通往IPv6
2011-03-25卜娜
卜娜
2011年2月3日,全球IP地址的顶级管理部门——IANA (互联网编号分配机构)宣布,全球最后一批IPv4地址已经分配完毕。对互联网而言,这无疑是一个具有历史意义的时刻。因为存储互联网最重要资源——IP地址的“总库房”已经被搬空,我们将不得不加快与IPv6接轨的步伐。
作为解决IPv4地址枯竭问题的备选方案,IPv6已经准备了将近20年。对于IPv6,有人形容它足以为地球上的每一粒沙分配一个IP地址,也有人认为它是一个充满缺陷的解决方案,人们将为向IPv6的过渡付出巨大的代价。IPv6到底是一个什么样的解决方案,我们不妨来揭开它的面纱。
它有何不同
IP地址,就像是互联网中的计算机或者设备(节点)的门牌号。它是一串独一无二的数字标识,在互联网中,每一个节点都要依靠它彼此区分和相互联系。
IP地址所定义的长度,决定着一个IP地址方案所能提供的IP地址空间的大小。我们所熟悉的IPv4地址所定义的长度为32位。从理论上计算,IPv4所能提供的地址数量为232-1个(不将全0地址算在内)。而IPv6使用的是12位的地址长度,所以它的理论IP地址空间可达到2128-1个。单从数字上来, IPv6所拥有的地址容量是IPv4的约8×1028倍。如果按照全球70亿人口来计算,人均可分配到1800多个IPv6地址。
在IPv4时代,由于IP地址的数量有限,可以直接连入互联网的计算机或设备的数量也是有限的。伴随互联网应用的蓬勃发展,这种限制开始成为互联网各节点间平等通信的最大障碍,特别是对除计算机之外的其他设备的接入。而IPv6几乎无限的地址数量,无疑为互联网高效的通信扫清了障碍,特别是对移动互联网的发展来说,用IPv6替代IPv4更是意义重大。
它的价值
与IPv4相比,IPv6的价值并不仅仅是具有几乎无限的地址空间。它在安全性、QoS(服务质量)控制、地址资源管理的合理性方面均有较大幅度的改进。
首先,IPv6的地址分配机制遵循了聚类原则,这种优势使路由器在路由表中仅用一条记录就可以表示一片子网,大幅缩短了路由表的长度,这一特色可以提升路由器转发数据包的速度。
其次,IPV6还增强了对组播及流控制的支持。它使网络上的多媒体应用有了长足发展的机会,为QoS控制提供了良好的网络平台。由于IP协议本身是无连接协议,在IPv4中同一个业务流的前后两个数据包,可能会通过不同的路径到达目的地址。这样一来,每一个数据包都需要独立处理,会增加处理时间。对于视频广播或点播来说,这种延时的增加和不确定性会造成业务质量的严重下降。但在IPv6中,同一个业务流的所有数据包都采用相同的流标签,当路由器检测到相同的标签时,就不会再为每一个数据包重新选择路由,而是用相同的路径转发,这样就会大大提高数据包转发的效率,降低端到端的延时,提高QoS。
再次,IPv6 的一个重要目标是支持节点即插即用。它可以支持将节点插入 IPv6 网络并且不需要任何人为干预,即可为该节点自动配置IP地址。这种变化可以让网络,尤其是局域网的管理更加方便、快捷.。
另外,IPv6还解决了一些安全问题,并提高了网络的安全系数。和IPv4相比,IPv6提供了更多的安全策略,用户可以对网络层的数据进行加密并对IP报文进行校验。
除此之外,IPv6网络的一些先天优势也带来了很多好处。比如在网络安全方面,病毒和互联网蠕虫等让人头疼的网络攻击的传播方式,在IPv6的网络中将不再适用,因为IPv6的地址空间巨大,如果这些病毒或者蠕虫想通过扫描地址段的方式寻找其他主机的可乘之机,将犹如大海捞针。在IPv6网络中,追溯攻击的源头也要比在IPv4中更容易。IPv6还能使移动设备接入互联网变得更为便捷。移动设备与互联网的连接必须要能够随意更改位置,但仍维持现有连接。而实现这样的功能,实际比传统话务网的连接要求还要高。因为它需要运营商能够给移动节点分配一个本地地址后,让该设备通过此IP地址访问互联网。在该移动节点位于本地时,它会连接到本地链路并使用其本地地址,但在移动节点远离本地时,则需要通过本地代理(通常是路由器)在该移动节点和正在与其进行通信的节点之间传递消息。这意味着,移动设备对IP地址资源的占用很可能是永久性的,同一个IP地址不会被重复分配给不同的移动设备,移动互联网必然需要数量庞大且难以枯竭的IP地址来支撑,这正是IPv6的强项。
它将被如何分配
虽然具有几乎无限的地址数量,但是任何一个国家或地区所能分配到的IP地址数量,才是决定其发展互联网业务的关键。如果不能平等分配到IP地址资源,IPv6对于急需IP资源的中国也将毫无价值。
据记者了解,当前IANA主要负责协调一些使互联网正常运作的机构,ICANN(互联网名称与数字地址分配机构)则负责将IP地址分配给实际上的五大RIRs(区域性网路位置注册机构),然后再由这五大RIRs分配给各个地区的ISP以及其他的网络运营商,最后再由ISP或者网络运营商分发给接入互联网的用户。全世界的五大RIRs包括:ARIN、RIPE、APNIC、LACNIC和AfriNIC。亚太地区国家的IP地址和AS号码(自治系统号码)分配则由APNIC管理。
ICANN的董事会在2006年9月,就已经通过了有关RIRs如何分配IPv6地址的政策,主要的政策细节包括:RIRs收到/12单位的IPv6区块;当RIRs已经完成其所得到的IP地址的分配,才可以得到额外的区块;RIRs收到的/12单位的分配是根据IANA建立的准则进行的。事实上,一个/12区块的IP地址数量非常庞大。早在2006年,ICANN就开始为每个RIR分配一个/12区块,但直到现在,还没有任何一个RIR提出申请额外的地址空间。新的分配标准意味着,任何一个国家的ISP及运营商所得到的IPv6地址资源都将足以发展他们的业务,因为一个/12区块至少可以允许数万甚至是数十万个机构来运营互联网业务。
新的IP地址分配策略显得更为公平。比如,在评估一个RIR是否有资格收到额外的IPV6地址时,ICANN要求RIR必须对消耗速度的变化或新政策的影响进行解释,或者提供对外在因素的分析。如果一个RIR的数据不够清楚,就可能受到质疑。这种分配策略预示,中国等人口大国将在新一轮IP资源的争夺战中得到更为公平的对待,加速向IPv6的过渡,会使中国的IP地址成本大幅下降。
过渡涉及的主要技术
在IPv6发展的20年中,互联网技术以及应用环境总是在发生无法预见的变化。所以,IPv6并非是一个完美的过渡方案。它与其前任一样,依旧存在许多先天的缺陷。其最严重的缺陷,就是在设计之初没有充分考虑从IPv4到IPv6的平滑过渡问题,使得IPv4向IPv6的过渡阻力重重。
虽然初始设计考虑不周,但是IPv6方案并非完全没有考虑到IPv4到IPv6的过渡问题。IPv6也提供了一些特性以便简化过渡过程。例如,IPv6地址可以使用IPv4兼容地址,自动由IPv4地址产生;也可以在IPv4的网络上构建隧道,连接IPv6孤岛。借助这些特性,目前业界已经提出了许多处理方法。
但是,由于目前众多企业和用户的日常工作都与互联网紧密结合,一旦协议过渡过程中出现网络无法通信的问题,将会带来很多灾害性的损失。因此,IPv4到IPv6的过渡只能通过循序渐进的方式演进。
当前,业内普遍认为,整个网络的过渡必须遵循以下原则:保证IPv4和IPv6主机之间的互通;在更新过程中避免设备之间的依赖性(即某个设备的更新不依赖于其它设备的更新);对于网络管理者和终端用户来说,过渡过程要易于理解和实现;过渡要可以逐个进行;用户、运营商可以自己决定何时过渡以及如何过渡。过渡过程中,不仅要保证IPv4与IPv4、IPv6与IPv6节点间的互通信,也要保证IPv6节点访问IPv4节点的问题。
遵循以上原则的各种演进方案,所应用的主流技术大致可分为三种:双栈技术、隧道技术和地址转换或翻译技术(NAT)。
双栈技术是IPv4向IPv6过渡的一种有效的方法。因为实现IPv6节点与IPv4节点互通的最直接方式,就是在IPv6节点中加入IPv4协议栈。它主要针对的对象是通信端节点(包括主机、路由器),在采用该技术的节点上,可同时运行IPv4和IPv6两套协议栈。这种方式可对IPv4和IPv6提供完全的兼容,让IPv4与IPv4节点互通,也可以直接让IPv6与IPv6节点互通。当前,所有的过渡技术都是基于双协议栈实现的。虽然双协议栈是目前被普遍采用的一种技术,但是由于其实现需要依赖双路由基础设施,对通信效率和网络复杂度所造成的负面影响在所难免。A10网络技术工程师孙玉勤告诉记者,在向IPv6过渡的过程中,双协议栈方式是比较理想的方式,其带来的复杂度对于运营商骨干网络的影响并不大,因为运营商有专业人员进行相应的处理。但是,在终端用户一侧,要想让所有的用户终端都支持双协议栈,必然需要用户也要掌握一定的相关知识,这才是最难的一步。
隧道技术则提供了一种以现有IPv4路由体系来传递IPv6数据的方法。在IPv6发展初期,会先形成众多局部存在的纯IPv6网络。由于这些IPv6网络被庞大的IPv4骨干网络所隔离,所以IPv6孤岛间的互通是一个巨大的问题,而隧道技术就是纯IPv6网络间通信的桥梁。这类技术的工作原理是,在IPv6网络与IPv4网络间的隧道入口处,路由器将IPv6的数据分组封装入 IPv4中,IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处再将IPv6分组取出转发给目的节点。隧道技术在实践中有四种具体形式:构造隧道、自动配置隧道、组播隧道以及6to4。隧道技术的应用范围非常广泛,它并不是骨干网的专利,对于独立的IPv6用户,要通过现有的IPv4网络连接到IPv6网络上,也必须使用隧道技术。
要实现IPv6网络与IPv4网络之间的互访,必须要通过网络设备实现两种IP地址和协议之间的转换或翻译。转换网关作为通信的中间设备,可在IPv4和IPv6网络之间转换IP报头的地址,同时根据协议的不同对分组做相应的语义翻译,从而使纯IPv4和纯IPv6站点之间能够透明通信。NAT-PT是附带协议转换器的网络地址转换方式,采用NAT-PT方式进行过渡的优点是不需要进行IPv4、IPv6节点的升级改造,缺点是IPv4节点访问IPv6节点的实现方法比较复杂,网络设备进行协议转换、地址转换的处理开销较大,一般只能在其他互通方式无法使用的情况下使用。
IPv4向IPv6网络演进过程中的问题需要通过多种过渡技术组合才能解决。当前,由不同的组织或个人所提出的IPv4向IPv6平滑过渡的策略及技术非常多,它们各有优缺,所应对的问题和应用环境也有所不同。由于运营商主干网的演变将是实现整个网络平滑过渡的关键,所以业内人士普遍认为,最好的解决方案是综合其中的几种过渡技术取长补短,同时兼顾各运营商具体的网络设施情况,并考虑成本的因素,为运营商设计适合各自发展需求的平滑过渡解决方案。
过渡会引发“地震”吗
一些人曾经担心,从IPv4过渡到IPv6,我们所熟悉的互联网网络架构会因此发生巨大变化,网络的处理速度会变慢,带宽会严重不足。孙玉勤指出,纯IPv6网络和IPv4网络从架构上基本没有差别,只是IPv6网络中将不再需要IPv4网络中由于地址空间不够而引入的NAT设备。所以,类似的担忧完全没有必要。目前,业界主要探讨的问题依旧是如何以最小的代价来实现平滑的过渡,解决IPv4与IPv6不兼容而带来通信障碍。
目前,对于运营商主干网到客户端的这部分网络,比较主流的技术是采用DS-Lite(Dual-Stack Lite ,一种轻型双栈技术)。在支持DS-lite的CPE(客户端设备)上,可以同时存在纯IPv4用户、纯IPv6用户和双协议栈用户,所以它被视为最具兼容能力的技术。而当用户需要访问IPv4资源时,它采用IPv4-in-IPv6隧道技术,使用私有IPv4地址加上合法IPv6地址的方式,通过运营商网络中部署于IPv6和IPv4网络间的LSN(Large Scale NAT,大规模NAT)设备,就可以顺利地访问到IPv4资源。
另外一种主流技术是NAT64/DNS64,这一技术主要用于解决IPv6用户访问IPv4资源的问题,但这种方式要求用户终端必须是IPv6的节点。由于IPv6与IPv4地址范围的巨大差别,目前如何让IPv4用户访问IPv6资源,还没有理想的方式能够从用户端解决这个问题。所以,当前将所有IPv4资源利用SLB技术迁移到同时支持双栈协议的网络,反而更可行。
过渡不可能一蹴而就。我们现在也仅仅是进入了IPv6发展的初期阶段。在IPv6网络部署初期,IPv6站点的规模并不会太大,所以我们当前所看到的很多方案,都是在解决IPv6孤岛的互联问题。随后,我们还会进入IPv6与IPv4共存的阶段,在这个阶段网络的互联互通问题可能还会更为复杂。最后,当IPv6成为主导网络后,IPv4孤岛问题也同样会出现。对于这些问题,当前的一些技术方案也还有不足。
我们需要做何准备
国内运营商早在几年前就已经考虑了对IPv6的支持,所以运营商骨干网要过渡到IPv6相对容易。但是,在过渡的过程中,运营商网络依旧有很多新的问题需要解决。
据孙玉勤介绍,在漫长的过渡过程完成之前,为了缓解IPv4地址紧缺的问题,运营商网络需要在IPv6网络和IPv4网络之间部署相应的大规模NAT(LSN)设备才能应对大量的地址转换请求。而且,主流的DS-lite和NAT64/DNS64也都需要这样的设备。伴随3G、4G网络的快速部署,运营商已经意识到了部署纯IPv4的LSN设备的重要性,但是为了避免投资浪费,运营商在选择LSN设备时,必须考虑将来可以过渡到DS-lite和NAT64的设备,以便支持网络的平滑过渡。
“LSN设备是过渡中的关键设备,因为过渡过程中产生的IP地址转换需求将会远远超出我们的想象,这会让传统的防火墙类的NAT设备不堪重负,特别是对运营商骨干网中的LSN设备的吞吐量、并发连接数以及稳定性,都会是全新的挑战。”在孙玉勤看来,NAT是基于连接状态的处理,而负载均衡产品从一开始就是面向互联网海量用户的基于连接状态的处理,所以NAT技术早就是负载均衡实现流程中必须的功能了。在这一点上,负载均衡领域反而更容易出现专业级的LSN设备。事实确实如此,以负载均衡产品起家的A10近年来在北美和日本的大型运营商中连续赢得了LSN项目,正是因为其LSN产品当前可以实现1.28亿的并发连接数。
从运营商网络到用户端,是过渡的最后1公里。但是,如何让用户在不知不觉中实现过渡,一直是困扰全球运营商的问题。因为,让终端用户过渡到IPv6,不改造用户端网络是很难实现的。
特别是IPv4用户访问IPv6资源的问题一直很难解决。当前,一个最可行的方案是让所有或者绝大多数IPv4资源都同时连接到IPv6网络,用户过渡到IPv6就不必担心资源缺乏或者原来的资源无法访问了,而IPv4用户访问IPv6的问题也可以不用考虑了。但是这种方法无疑需要为每一台服务器更改配置才能实现,这种工作量恐怕大多组织和企业都很难接受。
“把现有IPv4资源快速连接到两个网络中,如果利用负载均衡设备的SLB-PT(服务器负载均衡协议翻译)功能,其实很容易实现。比如,现有网站只需要在负载均衡设备上分别定义IPv4和IPv6两个虚拟IP并接入IPv6网络,服务器则不需要做任何调整就可以从IPv4‘升级为IPv6服务器了,而后期新增的服务器则可以直接使用IPv6,由负载均衡设备解决协议翻译和混合部署的问题。”孙玉勤表示。
如何让个人用户在“不知不觉”中升级到IPv6,一直是业界探讨的问题。目前,国外运营商大多通过升级或更换家庭路由设备的方式,让用户以最小的代价实现升级,尽量避免让普通家庭用户受到过渡所带来的影响。而且,目前很多终端操作系统都开始兼容IPv6协议,以便实现终端用户的平滑过渡。所以,过渡一般不会对终端用户造成直接的影响。
或许IPv6不是最好的解决IP地址枯竭的方法,但是它是目前唯一全球共同认可的替代方案,互联网向IPv6的演进已不可逆转。对中国而言,如何以最小的代价去获取IPv6所带来的巨大机遇,才是我们所面临的真正大考。
帝联成网络媒体“两会”报道幕后功臣
2011年,是“十二五”开局之年,也是我国深化改革开放、加快转变经济发展方式的重要一年。
随着中国综合国力的提升和影响力的扩大,一年一度的“两会”越来越受到世界各大媒体的关注。国内各大媒体更是把“两会”当成中国政治生活中的一件大事,纷纷开辟专版专栏进行全方位报道。
这次高水平的新闻大战,自然成为衡量各大媒体综合实力、报道水平的一把标尺。媒体网站的阅读浏览速度及“两会”报道直播的流畅性更是对各网络媒体技术支持能力的考验。
在重大事件的直播过程中,帝联科技多次助力中国军网、凤凰网、搜狐网、国际在线、环球网、金融界等多家网络媒体直播报道重大事件。
在客户观看直播过程中,帝联科技通过CDN加速使用户访问源站的压力大大减少,在离用户极近、极健康的CDN节点获取数据,使用户在网上观看热点事件时,告别网络卡、慢的现象,使各大网站轻松应对流量及安全风暴,带给用户优质的互联网浏览体验及流媒体直播加速服务。
此次的“两会”盛会,中国军网邀请“两会”代表委员做客“两网”、“两会会客厅”进行嘉宾访谈,并开辟全新栏目——《两会大讲堂》。
中国军网还开辟了“两会民生话题热点聚焦”专题,并在2011两会专题中开辟了两会互动、两会观察、聚集军事、议案提案、会场内外等专栏。
这些两会的专题报道及直播都离不开幕后的功臣——帝联科技,它协助网络媒体完成了大量图文并茂的报道以及网上视频直播或点播,让人们在浏览网站的过程中,通过图片、文字、影像、声音各个方面真切感受了“两会”代表们如何建言献策,表达民声民意。
链接
IPv6的编址方式
IPv6采用了32个十六进制数来标识地址,它将128位长的地址分为8组,每组为四个十六进制数的形式,地址段通过“冒号”来分隔,而不是IPv4地址所采用的“点”。例如:2001:0db8:85a3:08d3:1319:8a2e:0370:7344就是一个合法的IPv6地址。如果四个数字都是零,则可以被省略。遵从此规则,如果因为省略而出现了两个以上的冒号的话,可以压缩为一个,但这种零压缩在地址中只能出现一次。比如:2001::25de::cade就是非法的地址。同时,前导的零也可以省略,比如:2001:0DB8:02de::0e13等价于2001:DB8:2de::e13。
一个IPv6地址可以将一个IPv4地址内嵌进去,并且写成IPv6形式和平常习惯的IPv4形式的混合体。IPv6有两种内嵌IPv4的方式:IPv4映像地址和IPv4兼容地址。IPv4映像地址有如下格式:::ffff:192.168.89.9,这个地址仍然是一个IPv6地址,只是0000:0000:0000:0000:0000:ffff:c0a8:5909的另外一种写法罢了。IPv4映像地址的布局方式是:| 80bits |16 | 32bits |。