IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造思考

摘要：該文主要研究內(nèi)容是lPv6的網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)改造工作的細節(jié)，lPv6網(wǎng)絡(luò)結(jié)構(gòu)體系是從該網(wǎng)絡(luò)體系發(fā)展的初期、與IPv4共存以及IPv6占主導(dǎo)地位的時期間結(jié)構(gòu)體系分析，而網(wǎng)絡(luò)的改造工作則是從內(nèi)部改造和最終改造著手分析，希望為相關(guān)工作提供合理參考。

關(guān)鍵詞：lPv6;網(wǎng)絡(luò)體系;網(wǎng)絡(luò)改造

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）22-0056-02

開放科學(xué)（資源服務(wù)）標識碼（OSID）：

1 背景

隨著國家政策要求網(wǎng)絡(luò)、應(yīng)用、終端2025年全面支持IPv6，大量的生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)、應(yīng)用、終端將逐步完成IPv6改造，與IPv4相比，IPv6協(xié)議是下一代互聯(lián)網(wǎng)協(xié)議，在地址空間、安全性等方面有巨大提升。全球通信行業(yè)以及開展新興技術(shù)應(yīng)用的企業(yè)都在向IPv6遷移，采用IPv6協(xié)議是后續(xù)互聯(lián)網(wǎng)技術(shù)發(fā)展的大勢所趨。

2 IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)

在互聯(lián)網(wǎng)技術(shù)發(fā)展的新時期，大多數(shù)的IPv4網(wǎng)絡(luò)都逐漸轉(zhuǎn)向了IPv6網(wǎng)絡(luò)。與IPv4網(wǎng)絡(luò)相比，IPv6網(wǎng)絡(luò)在一定程度上使得地址資源方面獲得了令人滿意的進步，而且IPv6網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，不僅在地址數(shù)量上，在實現(xiàn)多種設(shè)備連接到互聯(lián)網(wǎng)方面上也有所提高，進一步實現(xiàn)了人們對于互聯(lián)網(wǎng)的需求。2012年國家發(fā)改委啟動“下一代互聯(lián)網(wǎng)信息安全專項”試點和標準工作，中國石油作為試點之一，承擔(dān)“基于IPv6專網(wǎng)的安全防護研發(fā)及應(yīng)用試點工程”，將我國石油主要生產(chǎn)區(qū)之一的大慶油田作為試點單位。通過三年多的建設(shè)，在大慶油田建設(shè)了全國最大基于IPv6的工業(yè)生產(chǎn)專網(wǎng)，構(gòu)建了基于IPv6的網(wǎng)絡(luò)安全防護體系。

2.1 IPv6發(fā)展的初期

在IPv6的發(fā)展的初期階段中，IPv4占據(jù)主導(dǎo)地位，即網(wǎng)絡(luò)結(jié)構(gòu)中絕大部分網(wǎng)絡(luò)結(jié)構(gòu)中應(yīng)用的是IPv4協(xié)議。此階段技術(shù)人員先將邊緣路由器進行了升級，變?yōu)殡p棧路由器，該路由器能夠同時對IPv6和IPv4兩種數(shù)據(jù)包進行轉(zhuǎn)發(fā)。例如：在各子網(wǎng)絡(luò)之間建立IPv6互聯(lián)的過程中，一方面，可以使用二路鏈接技術(shù)，在該技術(shù)的基礎(chǔ)上可以建立IPv6純鏈路，另一方面，也可以使用隧道技術(shù)促使兩種協(xié)定進行跨越連接。當時的網(wǎng)絡(luò)環(huán)境下兩種協(xié)定的路由可以相互獨立，不會產(chǎn)生影響，為了使用網(wǎng)絡(luò)環(huán)境中不斷增加的IPv6，技術(shù)人員在網(wǎng)絡(luò)環(huán)境中不斷引用IPv6主機以及服務(wù)器且在發(fā)展的過程中也不斷在網(wǎng)絡(luò)環(huán)境中布置IPv6節(jié)點。

2.2 IPv6與IPv4共存

在IPv6發(fā)展和應(yīng)用的過程中，該版本協(xié)定逐漸獲得了較大規(guī)模的應(yīng)用，并通過IPv6因特網(wǎng)網(wǎng)絡(luò)實現(xiàn)了大量的業(yè)務(wù)的引進，此類業(yè)務(wù)能夠通過IPv6網(wǎng)絡(luò)將相關(guān)技術(shù)的主要優(yōu)勢全面發(fā)揮。但IPv6網(wǎng)絡(luò)節(jié)點之間不存在連接，因此在節(jié)點連接過程中技術(shù)人員會使用隧道，同時在IPv6平臺上也可以實現(xiàn)豐富的業(yè)務(wù)實施。但在此階段依舊存在IPv4業(yè)務(wù)的存在，兩種業(yè)務(wù)屬于共存的狀態(tài)，因此多數(shù)網(wǎng)絡(luò)節(jié)點也是雙棧節(jié)點。在此階段的IPv6發(fā)展過程中需要在使用隧道技術(shù)的同時也要配合兩種技術(shù)之間的協(xié)議轉(zhuǎn)換技術(shù)。

我們在試點油田企業(yè)內(nèi)部的IPv4/IPv6過渡系統(tǒng)中采用地址翻譯、雙棧等多種技術(shù)相結(jié)合，構(gòu)建IPv6/IPv4網(wǎng)絡(luò)過渡環(huán)境，適用于多種業(yè)務(wù)場景，使IPv6網(wǎng)絡(luò)能夠與IPv4網(wǎng)絡(luò)資源互訪，充分利用現(xiàn)有資源，保障下一代互聯(lián)網(wǎng)的平滑演進。

在由IPv6占據(jù)主導(dǎo)地位的網(wǎng)絡(luò)體系結(jié)構(gòu)當中，企業(yè)的主要網(wǎng)絡(luò)將全部由IPv6組成，在此階段的網(wǎng)絡(luò)體系結(jié)構(gòu)中IPv4將會逐漸消失，與初級階段的IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)相似在此階段也需要使用隧道技術(shù)將IPv4的網(wǎng)絡(luò)連通，在該工作落實的過程中，使用的隧道技術(shù)是以IPv40verIPv6技術(shù)為主，在IPv6占據(jù)網(wǎng)絡(luò)結(jié)構(gòu)主導(dǎo)地位的階段，網(wǎng)絡(luò)環(huán)境中的全部部署IPv6網(wǎng)絡(luò)協(xié)議包括鄰居發(fā)現(xiàn)協(xié)議、IPv6路徑等，且其中的IPv6網(wǎng)絡(luò)節(jié)點地址分配使用的主要是RFC25450對IPv6推薦的地址進行分配策略描述[1]。

3 網(wǎng)絡(luò)改造工作

3.1 網(wǎng)絡(luò)內(nèi)部改造

網(wǎng)絡(luò)改造過程中能夠直接通過升級軟件完成雙棧支持的設(shè)備數(shù)量極少，多數(shù)情況下依然需要借助于全新的雙棧設(shè)備給予支持。如果在一定的條件下中心設(shè)備可以采取升級的方式實現(xiàn)雙棧支持，其業(yè)務(wù)連接與方案設(shè)置就會與企業(yè)網(wǎng)的重新建立相雷同。為了使更新得到支持，需要加大新雙棧設(shè)備的研發(fā)和引進，此時需要使原來的IPv4和現(xiàn)有的IPv6進行內(nèi)部互相聯(lián)系，在此前提下，借助于最新增加的雙棧設(shè)備使其完成NAT-PT和IPv6之間的有效聯(lián)通。IPv4和IPv6的連通則需要企業(yè)網(wǎng)的幫助。以企業(yè)網(wǎng)的內(nèi)部改造為例，在改造之前，一般需要先采購一批新型的雙棧設(shè)備，也有少數(shù)的設(shè)備軟件能夠通過相應(yīng)的升級改造措施支持雙棧運行，如果企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備能夠通過升級實現(xiàn)雙棧，則其相關(guān)布設(shè)方案與之前提到的類似，如果需要通過引入新的設(shè)備實現(xiàn)雙棧，則采用IPv4和IPv6網(wǎng)內(nèi)聯(lián)系的方式，利用新引進的設(shè)備就能夠完成實現(xiàn)NAT-PT和IPv6=者之間的互通。

在目前的網(wǎng)絡(luò)結(jié)構(gòu)當中，使用的體系結(jié)構(gòu)依舊是以IPv4為主，想要徹底地將IPv4取代需要投入較大的經(jīng)濟成本，且在網(wǎng)絡(luò)升級改造的過程中，需要保障在不影響當下網(wǎng)絡(luò)環(huán)境的前提下展開，因此促使IPv4逐漸轉(zhuǎn)化為IPv6需要進行階段性的改造，也是網(wǎng)絡(luò)內(nèi)部改造工作的必然趨勢。在開展內(nèi)部網(wǎng)絡(luò)改造工作落實的過程中，技術(shù)人員需要在網(wǎng)絡(luò)環(huán)境中引進雙棧路由設(shè)備，并對當前網(wǎng)絡(luò)環(huán)境中使用的設(shè)備進行升級，促使設(shè)備能夠支持雙棧工作。在改造工作的落實過程中，若有關(guān)單位能夠引進新的設(shè)備就可以促使網(wǎng)絡(luò)內(nèi)部系統(tǒng)的建設(shè)盡快實現(xiàn)不同網(wǎng)絡(luò)體系結(jié)構(gòu)之間的互相連通，主要的工作方式是利用NAT-PT技術(shù)促使內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)體系中的核心設(shè)備進行互通。一旦發(fā)掘相關(guān)的設(shè)備有能夠升級的空間，就能夠通過升級設(shè)備的方式完成整個網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)體系的建設(shè)工作。

IPv6網(wǎng)絡(luò)結(jié)構(gòu)體系在投入使用的過程中，和以往網(wǎng)絡(luò)結(jié)構(gòu)中使用的IPv4網(wǎng)絡(luò)結(jié)構(gòu)體系結(jié)構(gòu)相似，需要展開申請、配置網(wǎng)絡(luò)等工作，同時形成相應(yīng)的IPv6域名服務(wù)器。在我國當下使用的內(nèi)部網(wǎng)絡(luò)體系結(jié)構(gòu)使用的設(shè)備操作系統(tǒng)當中，NT5.0以上的操作系統(tǒng)都能夠支持IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)，在相應(yīng)的設(shè)備選擇過程中也存在空間，但在安裝設(shè)備和應(yīng)用的過程中需要注意在Windows server的系統(tǒng)中進行程序安裝，且一般系統(tǒng)中已經(jīng)有了內(nèi)置的協(xié)議，所以IPv6可以直接在該系統(tǒng)中使用。

當下世界上的許多通信企業(yè)生產(chǎn)的路由器都能夠支持IPv6的應(yīng)用，也能夠適應(yīng)內(nèi)部網(wǎng)絡(luò)改造升級的需求。除此之外，在內(nèi)部網(wǎng)絡(luò)改造的過程中有關(guān)部門和技術(shù)人員也可以通過可以提供網(wǎng)絡(luò)處理功能的三級交換機作為實際在網(wǎng)絡(luò)系統(tǒng)中的雙棧設(shè)備，且在此方式的應(yīng)用過程中，網(wǎng)絡(luò)結(jié)構(gòu)體系也不會排斥IPv4業(yè)務(wù)，同時在此種改造工作落實的過程中IPv6的全部功能也能夠得到實現(xiàn)，促使IPv4和IPv6兩種協(xié)議進行平穩(wěn)的過渡。

對于網(wǎng)絡(luò)改造，目前能夠?qū)W(wǎng)絡(luò)處理提供支持的主流三層交換機，都已經(jīng)具備核心雙棧設(shè)備的能力。網(wǎng)絡(luò)改造中的匯聚層需借助于雙棧路由器加以實現(xiàn)，出口則需采用能夠?qū)Pv4或者IPv6產(chǎn)生支持的雙棧業(yè)務(wù)流，其優(yōu)勢在于既能夠保證IPv4的正常業(yè)務(wù)，也具有比較完善的IPv6支持性能。有條件的情況下可以增加IPv6業(yè)務(wù)的匯聚層和核心層，與IPv4業(yè)務(wù)共同組成業(yè)務(wù)系統(tǒng)，其中，IPv4相關(guān)業(yè)務(wù)可以通過原來的網(wǎng)絡(luò)發(fā)出，與新業(yè)務(wù)出口層和匯聚層不產(chǎn)生矛盾，以此實現(xiàn)初期的網(wǎng)絡(luò)內(nèi)部改造。

3.2 網(wǎng)絡(luò)最終改造

當網(wǎng)絡(luò)改造工作中實現(xiàn)了IPv6的全部部署，即IPv4網(wǎng)絡(luò)結(jié)構(gòu)體系能夠被完全取代，實現(xiàn)對網(wǎng)絡(luò)體系結(jié)構(gòu)的全面改造。在改造之后的網(wǎng)絡(luò)通信將完全依靠IPv6展開，需要注意的是該改造過程較為漫長，在網(wǎng)絡(luò)改造過程中涉及的工作技能也十分廣泛，在網(wǎng)絡(luò)改造完成后，網(wǎng)絡(luò)地址的長度也會逐漸增加，與傳統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)中傳統(tǒng)的IPv4協(xié)議而言，改造后的IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)地址長度則能夠達到128bit，且可以無限擴大長度。在安全性的層面，IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)具有身份認證和隱私權(quán)的優(yōu)勢，因此網(wǎng)絡(luò)結(jié)構(gòu)體系的安全系數(shù)也會得到強有力的保障。除此之外，IPv6網(wǎng)絡(luò)結(jié)構(gòu)體系支持的協(xié)議能夠?qū)崿F(xiàn)可持續(xù)性轉(zhuǎn)變，網(wǎng)絡(luò)結(jié)構(gòu)比IPv4協(xié)議的網(wǎng)絡(luò)結(jié)構(gòu)體系具有更加強大的適應(yīng)性以及開放性，網(wǎng)絡(luò)最終改造后的IPv6網(wǎng)絡(luò)結(jié)構(gòu)體系取代IPv4網(wǎng)絡(luò)結(jié)構(gòu)體系也會是時代發(fā)展的必然[2]。

3.3 網(wǎng)絡(luò)安全性實施方案

目前，網(wǎng)絡(luò)安全問題頻繁發(fā)生，因此網(wǎng)絡(luò)改造過程中需要提高對網(wǎng)絡(luò)安全重要性的認識。產(chǎn)生網(wǎng)絡(luò)安全隱患的原因主要為網(wǎng)絡(luò)用戶較多，運用水平良莠不齊，不良的網(wǎng)絡(luò)行為普遍存在;此外，公共網(wǎng)絡(luò)容易遭受病毒侵害，此類狀況難以避免。為此需要采取相應(yīng)措施對以上問題加以解決。

首先，抵御網(wǎng)絡(luò)病毒攻擊。可以在網(wǎng)絡(luò)出口處設(shè)置防火墻，并且需要在防火墻上加強病毒防控;目前某些病毒如震蕩波等其具有不變的端口，為此，ACL列表便可以封閉其傳播端口，有效阻斷了病毒的傳播，實現(xiàn)網(wǎng)絡(luò)環(huán)境的安全性。

其次，設(shè)置安全的口令。盡量保證所設(shè)置口令具有一定的復(fù)雜程度，大多數(shù)惡性病毒對復(fù)雜口令往往束手無策，建議采用“用戶名+密碼的”口令設(shè)置方式，以此增強口令的安全性。為了進一步保證口令的安全性，最好每隔一段時間重新設(shè)置口令;同時注重TELNET權(quán)限的設(shè)置，通過ACL設(shè)置實現(xiàn)對設(shè)備訪問權(quán)限的控制，在此條件下只有具備特定IP地址的TELNET方可在該設(shè)備上進行訪問，以便阻止其他用戶訪問網(wǎng)絡(luò)設(shè)備，最大程度地保證了網(wǎng)絡(luò)的安全性，減少了惡意入侵情況的發(fā)生。

再次，IPv6巨大的地址空間帶來了網(wǎng)絡(luò)的可溯源性。企業(yè)網(wǎng)中的每個終端都可以獲得唯一的IPv6網(wǎng)絡(luò)地址，并可以和多種信息綁定，在此基礎(chǔ)上中國石油采用清華大學(xué)提出的真實源地址驗證技術(shù)（SAVI），解決IPv6主機的安全合法接入問題，對接人層IPv6源地址進行檢驗，實現(xiàn)杜絕網(wǎng)絡(luò)欺騙、防止網(wǎng)絡(luò)攻擊、快速定位網(wǎng)絡(luò)故障以及審計網(wǎng)絡(luò)安全日志等功能。

最后，進行恰當?shù)腘AT轉(zhuǎn)換。對于私網(wǎng)IP而言，在訪問外部網(wǎng)絡(luò)過程中需要在防火墻上實行NAT轉(zhuǎn)換，同時為了滿足多出口網(wǎng)絡(luò)訪問對于安全性的要求，可以借助訪問列表對當前訪問的網(wǎng)絡(luò)加以區(qū)分，之后在策略路由器的幫助下選擇正確的出口，完成恰當?shù)腘AT轉(zhuǎn)換[3]。

4 結(jié)束語

綜上所述，IPv6是目前我國網(wǎng)絡(luò)改造工作發(fā)展的具體方向，在當下的網(wǎng)絡(luò)環(huán)境當中IPv6具有多種優(yōu)勢，在網(wǎng)絡(luò)技術(shù)的經(jīng)驗和能力發(fā)展的過程中IPv6網(wǎng)絡(luò)體系占領(lǐng)主導(dǎo)地位的時代屬于時代發(fā)展的必然趨勢，因此工作人員需要不斷進行網(wǎng)絡(luò)改造工作，盡快推動IPv6網(wǎng)絡(luò)體系的建設(shè)。

參考文獻：

[1]李敏英.lPv6網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造【J].通訊世界，2019（12）： 161-162.

[2]劉清濤.IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造[J].信息與電腦（理論版），2018（10）： 144-145.

[3]邵小勇，張景良.江蘇省聯(lián)社lPv6部署實踐與思考[J].金融電子化，2020（2）： 17-17.

【通聯(lián)編輯：謝媛媛】

作者簡介：賈宏芳（1982-），女，遼寧鐵嶺人，工程師，碩士，研究方向為IPv6。