韓立強 ，習穎潔 ，李 赟 ，楊靖凡

1.中國鐵路信息科技集團有限公司，北京 100038

2.中鐵信（北京）網(wǎng)絡(luò)技術(shù)研究院有限公司，北京 100038

隨著IPv6網(wǎng)絡(luò)商用化的進行和大面積部署，IPv6管理方向的研究也在如火如荼地開展。相對于IPv4而言，IPv6地址位有128比特，因此其生成、使用、安全等方面的情況也要比IPv4更加復(fù)雜，二者的管理模式也有顯著區(qū)別[1]。

基于IPv6地址結(jié)構(gòu)，業(yè)界一般將IPv6地址規(guī)劃、IPv6網(wǎng)絡(luò)探測和管理列為下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)管理的重要研究目標[2]。隨著IPv4地址的逐漸耗盡和物聯(lián)網(wǎng)的大面積推廣，IPv6正在以越來越快的速度走向大規(guī)模商用[3]。與IPv4相比，IPv6最大的特點是具有超大的地址空間，這使得高效路由報頭、高安全性、高服務(wù)質(zhì)量成為可能，但是這也帶來了IPv6地址分配、使用、管理等多方面的問題[4]。

1 IPv4管理模式及與IPv6的區(qū)別

（1）IPv4管理模式。既往的科研課題構(gòu)建了一種基于IP地址狀態(tài)的管理方法，即空閑地址池中的IP地址被規(guī)劃到某業(yè)務(wù)下，與具體用途相關(guān)的地址分配給相應(yīng)的人和設(shè)備；通過系統(tǒng)探針及在線分析功能，被分配的地址在使用時能在網(wǎng)關(guān)設(shè)備上檢測到對應(yīng)的上聯(lián)設(shè)備名稱、MAC地址及接口信息；在長期未檢測到地址上線的情況下觸發(fā)地址回收機制，確定被回收的地址將在系統(tǒng)中刪除相關(guān)信息，使之重新回到被規(guī)劃的狀態(tài)以等待再次分配，以此建立地址管理的閉環(huán)。

（2）IPv4與IPv6的區(qū)別。①IPv6地址的長度和數(shù)量遠超過IPv4地址。IPv6的地址長度為128位，是IPv4地址長度的4倍，且數(shù)量巨大，顯著增加了管理難度和成本，受其復(fù)雜性和規(guī)模的制約，系統(tǒng)管理員無法逐個管理和分配。②IPv6地址分配方式不同于IPv4。IPv4地址在分配時可基于DHCP模式或者手工配置的方法，而IPv6地址目前大多基于DHCP模式進行自動分配，較為突出的問題是因地址自動配置而引起分配不可控，這也決定了IPv6地址無法直接使用IPv4地址的管理模式，需要在考慮分配方式不同的情況下設(shè)計符合工作需要的專有管理模式。③IPv6地址的字段結(jié)構(gòu)復(fù)雜。它取消了IPv4的網(wǎng)絡(luò)號、主機號和子網(wǎng)掩碼概念，代以前綴、接口標識符和前綴長度，不再有A類、B類、C類等劃分，但IPv6地址的各個字段均具備了更加具體的內(nèi)涵，使用方式的不同也決定了其無法仿照IPv4地址管理模式。

2 IPv6地址管理模式思考

自20世紀80年代以來，IPv4一直維持著穩(wěn)定運行，其管理模式十分成熟，因此在對IPv6地址進行管理時應(yīng)結(jié)合既有IPv4地址的管理經(jīng)驗，并融合IPv6地址的特殊性[5]。

2.1 IPv6的特殊性

從規(guī)劃、分配和使用三個階段出發(fā)，文章針對IPv6的特殊性分別進行如下分析。

（1）規(guī)劃時。IPv6地址可讀性強，能夠包含所屬區(qū)域、用途等信息，便于識別用戶所在區(qū)域及用途；按照地址聚合原則分片規(guī)劃，IPv6需做到地址高效聚合，可簡化路由表；IPv6擁有更大的地址空間，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)及各種特殊的業(yè)務(wù)需求，為未來擴容預(yù)留空間。

（2）分配時。在DHCPv4協(xié)議中，客戶端發(fā)送廣播報文來定位服務(wù)器。為避免廣播風暴，在IPv6中，已經(jīng)沒有了廣播類型的報文，而是采用組播報文；在IPv4協(xié)議中原本由IPv4地址提供的特殊功能，IPv6通過在基本報頭之后增加擴展報頭實現(xiàn)。

（3）使用時。IPv4逐漸過渡到IPv6，可由雙棧技術(shù)、隧道技術(shù)和轉(zhuǎn)換技術(shù)等實現(xiàn)；IPv6協(xié)議在地址、報文結(jié)構(gòu)方面大幅優(yōu)化，并采取了自身特有的安全措施，但也不可能徹底解決所有網(wǎng)絡(luò)安全問題，同時其自身的使用還會產(chǎn)生新的安全問題；訪問場景發(fā)生變化，包括互聯(lián)網(wǎng)訪問場景、內(nèi)部訪問場景和云環(huán)境訪問場景等；設(shè)備需要升級改造，IPv6涉及互聯(lián)網(wǎng)接入?yún)^(qū)、網(wǎng)絡(luò)核心和應(yīng)用類服務(wù)區(qū)的改造工作。

2.2 大型集團企業(yè)的IPv6管理模式

IPv6在企業(yè)中大規(guī)模部署已成為一種趨勢，眾多大型企業(yè)集團通過采取科學的方式對IPv6地址進行使用和管理，文章對部分管理模式進行簡單介紹。

（1）IPv6地址的劃分按照語義化、可聚合、連續(xù)可擴展、可管控原則規(guī)劃，增強IPv6的地址可讀、分片簡化、地址冗余及安全管控的能力。

（2）從使用場景的角度來看，作為信息基礎(chǔ)設(shè)施基本元素的IP地址可以分為以下三大類：服務(wù)類、終端類、基礎(chǔ)類。針對不同的類別應(yīng)采用不同的IPv6地址分配策略進行地址分配管理。

（3）IP地址管理實行統(tǒng)一管理、逐級分配的原則。地址規(guī)劃將IPv6子網(wǎng)前綴規(guī)劃為信息網(wǎng)絡(luò)、組織機構(gòu)、下屬機構(gòu)（功能區(qū)域）、用途類型等幾個層次。

（4）IPv6地址分配遵循統(tǒng)一規(guī)劃、分批啟用的原則。前期以5年為周期對各下級單位的IPv6地址需求進行預(yù)規(guī)劃，下級單位在規(guī)劃周期內(nèi)根據(jù)網(wǎng)絡(luò)建設(shè)和業(yè)務(wù)發(fā)展需求，在得到分配的IPv6地址空間后，完成自身的內(nèi)部規(guī)劃，并將規(guī)劃報備給上級。

（5）在每年初可以向上級提交IP地址申請，每次申請的IPv6地址數(shù)量應(yīng)保證其5年的使用增量，對不合格材料將要求修改或進一步提供材料，審核合格之后，在一個月內(nèi)統(tǒng)一批復(fù)各單位IPv6地址申請；如遇特殊情況，下級單位也可以在其他時間提出IP地址申請，但需說明具體原因。

（6）下級單位定期將地址使用詳情向上級報備。報備時需詳細說明每一個地址的區(qū)域中心歸屬、業(yè)務(wù)板塊、應(yīng)用、穿透性等屬性，系統(tǒng)管理員需對各單位和部門的地址分配和使用的報備情況進行全網(wǎng)通報。

（7）系統(tǒng)管理員需定期結(jié)合地址探測技術(shù)和各級單位的實際反饋，對各級組織機構(gòu)的地址空閑情況進行統(tǒng)計分析，對于空閑未使用的地址經(jīng)通知落實后進行回收，并做好回收地址的資料更新及再分配工作。

2.3 IPv6探測技術(shù)

IP地址的探測主要通過獲取交換機上ARP表和MAC地址表來完成。二層網(wǎng)絡(luò)設(shè)備是根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀的。在交換機中有一張記錄著局域網(wǎng)主機MAC地址與交換機接口的對應(yīng)關(guān)系的表，交換機就是根據(jù)這張表將數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C上的，而在每臺主機中都有一張ARP表，它記錄著主機的IP地址和MAC地址的對應(yīng)關(guān)系。當獲取到ARP表和MAC表之后，就可以將特定的IP地址對應(yīng)到其所連接的網(wǎng)絡(luò)設(shè)備端口上。因此，對IP地址的探測可轉(zhuǎn)化為ARP表和MAC表的獲取上。

3 結(jié)束語

目前IPv6發(fā)展前景較好，具有地址空間大和地址結(jié)構(gòu)復(fù)雜的特點，但仍會在一段時間內(nèi)與IPv4共存，并逐步由IPv4過渡到IPv6。新的網(wǎng)絡(luò)協(xié)議勢必會帶來新的管理問題，可以借鑒目前IPv4成熟的管理模式，并在差異中不斷改進和完善，這對網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全及應(yīng)用服務(wù)的進步具有重要意義。