基于隧道技術IPV4與IPv6雙協議棧網絡設計與實施

◆李 洋

（陜西銀河景天電子有限責任公司 陜西 710054）

基于隧道技術IPV4與IPv6雙協議棧網絡設計與實施

◆李 洋

（陜西銀河景天電子有限責任公司 陜西 710054）

在當前IPv4網絡和IPv6網絡共存的環境下，如何解決兩代IP標準的網絡互通互聯問題是進行網絡建設的一個重要課題。本文以現有局域網絡環境為背景，探索使用6to4隧道技術、雙棧技術、NAT-PT技術作為IPv4網絡上搭建IPv6網絡的過渡技術，并完成基于IPv4和IPv6雙協議棧網絡的設計和實施。

IPV4；IPV6；6to4隧道技術；雙棧技術；NAT-PT技術

0 引言

當前，各類網絡應用飛速發展，網絡服務商、終端用戶激增，這就要求網絡具有更大的容量。現存的網絡多數為基于 IPv4協議的TCP/IP網絡，具有一定的局限性，主要表現為：

（1）有限的地址空間：IPv4中地址長度為32，即有2^32-1個地址。

（2）IPv4數據包的性能不足：IPv4在最大傳輸單元、最大包長度、IP頭的設計以及校驗和的使用等方面都有待提高。

（3）安全性不高：基于IPv4協議的數據包只具有最少的安全性選項，沒有提供加密和認證機制，不能保證數據資源的安全傳輸。

（4）路由瓶頸：Internet規模的增長導致路由器的路由表迅速膨脹，導致路由效率下降，特別是骨干網絡路由效率急劇下降。另外，在移動通信網絡中 IPv4的地址歸用戶所有，這使得移動IP路由更加復雜，難以適應當今移動業務發展的需要。

基于以上原因，TCP/IP的工程師和設計人員早在20世紀80年代初期就致力于解決IPv4地址匱乏問題的研究。NAT技術的使用使得 IPv4協議地址匱乏的問題得到緩解，但是由于地址匱乏的原因，IETF小組在1990年開始規劃IPv4下一代協議，1998年IPv6協議草案標準出臺。

當前 IPv6的標準體系已經基本完善，在這個過程中，IPv6逐步優化了協議體系結構，為業務發展創造機會，IPv6具有以下優勢：

（1）地址充足：IPv6產生的初衷主要是解決IPv4地址匱乏問題，即將IPv4的32bit地址，擴展到了128bit地址，提供了足夠的地址資源。同時IPv6地址是有范圍的，包括鏈路本地地址、站點本地地址和任意傳播地址，進一步增加了地址應用的擴展性。

（2）簡化的報文頭格式：通過簡化固定的基本報頭、采用64比特邊界定位、取消IP頭的校驗和域等措施，以提高網絡設備對IP報文的處理效率。

（3）擴展為先：IPv6取消了IPv4報文頭中的選項字段，并引入了多種擴展報文頭，在提高處理效率的同時還大大增強了IPv6的靈活性，為IP協議提供了良好的擴展能力。IPv4報文頭中的選項字段最多只有40字節，而IPv6擴展報文頭的大小只受到IPv6報文大小的限制。

（4）層次化地址結構：IPv6極大的地址空間使層次性的地址規劃成為可能，同時國際標準中已經規定了各個類型地址的層次結構，這樣既便于路由的快速查找，也有利于路由聚合，縮減IPv6路由表大小，降低網絡地址規劃的難度。

（5）地址自動配置：IPv6引入自動配置以及重配置技術，對于IP地址等信息實現自動增刪和更新配置，提高IPv6的易管理性。

（6）內置安全性：IPv6集成IPSec，用于網絡層的認證與加密，為用戶提供端到端的安全特性，使用起來比 IPv4簡單、方便，可以在遷移到IPv6時同步發展IPSec。

（7）支持QoS：IPv6報文頭的流標簽（Flow Label）字段實現流量的標識，允許設備對某一流中的報文進行識別并提供特殊處理。

（8）移動便捷：MobileIPv6增強了移動終端的移動特性、安全特性、路由特性，降低了網絡部署的難度和投資，為用戶提供了永久在線的服務。

盡管基于 IPv6協議的網絡和應用得到廣泛的研究和開發，但是，在未來一個時期里，大多數的用戶還會在基于 IPv4協議網絡中獲得服務，即便是那些基于 IPv6協議網絡的應用將擁有越來越多的用戶，也無法改變這樣的狀況。原因在于，基于IPv4協議的網絡技術非常成熟，各種服務的實現較為方便，獲得的技術支持也較為全面，用戶樂于享受這樣完善的服務；并且現有的網絡應用向 IPv6網絡移植的條件還不夠成熟，成本和服務的穩定性不能得到保證，這就會使得用戶在選擇的時候更多的去選擇基于IPv4協議的服務。

這并不是說 IPv6協議有技術缺陷，而是由于服務提供商出于成本的考慮，對于IPv6開發支持不夠。因此,IPv4網絡和IPv6網絡將長期共存，從IPv4到IPv6將是一個逐漸過渡的過程，在IPv6完全取代IPv4之前，怎樣實現兩者之間的資源共享和通信成為當前一個重要的研究課題。

在IPv4向IPv6過渡過程中需要遵循如下原則：

（1）轉換應該循序漸進的進行，在過渡期間IPv4網路能夠正常獨立的快速運行并充分的保護原有IPv4網絡設備。

（2）IPv4網絡和IPv6網絡應該互相滲透，長期共存。這就要求IPv4和IPv6網絡設備能夠互聯互通，實現互操作。

（3）IPv4網絡向IPv6網絡升級的費用要盡可能的低，轉換技術也要盡可能的簡單易操作。能夠吸引更多的用戶主動的向IPv6過渡。

在這些原則要求下雙棧技術、隧道技術、地址翻譯技術得到了廣泛的使用，為IPv4和IPv6網絡間資源共享和通信提供了途徑。

1 基于IPv4協議和IPv6協議的雙棧局域網設計

本文以某高校開展基于 IPv6協議網絡應用的研究和開發為背景，在其現有網絡基礎上建立多個面向不同的 IPv6網絡，同時為了便于開展學術交流和科研協作，又要求IPv6網絡和IPv4網絡能夠進行資源共享和通信，在此要求下，本文將對此項目進行設計和實施。

1.1 需求分析

在校園網現有規模的基礎上，學校開展了智能家居、生物監測、環境監控等多項應用的研究開發，考慮到未來網絡的發展趨勢，學校計劃在 IPv6網絡環境中對這些項目進行研究開發和測試，同時為了保證資訊暢通和進行開發協作，同時又要保證測試網絡和現有網絡能夠相互通信，并且能夠無障礙的訪問Internet，在訪問外網時應該既能對基于 IPv4的廣域網進行訪問，也能訪問基于 IPv6協議的公共網絡。對于應用的開發者而言，不需要開發者去關注這些方面的問題，開發者只需要在單一的 IPv6網絡環境完成開發和測試。

設計拓撲如下：

圖1 校園局域網拓撲示意圖

1.2 功能描述

某高校有機電系、信息系、電子系、行政辦公區、公共活動區、宿舍區部署運行良好的IPv4網絡。學校開展了基于IPv6協議小型科研網絡的研究，現將生物監測、環境監控、智能家居等基于 IPv6協議小型科研網絡分別部署在電子系教學實訓樓和信息系教學實訓樓。要求實現基于IPv4協議網絡與基于IPv6協議網絡之間的互通；校園網內部IPv6網絡之間的互通；IPv6網絡與6bone的連通；IPv6節點能夠動態獲取IPv6地址。

對基于IPv4的廣域網進行訪問，也能訪問基于IPv6協議的公共網絡。對于應用的開發者而言，不需要開發者去關注這些方面的問題，開發者只需要在單一的 IPv6網絡環境完成開發和測試。

2 雙棧局域網實施技術

在實施過程中，首先要保證原有校園網中 IPv4網絡的正常使用。對于新部署的小型IPv6網絡，實現其內部IPv6網絡之間互通；IPv6網絡與校園網內部IPv4網絡互通；IPv6網絡與IPv4 Internet互通；IPv6網絡與IPv6主干網的互通。

基于以上關鍵點的分析，為實現以上連通需求，現有解決方案主要有：雙協議棧技術、隧道技術以及 IPv4/IPv6協議翻譯技術。

隧道技術是將一種協議報文封裝在另一種協議報文中。IPv6隧道技術就是將IPv6的包封裝到IPv4的包中，這樣IPv6就可以穿越 IPv4網實現兩者之間通信。隧道技術只要求在隧道的入口和出口進行修改，因此在操作上容易實現。[5]

隧道技術實現了兩種網絡之間互通；隧道的建立也是非常簡單，不需要其他的開銷；不需要對應用程序進行修改,具備良好的擴展性。但是隧道技術也有缺點，在安全性能上或多或少的存在些問題，因為他是將一種協議封裝在另一中協議中，這樣防火墻不能檢查封裝后的數據流，而且還很容易受到注入流量的攻擊。還有就是隧道技術自身的缺陷，它不適用于IPv6和Ipv4網絡之間的通信。對于這個問題IPv4/IPv6協議翻譯技術能夠有效解決。隧道技術示意圖如圖2所示。

圖2 雙協議棧技術示意圖

在IPv6發展初期，有許多局部IPv6孤島，這些IPv6網絡被IPv4骨干網絡隔離開來，為了使這些孤立的“IPv6島”互通，利用穿越現存1Pv4因特網的隧道技術將許多個“IPv6孤島”連接起來，逐步擴大IPv6的實現范圍。隧道技術是在IPv6網絡與IPv4網絡間的隧道入口處，由路由器將IPv6的數據分組封裝入IPv4中。

IPv4分組的源地址和目的地址分別是隧道入口和出口的lPv4地址。在隧道的出口處再將IPv6分組取出轉發給目的節點。隧道技術的優點是：將IPv4的隧道作為IPv6的虛擬鏈路；充分利用現有 IPv4骨干網；骨干網內部設備無須升級；符合從邊緣過渡的策略。隧道技術的缺點是：額外的隧道配置，降低效率，只能實現 V6-V6設備互連。本課題介紹幾種具體實施方案：手工配置隧道、GRE隧道、自動隧道(6to4隧道)。[6]

2.1 手工隧道

手工隧道模擬兩個IPv6域之間穿越IPv4骨干的永久鏈路。隧道兩端創建隧道接口，手工給每個隧道接口配置 IPv6地址。隧道接口沒有 IPv4地址，隧道使用物理接口來傳輸數據流。實際應用中為提供穩定性，將環回接口用作隧道的源接口和目標接口。手工隧道兩端的路由器須是雙棧的，要在兩個 IPv6網絡之間轉發分組，須正確的配置 IPv4路由功能。手工隧道示意圖如下。

圖3 手工隧道示意圖

2.2 GRE通道

GRE通道與手工隧道極其相似，其配置也與手工隧道很相似。GRE隧道是Cisco開發的，在Cisco路由器上默認的隧道協議為GRE封裝（使用命令tunnel mode配置）。GRE隧道在協議支持方面更靈活，可部署在多種傳輸協議之上，可運行多種乘客協議。與手工隧道類似，GRE隧道也通常是在路由器之間創建，但也可在路由器和主機之間創建。在路由器之間，主機和路由器之間或遠程IPv6網絡之間需要永久性連接時，可使用GRE通道。GRE隧道示意圖如圖4所示。

圖4 GRE隧道示意圖

2.3 6to4隧道技術

6to4隧道也被稱為 6-to-4隧道，是一種單點到多點隧道方式。用于通過IPv4IPv6域鏈接起來。邊緣路由器使用其隧道接口的IPv6地址內嵌的IPv4地址自動創建6to4隧道。每臺6to4邊緣路由器都是雙棧設備，它有一個前綴為/48的IPv6地址，這是由2002::/16和邊緣路由器的IPv4地址（十六進制表示）組合而成。通過使用6to4隧道，可在公司網絡中快速部署IPv6網絡，而無需向ISP或注冊機構申請公有IPv6地址。

6to4隧道的缺點在于，只能使用靜態路由或 BGP這是因為其他路由協議使用鏈路本地地址來建立鄰居關系和交換更新，而鏈路本地地址不符合6to4隧道的要求。因此不能用于6to4隧道。此外，不能在隧道的IPv4路徑上使用NAT，這同樣是6to4隧道對地址的要求。6to4隧道是一種很不錯的遷移到 IPv6的方法，但只能用作零時性而非永久性解決方案。6to4隧道示意圖如下。

圖5 6to4隧道示意圖

3 實施技術配置

在校園網中，需要實現新部署的基于 IPv6協議小型局域網與原基于IPv4協議網絡的互通；IPv6局域網絡之間互訪以及與IPv4主干網、IPv6主干網的連通。出于保護原有IPv4網路基礎建設，節約成本的考慮，本文選擇 6to4隧道技術實現基于 IPv6協議網絡之間的互通以及與IPv6主干網的連通；IPv4/IPv6協議翻譯技術解決基于IPv4協議網絡與基于IPv6協議網絡的連通問題。

本文采用6to4隧道實現IPv6網絡之間的互通,實現電子系教學實訓樓用于生物監測的 IPv6網絡與信息系教學實訓樓用于智能家居的IPv6網絡互通。6to4隧道配置案例拓撲如圖6所示。

圖6是一個生物監測的IPv6網絡（6to4），使用6to4隧道通過6to4中繼交換機接入另外一個智能家居的IPv6網絡的配置。

圖6 6to4配置案例拓撲

在前面已經介紹了6to4隧道技術主要用在將孤立的IPv6網絡互聯起來，并且可以通過6to4中繼路由器方便的接入IPv6主干網絡。6to4隧道是自動隧道，嵌入在IPv6地址的IPv4地址將用來尋找自動隧道的另一端，因此6to4隧道無須配置隧道的目的端，同時6to4隧道的配置不像手工隧道要對稱配置。

4 結果總結

本文通過對IPv4網絡與IPv6網絡的過渡技術研究，探討了在原有基于IPv4校園網中建設基于IPv6協議科研網絡的部署方案。在此基礎上，對基于IPv4協議網絡和基于IPv6協議的雙棧校園局域網建設需求進行了分析，選擇適用IPv4向IPv6過渡的技術——6to4隧道技術，運用該技術解決接入校園網中IPv6站點的連通問題。并針對校園網的服務功能完成了一個 Ipv6的DHCP配置。

[1]周偉.IPv4向 IPv6轉換技術的研究[J].科技創新導報，2011.

[2]楊穎.IPv4向 IPv6過渡的研究[J].川北醫學院計算機教研室，2010.

[3]周金金，吉萌.基于以太網交換機IPv4/IPv6雙協議棧研究[J].計算機與現代化，2010.

[4]Diane Teare 著，袁國中譯.CCNP ROUTER學習指南[M].北京：人民郵電出版社.

[5]杜慧軍.基于雙協議棧的 6to4隧道技術的應用[J].廣東技術師范學院學報，2007.

[6]李清平.DHCP在IPv4/IPv6雙協議棧校園網中的應用[J].計算機與自動化，2012.