基于IPV4網絡環(huán)境中IPV6節(jié)點漫游機理研究：IPv6過渡技術分析與評述

柏強 許譯文 王昆強

【摘要】 隨著互聯網的飛速發(fā)展，原有IPv4協議的不足日益明顯，而采用IPv6協議已成為各方的共識。從IPv4網絡向IPv6網絡過渡勢在必行。著眼于目前的過渡技術，分析指出IPv6過渡過程中可能出現的各種場景和需要解決的問題，并對過渡技術的應用場景進行了分析。根據適用場景和待解決的問題將過渡技術分為翻譯技術，IPv4 over IPv6隧道技術以及IPv6overIPv4隧道技術三個類別，針對每個類別中最有代表性的技術，從多個角度進行了綜合對比，并對過渡技術實際應用情況進行了分析，對過渡技術本身存在的問題與發(fā)展進行了分析與展望。

【關鍵詞】 過渡技術 IPv6 部署

互聯網科技發(fā)展和社會進步離不開IPv4協議。但是，由于互聯網用戶數量不斷增加 以及對互聯網應用要求的不斷提高，制約互聯網發(fā)展的突出問題是IPv4地址緊缺與分配不均。解決IPv4地址資源不足的問題是用IPv6協議采用128位地址。長期來說，IPv6作為地址緊缺問題的最終解決方案已經得到了廣泛的認同。現階段 ISP 發(fā)展的目標網絡是IPv6網絡。

眾所周知，IPv4網絡結構復雜、規(guī)模巨大。方方面面的因素挑戰(zhàn)著部署過程。本文關注的重點是過渡過程中技術層面挑戰(zhàn)： 新建IPv6網絡與原有IPv4網絡的共存問題以及二者的互聯互通問題。所謂互聯互通，是指IPv4/ v6 網絡間的通信問題： 在過渡過程中，ISP 必須保證IPv4業(yè)務能在IPv6主機中被訪問 ，也要盡可能使得IPv4主機能夠訪問IPv6業(yè)務。整個過渡貫穿這個場景過程。在之后會對翻譯技術進行詳細分析；所謂共存，是指在相當長一段時間內IPv4/ v6 應用 、IPv4/ v6 主機同時存在。在IPv6發(fā)展初期，互聯網以運行IPv4的網絡為主，但 ISP 又有在IPv4網絡上傳輸IPv6流量的需求。十幾年來，研究人員以及 ISP 的廣泛關注此類問題的過渡技術。相對于IPv6流量跨越IPv4網絡進行通信的情況，如何使IPv4流量跨越IPv6網絡通信是共存問題的另一個方面。這種需求多出現在過渡后期。針對此場景的研究發(fā)展十分迅速，但起步較晚。具有代表性的是DS-lite、dIVI等技術[1]，本文著眼于IPv6過渡技術，針對過渡過程中必須解決的兩大問題，即互聯互通問題和共存問題，分析了過渡技術的應用場景進行。根據待解決的問題與適用場景將過渡技術分為三個類別：IPv4 over IPv6隧道技術、翻譯技術以及IPv6 over IPv4隧道技術，分析比較了認可度較高的、最新的過渡技術細節(jié)、特色及其適用場景；分析了過渡技術的實際應用部署情況，并展望了過渡技術待改善的方面。

一、IPv6過渡技術應用場景分析

目前，通過隧道技術與翻譯技術可以解決過渡過程中的共存問題。通過IPv4/ v6報文格式和信息的轉換，實現運行的不同協議棧網絡設備的互通是翻譯技術的核心思想。在IPv4/ v6 網絡連接處添加翻譯設備，使只理解IPv4協議的終端與只理解IPv6協議的終端能夠進行通信是典型的翻譯場景。進行地址映射并且根據協議重新組織報文是IPv4與 IPv6報文之間的翻譯的必要條件；而隧道技術應用場景不同于此，我們以IPv6overIPv4隧道做說明：在典型的隧道場景中，為IPv6報文添加IPv4協議頭，要在在隧道入口接點處，而原報文則成IPv4報文的凈荷。這樣在IPv4網絡上可以傳輸新的報文。網絡設備對報文進行解封裝是在在隧道出口處完成，這樣就達到了提取凈荷獲得原來的IPv6報文，遞交給目的主機的功能。

雖然翻譯技術與隧道技術具體的應用場景有所差別，但諸如地址語義如何轉換，報文轉發(fā)如何控制等問題是二者共同面臨的：

第一個是地址映射問題。無論隧道技術還是翻譯技術，由于涉及IPv4/ v6 兩種協議報文之間的映射，因而如何建立地址映射也是共同面臨的問題?？蓴U展性、性能等方面的問題是通過較為直觀的 NAT 方式保存記錄的方式帶來的。而使用特殊的IPv6地址格式，能夠保持通信的無狀態(tài)，同時使網絡設備能夠據此進行地址抽取，但完善可行的路由方案以及實際可行的部署方案也是必不可少的； 此外也需考慮IPv6地址前綴： 使用統(tǒng)一前綴，使用 SP 各自的前綴用以加強控制還是將其當作一項通用的服務等等； 另外在IPv4地址極為緊缺的背景下，過渡技術是否可行的重要方面還有地址利用率；

第二個問題是控制層面的路由配置。如何進行路由很重要的方面之一就是保證通信正確性： 如何保證IPv6報文準確的被路由到翻譯裝置或者隧道入口； 應答報文如何能夠經過隧道或者翻譯裝置回送給源端以及如何將經過處理的報文發(fā)送到“理想的”出口；

第三點是需要考慮數據轉發(fā)層面的問題。諸如、報文分片機制 、overhead 大小、數據轉發(fā)流程等；

此外，過渡技術面臨的重要挑戰(zhàn)還有安全以及部署問題：在安全方面，需要考慮如何防止攻擊，如何加強對設備的控制； 翻譯裝置或者隧道端點位置的選擇、是否利于過渡部署對于過渡技術而言也十分重要。結合上述分析，根據待解決問題與適用場景的不同，分別對IPv4 over IPv6隧道技術、IPv6overIPv4隧道技術以及翻譯技術進行分析，并分析對比其中最有代表性、最具發(fā)展前景的的技術。

二、翻譯技術

目前而言，IVI 翻譯技術[2]是翻譯技術中最具部署前景的一項技術?；谔厥獾刂非熬Y的、無狀態(tài)的IPv4/ v6 翻譯技術就是IVI 技術。一般情況下，應用 IVI 技術的 ISP 的接入網絡為IPv6網絡。IVI 技術也可以幫助IPv4主機與IPv6 Internet 進行通信，在ISP 的IPv4接入網絡進行應用。但這中情況中，IVI 技術通常支持由IPv6主機發(fā)起的通信是唯一途徑。與 NAT64[3]等翻譯技術一樣，IVI 溝通了IPv6與IPv4不同協議族之間的通信。在數據轉發(fā)層面，NAT64，SIIT 與IVI 機制機制也比較相似，都面臨應用層網關解析凈荷地址語義問題。但與其他翻譯技術相比，IVI 獨具特色，如表 1所示。

① 地址映射方面。通信的無狀態(tài)和地址利用率高是由IVI 地址映射保持的。IVI 定義了特殊的地址格式（ ISPPrefix： FF：IPv4ADDR： ： ） ，從IPv6地址中取出一段與IPv4地址進行映射。而 NAT64 等技術進行地址映射時，需要大量的 NAT表項維護NAT的使用。這對可擴展性和狀態(tài)同步會有不良影響。1： N IVI 機制加入對端口信息的利用，可以無狀態(tài)實現地址復用的情況，是因為對地址利用率有更高要求。

② 路由控制方面。不同于 NAT64 等翻譯技術僅支持單向發(fā)起通信，由于IVI 地址映射以及路由機制，IVI 技術還支持雙向發(fā)起通信。 對于IPv4網絡發(fā)起通信的情況，配置了下一跳指向 IVI 翻譯裝置的IPv4路由器向IPv4網絡宣告地址的前綴，是參與 IVI 地址映射的IPv4地址塊前綴a。為翻譯裝置與目的IPv6主機構建通信交流的是IPv6網絡路由；目的主機與翻譯裝置之間通過IPv4網絡中的路由進行通信。IVI 的雙向通信在這種路由機制下是有條件的： ISP 接入網支持IPv6。如果 ISP 網絡為IPv4網絡，由于翻譯裝置在發(fā)起通信時無法獲取對端 ISP prefix 合成 IVI 的IPv6地址，因而不能完成通信需求。

三、IPv6overIPv4隧道技術

6to4 和 6rd 技術[4]是IPv6overIPv4隧道的研究中具有代表性的。6rd （IPv6Rapid Develop- ment） 技術應用場景主要包括一個或多個邊界中繼路由器（ BR）以及 6rd CE （ customer edge routers） 設備 ，如圖 1 所示。通過 CE 與 BR 之間的隧道實現 6rd 孤島網絡通過外界IPv6網絡與 ISP 的IPv4主干網的通信是6rd 機制的主要思想； 如圖 2 所示的是6to4 技術的應用場景，涉及的設備包括用作 6to4 孤島與純IPv6 Internet之間跨越IPv4 Internet 的通信以及 6to4 路由器的 6to4 中繼路由器。IPv4網絡是6rd 技術與 6to4 技術的共同接入網環(huán)境，都支持雙向發(fā)起的通信，都是無狀態(tài)的隧道技術，部署代價較小，有利于向IPv6的過渡。二者在隧道建立方面都采用了特殊地址格式來自動建立隧道。較為類似得還有轉發(fā)流程、上層協議字段設置等。應用場景方面，二者有所類似同時有所區(qū)別。6rd 技術相比于6to4 技術改進了在隧道建立、地址映射、安全等方面的不足，如表 2 所示。

① 隧道場景。不同于 6rd 支持跨越 ISP IPv4網絡通信場景，6to4 地址前綴是6to4 技術全球統(tǒng)一使用的 ，將跨越IPv4 Internet 的 6to4 子網和跨越IPv4 Internet 的 6to4 子網之間的通信場景與純IPv6網絡的通信場景，根據目標地址前綴區(qū)別對待： 跨越IPv4 Internet 的 6to4 孤島之間的通信需要在 6to4 路由器之間建立隧道實現； 通過 6to4 中繼路由器與6to4 路由器建立隧道實現 6to4 孤島與IPv6 Internet 的通信。

② 地址映射機制。 2002： ： /16是6to4 技術使用的特定前綴，側重于將 6to4 看作全球性的服務，運營商也可以在未獲得IPv6前綴的情況下應用 6to4 技術； SP 特定前綴被用作 6rd技術。

③ 路由控制層面。在路由發(fā)現方面兩者有著很大的區(qū)別的原因是地址映射機制的不同。對于IPv6孤島間通信，在通過IPv4網絡路由與隧道對端進行通信前，6to4 路由器先提取隧道對端IPv4地址； 對于IPv6 Internet 與IPv6孤島網絡通信的情況，尋找中繼路由器的方式是6to4 路由器任播。這就是在IPv6 Internet 在與 6to4 網絡通信的過程中無法將報文送到目標地址所在 ISP 的中繼路由器的原因。進而會導致6to4 技術成為一種盡力而為的服務的原因是脫離了SP 的控制； 而對于 6rd 技術，隧道對端的 6rd BR是CE 路由配置的下一跳指向，而通過IPv4網絡中的動態(tài)路由進行通信的是6rd BR 到 6rd CE 。使用ISP 地址前綴，在報文回送過程中大大提高了通信的可靠性，保證了報文能夠到達 ISP 控制范圍內的中繼路由器的。

④ 安全等其他方面。在安全方面，很容易受到攻擊，安全得不到保障是因為6to4中繼路由器不在ISP的控制區(qū)域內。這種情況還對過渡部署方面產生不利影響： 對于部署和提高服務質量，運營商缺乏動力。而6rd由于使用ISP 前綴，不僅更容易部署以及保障服務質量，還加強了運營商的控制。

四、IPv4 over IPv6隧道技術

需要IPv4 over IPv6隧道提供與外界（IPv4 Internet）的通信是近年來運營商考慮建設純IPv6接入網要面臨的問題之一。相關研究目前而言尚處于起步階段。本文重點結合具有CERNET實際部署經驗的 dIVI技術以及發(fā)展較為迅速的DSlite技術[5]對IPv4 over IPv6隧道技術進行分析。NAT技術與IPv4 over IPv6隧道技術的結合是DS-lite（ Dual StackLite）。DS-lite 通過IPv4 over IPv6隧道使IPv4報文穿越IPv6網絡到達一個位于骨干路由器的IPv4-IPv4的 NAT，而不是通過級連的 NAT 或 NAT-PT，如圖 3 所示。根據 B4 實現位置的不同，DS-lite可分為基于主機的DS- lite和基于網關的DS-lite。AFTR （ the DS-Lite Address Family Transition Router element）實現在運營商 CGN 等設備上，是運營商級別的IPv4-IPv4的NAT與隧道終點的結合。IPv6網絡直接進行轉發(fā)用戶的IPv6流量，不需要經過轉換； 而DS-lite 機制進行轉發(fā)用戶的IPv4流量，對用戶實現了輕量級雙棧。

而巧妙的利用了IVI技術進行兩次翻譯的dIVI技術實現跨越IPv6網絡的通信。在此，我們將dIVI技術的兩次翻譯與兩個翻譯裝置之間的IPv4 over IPv6隧道等效。如圖 4 所示，IPv4用戶端在dIVI應用場景中的系統(tǒng)與IPv6網絡之間，將IPv4報文翻譯為IPv6報文的方式是，采用1： 1無狀態(tài)部署家庭網關 IVI 翻譯器； 而在IPv4 Internet與IPv6網絡之間部署 1： N 無狀態(tài)的 IVI 翻譯裝置，將IPv6報文二次翻譯，完成與IPv4主機的通信。

都適用于ADSL、Ethernet、無線等場合，也都在一定程度上破壞了網絡端到端的設計原則的是DS-lite 技術和dIVI技術。同時，如表3所示，二者各具特點的方面包括地址映射、隧道建立方式、隧道端點位置等。

① 隧道建立方式。在隧道建立方式方面，DS-lite具有較好可擴展性，更強的靈活性。DS-lite 通過配置可以進行負載平衡，便于靈活設置隧道端點，能夠控制隧道運行得更好； dIVI機制大部分情況下要求所有流量都通過單一的結點，而且翻譯裝置也容易成為性能的瓶頸，是翻譯裝置部署位置等原因所致；

② 地址映射。dIVI地址映射節(jié)約地址空間的同時，保證無狀態(tài)通信是其一大優(yōu)勢，這一點與IVI特點類似； 而DS-lite機制對于IPv6地址格式沒有做特殊的要求，通過使用骨干路由器上的NAT，隧道對端地址的映射以及根據記錄進行公有IPv4地址的復用。大量的NAT表項需要AFTR維護，對可擴展性以及狀態(tài)同步會有不良影響。DS-lite機制相比于dIVI 機制而言在地址利用方面更加有優(yōu)勢，不僅避免了級聯NAT的使用，只在AFTR做一次NAT轉換，還在提高效率的同時，通過IPv6與IPv4地址的動態(tài)對應有力地解決了地址短缺問題；

③ 控制層面對通信方向的支持。DS-lite僅支持單向發(fā)起通信，而dIVI由于在地址映射機制中引入了NAT機制所以支持雙向發(fā)起的通信；

④ 是否同時解決互聯互通問題。在數據轉發(fā)層面，DSlite使得IPv4主機能夠跨越IPv4 Internet與IPv6網絡進行通信技術是依靠結合了NAT技術和隧道技術。不進行協議族之間翻譯的DS-lite，簡化了應用層網關的翻譯工作。dIVI機制是擴展的IVI機制，通過IPv4/IPv6/IPv4兩次翻譯，使得不同的IPv4網絡能夠實現IPv4與IPv6網絡之間的互通的同時也能夠跨越IPv6網絡進行通信，大大節(jié)約了成本，提高了運行效率。

5、IPv6過渡技術的應用和展望

筆者分類對比分析了具有代表性的過渡技術的應用場景、特色。在實際應用中，需要對過渡技術的特點有充分的認識，而看待過渡技術更重要的是應該以聯系與發(fā)展的眼光。一方面過渡技術被孤立的看待不正確的：采用過渡技術需要考慮到運營商自身情況以及過渡階段特點，不同種類過渡技術的應用往往也是相互關聯的；另一方面，在部署中涉及許多需要解決的問題也是尚未成熟的過渡技術需要考慮的。

在過去的十余年時間里，不同種類的過渡技術被各個運營商不斷嘗試采用以解決IPv6部署過程遇到的挑戰(zhàn)。這些過渡技術的應用都與運營商自身特點以及當時的過渡需求密切相關。筆者以CERNET和法國電信為例，結合二者較為成功的部署經驗進一步闡釋對過渡階段過渡技術的運用進行。

① CERNET

CERNET的CNGI - CERNET2是全球規(guī)模最大的純IPv6骨干網，但目前校園網主要還是以IPv4網絡。IPv6網絡是CERNET校園網的子網。共存問題和互通問題是CERNET校園網過渡存在的問題。如圖5所示，CERNET通過校園 IVI 翻譯技術，針對IPv6用戶訪問IPv4資源（ GlobalIPv4 Internet） 的應用場景，實現校園網內純IPv4子網與校園網內純IPv6子網用戶的應用互通；實現校園網外IPv4網絡（ GlobalIPv4 Internet）與校園網內純IPv6子網用戶的應用互通是通過主干 IVI翻譯技術實現的； 通過校園IVI和主干IVI兩次翻譯的dIVI技術解決共存問題，可實現校園網內純IPv4子網用戶跨越校園網外IPv4網絡（ GlobalIPv4 Internet）與IPv6 CERNET2 的應用相互通信。實現了互聯互通問題采用IVI得到解決的同時，采用dIVI技術高效地解決共存問題。

CERNET認識到IPv4網絡上發(fā)展需要通過隧道技術支持大量IPv6接入。CERNET 也根據自身優(yōu)勢，借鑒成功部署IVI的經驗，依靠dIVI 技術解決共存問題，進一步提高了運行效率，節(jié)約了部署成本。另一方面，IPv4地址嚴重短缺是在校園網過渡過程中，迫在眉睫的問題，而越來越多的IPv4地址因新業(yè)務的發(fā)展和客戶群的增大而需要，這也是CERNET目前所處過渡階段的特點。因此能夠馬上節(jié)約IPv4地址甚至允許回收部分已使用的IPv4地址是對于 CERNET 而言，IPv6階段部署方案需要首先考慮的問題。當前階段很多運營商面臨同樣的問題。 在這種前提下，CERNET保證無狀態(tài)通信的前提下最大限度的節(jié)約了IPv4地址的方法是在接入網采用了地址利用率較高的1： NIVI技術。

② 法國電信

MPLS技術[6]是法國電信IP骨干網采用的技術，Internet、VOIP、移動互聯網、IPTV 等業(yè)務是引入IPv6的主要業(yè)務驅動。信采用 DS-Lite 技術結合 6PE技術是法國電的過渡路線，如圖6所示。法國電信在骨干網采用 6PE 技術，結合自身已經部署MPLS的網絡特點，保留了網絡優(yōu)勢且改造成本低。而ISP并沒有部署MPLS網絡，所以不適用；現階段，法國電信需要大量的IPv4地址在家庭網關內部，而很多問題存在于級聯NAT技術的可擴展性、狀態(tài)同步方面。輕量級雙棧要依靠DS-lite技術本身通過升級家庭網關實現，不僅達到極高的IPv4地址利用率，還保持了無狀態(tài)的通信以及良好的可擴展性，使過渡進程大大加快了。

因此，法國電信接入網采用DS-Lite技術，并且為了支持DS-Lite需要對CPE設備進行改造。IPv4設備，IPv6設備或者IPv4/IPv6雙棧設備都可以作為CPE下連的設備。主干網采用 6PE技術實現IPv6 over MPLS隧道，是基于現在已經得到大規(guī)模部署的MPLS轉發(fā)平臺。此外主干網支持使用DS-Lite 的 v4 流量，還需要部署DS-Lite CGN設備。

結合以上分析與實例，可以看出結合過渡階段特點以及運營商自身特點是IPv6過渡技術的必要條件。而過渡技術的往往也是互相關聯的運用。目前較為有效的技術應用方案是對于現階段 ISP 而言，在考慮自身特點這一最為重要的前提下，跳過6 over 4階段，解決共存問題需要使骨干網支持IPv6，采用IPv4 over IPv6隧道技術，而解決互聯互通問題需要采用 IVI 技術。通過之前章節(jié)分析可以看出dIVI技術和DS-lite兩種4 over 6的隧道技術能夠有效的解決地址短缺問題。dIVI技術由于 IVI 翻譯裝置的部署不僅能解決共存問題，對于解決互聯互通問題也有很大的幫助。

六、結語

本文首先介紹了IPv6網絡過渡的背景，隨后分析了對過渡階段內技術層面的挑戰(zhàn)，并關注過渡技術適用的不同場景，介紹了國內國外最新的科研成果，分析和對比了過渡技術的不同種類，如翻譯技術、IPv4 overIPv6隧道技術以及IPv6overIPv4隧道技術等?；ヂ摼W發(fā)展的長期趨勢是ISP網絡向IPv6過渡。過渡過程中，不同場景下遇到的挑戰(zhàn)需要使用過渡技術解決。要多方面的考量包括適用場景的分析、地址格式的規(guī)約、控制層面、數據層面、安全以及可擴展性，是否易于部署等等過渡技術的問題。結合實際情況以及自身特點采用適合的過渡技術要建立在對過渡技術有了準確認識的基礎上。向IPv6過渡的必要條件是對過渡技術進行正確的分析、使用，使之發(fā)揮優(yōu)勢。

參 考 文 獻

[1] HUITEMA C. An anycast prefix for 6to4 relay routers[C]/ / RFC 3068. IETF，2001.

[2] LI X，BAO C X，ZHANG. Address-sharing stateless double IVI[C]/ / Draft-xli-behave-divi-02. IETF，2011.

[3] ZHU Y C，CHEN M K，ZHANG H，et al. Stateless mapping and multiplexing ofIPv4addresses in migration toIPv6internet[C]/ / Gobal Telecommunications Conference，2008： 2248-2252.

[4] Yong Cui，Jianping Wu stc. ，The transition toIPv6，Part II[J]. IEEE INTERNET COMPUTING，2006，10（ 5） ： 76-80.

[5] WU J P，CUI Y，LI X. The Transition toIPv6，Part I[J]. IEEE INTERNET COMPUTING. 2006，10（ 5） ： 80-85.

[6] JACQUENET C，SALL M. France telecomsIPv6strategy[C]/ / riNIC-11 Meeting. Mauritius，2009.