常偉鵬 袁泉

[摘? ? 要] IPv6作為下一代互聯(lián)網(wǎng)協(xié)議，具有地址空間大、數(shù)據(jù)包轉(zhuǎn)發(fā)效率高、可靠性高、安全性高等特點(diǎn)。常見(jiàn)的IPv4到IPv6的過(guò)渡技術(shù)有雙棧、隧道、協(xié)議轉(zhuǎn)換等類型。三種過(guò)渡技術(shù)各有特點(diǎn)，分別適用于校園網(wǎng)的不同場(chǎng)景。校園網(wǎng)的IPv6過(guò)渡要依據(jù)網(wǎng)絡(luò)建設(shè)階段和校園網(wǎng)發(fā)展水平，組合選擇多種技術(shù)來(lái)實(shí)現(xiàn)校園網(wǎng)的安全、平穩(wěn)過(guò)渡。

[關(guān)鍵詞] 校園網(wǎng);過(guò)渡技術(shù);IPv6過(guò)渡

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 15. 071

[中圖分類號(hào)] TP393.1? ? [文獻(xiàn)標(biāo)識(shí)碼]? A? ? ? [文章編號(hào)]? 1673 - 0194（2019）15- 0160- 04

1? ? ? 引? ? 言

隨著物聯(lián)網(wǎng)、5G通信、大數(shù)據(jù)等新一代信息技術(shù)的蓬勃發(fā)展，人們對(duì)下一代互聯(lián)網(wǎng)的網(wǎng)絡(luò)規(guī)模和服務(wù)質(zhì)量都提出了一系列相當(dāng)高的要求。據(jù)預(yù)測(cè)，到2025年物聯(lián)網(wǎng)的連接數(shù)將超過(guò)270億[1]，而全球可供分配的IPv4地址已于2011年2月由互聯(lián)網(wǎng)地址分配機(jī)構(gòu)（IANA）分配完畢[2]，從現(xiàn)實(shí)來(lái)看，只有IPv6才能滿足新技術(shù)對(duì)網(wǎng)絡(luò)互聯(lián)的要求。在現(xiàn)階段開(kāi)展互聯(lián)網(wǎng)協(xié)議從IPv4向IPv6過(guò)渡，推進(jìn)IPv6在互聯(lián)網(wǎng)中的應(yīng)用與普及，在當(dāng)前的形勢(shì)下顯得尤為必要和迫切了。

2? ? ? IPv6及其特點(diǎn)

IPv6即互聯(lián)網(wǎng)協(xié)議第六版（Internet Protocol Version 6），是由國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（IETF， Internet Engineering Task Force）設(shè)計(jì)的下一代IP協(xié)議，是現(xiàn)行IPv4協(xié)議的升級(jí)替代版本。由于IPv4存在地址空間有限、路由表空間過(guò)大、安全性與服務(wù)質(zhì)量無(wú)法保證等不足，導(dǎo)致IPv6被設(shè)計(jì)出并用于替代IPv4。

與IPv4相比，IPv6具有以下幾方面的特點(diǎn)：

（1）龐大的地址空間。IPv6的地址長(zhǎng)度為128位，即擁有2^128個(gè)地址，地址容量是IPv4（2^32個(gè)）的約8×10^28倍，有能“給地球上的每一粒沙子都編上一個(gè)IP地址”的量級(jí)，有效解決了IPv4中網(wǎng)絡(luò)地址資源不足的問(wèn)題。

（2）固定長(zhǎng)度的報(bào)頭（Header）結(jié)構(gòu)。IPv6報(bào)頭固定長(zhǎng)度為128位，將報(bào)頭區(qū)分為基本報(bào)頭和擴(kuò)展報(bào)頭類型，對(duì)報(bào)頭的結(jié)構(gòu)進(jìn)行簡(jiǎn)化，減輕設(shè)備的分組處理開(kāi)銷，提高數(shù)據(jù)包的轉(zhuǎn)發(fā)速率。

（3）簡(jiǎn)化的路由表。IPv6地址在分配之初就嚴(yán)格遵循聚類（Aggregation）的原則，在路由表中可用一條記錄來(lái)標(biāo)識(shí)相近的一片子網(wǎng)，大大減小了路由表的空間，縮短了路由的查找時(shí)間，提高了路由器的轉(zhuǎn)發(fā)的速度。

（4）更高的服務(wù)質(zhì)量QoS（Quality of Service）。IPv6報(bào)頭中通過(guò)“流標(biāo)簽”字段的定義，使路由器在不對(duì)數(shù)據(jù)包進(jìn)行解封裝的情況下，就可識(shí)別同一個(gè)流的數(shù)據(jù)包，并通過(guò)“優(yōu)先級(jí)”字段對(duì)需要特殊Qos的分組提供按需服務(wù)[3]。

（5）更高的安全性。IPv6內(nèi)置IPSec安全協(xié)議，采用認(rèn)證頭AH（Authentication Head）進(jìn)行數(shù)據(jù)校驗(yàn)的方式來(lái)保證數(shù)據(jù)的完整性，并利用封裝安全負(fù)荷ESP（Encapsulated Security Platload）加密措施為數(shù)據(jù)進(jìn)行加密處理，保證數(shù)據(jù)在端端傳輸過(guò)程中的安全性[4]。

（6）更強(qiáng)的移動(dòng)性。IPv6的移動(dòng)性可使移動(dòng)終端在不同的網(wǎng)絡(luò)間漫游時(shí)，保持已建立的網(wǎng)絡(luò)連接不被中斷，在這一過(guò)程中，除目標(biāo)網(wǎng)絡(luò)對(duì)移動(dòng)終端不中斷外，移動(dòng)終端對(duì)目標(biāo)網(wǎng)絡(luò)也是不中斷的。

3? ? ? 常見(jiàn)的過(guò)渡技術(shù)

由于報(bào)頭結(jié)構(gòu)與地址空間等方面的巨大差異，IPv6協(xié)議和IPv4協(xié)議是無(wú)法兼容的，也就是說(shuō)IPv6網(wǎng)絡(luò)無(wú)法直接與IPv4網(wǎng)絡(luò)進(jìn)行通信。而現(xiàn)實(shí)中IPv4部署的廣泛性和影響的深遠(yuǎn)性，使整個(gè)互聯(lián)網(wǎng)層面的IPv4全面過(guò)渡至IPv6成為一個(gè)長(zhǎng)期而復(fù)雜的過(guò)程，這意味著在相當(dāng)長(zhǎng)的一段時(shí)間里，IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)將相互共存，IPv6網(wǎng)絡(luò)不可避免的需要與IPv4網(wǎng)絡(luò)通信，甚至部分IPv6網(wǎng)絡(luò)之間的通信還需要依賴IPv4網(wǎng)絡(luò)。為順利的實(shí)現(xiàn)IPv4向IPv6的演進(jìn)，IETF提出了雙協(xié)議棧（雙棧）、隧道和協(xié)議轉(zhuǎn)換三種過(guò)渡技術(shù)。

3.1? ?雙棧技術(shù)

雙棧技術(shù)是指網(wǎng)絡(luò)中的節(jié)點(diǎn)同時(shí)支持IPv4和IPv6兩種協(xié)議棧，當(dāng)目標(biāo)地址是IPv4網(wǎng)絡(luò)時(shí)，使用IPv4協(xié)議棧，當(dāng)目標(biāo)主機(jī)為IPv6網(wǎng)絡(luò)時(shí)，使用IPv6協(xié)議棧，從而實(shí)現(xiàn)與IPv4/IPv6網(wǎng)絡(luò)的通信。在TCP/IP協(xié)議簇中，IP協(xié)議屬于網(wǎng)絡(luò)層協(xié)議，IPv4和IPv6所使用的底層協(xié)議完全相同，其上層的TCP/UDP協(xié)議也基本相同，因此雙棧節(jié)點(diǎn)可以看成IPv4和IPv6兩個(gè)單棧節(jié)點(diǎn)的結(jié)合，見(jiàn)圖1。

雙棧技術(shù)是最早的、最簡(jiǎn)單的過(guò)渡技術(shù)，還是其他IPv6過(guò)渡技術(shù)的基礎(chǔ)，畢竟不管采用何種過(guò)渡技術(shù)，拓?fù)渲斜仨氂兄С蛛p棧技術(shù)節(jié)點(diǎn)的存在。但采用雙棧技術(shù)需要網(wǎng)絡(luò)中的節(jié)點(diǎn)都同時(shí)支持并配置IPv4和IPv6協(xié)議，相當(dāng)于維護(hù)一套IPv4網(wǎng)絡(luò)的同時(shí)還維護(hù)一套IPv6網(wǎng)絡(luò)，這種情況首先會(huì)增加網(wǎng)絡(luò)管理維護(hù)的復(fù)雜度，存在某些設(shè)備或系統(tǒng)因不支持雙棧而無(wú)法訪問(wèn)IPv6網(wǎng)絡(luò)的情況;其次存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，與IPv4相比，IPv6的安全防范機(jī)制非常缺乏，安全防護(hù)技術(shù)仍未成熟[5];第三、雙棧技術(shù)并未解決IPv4地址短缺的問(wèn)題[6]。

3.2? ?隧道技術(shù)

隧道技術(shù)實(shí)質(zhì)上就是一種封裝技術(shù)，是為了解決兩個(gè)孤立的IPv6網(wǎng)絡(luò)通過(guò)IPv4網(wǎng)絡(luò)進(jìn)行通信的技術(shù)。將IPv4網(wǎng)絡(luò)作為隧道，隧道入口和出口節(jié)點(diǎn)均為雙棧節(jié)點(diǎn)，在隧道入口處路由器將IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包之中，IPv4數(shù)據(jù)包的源地址和目的地址分別為隧道入口節(jié)點(diǎn)和出口節(jié)點(diǎn)的IPv4地址，在隧道出口處路由器將IPv4數(shù)據(jù)包進(jìn)行解封再轉(zhuǎn)發(fā)給IPv6目的節(jié)點(diǎn)，通過(guò)該方式將兩個(gè)互相獨(dú)立的IPv6網(wǎng)絡(luò)連起來(lái)，隧道技術(shù)的工作原理如圖2所示。

隧道技術(shù)忽略隧道部分傳輸細(xì)節(jié)，只需要對(duì)隧道出入口設(shè)備進(jìn)行設(shè)置，具有透明性強(qiáng)、操作簡(jiǎn)便的特點(diǎn)。將孤立的網(wǎng)絡(luò)通過(guò)隧道進(jìn)行連通，不僅適用于過(guò)渡初期階段IPv4網(wǎng)絡(luò)連接孤立的IPv6網(wǎng)絡(luò)，也適用于過(guò)渡后期階段用IPv6網(wǎng)絡(luò)連接孤立的IPv4網(wǎng)絡(luò)。但隧道技術(shù)的有一定的局限性，首先隧道封裝增加了報(bào)文的長(zhǎng)度，增加了網(wǎng)絡(luò)維護(hù)的難度，因此不適合較大規(guī)模的應(yīng)用。其次隧道技術(shù)無(wú)法實(shí)現(xiàn)IPv4節(jié)點(diǎn)和IPv6節(jié)點(diǎn)之間的直接通信。第三為防范外部惡意攻擊，需要在隧道入口對(duì)封裝的數(shù)據(jù)進(jìn)行過(guò)濾[7]，這會(huì)對(duì)隧道入口路由器的性能造成一定的影響。

3.3? ?協(xié)議轉(zhuǎn)換技術(shù)

協(xié)議轉(zhuǎn)換技術(shù)即網(wǎng)絡(luò)地址-協(xié)議轉(zhuǎn)換技術(shù)（NAT-PT），通過(guò)連接在IPv4和IPv6網(wǎng)絡(luò)中間的轉(zhuǎn)換器修改IP數(shù)據(jù)包報(bào)文頭部信息，實(shí)現(xiàn)協(xié)議轉(zhuǎn)化，從而實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)的互通。轉(zhuǎn)換器除了進(jìn)行地址映射轉(zhuǎn)換外，還進(jìn)行報(bào)文格式的轉(zhuǎn)換。協(xié)議轉(zhuǎn)換技術(shù)的原理如圖3所示。

協(xié)議轉(zhuǎn)換技術(shù)在不對(duì)原有IPv4和IPv6節(jié)點(diǎn)進(jìn)行改造升級(jí)的情況下，可實(shí)現(xiàn)IPv4和IPv6網(wǎng)絡(luò)節(jié)點(diǎn)之間的直接通信，對(duì)原有網(wǎng)絡(luò)改造影響小，IPv4地址不足的問(wèn)題得到了解決。另外地址-協(xié)議轉(zhuǎn)換這種模式，對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)而言具有一定的安全防護(hù)功能。但該模式實(shí)現(xiàn)方式較為復(fù)雜，地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換產(chǎn)生的開(kāi)銷大，對(duì)網(wǎng)絡(luò)時(shí)延有一定影響，當(dāng)存在大量轉(zhuǎn)換時(shí)，容易產(chǎn)生網(wǎng)絡(luò)瓶頸，制約網(wǎng)絡(luò)性能，因此不適合在較大規(guī)模網(wǎng)絡(luò)中采用。

3.4? ?三種過(guò)渡技術(shù)的總結(jié)

雙棧技術(shù)、隧道技術(shù)、協(xié)議轉(zhuǎn)換技術(shù)三種過(guò)渡技術(shù)各有特點(diǎn)。雙棧技術(shù)原理最簡(jiǎn)單，也是其他過(guò)渡技術(shù)的基礎(chǔ)，但其會(huì)增加網(wǎng)絡(luò)管理和維護(hù)的復(fù)雜度，適用于中小型網(wǎng)絡(luò);隧道技術(shù)操作簡(jiǎn)便，可以實(shí)現(xiàn)完全隔離的兩個(gè)IPv6網(wǎng)絡(luò)之間的訪問(wèn)，但其無(wú)法完成IPv4和IPv6之間的互通，此外隧道本身可能會(huì)造成內(nèi)部IPv6封包傳輸?shù)墓收?。協(xié)議轉(zhuǎn)換技術(shù)用于實(shí)現(xiàn)IPv6和IPv4網(wǎng)絡(luò)之間的通信，同時(shí)還兼具安全防護(hù)的功能，但依賴于協(xié)議轉(zhuǎn)換設(shè)備的性能，僅適用于較小規(guī)模的網(wǎng)絡(luò)場(chǎng)景。三種過(guò)渡技術(shù)的總結(jié)對(duì)比如表1所示。

4? ? ? 過(guò)渡技術(shù)在校園網(wǎng)中的應(yīng)用

校園網(wǎng)作為一種典型的企業(yè)網(wǎng)，具有用戶體量大、應(yīng)用種類多、業(yè)務(wù)依賴強(qiáng)、安全要求高等特點(diǎn)，為高校教學(xué)、科研、管理和服務(wù)業(yè)務(wù)開(kāi)展提供基礎(chǔ)性保障。校園網(wǎng)的IPv6過(guò)渡方案可綜合選擇多種技術(shù)共同使用。

（1）目前校園網(wǎng)中的大多數(shù)網(wǎng)絡(luò)設(shè)備均已支持IPv4/IPv6雙棧，并且用戶終端也幾乎都支持雙棧技術(shù)，另外由于其技術(shù)最為簡(jiǎn)單，并且即可與IPv4又可與IPv6通信，因此雙棧技術(shù)可以作為校園網(wǎng)中應(yīng)用最為廣泛的IPv6過(guò)渡技術(shù)。

（2）校園網(wǎng)中的設(shè)備參差不齊，在部分校園網(wǎng)中存在不支持雙棧的網(wǎng)絡(luò)設(shè)備，在此情況下，采用隧道技術(shù)實(shí)現(xiàn)兩端雙棧網(wǎng)絡(luò)的互通，隧道兩端IPv6網(wǎng)絡(luò)互訪時(shí)可使用隧道，IPv4網(wǎng)絡(luò)互訪時(shí)直接可使用IPv4鏈路。

（3）數(shù)據(jù)中心內(nèi)部復(fù)雜的結(jié)構(gòu)、部分設(shè)備或業(yè)務(wù)系統(tǒng)對(duì)IPv6的支持程度，增加了在數(shù)據(jù)中心內(nèi)部全面部署IPv6的難度。此外較之IPv4的網(wǎng)絡(luò)安全，IPv6的安全技術(shù)仍未成熟、安全體系仍未健全，因此可采用協(xié)議轉(zhuǎn)換技術(shù)，通過(guò)部署協(xié)議轉(zhuǎn)換（翻譯、反向代理）設(shè)備，在保持?jǐn)?shù)據(jù)中心內(nèi)部不發(fā)生變動(dòng)的情況下，實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部（IPv4）與IPv6網(wǎng)絡(luò)的互通。此舉措一方面可保證數(shù)據(jù)中心仍采用基于IPv4的較為成熟的網(wǎng)絡(luò)安全防護(hù)技術(shù)，更大程度上確保了數(shù)據(jù)中心的網(wǎng)絡(luò)安全，另一方面確保數(shù)據(jù)中心IPv6部署的緩慢、平穩(wěn)升級(jí)。

5? ? ? 小? ? 結(jié)

校園網(wǎng)IPv6過(guò)渡是一個(gè)長(zhǎng)期的過(guò)程，在相當(dāng)長(zhǎng)的一段時(shí)間校園網(wǎng)里都會(huì)是IPv4和IPv6共存的狀態(tài)，綜合采多種過(guò)渡技術(shù)，保障校園網(wǎng)由IPv4向IPv6順利過(guò)渡，是下一階段校園網(wǎng)管理維護(hù)的重要任務(wù)。本文對(duì)常見(jiàn)的IPv4向IPv6的過(guò)渡技術(shù)進(jìn)行梳理與總結(jié)，并對(duì)各種過(guò)渡技術(shù)在校園網(wǎng)中的應(yīng)用方式進(jìn)行探討，以期對(duì)高校的IPv6部署提供參考。

主要參考文獻(xiàn)

[1]盧斌.物聯(lián)網(wǎng)技術(shù)業(yè)務(wù)思考和展望[J]，移動(dòng)通信，2017（1）：17-20.

[2]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.第42次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[R].2018-08-20.

[3]陳波，王莉，肖璐，等.校園網(wǎng)IPv6部署與實(shí)踐初探[J].電腦知識(shí)與技術(shù)，2018（14）：33，35.

[4]廖姍姍.校園網(wǎng)用戶管理在大數(shù)據(jù)時(shí)代下的應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2011（5）：89.

[5]蘇愛(ài)平，杜文培.關(guān)于廣電網(wǎng)絡(luò)IPv6改造方案的探討[J].通訊世界，2019（2）：52-55.

[6]吳海博，韓康.隧道技術(shù)與協(xié)議轉(zhuǎn)換相融合的IPv6過(guò)渡技術(shù)研究[J].科研信息化技術(shù)與應(yīng)用，2018（1）：30-37.

[7]郁楊.IPv4向IPv6的過(guò)渡技術(shù)淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（3）：163，167.