IPv6 over IPv4隧道技術(shù)在智慧園區(qū)邊緣網(wǎng)絡(luò)中的應(yīng)用研究

陳 征

（中通服咨詢?cè)O(shè)計(jì)研究院有限公司，江蘇 南京 210019）

0 引 言

在國家不斷推進(jìn)“數(shù)字經(jīng)濟(jì)”與“新基建”的背景下，許多城市都在大力推進(jìn)科技創(chuàng)新前進(jìn)的步伐，為推動(dòng)自身經(jīng)濟(jì)體制改革而努力創(chuàng)造出一種對(duì)經(jīng)濟(jì)發(fā)展有利的投資環(huán)境。因此，如何高水準(zhǔn)、高質(zhì)量構(gòu)建智慧園區(qū)的網(wǎng)絡(luò)成為實(shí)現(xiàn)創(chuàng)新驅(qū)動(dòng)的關(guān)鍵一環(huán)。

IPv6是IETF設(shè)計(jì)的網(wǎng)絡(luò)層標(biāo)準(zhǔn)協(xié)議，是人們熟知的IPv4協(xié)議的升級(jí)版[1]。IPv6改進(jìn)的地方有很多，主要包括以下幾個(gè)方面。首先，IPv6地址采用128bit標(biāo)識(shí)，這使得它擁有了巨大的地址空間。其次，IPv6報(bào)文的格式由基本頭部、擴(kuò)展報(bào)頭以及上層協(xié)議數(shù)據(jù)單元組成，其中基本報(bào)頭固定長(zhǎng)度為40byte，有效改進(jìn)了IPv4報(bào)文冗長(zhǎng)的缺點(diǎn)，提高了數(shù)據(jù)傳輸過程中的處理效率。再次，IPv6新增了“Flow Lable”字段，能夠區(qū)分實(shí)時(shí)流量，以便更好地支持QoS特性，同時(shí)采用了“Routing header”和“Destination option header”等擴(kuò)展報(bào)頭，能夠更好地支持移動(dòng)特性。最后，IPv6還具有良好的安全性，能夠保障數(shù)據(jù)的端到端傳輸?；谝陨线@些優(yōu)點(diǎn)，如何將IPv4網(wǎng)絡(luò)平穩(wěn)過渡到IPv6網(wǎng)絡(luò)，成為智慧園區(qū)邊緣網(wǎng)絡(luò)設(shè)計(jì)的關(guān)鍵。

本文闡述了IPv6過渡技術(shù)的技術(shù)特點(diǎn)，分析了從IPv4過渡到IPv6的相關(guān)要素與實(shí)現(xiàn)方法，提出了一種運(yùn)用IPv6 over IPv4隧道技術(shù)在智慧園區(qū)邊緣網(wǎng)絡(luò)中的構(gòu)建方法，為未來智慧園區(qū)的IPv6網(wǎng)絡(luò)過渡提供一些經(jīng)驗(yàn)。

1 IPv6過渡技術(shù)

在IPv6網(wǎng)絡(luò)搭建的初期，絕大多數(shù)用戶都是使用IPv4單棧網(wǎng)絡(luò)相互通信，而想要使IPv4網(wǎng)絡(luò)平滑順利地過渡到全I(xiàn)Pv6網(wǎng)絡(luò)還需要很長(zhǎng)的一段時(shí)間。因此，在園區(qū)的網(wǎng)絡(luò)環(huán)境中就會(huì)涌現(xiàn)出一些“IPv6孤島”，使這些“IPv6孤島”無障礙地通信是相關(guān)學(xué)者近年來研究的重點(diǎn)[2]。IPv6的過渡技術(shù)有很多，常用的技術(shù)有Dual Stack、Tunnel以及NAT翻譯技術(shù)。

1.1 Dual Stack

Dual Stack是IPv4向IPv6過渡的一種有效技術(shù)，網(wǎng)絡(luò)中的路由器和交換機(jī)等設(shè)備既支持IPv4協(xié)議棧又支持IPv6協(xié)議棧，設(shè)備之間按照以太網(wǎng)數(shù)據(jù)幀中“Protocol ID”字段的不同而選擇不同的協(xié)議棧進(jìn)行存儲(chǔ)轉(zhuǎn)發(fā)[3]。IPv4 Stack與Dual Stack網(wǎng)絡(luò)結(jié)構(gòu)示意如圖1所示。

圖1 IPv4 Stack與Dual Stack網(wǎng)絡(luò)結(jié)構(gòu)示意

1.2 Tunnel

Tunnel是一種包括數(shù)據(jù)報(bào)文封裝、傳輸以及解封裝在內(nèi)的技術(shù)[4]。Tunnel網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示，在IPv6 over IPv4隧道技術(shù)中，IPv6主機(jī)發(fā)出的IPv6報(bào)文在IPv6網(wǎng)絡(luò)邊緣側(cè)的自治系統(tǒng)邊界路由器（Autonomous System Border Router，ASBR）進(jìn)行封裝，把IPv6報(bào)文作為數(shù)據(jù)部分封裝于IPv4報(bào)文內(nèi)，以便于在IPv4網(wǎng)絡(luò)中傳輸。到達(dá)IPv6 over IPv4隧道邊緣側(cè)的ASBR2后再進(jìn)行解封裝，即剝離IPv4頭部，使原有的IPv6報(bào)文顯露出來以便于在IPv6網(wǎng)絡(luò)中傳輸。當(dāng)然，此時(shí)的ASBR需要支持雙棧技術(shù)。

圖2 Tunnel網(wǎng)絡(luò)結(jié)構(gòu)

1.3 NAT翻譯技術(shù)

NAT翻譯是一種IPv4協(xié)議與IPv6協(xié)議之間的轉(zhuǎn)換技術(shù)，它將IPv6報(bào)文與IPv4報(bào)文中的相應(yīng)字段建立起一一映射的關(guān)系，從而實(shí)現(xiàn)數(shù)據(jù)報(bào)文的相互轉(zhuǎn)換[5]。

2 智慧園區(qū)網(wǎng)絡(luò)構(gòu)建存在的問題及規(guī)劃重點(diǎn)

2.1 現(xiàn)階段智慧園區(qū)網(wǎng)絡(luò)構(gòu)建中存在的問題

當(dāng)下許多園區(qū)都在努力建設(shè)成為智慧園區(qū)，投入了大量的資金，引進(jìn)了許多先進(jìn)的技術(shù)。園區(qū)網(wǎng)絡(luò)規(guī)劃是構(gòu)建智慧園區(qū)的重中之重，可是在網(wǎng)絡(luò)規(guī)劃的過程中還存在以下一些通病。

2.1.1 IPv4地址短缺問題

因早期IP網(wǎng)段劃分不合理以及IPv4地址需求量的不斷增加，IPv4地址近年來已被消耗殆盡。雖然使用子網(wǎng)劃分和NAT等技術(shù)可以減緩IPv4地址短缺帶來的問題，但是這并不能完全解決IPv4地址可分配余量不足的問題，因此必將影響智慧園區(qū)的網(wǎng)絡(luò)規(guī)劃。

2.1.2 園區(qū)設(shè)備間的兼容性與安全性問題

隨著IPv6技術(shù)的不斷發(fā)展與應(yīng)用，一些園區(qū)開始了IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過渡，對(duì)其自身園區(qū)網(wǎng)絡(luò)的核心設(shè)備進(jìn)行了升級(jí)。但由于前期需要投入的資金過多，許多園區(qū)并沒有將其所有的設(shè)備升級(jí)或更換，這致使設(shè)備間的協(xié)議兼容性問題突出，影響了園區(qū)網(wǎng)絡(luò)設(shè)備之間的相互通信。網(wǎng)絡(luò)升級(jí)的同時(shí)也給網(wǎng)絡(luò)運(yùn)維帶來了新的壓力，能否保障網(wǎng)絡(luò)的安全運(yùn)行也成為園區(qū)網(wǎng)絡(luò)運(yùn)維人員技術(shù)與能力的考驗(yàn)。

2.2 智慧園區(qū)網(wǎng)絡(luò)構(gòu)建的規(guī)劃重點(diǎn)

為了減少IPv4地址短缺帶來的影響并保證對(duì)上層的透明，分析IPv6 over IPv4隧道技術(shù)在智慧園區(qū)邊緣網(wǎng)絡(luò)中的一些要素。

2.2.1 保證園區(qū)原有IPv4網(wǎng)絡(luò)正常運(yùn)行

通常園區(qū)的網(wǎng)絡(luò)都連接許多系統(tǒng)與設(shè)備，對(duì)園區(qū)業(yè)務(wù)的正常運(yùn)行起到十分重要的作用，因此在向IPv6網(wǎng)絡(luò)過渡的過程中需要保證原有IPv4網(wǎng)絡(luò)正常運(yùn)行，維持園區(qū)網(wǎng)絡(luò)的穩(wěn)定性，保障園區(qū)的通信與生產(chǎn)的需求。

2.2.2 控制投入成本

在園區(qū)網(wǎng)絡(luò)向IPv6過渡的過程中，需要升級(jí)設(shè)備與相關(guān)生產(chǎn)系統(tǒng)，也需要提高運(yùn)維人員的技術(shù)能力，致使網(wǎng)絡(luò)過渡前期投入的成本較高。因此園區(qū)網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)應(yīng)以滿足生產(chǎn)需求為前提進(jìn)行升級(jí)，節(jié)約園區(qū)的投入成本。

2.2.3 保證園區(qū)網(wǎng)絡(luò)的安全性

安全自始至終都是園區(qū)網(wǎng)絡(luò)的核心要素，園區(qū)網(wǎng)絡(luò)系統(tǒng)的安全與穩(wěn)定對(duì)保障園區(qū)生產(chǎn)業(yè)務(wù)、員工個(gè)人信息等至關(guān)重要，要定期給員工開展網(wǎng)絡(luò)安全方面的培訓(xùn)，提高園區(qū)網(wǎng)絡(luò)維護(hù)及安全防護(hù)的能力。

2.2.4 預(yù)留園區(qū)網(wǎng)絡(luò)的擴(kuò)展空間

智慧園區(qū)是伴隨著新興技術(shù)的發(fā)展而發(fā)展的，在構(gòu)建園區(qū)IPv6網(wǎng)絡(luò)的過程中，要預(yù)留一些空間，這有益于未來智慧園區(qū)網(wǎng)絡(luò)的升級(jí)改造。

3 基于IPv6 over IPv4隧道技術(shù)智慧園區(qū)的邊緣網(wǎng)絡(luò)構(gòu)建

智慧園區(qū)的網(wǎng)絡(luò)規(guī)劃，尤其是邊緣網(wǎng)絡(luò)中IPv4向IPv6的過渡是一段有序的過程。在IPv6網(wǎng)絡(luò)部署初期，會(huì)涌現(xiàn)一批“IPv6孤島”，這會(huì)引起一些網(wǎng)絡(luò)互通問題，而IPv6 over IPv4隧道技術(shù)能夠滿足園區(qū)內(nèi)“IPv6孤島”網(wǎng)絡(luò)用戶訪問IPv6公網(wǎng)以及“IPv6孤島”網(wǎng)絡(luò)用戶互通的需求。

3.1 IPv6地址分配與規(guī)劃

根據(jù)圖2可知，網(wǎng)絡(luò)邊緣處的ASBR需要支持雙棧技術(shù)，并同時(shí)配置好IPv4地址和IPv6地址。而根據(jù)IPv4地址配置方式的不同，通常將IPv6 over IPv4隧道技術(shù)分為手動(dòng)隧道與自動(dòng)隧道兩種。手動(dòng)隧道就是隧道兩端的源目IP地址都是手工指定的，構(gòu)建成一種點(diǎn)到點(diǎn)的通信連接；自動(dòng)隧道隧道起點(diǎn)的IP地址需要手工指定，而隧道終點(diǎn)的IP地址由設(shè)備自動(dòng)生成，Tunnel網(wǎng)絡(luò)地址規(guī)劃示例如圖3所示[6,7]。

圖3 Tunnel網(wǎng)絡(luò)地址規(guī)劃示例

此外，園區(qū)內(nèi)的核心機(jī)房建議單獨(dú)配置一個(gè)地址段，這能夠保障園區(qū)核心網(wǎng)絡(luò)的穩(wěn)定性，也便于管理。

3.2 數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)

數(shù)據(jù)報(bào)文的正常轉(zhuǎn)發(fā)是園區(qū)網(wǎng)絡(luò)建設(shè)的目的與重點(diǎn)，前文已介紹IPv6 over IPv4隧道報(bào)文的詳細(xì)轉(zhuǎn)發(fā)過程，可知IPv6 over IPv4隧道技術(shù)的重點(diǎn)就在于IP報(bào)文的封裝與解封裝。因此園區(qū)的網(wǎng)絡(luò)管理員應(yīng)選擇合適的IPv6 over IPv4隧道技術(shù)，合理規(guī)劃與配置邊緣網(wǎng)絡(luò)ASBR處的源目IP地址，保證報(bào)文的正常轉(zhuǎn)發(fā)。

3.3 安全性設(shè)計(jì)

IPv6新增了分段報(bào)頭，其中的認(rèn)證報(bào)頭與封裝安全凈載報(bào)頭給IPv6帶來了一定的安全性能，但這只能保障IPv6報(bào)文傳輸時(shí)的安全，對(duì)于整個(gè)園區(qū)網(wǎng)絡(luò)的安全保障來說是有限的。因此，智慧園區(qū)的網(wǎng)絡(luò)安全應(yīng)當(dāng)從網(wǎng)絡(luò)內(nèi)部、網(wǎng)絡(luò)邊緣以及外網(wǎng)防范等方面設(shè)計(jì)，全面保障智慧園區(qū)的網(wǎng)絡(luò)安全。

4 結(jié) 論

邊緣網(wǎng)絡(luò)的過渡是園區(qū)IPv6過渡過程的關(guān)鍵部分，也是智慧園區(qū)建設(shè)的重要組成部分。IPv6 over IPv4隧道技術(shù)在地址分配與規(guī)劃、數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)等方面都做了創(chuàng)新，為園區(qū)邊緣網(wǎng)絡(luò)的構(gòu)建與規(guī)劃提供了過渡方案。在目前IPv4與IPv6長(zhǎng)期共存的事實(shí)下，IPv6 over IPv4隧道技術(shù)在園區(qū)網(wǎng)絡(luò)過渡過程中有很好的發(fā)展前景。