韓立強 ，習穎潔 ，李 赟 ，楊靖凡

1.中國鐵路信息科技集團有限公司，北京 100038

2.中鐵信（北京）網(wǎng)絡技術研究院有限公司，北京 100038

隨著IPv6網(wǎng)絡商用化的進行和大面積部署，IPv6管理方向的研究也在如火如荼地開展。相對于IPv4而言，IPv6地址位有128比特，因此其生成、使用、安全等方面的情況也要比IPv4更加復雜，二者的管理模式也有顯著區(qū)別[1]。

基于IPv6地址結構，業(yè)界一般將IPv6地址規(guī)劃、IPv6網(wǎng)絡探測和管理列為下一代互聯(lián)網(wǎng)網(wǎng)絡管理的重要研究目標[2]。隨著IPv4地址的逐漸耗盡和物聯(lián)網(wǎng)的大面積推廣，IPv6正在以越來越快的速度走向大規(guī)模商用[3]。與IPv4相比，IPv6最大的特點是具有超大的地址空間，這使得高效路由報頭、高安全性、高服務質量成為可能，但是這也帶來了IPv6地址分配、使用、管理等多方面的問題[4]。

1 IPv4管理模式及與IPv6的區(qū)別

（1）IPv4管理模式。既往的科研課題構建了一種基于IP地址狀態(tài)的管理方法，即空閑地址池中的IP地址被規(guī)劃到某業(yè)務下，與具體用途相關的地址分配給相應的人和設備；通過系統(tǒng)探針及在線分析功能，被分配的地址在使用時能在網(wǎng)關設備上檢測到對應的上聯(lián)設備名稱、MAC地址及接口信息；在長期未檢測到地址上線的情況下觸發(fā)地址回收機制，確定被回收的地址將在系統(tǒng)中刪除相關信息，使之重新回到被規(guī)劃的狀態(tài)以等待再次分配，以此建立地址管理的閉環(huán)。

（2）IPv4與IPv6的區(qū)別。①IPv6地址的長度和數(shù)量遠超過IPv4地址。IPv6的地址長度為128位，是IPv4地址長度的4倍，且數(shù)量巨大，顯著增加了管理難度和成本，受其復雜性和規(guī)模的制約，系統(tǒng)管理員無法逐個管理和分配。②IPv6地址分配方式不同于IPv4。IPv4地址在分配時可基于DHCP模式或者手工配置的方法，而IPv6地址目前大多基于DHCP模式進行自動分配，較為突出的問題是因地址自動配置而引起分配不可控，這也決定了IPv6地址無法直接使用IPv4地址的管理模式，需要在考慮分配方式不同的情況下設計符合工作需要的專有管理模式。③IPv6地址的字段結構復雜。它取消了IPv4的網(wǎng)絡號、主機號和子網(wǎng)掩碼概念，代以前綴、接口標識符和前綴長度，不再有A類、B類、C類等劃分，但IPv6地址的各個字段均具備了更加具體的內涵，使用方式的不同也決定了其無法仿照IPv4地址管理模式。

2 IPv6地址管理模式思考

自20世紀80年代以來，IPv4一直維持著穩(wěn)定運行，其管理模式十分成熟，因此在對IPv6地址進行管理時應結合既有IPv4地址的管理經(jīng)驗，并融合IPv6地址的特殊性[5]。

2.1 IPv6的特殊性

從規(guī)劃、分配和使用三個階段出發(fā)，文章針對IPv6的特殊性分別進行如下分析。

（1）規(guī)劃時。IPv6地址可讀性強，能夠包含所屬區(qū)域、用途等信息，便于識別用戶所在區(qū)域及用途；按照地址聚合原則分片規(guī)劃，IPv6需做到地址高效聚合，可簡化路由表；IPv6擁有更大的地址空間，應考慮到現(xiàn)有業(yè)務、新型業(yè)務及各種特殊的業(yè)務需求，為未來擴容預留空間。

（2）分配時。在DHCPv4協(xié)議中，客戶端發(fā)送廣播報文來定位服務器。為避免廣播風暴，在IPv6中，已經(jīng)沒有了廣播類型的報文，而是采用組播報文；在IPv4協(xié)議中原本由IPv4地址提供的特殊功能，IPv6通過在基本報頭之后增加擴展報頭實現(xiàn)。

（3）使用時。IPv4逐漸過渡到IPv6，可由雙棧技術、隧道技術和轉換技術等實現(xiàn)；IPv6協(xié)議在地址、報文結構方面大幅優(yōu)化，并采取了自身特有的安全措施，但也不可能徹底解決所有網(wǎng)絡安全問題，同時其自身的使用還會產(chǎn)生新的安全問題；訪問場景發(fā)生變化，包括互聯(lián)網(wǎng)訪問場景、內部訪問場景和云環(huán)境訪問場景等；設備需要升級改造，IPv6涉及互聯(lián)網(wǎng)接入?yún)^(qū)、網(wǎng)絡核心和應用類服務區(qū)的改造工作。

2.2 大型集團企業(yè)的IPv6管理模式

IPv6在企業(yè)中大規(guī)模部署已成為一種趨勢，眾多大型企業(yè)集團通過采取科學的方式對IPv6地址進行使用和管理，文章對部分管理模式進行簡單介紹。

（1）IPv6地址的劃分按照語義化、可聚合、連續(xù)可擴展、可管控原則規(guī)劃，增強IPv6的地址可讀、分片簡化、地址冗余及安全管控的能力。

（2）從使用場景的角度來看，作為信息基礎設施基本元素的IP地址可以分為以下三大類：服務類、終端類、基礎類。針對不同的類別應采用不同的IPv6地址分配策略進行地址分配管理。

（3）IP地址管理實行統(tǒng)一管理、逐級分配的原則。地址規(guī)劃將IPv6子網(wǎng)前綴規(guī)劃為信息網(wǎng)絡、組織機構、下屬機構（功能區(qū)域）、用途類型等幾個層次。

（4）IPv6地址分配遵循統(tǒng)一規(guī)劃、分批啟用的原則。前期以5年為周期對各下級單位的IPv6地址需求進行預規(guī)劃，下級單位在規(guī)劃周期內根據(jù)網(wǎng)絡建設和業(yè)務發(fā)展需求，在得到分配的IPv6地址空間后，完成自身的內部規(guī)劃，并將規(guī)劃報備給上級。

（5）在每年初可以向上級提交IP地址申請，每次申請的IPv6地址數(shù)量應保證其5年的使用增量，對不合格材料將要求修改或進一步提供材料，審核合格之后，在一個月內統(tǒng)一批復各單位IPv6地址申請；如遇特殊情況，下級單位也可以在其他時間提出IP地址申請，但需說明具體原因。

（6）下級單位定期將地址使用詳情向上級報備。報備時需詳細說明每一個地址的區(qū)域中心歸屬、業(yè)務板塊、應用、穿透性等屬性，系統(tǒng)管理員需對各單位和部門的地址分配和使用的報備情況進行全網(wǎng)通報。

（7）系統(tǒng)管理員需定期結合地址探測技術和各級單位的實際反饋，對各級組織機構的地址空閑情況進行統(tǒng)計分析，對于空閑未使用的地址經(jīng)通知落實后進行回收，并做好回收地址的資料更新及再分配工作。

2.3 IPv6探測技術

IP地址的探測主要通過獲取交換機上ARP表和MAC地址表來完成。二層網(wǎng)絡設備是根據(jù)MAC地址表轉發(fā)數(shù)據(jù)幀的。在交換機中有一張記錄著局域網(wǎng)主機MAC地址與交換機接口的對應關系的表，交換機就是根據(jù)這張表將數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C上的，而在每臺主機中都有一張ARP表，它記錄著主機的IP地址和MAC地址的對應關系。當獲取到ARP表和MAC表之后，就可以將特定的IP地址對應到其所連接的網(wǎng)絡設備端口上。因此，對IP地址的探測可轉化為ARP表和MAC表的獲取上。

3 結束語

目前IPv6發(fā)展前景較好，具有地址空間大和地址結構復雜的特點，但仍會在一段時間內與IPv4共存，并逐步由IPv4過渡到IPv6。新的網(wǎng)絡協(xié)議勢必會帶來新的管理問題，可以借鑒目前IPv4成熟的管理模式，并在差異中不斷改進和完善，這對網(wǎng)絡管理、網(wǎng)絡安全及應用服務的進步具有重要意義。