IPv6 over IPv4隧道技術在智慧園區邊緣網絡中的應用研究

陳 征

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

在國家不斷推進“數字經濟”與“新基建”的背景下，許多城市都在大力推進科技創新前進的步伐，為推動自身經濟體制改革而努力創造出一種對經濟發展有利的投資環境。因此，如何高水準、高質量構建智慧園區的網絡成為實現創新驅動的關鍵一環。

IPv6是IETF設計的網絡層標準協議，是人們熟知的IPv4協議的升級版[1]。IPv6改進的地方有很多，主要包括以下幾個方面。首先，IPv6地址采用128bit標識，這使得它擁有了巨大的地址空間。其次，IPv6報文的格式由基本頭部、擴展報頭以及上層協議數據單元組成，其中基本報頭固定長度為40byte，有效改進了IPv4報文冗長的缺點，提高了數據傳輸過程中的處理效率。再次，IPv6新增了“Flow Lable”字段，能夠區分實時流量，以便更好地支持QoS特性，同時采用了“Routing header”和“Destination option header”等擴展報頭，能夠更好地支持移動特性。最后，IPv6還具有良好的安全性，能夠保障數據的端到端傳輸。基于以上這些優點，如何將IPv4網絡平穩過渡到IPv6網絡，成為智慧園區邊緣網絡設計的關鍵。

本文闡述了IPv6過渡技術的技術特點，分析了從IPv4過渡到IPv6的相關要素與實現方法，提出了一種運用IPv6 over IPv4隧道技術在智慧園區邊緣網絡中的構建方法，為未來智慧園區的IPv6網絡過渡提供一些經驗。

1 IPv6過渡技術

在IPv6網絡搭建的初期，絕大多數用戶都是使用IPv4單棧網絡相互通信，而想要使IPv4網絡平滑順利地過渡到全IPv6網絡還需要很長的一段時間。因此，在園區的網絡環境中就會涌現出一些“IPv6孤島”，使這些“IPv6孤島”無障礙地通信是相關學者近年來研究的重點[2]。IPv6的過渡技術有很多，常用的技術有Dual Stack、Tunnel以及NAT翻譯技術。

1.1 Dual Stack

Dual Stack是IPv4向IPv6過渡的一種有效技術，網絡中的路由器和交換機等設備既支持IPv4協議棧又支持IPv6協議棧，設備之間按照以太網數據幀中“Protocol ID”字段的不同而選擇不同的協議棧進行存儲轉發[3]。IPv4 Stack與Dual Stack網絡結構示意如圖1所示。

圖1 IPv4 Stack與Dual Stack網絡結構示意

1.2 Tunnel

Tunnel是一種包括數據報文封裝、傳輸以及解封裝在內的技術[4]。Tunnel網絡結構如圖2所示，在IPv6 over IPv4隧道技術中，IPv6主機發出的IPv6報文在IPv6網絡邊緣側的自治系統邊界路由器（Autonomous System Border Router，ASBR）進行封裝，把IPv6報文作為數據部分封裝于IPv4報文內，以便于在IPv4網絡中傳輸。到達IPv6 over IPv4隧道邊緣側的ASBR2后再進行解封裝，即剝離IPv4頭部，使原有的IPv6報文顯露出來以便于在IPv6網絡中傳輸。當然，此時的ASBR需要支持雙棧技術。

圖2 Tunnel網絡結構

1.3 NAT翻譯技術

NAT翻譯是一種IPv4協議與IPv6協議之間的轉換技術，它將IPv6報文與IPv4報文中的相應字段建立起一一映射的關系，從而實現數據報文的相互轉換[5]。

2 智慧園區網絡構建存在的問題及規劃重點

2.1 現階段智慧園區網絡構建中存在的問題

當下許多園區都在努力建設成為智慧園區，投入了大量的資金，引進了許多先進的技術。園區網絡規劃是構建智慧園區的重中之重，可是在網絡規劃的過程中還存在以下一些通病。

2.1.1 IPv4地址短缺問題

因早期IP網段劃分不合理以及IPv4地址需求量的不斷增加，IPv4地址近年來已被消耗殆盡。雖然使用子網劃分和NAT等技術可以減緩IPv4地址短缺帶來的問題，但是這并不能完全解決IPv4地址可分配余量不足的問題，因此必將影響智慧園區的網絡規劃。

2.1.2 園區設備間的兼容性與安全性問題

隨著IPv6技術的不斷發展與應用，一些園區開始了IPv4網絡向IPv6網絡的過渡，對其自身園區網絡的核心設備進行了升級。但由于前期需要投入的資金過多，許多園區并沒有將其所有的設備升級或更換，這致使設備間的協議兼容性問題突出，影響了園區網絡設備之間的相互通信。網絡升級的同時也給網絡運維帶來了新的壓力，能否保障網絡的安全運行也成為園區網絡運維人員技術與能力的考驗。

2.2 智慧園區網絡構建的規劃重點

為了減少IPv4地址短缺帶來的影響并保證對上層的透明，分析IPv6 over IPv4隧道技術在智慧園區邊緣網絡中的一些要素。

2.2.1 保證園區原有IPv4網絡正常運行

通常園區的網絡都連接許多系統與設備，對園區業務的正常運行起到十分重要的作用，因此在向IPv6網絡過渡的過程中需要保證原有IPv4網絡正常運行，維持園區網絡的穩定性，保障園區的通信與生產的需求。

2.2.2 控制投入成本

在園區網絡向IPv6過渡的過程中，需要升級設備與相關生產系統，也需要提高運維人員的技術能力，致使網絡過渡前期投入的成本較高。因此園區網絡的規劃設計應以滿足生產需求為前提進行升級，節約園區的投入成本。

2.2.3 保證園區網絡的安全性

安全自始至終都是園區網絡的核心要素，園區網絡系統的安全與穩定對保障園區生產業務、員工個人信息等至關重要，要定期給員工開展網絡安全方面的培訓，提高園區網絡維護及安全防護的能力。

2.2.4 預留園區網絡的擴展空間

智慧園區是伴隨著新興技術的發展而發展的，在構建園區IPv6網絡的過程中，要預留一些空間，這有益于未來智慧園區網絡的升級改造。

3 基于IPv6 over IPv4隧道技術智慧園區的邊緣網絡構建

智慧園區的網絡規劃，尤其是邊緣網絡中IPv4向IPv6的過渡是一段有序的過程。在IPv6網絡部署初期，會涌現一批“IPv6孤島”，這會引起一些網絡互通問題，而IPv6 over IPv4隧道技術能夠滿足園區內“IPv6孤島”網絡用戶訪問IPv6公網以及“IPv6孤島”網絡用戶互通的需求。

3.1 IPv6地址分配與規劃

根據圖2可知，網絡邊緣處的ASBR需要支持雙棧技術，并同時配置好IPv4地址和IPv6地址。而根據IPv4地址配置方式的不同，通常將IPv6 over IPv4隧道技術分為手動隧道與自動隧道兩種。手動隧道就是隧道兩端的源目IP地址都是手工指定的，構建成一種點到點的通信連接；自動隧道隧道起點的IP地址需要手工指定，而隧道終點的IP地址由設備自動生成，Tunnel網絡地址規劃示例如圖3所示[6,7]。

圖3 Tunnel網絡地址規劃示例

此外，園區內的核心機房建議單獨配置一個地址段，這能夠保障園區核心網絡的穩定性，也便于管理。

3.2 數據報文轉發

數據報文的正常轉發是園區網絡建設的目的與重點，前文已介紹IPv6 over IPv4隧道報文的詳細轉發過程，可知IPv6 over IPv4隧道技術的重點就在于IP報文的封裝與解封裝。因此園區的網絡管理員應選擇合適的IPv6 over IPv4隧道技術，合理規劃與配置邊緣網絡ASBR處的源目IP地址，保證報文的正常轉發。

3.3 安全性設計

IPv6新增了分段報頭，其中的認證報頭與封裝安全凈載報頭給IPv6帶來了一定的安全性能，但這只能保障IPv6報文傳輸時的安全，對于整個園區網絡的安全保障來說是有限的。因此，智慧園區的網絡安全應當從網絡內部、網絡邊緣以及外網防范等方面設計，全面保障智慧園區的網絡安全。

4 結 論

邊緣網絡的過渡是園區IPv6過渡過程的關鍵部分，也是智慧園區建設的重要組成部分。IPv6 over IPv4隧道技術在地址分配與規劃、數據報文轉發等方面都做了創新，為園區邊緣網絡的構建與規劃提供了過渡方案。在目前IPv4與IPv6長期共存的事實下，IPv6 over IPv4隧道技術在園區網絡過渡過程中有很好的發展前景。