到端的安全，充分利用IPv6的特性。

再來看看防火墻，很多企業(yè)和團體都會選擇防火墻作為網(wǎng)絡(luò)的邊界，從實現(xiàn)原理上而言并沒有很大的不同，除了識別和轉(zhuǎn)發(fā)IPv6外，還需要解決處理好擴展頭的識別等一些細微的差異，目前已經(jīng)有了可以用于IPv6協(xié)議的防火墻，并且其工作性能與其它防火墻沒有什么差別。引入一個兼容IPv6的防火墻，關(guān)鍵是看其是否通過“IPv6 Ready” 的認證，“IPv6 Ready”是由IPv6論壇提供給各個廠商用來衡量它們自身的產(chǎn)品是否符合IPv6協(xié)議的標準。

5 不再有廣播，末梢的網(wǎng)絡(luò)規(guī)?？梢愿蟾馄?/h2>

廣播風暴是IPv4時代最常見，最令人頭疼的問題，進化到IPv6，IPv6摒棄了廣播，DHCPv6、ND等均采用組播來替代。理論上，一個網(wǎng)段至少要承擔64bit數(shù)量的主機，相當于43億x43億的海量地址，如果還像運行IPv4協(xié)議那樣處理，ARP廣播將會使整個網(wǎng)絡(luò)淹沒。因此在IPv6時代如使用廣播方式解析鏈路層地址，根本無法實現(xiàn)。IPv6 ND鏈路層鄰居解析旨在將億萬臺的設(shè)備MAC地址進行散列分組。按EUI-64規(guī)則，一般情況下IPv6地址與MAC地址呈現(xiàn)的是一一對應規(guī)則，那么將所有處在同一個網(wǎng)段中的主機按照其MAC地址的低24位進行取模散列，就會得到一個值，該值作為一個多播地址，該機制一下子把多播域縮短了2^64/2^24。解析單個IPv6的鏈路層地址的請求只需要發(fā)給此主機的某個接口上配置了地址a對應偵聽的一個多播地址，該地址為：M=f(a)M=f(a)M=f(a)具體可參見 rfc3513，因此我可以將大量的IP放到同一個以太網(wǎng)中。

6 結(jié)束語

除了上述的幾個IPv6的特點，基于多年的網(wǎng)絡(luò)應用的經(jīng)驗還有很多方面的優(yōu)化，例如分片、流標簽、移動性支持等特性，所以其帶來的絕對不僅僅是地址位數(shù)變長這一點變化，同時也不應該因為發(fā)生的變化去擔心網(wǎng)絡(luò)變得更加復雜，實際上只要你真正地了解和掌握了IPv6以后，管理將更加簡單，功能也將更加強大。IPv6時代已經(jīng)來臨，這是一個新的時代，需要我們在很多方面作出改變，我們必須摒棄掉很多以往管理IPv4網(wǎng)絡(luò)時的習慣，用簡單的方式去理解IPv6。