IPv6和IPv4共存網絡環境下的網絡監管技術研究

[摘 要] 分別分析了IPv6 、Pv4 的特點，列舉出IPv6 和IPv4共存網絡環境下的監管難點，提出共存網絡環境下的網絡監管技術解決方案。該解決方案能夠及時有效地發現網絡運行中存在的問題，發送異常告警信息，從而實現對Pv6 和IPv4共存網絡的有效管理。

[關鍵詞] IPV6； IPV4； IPv6 和IPv4共存； 網絡監管

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2013）20- 0077- 02

網絡監控是網絡管理的重要內容之一，目前IPv4 上的網絡監控系統，已經有了相當規模的應用，技術也日趨成熟。隨著我國基于IPv6 的下一代互聯網的建設和大規模部署，未來將在很長一段時間內維持IPv6和IPv4共存的網絡環境，如何解決此網絡環境下的保密監管技術是行業內的一大難題。

1 IPv4 、IPv6的特點

1.1 IPv4

IPv4 經過幾十年的發展，各種技術已經非常成熟，基于IPv4 的應用也已經非常豐富。IPv4的主要特點是：地址長度是32位，面臨地址枯竭；IPv4網絡中路由系統的可擴展性面臨考驗，路由表急劇膨脹；IPv4包頭長度為20字節，包含至少12個字段，大多數IPv4報文都不包括選項，某些路由器往往將帶有選項的IPv4作為特例擱置起來；IPv4缺乏對移動和網絡服務質量的支持；協議自身在安全性上不能保，容易遭受網絡偵察、報頭攻擊、 ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。

1.2 IPv6

與IPv4 相比， IPv6 主要有以下幾方面的變化：

（1） 擴展地址和路由能力： 使用128 位地址長度，可編址網絡節點數量得到充分的擴充；

（2） 簡化了報文格式： 對數據報頭進行了簡化，以減少傳輸過程中處理數據報頭的延時；

（3） IPv6增強了組播支持以及對流支持，為QoS控制提供了良好的網絡平臺；

（4） IPv6具有更高的安全性，可以對網絡層的數據進行加密并對IP報文進行校驗，保證端到端的安全。

2 IPv6 和IPv4共存網絡環境下的監管難點

針對IPv4 IPv6網絡環境下存在的安全問題，需要解決的主要技術難點有：

（1） 如何防止IPv6向IPv4的攻擊，此種攻擊方式通常為IPv6繞過防火墻攻擊IPv4；

（2） IPv6的網絡段規模要遠遠大于IPv4網絡段，導致不可能在短時間內做完整的漏洞掃描。攻擊者可能將采用被動式域名系統（DNS）分析以及其它偵測技術來代替傳統的掃描方法進行攻擊，如何抵御攻擊成為研究難點之一；

（3） IPv6自帶的IPSec給數據包加密使得給現行的防火墻和NIDS遇到了很大的挑戰，檢測效率大大下降，因此如何有效解析IPv6安全進入IPv4網絡環境成為本項目的研究難點之一。

3 IPv4和IPv6共存網絡環境下監管技術解決方案

3.1 利用MPLS技術實現IPv6的過渡和共存

目前在MPLS骨干網中部署IPV6互聯主要有以下幾種方式：

（1） 客戶邊緣（CE）路由器上的Pv6隧道。采用客戶邊緣（CE）路由器上的隧道是部署MPLS網絡上IPv6所用的一種最簡單的方法，它不需要更改核心網中的服務商（P）路由器或與客戶連接的服務商邊緣（PE）路由器。但CE路由器需要升級到雙棧模式，并配置其中一個IPv6 over IPv4隧道機制，IPv6域之間采用運行標準的隧道機制進行通信，在IPv4隧道上運行IPv6。

（2） 在IPv4 MPLS核心骨干網上以電路方式傳輸IPv6。在這種方式下，遠端IPv6域間的通信在專用鏈路上運行純IPv6協議，底層的機制對IPv6完全透明。IPv6的數據包通過Any Transport over MPLS或 EoMPLS來傳遞，IPv6路由器通過相應的ATM或以太接口來連接。

（3） 在運營商邊緣路由器PE上的IPv6傳輸。在MPLS的PE路由器配置IPv6，即6PE技術，不需要升級運營商的核心網絡，只要將PE路由器升級為mv6佃v4雙棧且在連接核心網絡的接口上運行MPLS即可，減少了對現有的數據的影響。IPv6轉發通過標簽交換完成，而無需使用IPv4隧道上的IPv6，也不需要使用其它第二層封裝，從而通過網絡提供本地IPv6業務，并隨著IPv6用戶的增長而進行擴展。

（4） 在MPLS網絡中全面部署IPv6。該方案是將IPv4的MPLS核心網絡升級到了IPv6，其核心網的控制平面需要升級到IPv6以支持在核心的IPv6路由和IPv6的LDP。如果需要提供IPv4/IPv6共存的服務，則需要雙控制平面的支持。這可能是MPLS網絡大規模應用IPv6后的發展方向。

這幾種方式各有不同的特點，可以利用MPLS來實現向IPv6的過渡，是將多業務網絡平面和下一代碑網絡協議有機結合起來的手段之一。

3.2 基于Nagios 的實現監管

Nagios 監控系統有兩種監測方式，一種是直接監測，即由監控服務器直接通過本地插件（ plugin） 發送監測指令并獲取狀態數據； 另一種是間接監測，即監控服務器和被監控對象之間不直接發送監測指令和狀態數據，而是通過一個代理監測系統，由代理監測系統向被監測對象發送監測指令并將狀態數據返回給監控服務器。本文只針對直接監控模式下的IPv6 網絡監控進行研究。一個監控系統由監控服務器，監控對象和監控終端組成，在監控服務器上運行nagios 進程，由該進程定期調用插件訪問遠端監控對象，有些插件可以直接獲取監控對象（ 主機或服務） 的狀態信息，如check_http、check_dns 等； 有一些插件則通過訪問監控對象上的代理，由代理返回狀態信息，一般情況下，監控終端通過Web 形式訪問監控服務器獲取監控對象的狀態信息，當出現異?，F象，nagios 可以以郵件或者短信形式發送告警信息給網絡管理人員。

4 結 語

本文利用MPLS技術實現IPv6的過渡和共存，借助nagios對IPv6 Pv4 網絡進行網絡監控告警，可以及時有效地發現網絡運行中存在的問題，及時發送異常告警信息，極大地提高了網絡運行的質量。