田曉嵐

摘要：隨著IP地址空間不足的問題，以及國家對各中央企業(yè)及其下屬單位的改造要求越來越明確，因此門戶網(wǎng)站IPv6的改造工作已經(jīng)變得非常緊急，但目前仍需一種技術(shù)既能高效完成網(wǎng)站技術(shù)改造又不需要對現(xiàn)在環(huán)境做出巨大改變，因此開展此項研究工作，以低成本高效率完成第一階段的門戶網(wǎng)站改造工作。

關(guān)鍵詞：協(xié)議轉(zhuǎn)換、翻譯技術(shù)

一、引言

為貫徹落實黨中央、國務(wù)院關(guān)于建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略部署，加快推進(jìn)基于互聯(lián)網(wǎng)協(xié)議第六版（IPv6）的下一代互聯(lián)網(wǎng)規(guī)模部署，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》（廳字【2017】47號文）。明確要求各中央企業(yè)及其下屬單位的改造時間與要求，為形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商用網(wǎng)絡(luò)。

二、改造技術(shù)

（一）翻譯技術(shù)

翻譯技術(shù)方案是指采用IPv4/IPv6翻譯技術(shù)能夠成功實現(xiàn)IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)之間互訪問題。翻譯技術(shù)主要包括網(wǎng)絡(luò)層翻譯技術(shù)、應(yīng)用層翻譯技術(shù)、以及融合性翻譯技術(shù)SPACE6技術(shù)。

（二）優(yōu)缺點

優(yōu)點：網(wǎng)站應(yīng)用改造少，復(fù)用IPv4網(wǎng)絡(luò)安全體系，技術(shù)成熟，部署快速，業(yè)內(nèi)主流技術(shù)方案。

缺點：網(wǎng)站和業(yè)務(wù)翻譯不徹底，翻譯效果參差不齊。

三、實驗研究

（一）NAT64技術(shù)

NAT64是一種有狀態(tài)的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，一般只支持通過IPv6網(wǎng)絡(luò)側(cè)用戶發(fā)起連接訪問IPv4側(cè)網(wǎng)絡(luò)資源。但NAT64也支持通過手工配置靜態(tài)映射關(guān)系，實現(xiàn)IPv4網(wǎng)絡(luò)主動發(fā)起連接訪問IPv6網(wǎng)絡(luò)。NAT64可實現(xiàn)TCP、UDP、ICMP協(xié)議下的IPv6與IPv4網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換。

DNS64則主要是配合NAT64工作，主要是將DNS查詢信息中的A記錄（IPv4地址）合成到AAAA記錄（IPv6地址）中，返回合成的AAAA記錄用戶給IPv6側(cè)用戶。DNS64也解決了NAT-PT中的DNS-ALG存在的缺陷。

NAT64一般與DNS64協(xié)同工作，而不需要在IPv6客戶端或IPv4服務(wù)器端做任何修改。NAT64解決了NAT-PT中的大部分缺陷，同時配合DNS64的協(xié)同工作，無需像NAT-PT中的DNS-ALG等。組網(wǎng)架構(gòu)圖如下：

（二）IVI技術(shù)

IVI的地址映射規(guī)則是在IPv6地址中插入IPv4地址，地址的0-31位為ISP的/32位的IPv6前綴，例如，ISP6=2001：da8：100d：：/32。32-39位是IVI的標(biāo)識符，設(shè)置為FF，表示這是一個IVI映射地址。40-71位表示插入的全局IPv4空間（IVIG4）的地址格式，如IPv4/24映射為IPv6/64而IPv4/32映射為IPv6/72。

IVI功能主要有兩個：一個是地址映射，即通過統(tǒng)一的規(guī)則實現(xiàn)IPv4地址與IPv6地址的一一映射，以進(jìn)行地址的翻譯;另一個是協(xié)議翻譯，即根據(jù)標(biāo)準(zhǔn)規(guī)定，實現(xiàn)IPv4/ICMP協(xié)議和IPv6/ICMP協(xié)議各字段的對譯，同時更新TCP/UDP協(xié)議的相關(guān)字段，完成完整數(shù)據(jù)包翻譯操作。

IVI支持IPv6主機(jī)發(fā)起的通信，也支持從IPv4主機(jī)發(fā)起的通信。以IVI6主機(jī)訪問全球IPv4主機(jī)為例分析其過程。

（三）PNAT技術(shù)

在向IPv6網(wǎng)絡(luò)的過渡過程中，大量已成熟的IPv4應(yīng)用程序還不能很快地支持IPv6，如何能夠保證 IPv4應(yīng)用的兼容性是向IPv6平滑過渡的一個核心要求。 正是基于這一點，中國移動提出了PNAT 翻譯技術(shù)。

該技術(shù)實現(xiàn)了在純IPv6或雙棧承載網(wǎng)環(huán)境下，老的IPv4應(yīng)用仍能正常通信，對底層網(wǎng)絡(luò)環(huán)境可以不感知。它可以支持IPv4應(yīng)用程序通過IPv6網(wǎng)絡(luò)訪問 IPv4 業(yè)務(wù)，IPv4應(yīng)用訪問IPv6業(yè)務(wù)，IPv6應(yīng)用訪問IPv4業(yè)務(wù)等多種通信場景。主機(jī)側(cè)進(jìn)行IPv4包到IPv6包的翻譯，網(wǎng)絡(luò)側(cè)進(jìn)行IPv6包到IPv4包的翻譯。

（四）七層反向代理技術(shù)

七層反向代理解決方案中，網(wǎng)站的授權(quán)DNS上增加一條AAAA記錄，指向反向代理的IPv6地址。用戶訪問時，首先從域名解析過程中得到反向代理的IPv6地址，并向其發(fā)出請求。反向代理收到請求后通過IPv4協(xié)議轉(zhuǎn)發(fā)給相應(yīng)的網(wǎng)站，從而幫助網(wǎng)站向IPv6用戶提供訪問服務(wù)。

（五）SPACE6技術(shù)

SPACE6技術(shù)（IPv4/IPv6應(yīng)用升級平臺），融合網(wǎng)絡(luò)層協(xié)議轉(zhuǎn)換和應(yīng)用層協(xié)議翻譯技術(shù)的特點，實現(xiàn)IPv4和IPv6業(yè)務(wù)的無縫對接。采用SPACE6結(jié)構(gòu)的網(wǎng)站，需要在其授權(quán)DNS中增加AAAA記錄指向SPACE6平臺的IPv6地址。用戶訪問時，先從DNS獲取網(wǎng)站所對應(yīng)的SPACE6 IPv6地址，然后向SPACE6發(fā)出請求。SPACE6收到用戶請求后，再通過IPv4轉(zhuǎn)發(fā)給相應(yīng)的網(wǎng)站，當(dāng)收到網(wǎng)站的回應(yīng)時，解析應(yīng)用層內(nèi)容，把其中涉及IPv4協(xié)議的內(nèi)容自動轉(zhuǎn)換成IPv6的內(nèi)容，然后再返回給用戶。

（六）技術(shù)對比

經(jīng)多次實驗以及平衡各項指標(biāo)，本方案選擇了SPACE6技術(shù)開展研究工作。

四、總結(jié)

按照國家2020年級別3網(wǎng)站改造要求，門戶網(wǎng)站全部頁面和業(yè)務(wù)支持IPv6，占比100%。同時考慮運營IPv6/IPv4兩種協(xié)議開發(fā)的網(wǎng)站成本較高、維護(hù)工作量較大，演進(jìn)的最終目標(biāo)應(yīng)是采取IPv6單棧運行。并且隨著國家外部環(huán)境的逐步改善，主要業(yè)務(wù)場景為IPv6終端與IPv6網(wǎng)站之間的互訪，但仍有部分IPv4用戶需要對網(wǎng)站進(jìn)行業(yè)務(wù)訪問。為了兼容IPv4客戶端對網(wǎng)站單棧IPv6的訪問，可以在以上方案的基礎(chǔ)上實現(xiàn)業(yè)務(wù)的互訪互通。

參考文獻(xiàn)：

[1] Joseph Davies. 深入解析IPv6. 人民郵電出版社， 2018（10）

[2] Pete Loshin. IPv6詳解. 機(jī)械工業(yè)出版社， 2000（4）

[3] W.Richard Stevens，范建華. STCP/IP詳解卷1：協(xié)議. 機(jī)械工業(yè)出版社， 2000（4）