一種IPv6 園區(qū)網(wǎng)通用建設(shè)模型的研究與設(shè)計(jì)

彭治湘

（湖南廣播電視大學(xué)，湖南網(wǎng)絡(luò)工程職業(yè)學(xué)院，長沙410004）

0 引言

2017 年11 月，中共中央辦公廳、國務(wù)院辦公廳發(fā)布《推進(jìn)IPv6 規(guī)模部署行動(dòng)計(jì)劃》，“行動(dòng)計(jì)劃”預(yù)計(jì)用5 到10 年時(shí)間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6 商業(yè)應(yīng)用網(wǎng)絡(luò)，實(shí)現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量[1]。截至2020 年1 月，我國IPv6 活躍用戶數(shù)達(dá)2.7 億，占互聯(lián)網(wǎng)網(wǎng)民總數(shù)的31%，相比行動(dòng)計(jì)劃實(shí)施前，增長了近100 倍[2]。當(dāng)前是我國IPv4 向IPv6 快速過渡和發(fā)展的關(guān)鍵時(shí)期，各類園區(qū)網(wǎng)絡(luò)IPv6 部署與改造是全國IPv6建設(shè)的重要一環(huán)，本文簡單闡述了IPv6 基礎(chǔ)技術(shù)，著重研究了IPv6 園區(qū)網(wǎng)出口、園區(qū)內(nèi)網(wǎng)、園區(qū)網(wǎng)安全、園區(qū)應(yīng)用四個(gè)方面的IPv6 部署與過渡技術(shù)，最后設(shè)計(jì)了一種IPv6 園區(qū)網(wǎng)通用建設(shè)模型，為大中型企業(yè)、學(xué)校等IPv6 園區(qū)網(wǎng)部署提供參考。

1 IPv6基礎(chǔ)

1.1 IPv6地址

IPv6 地址相較于IPv4 地址擴(kuò)展到了128 比特，約有3.4×1038個(gè)地址。IPv6 地址首選格式將128 位地址分成8 段，每段16 位，每段被轉(zhuǎn)換為一個(gè)16 進(jìn)制數(shù)，并用冒號(hào)分隔，因此也稱“冒號(hào)十六進(jìn)制表示法”[3]，格式如下：2001:0302:0001:0000:0000:0000:0000:342F。

IPv6 地址分為三類：單播地址、組播地址和任播地址，值得注意的是IPv6 中沒有廣播地址，如圖1 所示為IPv6 地址具體分類。

圖1 IPv6地址分類

1.2 IPv6主要特性

IPv6 主要特性包括：①巨大的地址空間，約擁有3.4×1038 個(gè)地址；②高效的報(bào)文處理，IPv6 基本頭部長度固定40 個(gè)字節(jié)，中間傳輸節(jié)點(diǎn)處理定長頭部效率更高，加之IPv6 頭部為64 位對(duì)齊，能更充分地利用設(shè)備64 位處理器；③更優(yōu)的路由選擇效率，IPv6 在設(shè)計(jì)、分配和使用過程中充分考慮了路由前綴匯聚，使得互聯(lián)網(wǎng)骨干路由表大幅減小，路由選擇效率更優(yōu)；④精準(zhǔn)的QoS 保障，IPv6 利用流標(biāo)簽有效區(qū)分?jǐn)?shù)據(jù)流類型和優(yōu)先級(jí)，提供精準(zhǔn)的QoS 服務(wù)；⑤增強(qiáng)的安全機(jī)制，IPv6采用安全擴(kuò)展頭部，使得IPv6 節(jié)點(diǎn)都可以支持IPsec，有效保障數(shù)據(jù)的完整性和機(jī)密性；⑥移動(dòng)IP 性能更優(yōu)，IPv6 定義了特定擴(kuò)展報(bào)頭提升其移動(dòng)性能，對(duì)IoT支持更好，積極推動(dòng)萬物互聯(lián)[4-7]。

2 IPv6園區(qū)網(wǎng)部署與改造關(guān)鍵技術(shù)研究

2.1 IPv6園區(qū)網(wǎng)出口部署與改造技術(shù)

大中型園區(qū)網(wǎng)絡(luò)一般為了保障出口網(wǎng)絡(luò)高可靠性，會(huì)選擇同時(shí)多家ISP 接入的方案，在向IPv6 過渡的相當(dāng)長的一段時(shí)間內(nèi)，出口必須同時(shí)支持IPv4 和IPv6并能夠進(jìn)行自動(dòng)選路簡化出口管理，提升出口利用效率。在IPv4 出口基礎(chǔ)上接入IPv6 出口，一種方法是采用二層以太網(wǎng)混合接入，即園區(qū)二層接入ISP，此時(shí)同一鏈路上同時(shí)啟用IPv4 和IPv6，在與IPv4 同一VLAN接口下配置ISP 分配的IPv6 全球單播地址；另一種方法三層接口獨(dú)立接入，即分別針對(duì)不同的ISP 在出口設(shè)備上啟用獨(dú)立的三層接口接入IPv6 并配置ISP 分配的IPv6 全球單播地址。上述兩種方法若需要在不增加出口設(shè)備的情況下部署，則要求出口設(shè)備支持IPv4和IPv6 雙協(xié)議棧。

出口鏈路之間IPv4 和IPv6 進(jìn)出雙向流量負(fù)載均衡是園區(qū)網(wǎng)出口建設(shè)的重要內(nèi)容，主要可以采用的方法有兩種：其一，直接利用出口設(shè)備部署IPv4 和IPv6的動(dòng)態(tài)路由和策略路由，該方法部署成本低，但是設(shè)備性能要求高，維護(hù)管理困難；其二，利用成熟的鏈路或應(yīng)用交付產(chǎn)品（Application Delivery，AD）作為出口設(shè)備，AD 具備全球IP 地址庫，支持四至七層負(fù)載算法，可以精準(zhǔn)選對(duì)IPv4 和IPv6 鏈路、服務(wù)器，同時(shí)支持TCP 加速，提升用戶訪問速度，主流AD 廠商如深信服、F5、Radware。這種方法的缺點(diǎn)是需要新增AD 設(shè)備的成本開支。

2.2 IPv6園區(qū)內(nèi)網(wǎng)部署與改造技術(shù)

（1）雙協(xié)議棧技術(shù)

雙協(xié)議棧技術(shù)是指在同一臺(tái)網(wǎng)絡(luò)設(shè)備上同時(shí)啟用IPv4 和IPv6 協(xié)議棧。在園區(qū)網(wǎng)絡(luò)內(nèi)部要求所有三層轉(zhuǎn)發(fā)節(jié)點(diǎn)必須要支持雙協(xié)議棧技術(shù)才能實(shí)現(xiàn)IPv6 內(nèi)網(wǎng)的部署，通常是園區(qū)匯聚層及其以上核心骨干設(shè)備需要進(jìn)行雙協(xié)議棧的改造升級(jí)[8]。雙協(xié)議棧技術(shù)優(yōu)點(diǎn)是部署簡單，建設(shè)周期短，網(wǎng)絡(luò)過渡平滑，缺點(diǎn)升級(jí)成本相對(duì)較高，IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)平行獨(dú)立運(yùn)行而無法互通。

（2）隧道技術(shù)

隧道技術(shù)即用一種協(xié)議報(bào)文封裝另一種協(xié)議報(bào)文的通信技術(shù)。在IPv6 過渡初期，園區(qū)內(nèi)部IPv4 網(wǎng)絡(luò)處于主導(dǎo)地位，只有少量IPv6 資源之間需要互通，此時(shí)可以采用IPv6 over IPv4 隧道技術(shù)如：IPv6 in IPv4 GRE隧道、6to4 隧道、ISATAP 隧道，將分散在園區(qū)或分支機(jī)構(gòu)的IPv6 資源進(jìn)行互聯(lián)，快速部署和整合內(nèi)網(wǎng)IPv6 資源[9]；IPv6 過渡后期，IPv6 網(wǎng)絡(luò)為主導(dǎo)，此時(shí)內(nèi)網(wǎng)中少量IPv4 網(wǎng)絡(luò)通過IPv4 over IPv6 隧道完成互聯(lián)，最后平滑過渡純IPv6 網(wǎng)絡(luò)。隧道技術(shù)要求隧道兩端設(shè)備具備雙協(xié)議棧能力，隧道實(shí)現(xiàn)較為簡單，但是隧道技術(shù)仍無法實(shí)現(xiàn)IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)互通。

（3）帶協(xié)議轉(zhuǎn)換的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

NAT- PT（Network Address Translator- Protocol Translator）是指附帶協(xié)議轉(zhuǎn)換功能的網(wǎng)絡(luò)地址轉(zhuǎn)換，NAT 技術(shù)是IPv4 園區(qū)網(wǎng)出口常用技術(shù)，主要目的是實(shí)現(xiàn)IPv4 私網(wǎng)地址與公網(wǎng)地址及傳輸層端口轉(zhuǎn)換，而NAT-PT 是完成IPv4 與IPv6 之間報(bào)文頭部修改轉(zhuǎn)換網(wǎng)絡(luò)地址，使得IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)互通，結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)（Application Level Gateway，ALG）可以實(shí)現(xiàn)部分應(yīng)用之間的互通[10]。NAT-PT 優(yōu)點(diǎn)在于實(shí)現(xiàn)了IPv4 和IPv6 網(wǎng)絡(luò)層面的互通，同時(shí)結(jié)合ALG 能夠?qū)崿F(xiàn)部分應(yīng)用互通，缺點(diǎn)是NAT-PT 使得IPv6 端到端安全特性無法維持，對(duì)應(yīng)用互訪并不透明，需要針對(duì)不同應(yīng)用對(duì)ALG 持續(xù)開發(fā)。

2.3 IPv6園區(qū)網(wǎng)安全技術(shù)架構(gòu)

如圖2 所示，從網(wǎng)絡(luò)安全技術(shù)角度出發(fā)，IPv6 園區(qū)網(wǎng)絡(luò)安全建設(shè)可以從接入安全、網(wǎng)絡(luò)邊緣安全、外聯(lián)網(wǎng)與干線安全、應(yīng)用安全、數(shù)據(jù)中心與云安全和運(yùn)維管理安全六個(gè)方面規(guī)劃設(shè)計(jì)。網(wǎng)絡(luò)安全建設(shè)不能一蹴而就，也不能無的放矢，以國家安全法規(guī)與政策為指導(dǎo)，以安全架構(gòu)為參考，統(tǒng)籌考慮園區(qū)網(wǎng)絡(luò)規(guī)模、生產(chǎn)業(yè)務(wù)安全需求、安全支出預(yù)算、內(nèi)部安全管理體系等逐步完善IPv6 園區(qū)網(wǎng)絡(luò)安全體系。

2.4 IPv6園區(qū)網(wǎng)應(yīng)用過渡技術(shù)

（1）反向代理技術(shù)

反向代理技術(shù)是指將用戶訪問請求集中引導(dǎo)至一臺(tái)中間理服務(wù)器，再由該理服務(wù)器代替用戶向后端真實(shí)提供服務(wù)的服務(wù)器發(fā)出請求，之后應(yīng)中間理服務(wù)器將接收到的服務(wù)應(yīng)答轉(zhuǎn)發(fā)給用戶，中間服務(wù)器對(duì)用戶透明[11]。為保障中間代理服務(wù)器的可靠性和性能，可以在私有云環(huán)境下集群部署中間代理服務(wù)器并啟用雙棧功能，使得代理服務(wù)器集群不僅支持IPv4 和IPv6 用戶訪問，還同時(shí)可以訪問后端真實(shí)的IPv4 和IPv6 應(yīng)用服務(wù)，在過渡前期即使IPv4 應(yīng)用沒有進(jìn)行雙棧化或IPv6改造，只需在權(quán)威DNS 上同時(shí)創(chuàng)建相應(yīng)服務(wù)域名的A記錄和AAAA 記錄并指向代理服務(wù)器的對(duì)應(yīng)的IPv4或IPv6 地址，雙棧終端與純IPv4 或純IPv6 終端均可以通過雙棧代理服務(wù)器訪問后端服務(wù)[12]。

圖2 IPv6園區(qū)內(nèi)網(wǎng)安全技術(shù)架構(gòu)

實(shí)際應(yīng)用中雙棧反向代理技術(shù)可以采用主流的反向代理軟件實(shí)現(xiàn)如：Nginx、Squid、Varnish、Apache TS 等自主開發(fā)實(shí)現(xiàn)，該方法是初始成本低，但是后期維護(hù)成本高，需要配備專門的IT 研發(fā)人員；另一種方法可以借助應(yīng)用交付AD 產(chǎn)品提供的虛擬服務(wù)來完成反向代理功能，在AD 上創(chuàng)建好IPv4 和IPv6 虛擬服務(wù)（即雙棧代理服務(wù)器功能），再創(chuàng)建后端應(yīng)用服務(wù)資源池，資源池中可以加入真實(shí)提供服務(wù)的雙棧服務(wù)器和純IPv4或純IPv6 服務(wù)器，最后將虛擬服務(wù)與資源池進(jìn)行關(guān)聯(lián)即可完成雙棧反向代理的配置。

（2）SPACE6 技術(shù)

SPACE6（Service- Provider’s Application Cloudbased Engine for IPv6 Transition）即服務(wù)提供商應(yīng)用基于云的IPv6 轉(zhuǎn)換引擎技術(shù)。SPACE6 技術(shù)將網(wǎng)絡(luò)層協(xié)議轉(zhuǎn)換技術(shù)與應(yīng)用層協(xié)議轉(zhuǎn)換技術(shù)相融合，實(shí)現(xiàn)IPv4和IPv6 應(yīng)用服務(wù)無縫對(duì)接，支持目前絕大多數(shù)應(yīng)用服務(wù)，并且可以有效解決IPv6 天窗問題[13]，SPACE6 平臺(tái)部署架構(gòu)基本與雙棧反向代理架構(gòu)一致。

雙棧反向代理技術(shù)優(yōu)點(diǎn)是可以快速實(shí)現(xiàn)IPv4 應(yīng)用向外提供IPv6 服務(wù)，不足之處在于其只能良好支持BS 類服務(wù)，對(duì)于CS 類應(yīng)用暫時(shí)無法支持，IPv6 天窗問題（后端服務(wù)頁面若存在未進(jìn)行IPv6 改造的外部鏈接可能無法正常顯示）需要結(jié)合額外技術(shù)才能解決，而SPACE6 技術(shù)可以有效彌補(bǔ)反向代理技術(shù)的不足。

3 IPv6園區(qū)網(wǎng)建設(shè)通用模型設(shè)計(jì)

圖3 IPv6雙棧反向代理技術(shù)架構(gòu)圖

如圖4 所示，IPv6 園區(qū)網(wǎng)絡(luò)建設(shè)大致可以分為互聯(lián)網(wǎng)出口區(qū)域、核心交換區(qū)域、內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)域、內(nèi)網(wǎng)終端接入?yún)^(qū)域、對(duì)外服務(wù)區(qū)域和運(yùn)維管理區(qū)域六大區(qū)域。在IPv4 向IPv6 過渡改造過程中，建議根據(jù)不同區(qū)域、不同節(jié)點(diǎn)、不同業(yè)務(wù)、不同時(shí)期有計(jì)劃地逐步完成IPv6 升級(jí)與部署。

互聯(lián)網(wǎng)出口區(qū)域建議采用雙棧技術(shù)改造，確保該區(qū)域內(nèi)設(shè)備全部支持雙棧服務(wù)，過渡后期通過軟件升級(jí)可以平滑部署純IPv6 服務(wù)；核心交換區(qū)域過渡前期核心層先做雙棧改造，并部署IPv4 與IPv6 相關(guān)路由，匯聚層若只有高速二層交換業(yè)務(wù)可不做調(diào)整，過渡中期可以先將匯聚層雙棧改造，并根據(jù)需要部署IPv4 與IPv6 匯聚層安全策略，過渡后期核心交換機(jī)區(qū)域設(shè)備均可以通過軟件升級(jí)支持純IPv6 網(wǎng)絡(luò)；內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)域中NGFW、數(shù)據(jù)庫審計(jì)、負(fù)載均衡先行完成雙棧改造，對(duì)于內(nèi)網(wǎng)核心業(yè)務(wù)通過部署SPACE6 平臺(tái)提供IPv6 服務(wù)改造，逐步完成內(nèi)網(wǎng)核心業(yè)務(wù)雙棧升級(jí)；內(nèi)網(wǎng)終端接入?yún)^(qū)域過渡前期接入交換機(jī)與AP 可以不做改造，只負(fù)責(zé)二層業(yè)務(wù)的接入，NGFW、AC（上網(wǎng)行為審計(jì)）、BRAS 與AC 需完成雙棧改造，跟實(shí)際接入業(yè)務(wù)場景部署IPv4 與IPv6 用戶認(rèn)證，對(duì)于內(nèi)網(wǎng)傳統(tǒng)終端或者虛擬桌面，無論是Windows、Linux、Android、蘋果系統(tǒng)等主流終端系統(tǒng)目前均可以支持雙棧，因此內(nèi)網(wǎng)接入?yún)^(qū)域處二層網(wǎng)絡(luò)設(shè)備其他節(jié)點(diǎn)均可以在過渡前期就完成雙棧化改造；對(duì)外服務(wù)區(qū)域過渡前期完成NGFW、WAF 等安全設(shè)備雙棧改造，以提供IPv4 與IPv6 全面的安全防護(hù)，部署SPACE6 平臺(tái)為門戶網(wǎng)站、App、對(duì)外業(yè)務(wù)系統(tǒng)提供IPv6 訪問入口；運(yùn)維管理區(qū)域在改造過程中應(yīng)根據(jù)業(yè)務(wù)發(fā)展需要同步完成改造，以便更好地支持園區(qū)網(wǎng)絡(luò)與業(yè)務(wù)的管理。

圖4 IPv6園區(qū)網(wǎng)建設(shè)通用模型

4 結(jié)語

本文簡要介紹了IPv6 基礎(chǔ)技術(shù)，并從園區(qū)網(wǎng)出口、園區(qū)內(nèi)網(wǎng)、園區(qū)網(wǎng)安全、園區(qū)應(yīng)用四個(gè)方面展開了IPv4 向IPv6 過渡關(guān)鍵技術(shù)的研究，最后設(shè)計(jì)了IPv6 園區(qū)網(wǎng)建設(shè)通用模型，為大中型園區(qū)網(wǎng)絡(luò)IPv6 建設(shè)與改造提供參考。