校園網(wǎng)由IPv4到IPv6的過渡技術(shù)淺析

常偉鵬 袁泉

[摘? ? 要] IPv6作為下一代互聯(lián)網(wǎng)協(xié)議，具有地址空間大、數(shù)據(jù)包轉(zhuǎn)發(fā)效率高、可靠性高、安全性高等特點。常見的IPv4到IPv6的過渡技術(shù)有雙棧、隧道、協(xié)議轉(zhuǎn)換等類型。三種過渡技術(shù)各有特點，分別適用于校園網(wǎng)的不同場景。校園網(wǎng)的IPv6過渡要依據(jù)網(wǎng)絡(luò)建設(shè)階段和校園網(wǎng)發(fā)展水平，組合選擇多種技術(shù)來實現(xiàn)校園網(wǎng)的安全、平穩(wěn)過渡。

[關(guān)鍵詞] 校園網(wǎng);過渡技術(shù);IPv6過渡

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 15. 071

[中圖分類號] TP393.1? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）15- 0160- 04

1? ? ? 引? ? 言

隨著物聯(lián)網(wǎng)、5G通信、大數(shù)據(jù)等新一代信息技術(shù)的蓬勃發(fā)展，人們對下一代互聯(lián)網(wǎng)的網(wǎng)絡(luò)規(guī)模和服務(wù)質(zhì)量都提出了一系列相當(dāng)高的要求。據(jù)預(yù)測，到2025年物聯(lián)網(wǎng)的連接數(shù)將超過270億[1]，而全球可供分配的IPv4地址已于2011年2月由互聯(lián)網(wǎng)地址分配機構(gòu)（IANA）分配完畢[2]，從現(xiàn)實來看，只有IPv6才能滿足新技術(shù)對網(wǎng)絡(luò)互聯(lián)的要求。在現(xiàn)階段開展互聯(lián)網(wǎng)協(xié)議從IPv4向IPv6過渡，推進IPv6在互聯(lián)網(wǎng)中的應(yīng)用與普及，在當(dāng)前的形勢下顯得尤為必要和迫切了。

2? ? ? IPv6及其特點

IPv6即互聯(lián)網(wǎng)協(xié)議第六版（Internet Protocol Version 6），是由國際互聯(lián)網(wǎng)工程任務(wù)組（IETF， Internet Engineering Task Force）設(shè)計的下一代IP協(xié)議，是現(xiàn)行IPv4協(xié)議的升級替代版本。由于IPv4存在地址空間有限、路由表空間過大、安全性與服務(wù)質(zhì)量無法保證等不足，導(dǎo)致IPv6被設(shè)計出并用于替代IPv4。

與IPv4相比，IPv6具有以下幾方面的特點：

（1）龐大的地址空間。IPv6的地址長度為128位，即擁有2^128個地址，地址容量是IPv4（2^32個）的約8×10^28倍，有能“給地球上的每一粒沙子都編上一個IP地址”的量級，有效解決了IPv4中網(wǎng)絡(luò)地址資源不足的問題。

（2）固定長度的報頭（Header）結(jié)構(gòu)。IPv6報頭固定長度為128位，將報頭區(qū)分為基本報頭和擴展報頭類型，對報頭的結(jié)構(gòu)進行簡化，減輕設(shè)備的分組處理開銷，提高數(shù)據(jù)包的轉(zhuǎn)發(fā)速率。

（3）簡化的路由表。IPv6地址在分配之初就嚴格遵循聚類（Aggregation）的原則，在路由表中可用一條記錄來標識相近的一片子網(wǎng)，大大減小了路由表的空間，縮短了路由的查找時間，提高了路由器的轉(zhuǎn)發(fā)的速度。

（4）更高的服務(wù)質(zhì)量QoS（Quality of Service）。IPv6報頭中通過“流標簽”字段的定義，使路由器在不對數(shù)據(jù)包進行解封裝的情況下，就可識別同一個流的數(shù)據(jù)包，并通過“優(yōu)先級”字段對需要特殊Qos的分組提供按需服務(wù)[3]。

（5）更高的安全性。IPv6內(nèi)置IPSec安全協(xié)議，采用認證頭AH（Authentication Head）進行數(shù)據(jù)校驗的方式來保證數(shù)據(jù)的完整性，并利用封裝安全負荷ESP（Encapsulated Security Platload）加密措施為數(shù)據(jù)進行加密處理，保證數(shù)據(jù)在端端傳輸過程中的安全性[4]。

（6）更強的移動性。IPv6的移動性可使移動終端在不同的網(wǎng)絡(luò)間漫游時，保持已建立的網(wǎng)絡(luò)連接不被中斷，在這一過程中，除目標網(wǎng)絡(luò)對移動終端不中斷外，移動終端對目標網(wǎng)絡(luò)也是不中斷的。

3? ? ? 常見的過渡技術(shù)

由于報頭結(jié)構(gòu)與地址空間等方面的巨大差異，IPv6協(xié)議和IPv4協(xié)議是無法兼容的，也就是說IPv6網(wǎng)絡(luò)無法直接與IPv4網(wǎng)絡(luò)進行通信。而現(xiàn)實中IPv4部署的廣泛性和影響的深遠性，使整個互聯(lián)網(wǎng)層面的IPv4全面過渡至IPv6成為一個長期而復(fù)雜的過程，這意味著在相當(dāng)長的一段時間里，IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)將相互共存，IPv6網(wǎng)絡(luò)不可避免的需要與IPv4網(wǎng)絡(luò)通信，甚至部分IPv6網(wǎng)絡(luò)之間的通信還需要依賴IPv4網(wǎng)絡(luò)。為順利的實現(xiàn)IPv4向IPv6的演進，IETF提出了雙協(xié)議棧（雙棧）、隧道和協(xié)議轉(zhuǎn)換三種過渡技術(shù)。

3.1? ?雙棧技術(shù)

雙棧技術(shù)是指網(wǎng)絡(luò)中的節(jié)點同時支持IPv4和IPv6兩種協(xié)議棧，當(dāng)目標地址是IPv4網(wǎng)絡(luò)時，使用IPv4協(xié)議棧，當(dāng)目標主機為IPv6網(wǎng)絡(luò)時，使用IPv6協(xié)議棧，從而實現(xiàn)與IPv4/IPv6網(wǎng)絡(luò)的通信。在TCP/IP協(xié)議簇中，IP協(xié)議屬于網(wǎng)絡(luò)層協(xié)議，IPv4和IPv6所使用的底層協(xié)議完全相同，其上層的TCP/UDP協(xié)議也基本相同，因此雙棧節(jié)點可以看成IPv4和IPv6兩個單棧節(jié)點的結(jié)合，見圖1。

雙棧技術(shù)是最早的、最簡單的過渡技術(shù)，還是其他IPv6過渡技術(shù)的基礎(chǔ)，畢竟不管采用何種過渡技術(shù)，拓撲中必須有支持雙棧技術(shù)節(jié)點的存在。但采用雙棧技術(shù)需要網(wǎng)絡(luò)中的節(jié)點都同時支持并配置IPv4和IPv6協(xié)議，相當(dāng)于維護一套IPv4網(wǎng)絡(luò)的同時還維護一套IPv6網(wǎng)絡(luò)，這種情況首先會增加網(wǎng)絡(luò)管理維護的復(fù)雜度，存在某些設(shè)備或系統(tǒng)因不支持雙棧而無法訪問IPv6網(wǎng)絡(luò)的情況;其次存在網(wǎng)絡(luò)安全風(fēng)險，與IPv4相比，IPv6的安全防范機制非常缺乏，安全防護技術(shù)仍未成熟[5];第三、雙棧技術(shù)并未解決IPv4地址短缺的問題[6]。

3.2? ?隧道技術(shù)

隧道技術(shù)實質(zhì)上就是一種封裝技術(shù)，是為了解決兩個孤立的IPv6網(wǎng)絡(luò)通過IPv4網(wǎng)絡(luò)進行通信的技術(shù)。將IPv4網(wǎng)絡(luò)作為隧道，隧道入口和出口節(jié)點均為雙棧節(jié)點，在隧道入口處路由器將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包之中，IPv4數(shù)據(jù)包的源地址和目的地址分別為隧道入口節(jié)點和出口節(jié)點的IPv4地址，在隧道出口處路由器將IPv4數(shù)據(jù)包進行解封再轉(zhuǎn)發(fā)給IPv6目的節(jié)點，通過該方式將兩個互相獨立的IPv6網(wǎng)絡(luò)連起來，隧道技術(shù)的工作原理如圖2所示。

隧道技術(shù)忽略隧道部分傳輸細節(jié)，只需要對隧道出入口設(shè)備進行設(shè)置，具有透明性強、操作簡便的特點。將孤立的網(wǎng)絡(luò)通過隧道進行連通，不僅適用于過渡初期階段IPv4網(wǎng)絡(luò)連接孤立的IPv6網(wǎng)絡(luò)，也適用于過渡后期階段用IPv6網(wǎng)絡(luò)連接孤立的IPv4網(wǎng)絡(luò)。但隧道技術(shù)的有一定的局限性，首先隧道封裝增加了報文的長度，增加了網(wǎng)絡(luò)維護的難度，因此不適合較大規(guī)模的應(yīng)用。其次隧道技術(shù)無法實現(xiàn)IPv4節(jié)點和IPv6節(jié)點之間的直接通信。第三為防范外部惡意攻擊，需要在隧道入口對封裝的數(shù)據(jù)進行過濾[7]，這會對隧道入口路由器的性能造成一定的影響。

3.3? ?協(xié)議轉(zhuǎn)換技術(shù)

協(xié)議轉(zhuǎn)換技術(shù)即網(wǎng)絡(luò)地址-協(xié)議轉(zhuǎn)換技術(shù)（NAT-PT），通過連接在IPv4和IPv6網(wǎng)絡(luò)中間的轉(zhuǎn)換器修改IP數(shù)據(jù)包報文頭部信息，實現(xiàn)協(xié)議轉(zhuǎn)化，從而實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互通。轉(zhuǎn)換器除了進行地址映射轉(zhuǎn)換外，還進行報文格式的轉(zhuǎn)換。協(xié)議轉(zhuǎn)換技術(shù)的原理如圖3所示。

協(xié)議轉(zhuǎn)換技術(shù)在不對原有IPv4和IPv6節(jié)點進行改造升級的情況下，可實現(xiàn)IPv4和IPv6網(wǎng)絡(luò)節(jié)點之間的直接通信，對原有網(wǎng)絡(luò)改造影響小，IPv4地址不足的問題得到了解決。另外地址-協(xié)議轉(zhuǎn)換這種模式，對網(wǎng)絡(luò)中的節(jié)點而言具有一定的安全防護功能。但該模式實現(xiàn)方式較為復(fù)雜，地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換產(chǎn)生的開銷大，對網(wǎng)絡(luò)時延有一定影響，當(dāng)存在大量轉(zhuǎn)換時，容易產(chǎn)生網(wǎng)絡(luò)瓶頸，制約網(wǎng)絡(luò)性能，因此不適合在較大規(guī)模網(wǎng)絡(luò)中采用。

3.4? ?三種過渡技術(shù)的總結(jié)

雙棧技術(shù)、隧道技術(shù)、協(xié)議轉(zhuǎn)換技術(shù)三種過渡技術(shù)各有特點。雙棧技術(shù)原理最簡單，也是其他過渡技術(shù)的基礎(chǔ)，但其會增加網(wǎng)絡(luò)管理和維護的復(fù)雜度，適用于中小型網(wǎng)絡(luò);隧道技術(shù)操作簡便，可以實現(xiàn)完全隔離的兩個IPv6網(wǎng)絡(luò)之間的訪問，但其無法完成IPv4和IPv6之間的互通，此外隧道本身可能會造成內(nèi)部IPv6封包傳輸?shù)墓收?。協(xié)議轉(zhuǎn)換技術(shù)用于實現(xiàn)IPv6和IPv4網(wǎng)絡(luò)之間的通信，同時還兼具安全防護的功能，但依賴于協(xié)議轉(zhuǎn)換設(shè)備的性能，僅適用于較小規(guī)模的網(wǎng)絡(luò)場景。三種過渡技術(shù)的總結(jié)對比如表1所示。

4? ? ? 過渡技術(shù)在校園網(wǎng)中的應(yīng)用

校園網(wǎng)作為一種典型的企業(yè)網(wǎng)，具有用戶體量大、應(yīng)用種類多、業(yè)務(wù)依賴強、安全要求高等特點，為高校教學(xué)、科研、管理和服務(wù)業(yè)務(wù)開展提供基礎(chǔ)性保障。校園網(wǎng)的IPv6過渡方案可綜合選擇多種技術(shù)共同使用。

（1）目前校園網(wǎng)中的大多數(shù)網(wǎng)絡(luò)設(shè)備均已支持IPv4/IPv6雙棧，并且用戶終端也幾乎都支持雙棧技術(shù)，另外由于其技術(shù)最為簡單，并且即可與IPv4又可與IPv6通信，因此雙棧技術(shù)可以作為校園網(wǎng)中應(yīng)用最為廣泛的IPv6過渡技術(shù)。

（2）校園網(wǎng)中的設(shè)備參差不齊，在部分校園網(wǎng)中存在不支持雙棧的網(wǎng)絡(luò)設(shè)備，在此情況下，采用隧道技術(shù)實現(xiàn)兩端雙棧網(wǎng)絡(luò)的互通，隧道兩端IPv6網(wǎng)絡(luò)互訪時可使用隧道，IPv4網(wǎng)絡(luò)互訪時直接可使用IPv4鏈路。

（3）數(shù)據(jù)中心內(nèi)部復(fù)雜的結(jié)構(gòu)、部分設(shè)備或業(yè)務(wù)系統(tǒng)對IPv6的支持程度，增加了在數(shù)據(jù)中心內(nèi)部全面部署IPv6的難度。此外較之IPv4的網(wǎng)絡(luò)安全，IPv6的安全技術(shù)仍未成熟、安全體系仍未健全，因此可采用協(xié)議轉(zhuǎn)換技術(shù)，通過部署協(xié)議轉(zhuǎn)換（翻譯、反向代理）設(shè)備，在保持數(shù)據(jù)中心內(nèi)部不發(fā)生變動的情況下，實現(xiàn)數(shù)據(jù)中心內(nèi)部（IPv4）與IPv6網(wǎng)絡(luò)的互通。此舉措一方面可保證數(shù)據(jù)中心仍采用基于IPv4的較為成熟的網(wǎng)絡(luò)安全防護技術(shù)，更大程度上確保了數(shù)據(jù)中心的網(wǎng)絡(luò)安全，另一方面確保數(shù)據(jù)中心IPv6部署的緩慢、平穩(wěn)升級。

5? ? ? 小? ? 結(jié)

校園網(wǎng)IPv6過渡是一個長期的過程，在相當(dāng)長的一段時間校園網(wǎng)里都會是IPv4和IPv6共存的狀態(tài)，綜合采多種過渡技術(shù)，保障校園網(wǎng)由IPv4向IPv6順利過渡，是下一階段校園網(wǎng)管理維護的重要任務(wù)。本文對常見的IPv4向IPv6的過渡技術(shù)進行梳理與總結(jié)，并對各種過渡技術(shù)在校園網(wǎng)中的應(yīng)用方式進行探討，以期對高校的IPv6部署提供參考。

主要參考文獻

[1]盧斌.物聯(lián)網(wǎng)技術(shù)業(yè)務(wù)思考和展望[J]，移動通信，2017（1）：17-20.

[2]中國互聯(lián)網(wǎng)絡(luò)信息中心.第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》[R].2018-08-20.

[3]陳波，王莉，肖璐，等.校園網(wǎng)IPv6部署與實踐初探[J].電腦知識與技術(shù)，2018（14）：33，35.

[4]廖姍姍.校園網(wǎng)用戶管理在大數(shù)據(jù)時代下的應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2011（5）：89.

[5]蘇愛平，杜文培.關(guān)于廣電網(wǎng)絡(luò)IPv6改造方案的探討[J].通訊世界，2019（2）：52-55.

[6]吳海博，韓康.隧道技術(shù)與協(xié)議轉(zhuǎn)換相融合的IPv6過渡技術(shù)研究[J].科研信息化技術(shù)與應(yīng)用，2018（1）：30-37.

[7]郁楊.IPv4向IPv6的過渡技術(shù)淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（3）：163，167.