彭治湘

（湖南廣播電視大學(xué)，湖南網(wǎng)絡(luò)工程職業(yè)學(xué)院，長沙410004）

0 引言

2017 年11 月，中共中央辦公廳、國務(wù)院辦公廳發(fā)布《推進IPv6 規(guī)模部署行動計劃》，“行動計劃”預(yù)計用5 到10 年時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6 商業(yè)應(yīng)用網(wǎng)絡(luò)，實現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟社會各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量[1]。截至2020 年1 月，我國IPv6 活躍用戶數(shù)達2.7 億，占互聯(lián)網(wǎng)網(wǎng)民總數(shù)的31%，相比行動計劃實施前，增長了近100 倍[2]。當(dāng)前是我國IPv4 向IPv6 快速過渡和發(fā)展的關(guān)鍵時期，各類園區(qū)網(wǎng)絡(luò)IPv6 部署與改造是全國IPv6建設(shè)的重要一環(huán)，本文簡單闡述了IPv6 基礎(chǔ)技術(shù)，著重研究了IPv6 園區(qū)網(wǎng)出口、園區(qū)內(nèi)網(wǎng)、園區(qū)網(wǎng)安全、園區(qū)應(yīng)用四個方面的IPv6 部署與過渡技術(shù)，最后設(shè)計了一種IPv6 園區(qū)網(wǎng)通用建設(shè)模型，為大中型企業(yè)、學(xué)校等IPv6 園區(qū)網(wǎng)部署提供參考。

1 IPv6基礎(chǔ)

1.1 IPv6地址

IPv6 地址相較于IPv4 地址擴展到了128 比特，約有3.4×1038個地址。IPv6 地址首選格式將128 位地址分成8 段，每段16 位，每段被轉(zhuǎn)換為一個16 進制數(shù)，并用冒號分隔，因此也稱“冒號十六進制表示法”[3]，格式如下：2001:0302:0001:0000:0000:0000:0000:342F。

IPv6 地址分為三類：單播地址、組播地址和任播地址，值得注意的是IPv6 中沒有廣播地址，如圖1 所示為IPv6 地址具體分類。

圖1 IPv6地址分類

1.2 IPv6主要特性

IPv6 主要特性包括：①巨大的地址空間，約擁有3.4×1038 個地址；②高效的報文處理，IPv6 基本頭部長度固定40 個字節(jié)，中間傳輸節(jié)點處理定長頭部效率更高，加之IPv6 頭部為64 位對齊，能更充分地利用設(shè)備64 位處理器；③更優(yōu)的路由選擇效率，IPv6 在設(shè)計、分配和使用過程中充分考慮了路由前綴匯聚，使得互聯(lián)網(wǎng)骨干路由表大幅減小，路由選擇效率更優(yōu)；④精準(zhǔn)的QoS 保障，IPv6 利用流標(biāo)簽有效區(qū)分數(shù)據(jù)流類型和優(yōu)先級，提供精準(zhǔn)的QoS 服務(wù)；⑤增強的安全機制，IPv6采用安全擴展頭部，使得IPv6 節(jié)點都可以支持IPsec，有效保障數(shù)據(jù)的完整性和機密性；⑥移動IP 性能更優(yōu)，IPv6 定義了特定擴展報頭提升其移動性能，對IoT支持更好，積極推動萬物互聯(lián)[4-7]。

2 IPv6園區(qū)網(wǎng)部署與改造關(guān)鍵技術(shù)研究

2.1 IPv6園區(qū)網(wǎng)出口部署與改造技術(shù)

大中型園區(qū)網(wǎng)絡(luò)一般為了保障出口網(wǎng)絡(luò)高可靠性，會選擇同時多家ISP 接入的方案，在向IPv6 過渡的相當(dāng)長的一段時間內(nèi)，出口必須同時支持IPv4 和IPv6并能夠進行自動選路簡化出口管理，提升出口利用效率。在IPv4 出口基礎(chǔ)上接入IPv6 出口，一種方法是采用二層以太網(wǎng)混合接入，即園區(qū)二層接入ISP，此時同一鏈路上同時啟用IPv4 和IPv6，在與IPv4 同一VLAN接口下配置ISP 分配的IPv6 全球單播地址；另一種方法三層接口獨立接入，即分別針對不同的ISP 在出口設(shè)備上啟用獨立的三層接口接入IPv6 并配置ISP 分配的IPv6 全球單播地址。上述兩種方法若需要在不增加出口設(shè)備的情況下部署，則要求出口設(shè)備支持IPv4和IPv6 雙協(xié)議棧。

出口鏈路之間IPv4 和IPv6 進出雙向流量負載均衡是園區(qū)網(wǎng)出口建設(shè)的重要內(nèi)容，主要可以采用的方法有兩種：其一，直接利用出口設(shè)備部署IPv4 和IPv6的動態(tài)路由和策略路由，該方法部署成本低，但是設(shè)備性能要求高，維護管理困難；其二，利用成熟的鏈路或應(yīng)用交付產(chǎn)品（Application Delivery，AD）作為出口設(shè)備，AD 具備全球IP 地址庫，支持四至七層負載算法，可以精準(zhǔn)選對IPv4 和IPv6 鏈路、服務(wù)器，同時支持TCP 加速，提升用戶訪問速度，主流AD 廠商如深信服、F5、Radware。這種方法的缺點是需要新增AD 設(shè)備的成本開支。

2.2 IPv6園區(qū)內(nèi)網(wǎng)部署與改造技術(shù)

（1）雙協(xié)議棧技術(shù)

雙協(xié)議棧技術(shù)是指在同一臺網(wǎng)絡(luò)設(shè)備上同時啟用IPv4 和IPv6 協(xié)議棧。在園區(qū)網(wǎng)絡(luò)內(nèi)部要求所有三層轉(zhuǎn)發(fā)節(jié)點必須要支持雙協(xié)議棧技術(shù)才能實現(xiàn)IPv6 內(nèi)網(wǎng)的部署，通常是園區(qū)匯聚層及其以上核心骨干設(shè)備需要進行雙協(xié)議棧的改造升級[8]。雙協(xié)議棧技術(shù)優(yōu)點是部署簡單，建設(shè)周期短，網(wǎng)絡(luò)過渡平滑，缺點升級成本相對較高，IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)平行獨立運行而無法互通。

（2）隧道技術(shù)

隧道技術(shù)即用一種協(xié)議報文封裝另一種協(xié)議報文的通信技術(shù)。在IPv6 過渡初期，園區(qū)內(nèi)部IPv4 網(wǎng)絡(luò)處于主導(dǎo)地位，只有少量IPv6 資源之間需要互通，此時可以采用IPv6 over IPv4 隧道技術(shù)如：IPv6 in IPv4 GRE隧道、6to4 隧道、ISATAP 隧道，將分散在園區(qū)或分支機構(gòu)的IPv6 資源進行互聯(lián)，快速部署和整合內(nèi)網(wǎng)IPv6 資源[9]；IPv6 過渡后期，IPv6 網(wǎng)絡(luò)為主導(dǎo)，此時內(nèi)網(wǎng)中少量IPv4 網(wǎng)絡(luò)通過IPv4 over IPv6 隧道完成互聯(lián)，最后平滑過渡純IPv6 網(wǎng)絡(luò)。隧道技術(shù)要求隧道兩端設(shè)備具備雙協(xié)議棧能力，隧道實現(xiàn)較為簡單，但是隧道技術(shù)仍無法實現(xiàn)IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)互通。

（3）帶協(xié)議轉(zhuǎn)換的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

NAT- PT（Network Address Translator- Protocol Translator）是指附帶協(xié)議轉(zhuǎn)換功能的網(wǎng)絡(luò)地址轉(zhuǎn)換，NAT 技術(shù)是IPv4 園區(qū)網(wǎng)出口常用技術(shù)，主要目的是實現(xiàn)IPv4 私網(wǎng)地址與公網(wǎng)地址及傳輸層端口轉(zhuǎn)換，而NAT-PT 是完成IPv4 與IPv6 之間報文頭部修改轉(zhuǎn)換網(wǎng)絡(luò)地址，使得IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)互通，結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)（Application Level Gateway，ALG）可以實現(xiàn)部分應(yīng)用之間的互通[10]。NAT-PT 優(yōu)點在于實現(xiàn)了IPv4 和IPv6 網(wǎng)絡(luò)層面的互通，同時結(jié)合ALG 能夠?qū)崿F(xiàn)部分應(yīng)用互通，缺點是NAT-PT 使得IPv6 端到端安全特性無法維持，對應(yīng)用互訪并不透明，需要針對不同應(yīng)用對ALG 持續(xù)開發(fā)。

2.3 IPv6園區(qū)網(wǎng)安全技術(shù)架構(gòu)

如圖2 所示，從網(wǎng)絡(luò)安全技術(shù)角度出發(fā)，IPv6 園區(qū)網(wǎng)絡(luò)安全建設(shè)可以從接入安全、網(wǎng)絡(luò)邊緣安全、外聯(lián)網(wǎng)與干線安全、應(yīng)用安全、數(shù)據(jù)中心與云安全和運維管理安全六個方面規(guī)劃設(shè)計。網(wǎng)絡(luò)安全建設(shè)不能一蹴而就，也不能無的放矢，以國家安全法規(guī)與政策為指導(dǎo)，以安全架構(gòu)為參考，統(tǒng)籌考慮園區(qū)網(wǎng)絡(luò)規(guī)模、生產(chǎn)業(yè)務(wù)安全需求、安全支出預(yù)算、內(nèi)部安全管理體系等逐步完善IPv6 園區(qū)網(wǎng)絡(luò)安全體系。

2.4 IPv6園區(qū)網(wǎng)應(yīng)用過渡技術(shù)

（1）反向代理技術(shù)

反向代理技術(shù)是指將用戶訪問請求集中引導(dǎo)至一臺中間理服務(wù)器，再由該理服務(wù)器代替用戶向后端真實提供服務(wù)的服務(wù)器發(fā)出請求，之后應(yīng)中間理服務(wù)器將接收到的服務(wù)應(yīng)答轉(zhuǎn)發(fā)給用戶，中間服務(wù)器對用戶透明[11]。為保障中間代理服務(wù)器的可靠性和性能，可以在私有云環(huán)境下集群部署中間代理服務(wù)器并啟用雙棧功能，使得代理服務(wù)器集群不僅支持IPv4 和IPv6 用戶訪問，還同時可以訪問后端真實的IPv4 和IPv6 應(yīng)用服務(wù)，在過渡前期即使IPv4 應(yīng)用沒有進行雙?；騃Pv6改造，只需在權(quán)威DNS 上同時創(chuàng)建相應(yīng)服務(wù)域名的A記錄和AAAA 記錄并指向代理服務(wù)器的對應(yīng)的IPv4或IPv6 地址，雙棧終端與純IPv4 或純IPv6 終端均可以通過雙棧代理服務(wù)器訪問后端服務(wù)[12]。

圖2 IPv6園區(qū)內(nèi)網(wǎng)安全技術(shù)架構(gòu)

實際應(yīng)用中雙棧反向代理技術(shù)可以采用主流的反向代理軟件實現(xiàn)如：Nginx、Squid、Varnish、Apache TS 等自主開發(fā)實現(xiàn)，該方法是初始成本低，但是后期維護成本高，需要配備專門的IT 研發(fā)人員；另一種方法可以借助應(yīng)用交付AD 產(chǎn)品提供的虛擬服務(wù)來完成反向代理功能，在AD 上創(chuàng)建好IPv4 和IPv6 虛擬服務(wù)（即雙棧代理服務(wù)器功能），再創(chuàng)建后端應(yīng)用服務(wù)資源池，資源池中可以加入真實提供服務(wù)的雙棧服務(wù)器和純IPv4或純IPv6 服務(wù)器，最后將虛擬服務(wù)與資源池進行關(guān)聯(lián)即可完成雙棧反向代理的配置。

（2）SPACE6 技術(shù)

SPACE6（Service- Provider’s Application Cloudbased Engine for IPv6 Transition）即服務(wù)提供商應(yīng)用基于云的IPv6 轉(zhuǎn)換引擎技術(shù)。SPACE6 技術(shù)將網(wǎng)絡(luò)層協(xié)議轉(zhuǎn)換技術(shù)與應(yīng)用層協(xié)議轉(zhuǎn)換技術(shù)相融合，實現(xiàn)IPv4和IPv6 應(yīng)用服務(wù)無縫對接，支持目前絕大多數(shù)應(yīng)用服務(wù)，并且可以有效解決IPv6 天窗問題[13]，SPACE6 平臺部署架構(gòu)基本與雙棧反向代理架構(gòu)一致。

雙棧反向代理技術(shù)優(yōu)點是可以快速實現(xiàn)IPv4 應(yīng)用向外提供IPv6 服務(wù)，不足之處在于其只能良好支持BS 類服務(wù)，對于CS 類應(yīng)用暫時無法支持，IPv6 天窗問題（后端服務(wù)頁面若存在未進行IPv6 改造的外部鏈接可能無法正常顯示）需要結(jié)合額外技術(shù)才能解決，而SPACE6 技術(shù)可以有效彌補反向代理技術(shù)的不足。

3 IPv6園區(qū)網(wǎng)建設(shè)通用模型設(shè)計

圖3 IPv6雙棧反向代理技術(shù)架構(gòu)圖

如圖4 所示，IPv6 園區(qū)網(wǎng)絡(luò)建設(shè)大致可以分為互聯(lián)網(wǎng)出口區(qū)域、核心交換區(qū)域、內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)域、內(nèi)網(wǎng)終端接入?yún)^(qū)域、對外服務(wù)區(qū)域和運維管理區(qū)域六大區(qū)域。在IPv4 向IPv6 過渡改造過程中，建議根據(jù)不同區(qū)域、不同節(jié)點、不同業(yè)務(wù)、不同時期有計劃地逐步完成IPv6 升級與部署。

互聯(lián)網(wǎng)出口區(qū)域建議采用雙棧技術(shù)改造，確保該區(qū)域內(nèi)設(shè)備全部支持雙棧服務(wù)，過渡后期通過軟件升級可以平滑部署純IPv6 服務(wù)；核心交換區(qū)域過渡前期核心層先做雙棧改造，并部署IPv4 與IPv6 相關(guān)路由，匯聚層若只有高速二層交換業(yè)務(wù)可不做調(diào)整，過渡中期可以先將匯聚層雙棧改造，并根據(jù)需要部署IPv4 與IPv6 匯聚層安全策略，過渡后期核心交換機區(qū)域設(shè)備均可以通過軟件升級支持純IPv6 網(wǎng)絡(luò)；內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)域中NGFW、數(shù)據(jù)庫審計、負載均衡先行完成雙棧改造，對于內(nèi)網(wǎng)核心業(yè)務(wù)通過部署SPACE6 平臺提供IPv6 服務(wù)改造，逐步完成內(nèi)網(wǎng)核心業(yè)務(wù)雙棧升級；內(nèi)網(wǎng)終端接入?yún)^(qū)域過渡前期接入交換機與AP 可以不做改造，只負責(zé)二層業(yè)務(wù)的接入，NGFW、AC（上網(wǎng)行為審計）、BRAS 與AC 需完成雙棧改造，跟實際接入業(yè)務(wù)場景部署IPv4 與IPv6 用戶認證，對于內(nèi)網(wǎng)傳統(tǒng)終端或者虛擬桌面，無論是Windows、Linux、Android、蘋果系統(tǒng)等主流終端系統(tǒng)目前均可以支持雙棧，因此內(nèi)網(wǎng)接入?yún)^(qū)域處二層網(wǎng)絡(luò)設(shè)備其他節(jié)點均可以在過渡前期就完成雙?；脑?；對外服務(wù)區(qū)域過渡前期完成NGFW、WAF 等安全設(shè)備雙棧改造，以提供IPv4 與IPv6 全面的安全防護，部署SPACE6 平臺為門戶網(wǎng)站、App、對外業(yè)務(wù)系統(tǒng)提供IPv6 訪問入口；運維管理區(qū)域在改造過程中應(yīng)根據(jù)業(yè)務(wù)發(fā)展需要同步完成改造，以便更好地支持園區(qū)網(wǎng)絡(luò)與業(yè)務(wù)的管理。

圖4 IPv6園區(qū)網(wǎng)建設(shè)通用模型

4 結(jié)語

本文簡要介紹了IPv6 基礎(chǔ)技術(shù)，并從園區(qū)網(wǎng)出口、園區(qū)內(nèi)網(wǎng)、園區(qū)網(wǎng)安全、園區(qū)應(yīng)用四個方面展開了IPv4 向IPv6 過渡關(guān)鍵技術(shù)的研究，最后設(shè)計了IPv6 園區(qū)網(wǎng)建設(shè)通用模型，為大中型園區(qū)網(wǎng)絡(luò)IPv6 建設(shè)與改造提供參考。