基于IPv6的電力信息內網改造應用研究

于金龍，唐志斌

（1.北京華電天仁電力控制有限公司，北京 100011；2.北京易通信聯科技有限公司，北京 100101）

1 IPv6應用現狀

隨著互聯網技術的不斷發展，原有IPv4協議已經逐步的顯露出種種不足，最迫切的問題就是IP地址資源耗盡和維護龐大的骨干路由表。因此，IETF組織針對以上問題重新設計了一套互聯網協議IPv6，它不是IPv4的升級擴展，兩套協議本身并不兼容。可見，IPv4過渡到IPv6是一個漫長的過程。目前，IEFT專門成立工作組研究IPv4向IPv6的過渡問題，已經確定有多種技術實現IPv6升級部署。現在Internet骨干網絡中基本上是IPv4協議棧，其中包含有網絡設備、計費系統、業務系統、固定寬帶接入用戶、LTE終端用戶等，所以要是實現IPv4到IPv6的過渡是需要一個漫長復雜的過程，既要考慮新接入的IPv6用在體驗下一代互聯網優勢的同時，也要充分考慮現有IPv4用戶及業務系統的正常通信傳輸。IETF已研發了三種過渡技術，即IPv4/IPv6雙棧技術、隧道Tunnel技術和協議翻譯技術，IPv4/IPv6雙棧技術、隧道Tunnel技術是解決網絡層互聯互通的問題，協議翻譯技術解決網絡協議異構模式下應用層業務之間的互通問題。

1.1 IPv4/IPv6雙棧技術

IPv4/IPv6雙棧技術是在網絡中同時承載IPv4和IPv6兩種協議棧，邏輯上是相互隔離的，即IPv4網絡平面與IPv6網絡平面互不可視、互不通信的獨立網絡平面。IPv4/IPv6雙棧技術需要入網的每個網絡節點（主機、服務器、路由器、業務系統、計費系統等）同時運行IPv4和IPv6兩個協議棧，在網絡基礎架構上構建了IPv4和IPv6兩個完全隔離的網絡。

IPv4/IPv6雙棧技術雖然在網絡層面容易被理解，但在具體實施部署中難度大，通常需要解決的問題也比較多：一是改造難度大、投資高且改造周期較長，需要解決網絡設備、業務系統及應用服務代碼的全面支持并運行IPv4和IPv6兩套協議棧，能夠同時處理IPv4和IPv6數據包。二是增加了網絡安全風險。目前IPv6大網環境存在安全防護技術仍未成熟且防范措施缺乏。三是雙棧技術可以實現IPv4和IPv6網絡的共存，但沒有解決IPv4和IPv6互訪的問題。

1.2 隧道Tunnel技術

隧道技術是將IPv6數據包封裝在IPv4協議棧中，通過IPv4網絡路由架構進行傳輸，到達目的端網絡節點（支持IPv4/IPv6雙棧）進行數據包解封裝，最終實現IPv6的數據包互傳通信。數據包在傳輸過程中，在原始IPv6數據包增加IPv4報文頭，本質上就是報文頭的多層疊加，這樣極大地降低網絡轉發效率，因為以太網報文的最大長度是固定的，報文頭長度占比越大，轉發效率越低。

然而采用隧道技術也存在一定的優勢：一是透明性：IPv6孤島之間數據通信，完全可以忽略隧道的存在；二是技術的便捷性：在隧道邊界網關設備進行配置，對其他部分沒有要求，技術實現非常容易，但它并不能解決IPv6節點與IPv4節點之間相互通信的問題。

1.3 協議翻譯技術

該技術可以分為有狀態翻譯和無狀態翻譯技術兩種：有狀態IPv4/IPv6雙重翻譯技術可以使IPv4和IPv6互聯互通，并解決了100%支持所有的應用的問題；無狀態翻譯技術，可以有效解決IPv4和IPv6網絡的互聯互通問題，使其用戶對于目前的IPv4互聯網和未來的IPv6互聯網均可以做到端對端的全球惟一的尋址，因而具有雙向的互聯互通性和安全性，對于云計算、物聯網和移動互聯網等應用具有極大的價值。

2 電力系統內網改造項目工程技術方案

首先，在電力公司信息內網網絡基礎架構進行雙棧改造，涉及到網絡設備、安全設備、終端主機等。地市公司完成網絡雙棧改造后，使其網絡核心設備支持雙棧功能，將智能轉換系統接入地市匯聚路由器，配置IPv4和IPv6兩套IP地址，同時實現與內網接入區雙棧對接，實現完成改造的IPv6終端可以訪問電力公司信息內網二級、三級IPv4協議棧業務系統。

圖1 電力公司信息內網網絡拓撲圖

其次，在電力公司內網業務區新建一個IPv6系統域，在該域接入邊界部署IPv4/IPv6協議智能轉換網關，規劃的新IPv6業務系統，將直接部署在該區域。完成雙棧改造的辦公終端因為已經具備IPv6接入能力，所有能訪問IPv6系統域能業務系統。未完成改造的IPv4終端，通過翻譯網關同樣科技正常訪問IPv6系統域內業務系統。

改造思路為：網絡基礎架構改造，網絡設備配置雙棧協議；IPv6地址規劃；IPv6DHCP動態地址分配協議設計；IPv6DNS設計；應用系統改造。

2.1 基礎架構改造

通過采用IPv4/IPv6雙棧技術進行改造網絡基礎架構，需要子網絡設備（路由器、交換機、防火墻、服務器等）上同時配置啟用IPv4、IPv6兩種協議棧使得設備能夠處理這兩種協議棧下的數據包，終端主機根據數據包頭IP地址來決定采用IPv4協議還是IPv6協議來發送或接收數據包。

IPv6升級改造是一個循序漸進的過程。在改造初期，通常要求在通信設備上同時支持IPv6和IPv4協議棧，既能封裝解封裝IPv4數據包也能處理IPv6數據包，在彼此隔離的協議棧下完成數據包的處理任務。

圖2 TCP/IP協議體系結構圖

技術改造難點：需有專業能力強的團隊指定升級改造方案，需要有足夠的經費支撐；應用系統及網站需要更新并更換，對陳舊系統和網站支持性差，可能需要重建；防火墻設備需同時啟用IPv4和IPv6防護策略，增加維護工作；大多國產網絡安全設備不支持IPv6，需要其他技術保障網絡安全。

2.2 IPv6地址規劃

首先要考慮網絡拓撲層次結構，IPv6地址規劃方案必須與其相適應，既要對IPv6地址空間充分有效的利用，又要體現出網絡的層次性、可擴展性和靈活性，同時能夠滿足路由協議的要求，以便于網絡中路由聚合，減少路由器中路由表的條目數量，減少對路由器硬件資源如CPU、內存的消耗，提高路由算法的效率，同時還要考慮到網絡地址的可管理性。IPv6地址分配應在電力公司已申請的固定網絡前綴的IPv6地址塊中進行，根據公司業務需求及機構設置，通過非對稱加密算法自動生成接口標識，再結合固定前綴最終生成一個128位的IPv6 地址，同時需要擴展DHCP協議，對于源地址偽冒還要進行有效的防范管理。

2.3 IPv6 DHCP動態地址分配協議設計

實現IPv6 DHCP服務有兩種種方法：一是在服務器區專門集中部署IPv6 DHCP服務器集群；二是在本地部署專門IPv6 DHCP服務器。

（1）在服務器區專門集中部署IPv6 DHCP服務器集群。在電力公司服務器區專門集中部署IPv6 DHCP服務器集群，這樣做的優點有：統一運維，統一管理；安全可靠；專業IPv6 DHCP服務器功能強大。

（2）在本地部署專門IPv6 DHCP服務器。在本地部署專門的IPv6 DHCP服務器，這樣做的優點有：IPv6地址下發迅速；功能強大；較為安全可靠。（根據需要可以部署雙機）。

2.4 I Pv6 DNS設計

DNS（Domain Name System）域名系統，在IPv4到IPv6的過渡過程中，作為Internet基礎架構的DNS服務當然也要升級支持IPv6協議棧。DNS 在IPv4協議棧和IPv6協議棧下體系架構是一致的，均采用樹型結構的域名空間，即IPv4和IPv6共同擁有統一的域名標識。域名服務商提供域名申請服務，支持域名同時綁定多個IPv4和IPv6的地址。

IPv6改造采用雙棧技術的過渡方案，DNS服務器可以同時解析“A”記錄（對應IPv4服務器地址） 和“AAAA”（或4A）記錄（對應IPv6服務器地址）。IPv4協議棧下終端請求DNS解析，DNS域名系統會及時向終端應答A記錄，終端獲得A記錄IPv4地址后，即可與IPv4服務器建立session會話。同樣，IPv6協議棧下終端請求DNS解析，DNS域名系統會及時向終端應答4A記錄，終端獲得4A記錄IPv6地址后，即可與IPv6服務器建立session會話。

圖3 終端與DNS服務器信息交互流程圖

2.5 應用系統改造

IPv4/IPv6智能轉換平臺是一套面向網絡翻譯和互通的平臺級解決方案，主要用于IPv4網絡和IPv6網絡之間的通信協議轉換和翻譯，在TCP/IP 四層參考模型中（劃分為網絡接口層、網際層、傳輸層和應用層），主要針對網際層和傳輸層進行協議轉換和翻譯，及IP地址轉換和端口映射。最終，該平臺解決IPv6資源與IPv4資源之間的互訪需求，也可用于實現IPv6終端用戶訪問IPv4資源，IPv4終端用戶訪問IPv6資源。

對于電力公司IPv6升級改造需求，IPv4/IPv6 智能轉換平臺既可以適合解決IPv4互聯網應用系統滿足IPv6用戶的訪問，也可以在企業內網實現IPv6信息孤島（內網新部署IPv6業務系統）與原IPv4用戶區的互訪需求。如圖4所示，新建一套IPv6業務專區，網絡接入邊界核心設備支持雙棧功能，配置IPv4和IPv6兩套IP地址，IPv4/IPv6智能轉換平臺采用旁掛核心交換機，所有新上線IPv6業務均部署在該區域，IPv4/IPv6智能轉換平臺主要是實現了內網部分IPv4孤島客戶端可訪問新上線IPv6業務。

圖4 電力公司信息內網應用系統改造規劃拓撲圖

IPv4/ IPv6智能轉換平臺采用無狀態IPv4/ IPv6翻譯技術，通過一對一地映射直接找到對應地址，大大減輕網關設備地負擔和效率。同時，它也支持端到端地址透明性。可以進行增量化部署。

3 I Pv6在電力信息內網改造應用研究

本次應用討論電力公司IPv4信息內網向IPv6 協議升級，采用雙棧改造技術和翻譯技術，雙棧改造主要是網絡層的改造，涉及到整改骨干網絡和終端接入設備，翻譯技術是采用無狀態協議轉換技術，在此基礎上研發IPv4/IPv6智能轉換平臺，是集成網絡層無狀態翻譯技術和應用層協議智能轉換技術，實現了電力公司內網業務系統的升級改造。

對于雙棧改造來講，適合整改網絡基礎架構及終端接入設備，如果應用于網站應用系統改造的話，存在大量工作及技術難點，如業務系統運行環境配置改造及網絡協議的代碼行改造、數據支撐系統的再開發。

采用翻譯技術及翻譯網關，部署在區域邊界均分配IPV4地址和IPv6地址，由此縱向出入流量實現IPv4與IPv6的流量的相互轉換。從互聯網技術的發展方向來講，未來會最終實現互聯網業務純IPv6環境訪問能力，采用過渡技術可以幫助電力公司在現階段完成IPv6升級改造，同時也為電力公司徹底雙棧改造及純IPv6環境的實現部署，贏取了更多的時間周期。

4 結束語

通過該電力信息內網改造應用，實現了電力公司信息內網支持IPv4/ IPv6雙協議棧的改造目標，主要包括地市公司及分支網點辦公網的雙棧接入和骨干網絡基礎設施改造、內網業務系統的IPv6改造。一些內部辦公系統在現有骨干網中仍然是基于IPv4的基礎上形成IPv6信息孤島，通過運用IPv6翻譯技術實現將孤立的IPv6域互通起來，輕松實現平滑過渡，解決IPv4 和IPv6異構網絡的共存和互通問題。在目前IPv6 過渡的情況下，雙棧技術和翻譯技術的結合可以幫助電力公司基本地解決信息孤島和IP地址緊缺問題，隨著下一代互聯網IPv6協議發展，最終將過渡到純IPv6環境。采用IPv6改造過渡技術進行探索和應用，對于積累經驗和推動應用系統業務從IPv4 向IPv6的平穩過渡，也是具有重要的意義。