IPv4向IPv6過渡的研究

摘要：IPv4向IPv6過渡是歷史的必然，本文就IPv4向IPv6過渡的機制進行探討，并介紹了過渡過程中遇到的安全問題。

關鍵詞：IPv4/IPv6；雙協議棧；IP隧道；翻譯技術；安全問題

隨著計算機技術和通信技術的飛速發展，計算機網絡已經成為人們學習、生活和工作必不可少的部分。但是隨著計算機網絡的發展，自身成為成功者的同時，也變成了受害者，網絡的發展，網民數量的激增，使TCP/IP協議中，IPv4地址空間消耗殆盡。2011年2月3日全球互聯網IP地址相關管理組織宣布，現有互聯網IPv4地址已經于當天分配完畢。即使是IPv4地址大國美國，IPv4地址也將于2014年枯竭，屆時整個互聯網絡將處于飽和狀態。IPv4地址向IPv6地址的過渡已成為必然的趨勢。

1、IPv4和IPv6簡介

IP協議是TCP/IP協議集中的重要協議，全稱為InternetProtoc01，一直以來使用較多的是IP協議的第四個版本，即IPv4協議，在以TCP/IP通信的網絡上，每臺主機都必須擁有唯一的IP地址，該IP地址用來標識每一臺主機。IPv4版本規定IP地址為32個二進制位，理論上IPv4版本擁有的IP地址有232個，可以標識40億臺主機。

IPv6是Internet Protocol協議的第六個版本，是用來替代IPv4協議的下一代互聯網協議，IPv6是為了解決IPv4所存在的一些問題提出的，解決網絡地址資源有限的問題，在擴大地址空間的同時，在其它方面進行了改進。IPv6版本的IP地址采用128個二進制位，是IPv4地址的4倍。

2、IPv4向JPv6過渡的技術

IPv4向IPv6過渡，最終被IPv6取代，是歷史的必然。但是在當前的互聯網中，多數設備支持IPv4協議，且IPv4和IPv6協議存在較大的差別，將現有IPv4協議和設備在短時間內進行更換不太現實。所以在IPv4主導的網絡中，如何將IPv4向IPv6進行平滑的過渡，決定了IPv6技術是否能取得成功，IPv4向IPv6過渡的技術變得尤為重要。

IPv4向IPv6過渡的技術標準較多，已經有數十種，但是到目前為止，還沒有一種通用的過渡機制，現有的過渡技術各有優缺點，且使用范圍不同，比較常用的有以下幾種過渡技術。

2.1 IPv4/IPv6雙協議棧

由于IPv4向IPv6過渡是一個漫長的過程，這就需要IPv4協議和IPv6協議的共存。Dual Stack技術指網絡中的節點既支持IPv4協議，又支持IPv6協議，并同時運行這兩個協議棧，由于IPv4協議和IPv6協議都工作于網絡層，為傳輸層提供服務，基于相同的物理平臺，二者具有相似性，因此支持雙協議棧的節點既能和純IPv6的網絡進行通信，又能和純IPv4的網絡進行通信，在IPv4和IPv6共存的網絡中是一種有效的過渡機制。

運行雙棧協議的節點在接收數據包時，數據鏈路層收到數據包，拆開并檢查數據段，根據數據段包頭中的版本號，來決定使用什么協議棧進行處理，如果版本號是“4”，該數據包使用IPv4協議棧來處理，如果版本號是“6”，則數據包由IPv6協議棧處理。在發送數據包時，同樣根據目的節點支持的協議和所在的網絡進行判斷，使用其中的一種協議進行通信。

雙協議棧需要在節點上同時配置和運行IPv4和IPv6協議，這樣才能保證IPv4和IPv6網絡的同時工作，這種方式雖然兼容了使用IPv4協議和IPv6協議的網絡，但是需要配置雙路由協議，使網絡更加復雜，而且不能緩解IPv4地址耗盡的問題。但是在IPv6協議應用的初期，網絡主要使用IPv4協議，新增加使用IPv6協議的網段，以獨立的鏈路接入到上級IPv6網絡，選擇IPv4/IPv6雙協議棧路由器作為IPv6的接入節點，既保證了新建的IPv6網絡能使用原有的網絡資源，又保證了原有計算機網絡的系統安全，使網絡穩定運行。雙協議棧過渡技術原理簡單，是其他過渡技術的基礎。

2.2 IP隧道技術

隧道技術是一種數據包的封裝技術，雖然隧道技術可以應用在不同的環境中，且應用目的各不相同，但是基本模式保持不變，利用IPv6網絡傳遞IPv4報文，或者是利用IPv4網絡傳遞IPv6報文。過渡的初期，網絡以IPv4網絡為主，在IPv4隧道中傳輸IPv6數據包，IPv6數據包是不被修改的，隧道協議將IPv6數據包重新封裝到IPv4數據包中，在IPv6數據包前插入IPv4包頭，通過公共網絡進行傳輸。在隧道出口處，將數據包進行解封裝，取出IPv6數據包，并轉發給IPv6節點。被封裝的數據包在整個公共網絡上傳遞時所經過的邏輯路徑稱為隧道，隧道的兩端要進行IPv6數據包的封裝和解封裝，所以隧道兩端的設備要同時運行IPv4協議和IPv6協議。

通過隧道技術，在以IPv4為主體的網絡中，解決了獨立的IPv6網絡之間的通信，但是不能解決IPv6和IPv4網絡之間互聯的問題。且IPv6數據包封裝時，需要在IPv6數據包上增加IPv4數據包的包頭，由于隧道有最大傳輸單元的限制，這就減少了IPv6數據包的長度，造成了數據包分片的增加。

2.3 翻譯技術

雖然雙協議棧技術使IPv4協議和IPv6協議并存，但是沒有解決IPv4地址耗盡的問題。IP隧道技術也只是在IPv4的網絡上實現IPv6網絡之間的通信，不能實現純IPv6網絡的用戶和IPv4網絡的用戶之間互聯。對于新建的IPv6網絡，其用戶數量在逐漸增加，但是目前不可能和IPv4網絡的用戶數量向比，如果IPv6網絡和IPv4網絡之間不能進行互通，那么IPv6網絡就失去了存在的意義。

IPv6翻譯技術可以分為無狀態翻譯技術和有狀態翻譯技術兩種。無狀態的翻譯技術是指通過預先設定的算法維護IPv6和IPv4地址之間的映射關系，有狀態的翻譯技術是指在翻譯設備中動態產生映射關系。

無狀態的翻譯技術中，IPv4/IPv6翻譯器也是一臺路由器，且路由器不需要維護狀態，具有管理性、擴展性和安全性好的特點，并支持雙向通信。無狀態翻譯過渡技術已經累計獲得了5項國際互聯網標準：RFC6052、RFC6144、RFC6145，RFC6219和RFC6791，這些標準對IPv4/IPv6過渡技術和IPv6協議地址結構的演進具有重要的影響。

翻譯技術旨在推進使用IPv6協議和IPv4協議用戶之間的相互訪問，這些訪問不需要綁定數據庫，只需要小部分的設備更新，管理方便，且解決了IPv6用戶和IPv4用戶之間的互訪問題。

3、IPv4向IPv6過渡中面臨的安全問題

IPv4協議地址的耗盡，IPv6協議的地址空間滿足全球網絡的需求。IPv6取代IPv4是一個長期的過程，IPv6協議在設計之初考慮到了安全問題，安全性得到了改善，但是在提供大量IP地址的同時，另一系列的安全問題也隨之而來。使用IPv6協議，增加了地址空間，在一個網絡上能容納大量的主機地址，實現局域網的擴展。但是大型網段有利也有弊，由于網絡的擴展，對IPv6網段的安全漏洞進行全面掃描需要較長的時間，這就增加了對IP地址管理和監視的難度。

IPv4/IPv6雙協議棧過渡機制的使用，雖然保證了IPv4和IPv6網絡的同時工作，但是也給網絡帶來了新的安全問題。對于同時運行IPv4協議和IPv6協議的節點，黑客可以通過兩種協議進行協調攻擊，利用節點上對兩種協議中安全設備的協調不足來躲避檢測，攻擊安全漏洞。

使用IP隧道技術解決了在IPv4網絡中IPv6網絡之間的通信問題或者是在IPv6網絡中IPv4網絡之間的互訪問題。在隧道入口處，隧道機制對數據包進行封裝，不對原數據包進行嚴格檢查，在隧道出口處則進行簡單的解封裝，這樣使用隧道機制，會給網絡安全帶來更為復雜的問題。容易出現利用源地址偽造躲避追蹤、利用源地址偽造進行反射DoS攻擊和利用IPv4廣播地址DoS攻擊等，增加了網絡的安全隱患。

雖然在IPv4向IPv6過渡的過程中，存在較多的問題，但是IPv4地址耗盡，IPv6取代IPv4是歷史的必然。2012年6月6日為全球IPv6啟動日，IPv6將大規模啟用。