李彬 刁燕燕 宋善坤

摘要：目前大多數(shù)企業(yè)都已在其內(nèi)部網(wǎng)絡(luò)中部署應(yīng)用IPv6技術(shù)，但由于IPv6本身不兼容IPv4，現(xiàn)階段大規(guī)模部署IPv6還面臨不少挑戰(zhàn)。本文將以國(guó)家電網(wǎng)下屬某市供電公司為例，介紹使用IPv6 AFT過渡技術(shù)將公司內(nèi)部的IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)進(jìn)行互通互訪，實(shí)現(xiàn)IPv6/IPV4網(wǎng)絡(luò)共存，為后續(xù)IPv6網(wǎng)絡(luò)大規(guī)模部署應(yīng)用打下基礎(chǔ)。

關(guān)鍵詞：IPv4;IPv6;地址族轉(zhuǎn)換;過渡技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）07-0043-02

0 引言

眾所周知，目前所使用的IPv4網(wǎng)絡(luò)協(xié)議存在著地址資源匱乏、安全性不高等缺陷，嚴(yán)重阻礙了信息網(wǎng)絡(luò)產(chǎn)業(yè)的發(fā)展[1]。黨中央、國(guó)務(wù)院為開展建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略部署，要求各部門各地區(qū)加快推進(jìn)IPv6的規(guī)模部署[2]。由于IPv6和IPv4技術(shù)的互不兼容性，要從現(xiàn)有的純IPv4網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)向以IPv6為基礎(chǔ)的下一代互聯(lián)網(wǎng)過渡將是一個(gè)漫長(zhǎng)復(fù)雜的過程[3]。

本文以國(guó)家電網(wǎng)公司下屬某市供電公司信息網(wǎng)絡(luò)IPv6改造初期業(yè)務(wù)場(chǎng)景為例，研究利用地址翻譯AFT技術(shù)實(shí)現(xiàn)IPv6網(wǎng)絡(luò)終端用戶訪問IPv4網(wǎng)絡(luò)業(yè)務(wù)時(shí)的數(shù)據(jù)交互過程、協(xié)議轉(zhuǎn)換方式等，為后續(xù)IPv6網(wǎng)絡(luò)的大規(guī)模推廣部署提供有效的理論基礎(chǔ)和實(shí)踐依據(jù)。

1 網(wǎng)絡(luò)現(xiàn)狀

國(guó)家電網(wǎng)公司信息網(wǎng)絡(luò)作為其單位內(nèi)部信息化系統(tǒng)交互的基礎(chǔ)平臺(tái)，主要承載員工日常辦公所需的ERP、OA、財(cái)務(wù)、營(yíng)銷等系統(tǒng)。該網(wǎng)絡(luò)三級(jí)模式部署，分為公司總部、省級(jí)分公司和市級(jí)分公司，各區(qū)域網(wǎng)絡(luò)通過內(nèi)部自建廣域網(wǎng)絡(luò)互聯(lián)。

國(guó)家電網(wǎng)公司信息系統(tǒng)兩級(jí)部署，總部部署郵件、協(xié)同辦公等業(yè)務(wù)，省公司部署ERP、門戶、營(yíng)銷等業(yè)務(wù)，市公司本地只部署DNS、FTP等基礎(chǔ)應(yīng)用?？偛考案鲉挝煌ㄟ^廣域網(wǎng)進(jìn)行互聯(lián)，各終端用戶通過廣域網(wǎng)絡(luò)集中訪問總部或省公司業(yè)務(wù)系統(tǒng)。所有信息網(wǎng)絡(luò)均運(yùn)行IPv4協(xié)議。

2 業(yè)務(wù)需求

某市供電公司計(jì)劃將網(wǎng)絡(luò)中部分IPv4用戶終端改造為運(yùn)行IPv6協(xié)議終端，其它網(wǎng)絡(luò)仍運(yùn)行IPv4協(xié)議。要求IPv6用戶終端能夠進(jìn)行正常辦公需求，訪問省公司或國(guó)網(wǎng)公司IPv4業(yè)務(wù)系統(tǒng)。為保證網(wǎng)絡(luò)訪問安全性，IPv6訪問IPv4業(yè)務(wù)系統(tǒng)需做到記錄可溯源。且需考慮未來業(yè)務(wù)系統(tǒng)改造為IPv6情況。

3 方案設(shè)計(jì)

3.1 拓?fù)湓O(shè)計(jì)

如圖1所示，改造后的網(wǎng)絡(luò)中新增路由器設(shè)備作為IPv4和IPv6網(wǎng)絡(luò)邊界，部署支持IPv6協(xié)議棧的匯聚交換機(jī)作為用戶終端網(wǎng)關(guān)設(shè)備。各IPv6用戶終端與匯聚交換機(jī)互聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)接入。

3.2 技術(shù)選型

目前IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)互訪主要采用地址翻譯技術(shù)，在網(wǎng)絡(luò)邊界將IP數(shù)據(jù)包頭地址信息進(jìn)行轉(zhuǎn)換。地址翻譯技術(shù)分為NAT-PT（附帶協(xié)議轉(zhuǎn)換的網(wǎng)絡(luò)地址轉(zhuǎn)換）和AFT（地址族轉(zhuǎn)換）兩種。

IP地址報(bào)文頭部地址轉(zhuǎn)換對(duì)于普通應(yīng)用層協(xié)議來說，不影響業(yè)務(wù)運(yùn)行。但是針對(duì)一些報(bào)文中攜帶地址和端口信息的特殊應(yīng)用，就不能進(jìn)行有效轉(zhuǎn)換，導(dǎo)致無法正常運(yùn)行。此問題可以采用ALG（應(yīng)用級(jí)網(wǎng)關(guān)）技術(shù)解決，ALG可以通過對(duì)報(bào)文中的載荷信息進(jìn)行解析，改變封裝在其中的地址和端口信息，實(shí)現(xiàn)應(yīng)用的正常訪問。

由于NAT-PT動(dòng)態(tài)映射無固定對(duì)應(yīng)關(guān)系，靜態(tài)映射需手工配置，不適用與映射關(guān)系較多場(chǎng)景;AFT動(dòng)態(tài)映射，關(guān)系固定，無需手工配置;ALG技術(shù)適用于特殊應(yīng)用地址端口信息轉(zhuǎn)換。結(jié)合某市供電公司現(xiàn)有及后期發(fā)展需求，本文IPv6與IPv4互訪采用AFT+ALG方案。

3.3 實(shí)現(xiàn)方式

3.3.1 地址規(guī)劃（表1）

3.3.2 設(shè)備配置

（1）路由器、IPv6匯聚交換機(jī)基礎(chǔ)互聯(lián)管理配置;（2）客戶端IPv6地址、掩碼及DNS配置;（3）路由器與IPv4網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)互聯(lián)接口使能AFT功能;（4）配置DNS64前綴;（5）配置IVI前置;（6）以ACL方式配置IPv4側(cè)到IPv6側(cè)的AFT轉(zhuǎn)換策略;（7）路由器上使能DNS協(xié)議的ALG功能，用于IPv6與IPv4之間交互DNS數(shù)據(jù)包時(shí)的，A記錄與AAAA記錄轉(zhuǎn)換。

3.3.3 業(yè)務(wù)流程

（1）IPv6主機(jī)FEC 0：1：：1主機(jī)訪問portal.sgcc.com.cn;（2）DNS-ALG收到來自客戶端IPv6的DNS請(qǐng)求;（3）對(duì)request進(jìn)行報(bào)文處理，將資源記錄的type值從AAAA修改為A;（4）將請(qǐng)求轉(zhuǎn)交上級(jí)的IPv4 DNS;（5）收到response，判斷返回的IPv4地址是否為NULL;如果返回的IPv4地址為NULL，執(zhí)行步驟（6）和（14）;如果返回的IPv4地址不為NULL，執(zhí)行步驟（7）至（14）;（6）向IPv6主機(jī)返回NULL值，域名解析失敗;（7）為返回的IPv4地址加上prefix，稱為一個(gè)IPv6地址;（8）重鑄DNS報(bào)文，修改RDATA為映射地址，修改A為AAAA;（9）把修改后的DNS response返回給發(fā)起請(qǐng)求的IPv6 DNS Server;（10）IPv6 DNS Server再將應(yīng)答返回給發(fā)起請(qǐng)求的IPv6主機(jī);（11）IPv6主機(jī)將返回的目的映射地址作為目的地址發(fā)通信報(bào)文;（12）報(bào)文被路由到NAT-PT，NAT從地址池為IPv6主機(jī)分配一個(gè)IPv4地址，進(jìn)行地址轉(zhuǎn)換和協(xié)議翻譯;（13）AFT轉(zhuǎn)發(fā)翻譯后的報(bào)文;（14）流程結(jié)束。

3.3.4 業(yè)務(wù)驗(yàn)證

配置完成后，IPv6客戶端上執(zhí)行命令ping portal.xx.sgcc.com.cn（省公司門戶），可以看到域名解析為IPv6地址2405：6F00：XXXX：XXXX：AAAA（此地址為省公司門戶的IPv4地址通過DNS64前綴轉(zhuǎn)換后的IPv6地址），并收到響應(yīng)報(bào)文。

4 結(jié)語

IPv4網(wǎng)絡(luò)向以IPv6為基礎(chǔ)的下一代互聯(lián)網(wǎng)過渡將是一個(gè)漫長(zhǎng)復(fù)雜的過程，涉及到終端主機(jī)、網(wǎng)絡(luò)、中間件、數(shù)據(jù)庫(kù)、系統(tǒng)平臺(tái)、應(yīng)用程序、安全防護(hù)、運(yùn)維管理等多專業(yè)多維度的變更和調(diào)整。本文以網(wǎng)絡(luò)系統(tǒng)為例，詳細(xì)分析和介紹了網(wǎng)絡(luò)過渡過程中所用的技術(shù)和實(shí)現(xiàn)方法，也為其它方向或?qū)I(yè)的過渡提供和積累了工作思路和實(shí)踐經(jīng)驗(yàn)。

參考文獻(xiàn)

[1] 張東亮，李淵，任黎科.IPv6技術(shù)[M].北京：清華大學(xué)出版社，2010.

[2]中共中央辦公廳，國(guó)務(wù)院辦公廳.《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》[EB/OL].（2017-11-26）[2019-06-10].http：//www.gov.cn/zhengce/2017-11/26/content_5242389.htm.

[3] 沈鑫剡，伍紅兵，俞海英，龍瑞.IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)互聯(lián)技術(shù)[J].中國(guó)新通信，2008（05）：29-33.