于金龍，唐志斌

（1.北京華電天仁電力控制有限公司，北京 100011；2.北京易通信聯(lián)科技有限公司，北京 100101）

1 IPv6應(yīng)用現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，原有IPv4協(xié)議已經(jīng)逐步的顯露出種種不足，最迫切的問題就是IP地址資源耗盡和維護(hù)龐大的骨干路由表。因此，IETF組織針對以上問題重新設(shè)計(jì)了一套互聯(lián)網(wǎng)協(xié)議IPv6，它不是IPv4的升級(jí)擴(kuò)展，兩套協(xié)議本身并不兼容。可見，IPv4過渡到IPv6是一個(gè)漫長的過程。目前，IEFT專門成立工作組研究IPv4向IPv6的過渡問題，已經(jīng)確定有多種技術(shù)實(shí)現(xiàn)IPv6升級(jí)部署?，F(xiàn)在Internet骨干網(wǎng)絡(luò)中基本上是IPv4協(xié)議棧，其中包含有網(wǎng)絡(luò)設(shè)備、計(jì)費(fèi)系統(tǒng)、業(yè)務(wù)系統(tǒng)、固定寬帶接入用戶、LTE終端用戶等，所以要是實(shí)現(xiàn)IPv4到IPv6的過渡是需要一個(gè)漫長復(fù)雜的過程，既要考慮新接入的IPv6用在體驗(yàn)下一代互聯(lián)網(wǎng)優(yōu)勢的同時(shí)，也要充分考慮現(xiàn)有IPv4用戶及業(yè)務(wù)系統(tǒng)的正常通信傳輸。IETF已研發(fā)了三種過渡技術(shù)，即IPv4/IPv6雙棧技術(shù)、隧道Tunnel技術(shù)和協(xié)議翻譯技術(shù)，IPv4/IPv6雙棧技術(shù)、隧道Tunnel技術(shù)是解決網(wǎng)絡(luò)層互聯(lián)互通的問題，協(xié)議翻譯技術(shù)解決網(wǎng)絡(luò)協(xié)議異構(gòu)模式下應(yīng)用層業(yè)務(wù)之間的互通問題。

1.1 IPv4/IPv6雙棧技術(shù)

IPv4/IPv6雙棧技術(shù)是在網(wǎng)絡(luò)中同時(shí)承載IPv4和IPv6兩種協(xié)議棧，邏輯上是相互隔離的，即IPv4網(wǎng)絡(luò)平面與IPv6網(wǎng)絡(luò)平面互不可視、互不通信的獨(dú)立網(wǎng)絡(luò)平面。IPv4/IPv6雙棧技術(shù)需要入網(wǎng)的每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)（主機(jī)、服務(wù)器、路由器、業(yè)務(wù)系統(tǒng)、計(jì)費(fèi)系統(tǒng)等）同時(shí)運(yùn)行IPv4和IPv6兩個(gè)協(xié)議棧，在網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上構(gòu)建了IPv4和IPv6兩個(gè)完全隔離的網(wǎng)絡(luò)。

IPv4/IPv6雙棧技術(shù)雖然在網(wǎng)絡(luò)層面容易被理解，但在具體實(shí)施部署中難度大，通常需要解決的問題也比較多：一是改造難度大、投資高且改造周期較長，需要解決網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)及應(yīng)用服務(wù)代碼的全面支持并運(yùn)行IPv4和IPv6兩套協(xié)議棧，能夠同時(shí)處理IPv4和IPv6數(shù)據(jù)包。二是增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。目前IPv6大網(wǎng)環(huán)境存在安全防護(hù)技術(shù)仍未成熟且防范措施缺乏。三是雙棧技術(shù)可以實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的共存，但沒有解決IPv4和IPv6互訪的問題。

1.2 隧道Tunnel技術(shù)

隧道技術(shù)是將IPv6數(shù)據(jù)包封裝在IPv4協(xié)議棧中，通過IPv4網(wǎng)絡(luò)路由架構(gòu)進(jìn)行傳輸，到達(dá)目的端網(wǎng)絡(luò)節(jié)點(diǎn)（支持IPv4/IPv6雙棧）進(jìn)行數(shù)據(jù)包解封裝，最終實(shí)現(xiàn)IPv6的數(shù)據(jù)包互傳通信。數(shù)據(jù)包在傳輸過程中，在原始IPv6數(shù)據(jù)包增加IPv4報(bào)文頭，本質(zhì)上就是報(bào)文頭的多層疊加，這樣極大地降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率，因?yàn)橐蕴W(wǎng)報(bào)文的最大長度是固定的，報(bào)文頭長度占比越大，轉(zhuǎn)發(fā)效率越低。

然而采用隧道技術(shù)也存在一定的優(yōu)勢：一是透明性：IPv6孤島之間數(shù)據(jù)通信，完全可以忽略隧道的存在；二是技術(shù)的便捷性：在隧道邊界網(wǎng)關(guān)設(shè)備進(jìn)行配置，對其他部分沒有要求，技術(shù)實(shí)現(xiàn)非常容易，但它并不能解決IPv6節(jié)點(diǎn)與IPv4節(jié)點(diǎn)之間相互通信的問題。

1.3 協(xié)議翻譯技術(shù)

該技術(shù)可以分為有狀態(tài)翻譯和無狀態(tài)翻譯技術(shù)兩種：有狀態(tài)IPv4/IPv6雙重翻譯技術(shù)可以使IPv4和IPv6互聯(lián)互通，并解決了100%支持所有的應(yīng)用的問題；無狀態(tài)翻譯技術(shù)，可以有效解決IPv4和IPv6網(wǎng)絡(luò)的互聯(lián)互通問題，使其用戶對于目前的IPv4互聯(lián)網(wǎng)和未來的IPv6互聯(lián)網(wǎng)均可以做到端對端的全球惟一的尋址，因而具有雙向的互聯(lián)互通性和安全性，對于云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等應(yīng)用具有極大的價(jià)值。

2 電力系統(tǒng)內(nèi)網(wǎng)改造項(xiàng)目工程技術(shù)方案

首先，在電力公司信息內(nèi)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)進(jìn)行雙棧改造，涉及到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端主機(jī)等。地市公司完成網(wǎng)絡(luò)雙棧改造后，使其網(wǎng)絡(luò)核心設(shè)備支持雙棧功能，將智能轉(zhuǎn)換系統(tǒng)接入地市匯聚路由器，配置IPv4和IPv6兩套IP地址，同時(shí)實(shí)現(xiàn)與內(nèi)網(wǎng)接入?yún)^(qū)雙棧對接，實(shí)現(xiàn)完成改造的IPv6終端可以訪問電力公司信息內(nèi)網(wǎng)二級(jí)、三級(jí)IPv4協(xié)議棧業(yè)務(wù)系統(tǒng)。

圖1 電力公司信息內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D

其次，在電力公司內(nèi)網(wǎng)業(yè)務(wù)區(qū)新建一個(gè)IPv6系統(tǒng)域，在該域接入邊界部署IPv4/IPv6協(xié)議智能轉(zhuǎn)換網(wǎng)關(guān)，規(guī)劃的新IPv6業(yè)務(wù)系統(tǒng)，將直接部署在該區(qū)域。完成雙棧改造的辦公終端因?yàn)橐呀?jīng)具備IPv6接入能力，所有能訪問IPv6系統(tǒng)域能業(yè)務(wù)系統(tǒng)。未完成改造的IPv4終端，通過翻譯網(wǎng)關(guān)同樣科技正常訪問IPv6系統(tǒng)域內(nèi)業(yè)務(wù)系統(tǒng)。

改造思路為：網(wǎng)絡(luò)基礎(chǔ)架構(gòu)改造，網(wǎng)絡(luò)設(shè)備配置雙棧協(xié)議；IPv6地址規(guī)劃；IPv6DHCP動(dòng)態(tài)地址分配協(xié)議設(shè)計(jì)；IPv6DNS設(shè)計(jì)；應(yīng)用系統(tǒng)改造。

2.1 基礎(chǔ)架構(gòu)改造

通過采用IPv4/IPv6雙棧技術(shù)進(jìn)行改造網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，需要子網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻、服務(wù)器等）上同時(shí)配置啟用IPv4、IPv6兩種協(xié)議棧使得設(shè)備能夠處理這兩種協(xié)議棧下的數(shù)據(jù)包，終端主機(jī)根據(jù)數(shù)據(jù)包頭IP地址來決定采用IPv4協(xié)議還是IPv6協(xié)議來發(fā)送或接收數(shù)據(jù)包。

IPv6升級(jí)改造是一個(gè)循序漸進(jìn)的過程。在改造初期，通常要求在通信設(shè)備上同時(shí)支持IPv6和IPv4協(xié)議棧，既能封裝解封裝IPv4數(shù)據(jù)包也能處理IPv6數(shù)據(jù)包，在彼此隔離的協(xié)議棧下完成數(shù)據(jù)包的處理任務(wù)。

圖2 TCP/IP協(xié)議體系結(jié)構(gòu)圖

技術(shù)改造難點(diǎn)：需有專業(yè)能力強(qiáng)的團(tuán)隊(duì)指定升級(jí)改造方案，需要有足夠的經(jīng)費(fèi)支撐；應(yīng)用系統(tǒng)及網(wǎng)站需要更新并更換，對陳舊系統(tǒng)和網(wǎng)站支持性差，可能需要重建；防火墻設(shè)備需同時(shí)啟用IPv4和IPv6防護(hù)策略，增加維護(hù)工作；大多國產(chǎn)網(wǎng)絡(luò)安全設(shè)備不支持IPv6，需要其他技術(shù)保障網(wǎng)絡(luò)安全。

2.2 IPv6地址規(guī)劃

首先要考慮網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)，IPv6地址規(guī)劃方案必須與其相適應(yīng)，既要對IPv6地址空間充分有效的利用，又要體現(xiàn)出網(wǎng)絡(luò)的層次性、可擴(kuò)展性和靈活性，同時(shí)能夠滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中路由聚合，減少路由器中路由表的條目數(shù)量，減少對路由器硬件資源如CPU、內(nèi)存的消耗，提高路由算法的效率，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。IPv6地址分配應(yīng)在電力公司已申請的固定網(wǎng)絡(luò)前綴的IPv6地址塊中進(jìn)行，根據(jù)公司業(yè)務(wù)需求及機(jī)構(gòu)設(shè)置，通過非對稱加密算法自動(dòng)生成接口標(biāo)識(shí)，再結(jié)合固定前綴最終生成一個(gè)128位的IPv6 地址，同時(shí)需要擴(kuò)展DHCP協(xié)議，對于源地址偽冒還要進(jìn)行有效的防范管理。

2.3 IPv6 DHCP動(dòng)態(tài)地址分配協(xié)議設(shè)計(jì)

實(shí)現(xiàn)IPv6 DHCP服務(wù)有兩種種方法：一是在服務(wù)器區(qū)專門集中部署IPv6 DHCP服務(wù)器集群；二是在本地部署專門IPv6 DHCP服務(wù)器。

（1）在服務(wù)器區(qū)專門集中部署IPv6 DHCP服務(wù)器集群。在電力公司服務(wù)器區(qū)專門集中部署IPv6 DHCP服務(wù)器集群，這樣做的優(yōu)點(diǎn)有：統(tǒng)一運(yùn)維，統(tǒng)一管理；安全可靠；專業(yè)IPv6 DHCP服務(wù)器功能強(qiáng)大。

（2）在本地部署專門IPv6 DHCP服務(wù)器。在本地部署專門的IPv6 DHCP服務(wù)器，這樣做的優(yōu)點(diǎn)有：IPv6地址下發(fā)迅速；功能強(qiáng)大；較為安全可靠。（根據(jù)需要可以部署雙機(jī)）。

2.4 I Pv6 DNS設(shè)計(jì)

DNS（Domain Name System）域名系統(tǒng)，在IPv4到IPv6的過渡過程中，作為Internet基礎(chǔ)架構(gòu)的DNS服務(wù)當(dāng)然也要升級(jí)支持IPv6協(xié)議棧。DNS 在IPv4協(xié)議棧和IPv6協(xié)議棧下體系架構(gòu)是一致的，均采用樹型結(jié)構(gòu)的域名空間，即IPv4和IPv6共同擁有統(tǒng)一的域名標(biāo)識(shí)。域名服務(wù)商提供域名申請服務(wù)，支持域名同時(shí)綁定多個(gè)IPv4和IPv6的地址。

IPv6改造采用雙棧技術(shù)的過渡方案，DNS服務(wù)器可以同時(shí)解析“A”記錄（對應(yīng)IPv4服務(wù)器地址） 和“AAAA”（或4A）記錄（對應(yīng)IPv6服務(wù)器地址）。IPv4協(xié)議棧下終端請求DNS解析，DNS域名系統(tǒng)會(huì)及時(shí)向終端應(yīng)答A記錄，終端獲得A記錄IPv4地址后，即可與IPv4服務(wù)器建立session會(huì)話。同樣，IPv6協(xié)議棧下終端請求DNS解析，DNS域名系統(tǒng)會(huì)及時(shí)向終端應(yīng)答4A記錄，終端獲得4A記錄IPv6地址后，即可與IPv6服務(wù)器建立session會(huì)話。

圖3 終端與DNS服務(wù)器信息交互流程圖

2.5 應(yīng)用系統(tǒng)改造

IPv4/IPv6智能轉(zhuǎn)換平臺(tái)是一套面向網(wǎng)絡(luò)翻譯和互通的平臺(tái)級(jí)解決方案，主要用于IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的通信協(xié)議轉(zhuǎn)換和翻譯，在TCP/IP 四層參考模型中（劃分為網(wǎng)絡(luò)接口層、網(wǎng)際層、傳輸層和應(yīng)用層），主要針對網(wǎng)際層和傳輸層進(jìn)行協(xié)議轉(zhuǎn)換和翻譯，及IP地址轉(zhuǎn)換和端口映射。最終，該平臺(tái)解決IPv6資源與IPv4資源之間的互訪需求，也可用于實(shí)現(xiàn)IPv6終端用戶訪問IPv4資源，IPv4終端用戶訪問IPv6資源。

對于電力公司IPv6升級(jí)改造需求，IPv4/IPv6 智能轉(zhuǎn)換平臺(tái)既可以適合解決IPv4互聯(lián)網(wǎng)應(yīng)用系統(tǒng)滿足IPv6用戶的訪問，也可以在企業(yè)內(nèi)網(wǎng)實(shí)現(xiàn)IPv6信息孤島（內(nèi)網(wǎng)新部署IPv6業(yè)務(wù)系統(tǒng)）與原IPv4用戶區(qū)的互訪需求。如圖4所示，新建一套IPv6業(yè)務(wù)專區(qū)，網(wǎng)絡(luò)接入邊界核心設(shè)備支持雙棧功能，配置IPv4和IPv6兩套IP地址，IPv4/IPv6智能轉(zhuǎn)換平臺(tái)采用旁掛核心交換機(jī)，所有新上線IPv6業(yè)務(wù)均部署在該區(qū)域，IPv4/IPv6智能轉(zhuǎn)換平臺(tái)主要是實(shí)現(xiàn)了內(nèi)網(wǎng)部分IPv4孤島客戶端可訪問新上線IPv6業(yè)務(wù)。

圖4 電力公司信息內(nèi)網(wǎng)應(yīng)用系統(tǒng)改造規(guī)劃拓?fù)鋱D

IPv4/ IPv6智能轉(zhuǎn)換平臺(tái)采用無狀態(tài)IPv4/ IPv6翻譯技術(shù)，通過一對一地映射直接找到對應(yīng)地址，大大減輕網(wǎng)關(guān)設(shè)備地負(fù)擔(dān)和效率。同時(shí)，它也支持端到端地址透明性?？梢赃M(jìn)行增量化部署。

3 I Pv6在電力信息內(nèi)網(wǎng)改造應(yīng)用研究

本次應(yīng)用討論電力公司IPv4信息內(nèi)網(wǎng)向IPv6 協(xié)議升級(jí)，采用雙棧改造技術(shù)和翻譯技術(shù)，雙棧改造主要是網(wǎng)絡(luò)層的改造，涉及到整改骨干網(wǎng)絡(luò)和終端接入設(shè)備，翻譯技術(shù)是采用無狀態(tài)協(xié)議轉(zhuǎn)換技術(shù)，在此基礎(chǔ)上研發(fā)IPv4/IPv6智能轉(zhuǎn)換平臺(tái)，是集成網(wǎng)絡(luò)層無狀態(tài)翻譯技術(shù)和應(yīng)用層協(xié)議智能轉(zhuǎn)換技術(shù)，實(shí)現(xiàn)了電力公司內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的升級(jí)改造。

對于雙棧改造來講，適合整改網(wǎng)絡(luò)基礎(chǔ)架構(gòu)及終端接入設(shè)備，如果應(yīng)用于網(wǎng)站應(yīng)用系統(tǒng)改造的話，存在大量工作及技術(shù)難點(diǎn)，如業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境配置改造及網(wǎng)絡(luò)協(xié)議的代碼行改造、數(shù)據(jù)支撐系統(tǒng)的再開發(fā)。

采用翻譯技術(shù)及翻譯網(wǎng)關(guān)，部署在區(qū)域邊界均分配IPV4地址和IPv6地址，由此縱向出入流量實(shí)現(xiàn)IPv4與IPv6的流量的相互轉(zhuǎn)換。從互聯(lián)網(wǎng)技術(shù)的發(fā)展方向來講，未來會(huì)最終實(shí)現(xiàn)互聯(lián)網(wǎng)業(yè)務(wù)純IPv6環(huán)境訪問能力，采用過渡技術(shù)可以幫助電力公司在現(xiàn)階段完成IPv6升級(jí)改造，同時(shí)也為電力公司徹底雙棧改造及純IPv6環(huán)境的實(shí)現(xiàn)部署，贏取了更多的時(shí)間周期。

4 結(jié)束語

通過該電力信息內(nèi)網(wǎng)改造應(yīng)用，實(shí)現(xiàn)了電力公司信息內(nèi)網(wǎng)支持IPv4/ IPv6雙協(xié)議棧的改造目標(biāo)，主要包括地市公司及分支網(wǎng)點(diǎn)辦公網(wǎng)的雙棧接入和骨干網(wǎng)絡(luò)基礎(chǔ)設(shè)施改造、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的IPv6改造。一些內(nèi)部辦公系統(tǒng)在現(xiàn)有骨干網(wǎng)中仍然是基于IPv4的基礎(chǔ)上形成IPv6信息孤島，通過運(yùn)用IPv6翻譯技術(shù)實(shí)現(xiàn)將孤立的IPv6域互通起來，輕松實(shí)現(xiàn)平滑過渡，解決IPv4 和IPv6異構(gòu)網(wǎng)絡(luò)的共存和互通問題。在目前IPv6 過渡的情況下，雙棧技術(shù)和翻譯技術(shù)的結(jié)合可以幫助電力公司基本地解決信息孤島和IP地址緊缺問題，隨著下一代互聯(lián)網(wǎng)IPv6協(xié)議發(fā)展，最終將過渡到純IPv6環(huán)境。采用IPv6改造過渡技術(shù)進(jìn)行探索和應(yīng)用，對于積累經(jīng)驗(yàn)和推動(dòng)應(yīng)用系統(tǒng)業(yè)務(wù)從IPv4 向IPv6的平穩(wěn)過渡，也是具有重要的意義。