IPv6AFT過渡技術在電力信息網絡中的應用

李彬 刁燕燕 宋善坤

摘要：目前大多數企業都已在其內部網絡中部署應用IPv6技術，但由于IPv6本身不兼容IPv4，現階段大規模部署IPv6還面臨不少挑戰。本文將以國家電網下屬某市供電公司為例，介紹使用IPv6 AFT過渡技術將公司內部的IPv6網絡和IPv4網絡進行互通互訪，實現IPv6/IPV4網絡共存，為后續IPv6網絡大規模部署應用打下基礎。

關鍵詞：IPv4;IPv6;地址族轉換;過渡技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2019）07-0043-02

0 引言

眾所周知，目前所使用的IPv4網絡協議存在著地址資源匱乏、安全性不高等缺陷，嚴重阻礙了信息網絡產業的發展[1]。黨中央、國務院為開展建設網絡強國的戰略部署，要求各部門各地區加快推進IPv6的規模部署[2]。由于IPv6和IPv4技術的互不兼容性，要從現有的純IPv4網絡與業務系統向以IPv6為基礎的下一代互聯網過渡將是一個漫長復雜的過程[3]。

本文以國家電網公司下屬某市供電公司信息網絡IPv6改造初期業務場景為例，研究利用地址翻譯AFT技術實現IPv6網絡終端用戶訪問IPv4網絡業務時的數據交互過程、協議轉換方式等，為后續IPv6網絡的大規模推廣部署提供有效的理論基礎和實踐依據。

1 網絡現狀

國家電網公司信息網絡作為其單位內部信息化系統交互的基礎平臺，主要承載員工日常辦公所需的ERP、OA、財務、營銷等系統。該網絡三級模式部署，分為公司總部、省級分公司和市級分公司，各區域網絡通過內部自建廣域網絡互聯。

國家電網公司信息系統兩級部署，總部部署郵件、協同辦公等業務，省公司部署ERP、門戶、營銷等業務，市公司本地只部署DNS、FTP等基礎應用。總部及各單位通過廣域網進行互聯，各終端用戶通過廣域網絡集中訪問總部或省公司業務系統。所有信息網絡均運行IPv4協議。

2 業務需求

某市供電公司計劃將網絡中部分IPv4用戶終端改造為運行IPv6協議終端，其它網絡仍運行IPv4協議。要求IPv6用戶終端能夠進行正常辦公需求，訪問省公司或國網公司IPv4業務系統。為保證網絡訪問安全性，IPv6訪問IPv4業務系統需做到記錄可溯源。且需考慮未來業務系統改造為IPv6情況。

3 方案設計

3.1 拓撲設計

如圖1所示，改造后的網絡中新增路由器設備作為IPv4和IPv6網絡邊界，部署支持IPv6協議棧的匯聚交換機作為用戶終端網關設備。各IPv6用戶終端與匯聚交換機互聯，實現網絡接入。

3.2 技術選型

目前IPv6網絡與IPv4網絡互訪主要采用地址翻譯技術，在網絡邊界將IP數據包頭地址信息進行轉換。地址翻譯技術分為NAT-PT（附帶協議轉換的網絡地址轉換）和AFT（地址族轉換）兩種。

IP地址報文頭部地址轉換對于普通應用層協議來說，不影響業務運行。但是針對一些報文中攜帶地址和端口信息的特殊應用，就不能進行有效轉換，導致無法正常運行。此問題可以采用ALG（應用級網關）技術解決，ALG可以通過對報文中的載荷信息進行解析，改變封裝在其中的地址和端口信息，實現應用的正常訪問。

由于NAT-PT動態映射無固定對應關系，靜態映射需手工配置，不適用與映射關系較多場景;AFT動態映射，關系固定，無需手工配置;ALG技術適用于特殊應用地址端口信息轉換。結合某市供電公司現有及后期發展需求，本文IPv6與IPv4互訪采用AFT+ALG方案。

3.3 實現方式

3.3.1 地址規劃（表1）

3.3.2 設備配置

（1）路由器、IPv6匯聚交換機基礎互聯管理配置;（2）客戶端IPv6地址、掩碼及DNS配置;（3）路由器與IPv4網絡、IPv6網絡互聯接口使能AFT功能;（4）配置DNS64前綴;（5）配置IVI前置;（6）以ACL方式配置IPv4側到IPv6側的AFT轉換策略;（7）路由器上使能DNS協議的ALG功能，用于IPv6與IPv4之間交互DNS數據包時的，A記錄與AAAA記錄轉換。

3.3.3 業務流程

（1）IPv6主機FEC 0：1：：1主機訪問portal.sgcc.com.cn;（2）DNS-ALG收到來自客戶端IPv6的DNS請求;（3）對request進行報文處理，將資源記錄的type值從AAAA修改為A;（4）將請求轉交上級的IPv4 DNS;（5）收到response，判斷返回的IPv4地址是否為NULL;如果返回的IPv4地址為NULL，執行步驟（6）和（14）;如果返回的IPv4地址不為NULL，執行步驟（7）至（14）;（6）向IPv6主機返回NULL值，域名解析失敗;（7）為返回的IPv4地址加上prefix，稱為一個IPv6地址;（8）重鑄DNS報文，修改RDATA為映射地址，修改A為AAAA;（9）把修改后的DNS response返回給發起請求的IPv6 DNS Server;（10）IPv6 DNS Server再將應答返回給發起請求的IPv6主機;（11）IPv6主機將返回的目的映射地址作為目的地址發通信報文;（12）報文被路由到NAT-PT，NAT從地址池為IPv6主機分配一個IPv4地址，進行地址轉換和協議翻譯;（13）AFT轉發翻譯后的報文;（14）流程結束。

3.3.4 業務驗證

配置完成后，IPv6客戶端上執行命令ping portal.xx.sgcc.com.cn（省公司門戶），可以看到域名解析為IPv6地址2405：6F00：XXXX：XXXX：AAAA（此地址為省公司門戶的IPv4地址通過DNS64前綴轉換后的IPv6地址），并收到響應報文。

4 結語

IPv4網絡向以IPv6為基礎的下一代互聯網過渡將是一個漫長復雜的過程，涉及到終端主機、網絡、中間件、數據庫、系統平臺、應用程序、安全防護、運維管理等多專業多維度的變更和調整。本文以網絡系統為例，詳細分析和介紹了網絡過渡過程中所用的技術和實現方法，也為其它方向或專業的過渡提供和積累了工作思路和實踐經驗。

參考文獻

[1] 張東亮，李淵，任黎科.IPv6技術[M].北京：清華大學出版社，2010.

[2]中共中央辦公廳，國務院辦公廳.《推進互聯網協議第六版（IPv6）規模部署行動計劃》[EB/OL].（2017-11-26）[2019-06-10].http：//www.gov.cn/zhengce/2017-11/26/content_5242389.htm.

[3] 沈鑫剡，伍紅兵，俞海英，龍瑞.IPv4網絡和IPv6網絡互聯技術[J].中國新通信，2008（05）：29-33.