铁路信息网络IPv6 地址规划研究
2021-05-10于士尧习颖洁林悦炜
于士尧,李 赟,习颖洁,林悦炜
(中国铁路信息科技集团有限公司,北京 100844)
近年来,移动互联网、云计算、物联网、工业互联网的蓬勃发展,传统的IPv4 地址资源紧缺问题日益凸显[1]。IPv4 存在地址空间小,安全性低,路由表过于庞大,服务质量难以保障,移动性支持不足等一系列问题[2]。IPv6 是下一代互联网核心协议,在未来的发展过程中,由于IPv6 的诸多优势,必然对当前的IPv4 网络体系结构形成取代[3]。
铁路信息网络规模庞大、结构复杂,在IPv6 地址规划方面处于起步阶段。加快推进IPv6 规模部署,有利于构建智能化的下一代铁路信息网,提高承载能力和服务水平,也是铁路信息网融入国际互联网环境的迫切需求[4]。为顺应信息技术发展趋势,响应国家政策要求,满足铁路自身物联网、大数据、云、区块链、边缘计算等应用需求,急需开展铁路信息网络IPv6 地址规划研究,加快推进铁路IPv6 演进工作,助力铁路信息化建设长期健康发展。
1 铁路信息网络概述
1.1 信息网络基本情况
铁路信息网络主要包括铁路综合信息网、客票专网、TDCS/ CTC 专网等,依托铁路自有通信网络,构建了全路范围的广域网,为机构互联、应用部署、服务提供及数据传输等提供网络基础。作为信息化重要组成部分,铁路信息网络承载有战略决策、经营开发、运输生产、资源管理、建设管理和综合协同6 大类[5]数千个业务应用,连接百万台铁路终端,在铁路生产经营与行政办公中发挥着重要作用。
文献[5]中,对铁路多个信息网络制定了统一的网络架构,纵向上分为中国国家铁路集团有限公司(简称:国铁集团)、铁路局集团公司和站段三级,横向上分为外部服务网、内部服务网和安全生产网。各信息网络依靠在局域网层面使用不同的安全防护与隔离技术,实现互联互通和信息共享。
铁路信息网络各级局域网实行分区分域,区分外部连接与内部网络、个人终端与服务器、运维与业务等,针对不同性质、不同类型的网络区域建立技术标准,为同一局域网中的不同应用提供不同的网络资源与安全防护。
1.2 IP 地址使用情况
目前,铁路信息网络使用IPv4 地址,由国铁集团按照逐层递阶的原则为各级组织机构统一分配地址资源。鉴于铁路应用系统的高安全性和相对独立性,综合考虑网络结构、规模、业务需求等方面因素,多数铁路信息网络采用了私有网络地址空间。由于对外服务与访问的需求,铁路信息网络也使用了运营商提供的公网IP 地址,与互联网相连。
IP 地址作为重要的网络资源,随着铁路信息化发展,需求量必将大幅增长。目前,铁路信息网络内部使用IPv4 私网地址,虽可满足现阶段地址需求,但长远来看仍存在地址空间不足的问题,且早期地址规划相对铁路快速发展适应性逐步降低,IPv4 对于未来海量终端的物联网应用场景适应度也有限,更多新的用途与需求无法通过地址字段标识。
2 IPv6 地址研究
2.1 地址结构
IPv6 地址共128 bit,由网络前缀、子网ID、主机ID 组成,网络前缀由地址类型和分配机构决定,以“/”加前缀位数表示,如/32 地址块表示网络前缀为32 bit 的地址。IPv6 地址通常使用冒号十六进制形式表示,即X:X:X:X:X:X:X:X,每个X 都以十六进制表示一个16 bit 长的整数[6]。
IPv6 地址类型包括单播地址、组播地址和任播地址,通过不同的固定前缀标识,各类型地址概况,如表1 所示。
IPv6 拥有庞大地址资源,可以为每一台设备分配一个固定的IP 地址,这将彻底改变目前动态分配IP 地址、用网络地址转换技术转换公网私网地址的局面[7],有助于保持端到端的通信模型,实现地址溯源、防止地址扫描等。IPv6 巨大的地址空间和清晰的地址结构也为地址信息标识提供了更好的支持。
表1 IPv6 地址类型
2.2 地址获取
(1)通过对实际IPv6 改造中地址使用情况调研分析,常用地址类型以ULA 和GUA 为主。其中,ULA 可直接使用,无需申请;GUA 需要向中国互联网信息中心(CNNIC)申请,或向CNNIC 会员(如运营商)处租赁。向CNNIC 申请GUA 需要申请机构满足一定的条件,可申请的地址段为/32~/20,申请年费随地址空间增大而增长;向运营商租赁地址可以与IPv6 专线同时租赁,一般一个专线出口可获得一个/48 的地址块,超出免费地址段部分按超出大小支付费用。
(2)向CNNIC 申请的地址,地址归属于企业,可以通过边界网关协议(BGP)方式向多条运营商线路同时发布,实现线路负载分担,以及内部网络任意终端与公网的双向通信。对于较小的分支出口,也可使用NAT66 或NPTv6 进行转换。此方式适合于大型企业或数据中心等多个互联网服务提供商(ISP)接入,多出口的使用场景,内部使用GUA 及ULA均可。但对于企业规模有一定要求,且BGP 配置复杂,线路费用略高。
(3)向运营商租赁的地址,地址仍归属于运营商,只能与所连运营商线路绑定,无法在网络层实现业务应用在多线路间的负载分担。同时,必须使用NAT66,实现内部地址到ISP 地址的转换。在连接不同运营商时,各线路地址不同,适合中小型企业或各地方性机构部署IPv6 的场景,且内部仅能使用ULA。此方式在一定程度上继承了铁路IPv4 时代的地址获取及内部网络地址管理方式。
3 铁路信息网络IPv6 地址规划
3.1 地址规划原则
大型企业在地址规划的过程中,主要面临分支机构众多、业务类型相对比较复杂,地址规划应充分考虑到多业务接入、层次化部署及地址聚合等因素。还需要考虑到地址预留,为未来扩容留下充足的空间[8]。铁路信息网络IPv6 地址规划应遵循一定原则,主要包括以下方面。
(1)语义化
地址可读性强,能够包含所属区域、用途等信息,便于识别用户所在区域及用途。
(2)可聚合
按照地址聚合原则分片规划,尽量做到地址高效聚合,减少路由表规模、简化路由表。
(3)连续可扩展
IP 地址的规划与划分应该考虑到网络的发展要求,兼顾近期的需求与远期的发展以及网络的扩展,应考虑到现有业务、新型业务及各种特殊的业务要求,为未来扩容预留空间,少量子网的增加不需要大规模架构和安全策略调整[7]。
(4)可管控
便于配置安全策略,如ACL 规则、防火墙过滤等,方便进行网络管理和运维。
3.2 地址类型及地址空间规划
3.2.1 地址类型
(1)用于提供内部信息服务,大量信息、数据仅在内部流转,具有一定的封闭性;
(2)越来越多的应用系统开始向公众与外部单位提供丰富的信息服务,国铁集团、铁路局集团公司均有与互联网及其他外部网络的连接;
(3)结合铁路信息网络数量多、规模大、复杂度高等因素,仅使用单一的地址类型、采用单一的获取方式,无法满足铁路信息化发展需求。
综上所述,铁路IPv6 地址应同时使用ULA 和GUA,发挥各自的特性和优势,满足不同场景的使用需求。其中,直接使用ULA 用于铁路信息网内部,保持同外部网络的相对独立,发挥一定的安全作用。同时向CNNIC 申请GUA,由国铁集团统一规划管理,一部分地址与ULA 一一对应,使用网络前缀转换技术(NPTv6)将ULA 转为对应GUA,用于内部地址同外部网络或互联网通信使用;一部分地址用于数据中心云环境,通过互联网为外部单位和用户提供服务。GUA 的获取方式,也应结合具体需求,选择向CNNIC 申请或向运营商租赁。例如,铁路局集团公司建设的互联网出口,除可使用国铁集团统一规划的GUA,与当地运营商线路进行BGP 连接外,也可结合当地实际情况,选择使用运营商提供的GUA,与互联网静态连接。
3.2.2 地址空间
为有效降低由国铁集团统一规划管理的ULA 及对应GUA 在分配使用过程中的管理难度及技术复杂度,保证ULA 与GUA 具有统一的规划管理体系,ULA 及对应GUA 应具有相同长度的网络前缀。按照IPv6 标准,ULA 网络前缀最短为8 bit,从CNNIC申请的GUA,网路前缀最短为20 bit,最长为32 bit,且前缀越短价格越高。结合铁路当前地址使用情况及未来发展需求,使用网络前缀为32 bit 的地址,可保证子网地址长度为32 bit,相应的地址空间和信息标识能力均可满足规划及使用需求。因此,ULA 和GUA 均应采用32 bit 网络前缀,并使用相同的子网地址段标识规则,保证ULA 与GUA 的对应关系。
3.3 子网地址规划
IPv6 地址中第33~ 64 bit 为子网地址,空间等同于全部IPv4 地址空间,可进行多维度的地址分层及信息标识。围绕铁路地址使用情况及信息标识需求,按照分层分级原则,将子网地址逐级划分为四级标识,分别为信息网络、组织机构、下属机构/ 功能区域及用途类型标识。
各级标识长度基于所标识主体现阶段种类或个数,并充分考虑未来发展需求确定,同时,各标识长度应为4 的倍数或N(N≥ 1)bit 的十六进制数,确保IPv6 地址的可读性。地址分配过程中,各标识下的每段地址要预留足够大的地址空间,且字段长度足够情况下,尽量离散划分,保证未来地址使用扩展中,相同标识内地址的连续性。具体标识规划,如表2 所示。
表2 子网地址信息标识规划
3.3.1 信息网络标识
33~ 36 bit 为信息网络标识,共16 个/36 地址段,标识号为0~ f(二进制:0000~ 1111),用于标识地址所属的信息网络,每个信息网络分配1 个/36 地址,可标识最多16 个信息网络。按照标识号由小到大依次为现有信息网络分配地址,未分配标识号作为预留位供未来新增信息网络、信息网络结构调整等情况使用。
3.3.2 组织机构标识
37~ 44 bit 为组织机构标识,共256 个/44 地址段,标识号为00~ ff(二进制:00000000~ 11111111),用于标识国铁集团、铁路局集团公司及数据中心等组织机构。按照标识号由小到大进行分配,每个组织机构连续分配4 个/44 地址,可在一类信息网络中标识64 个组织机构,未分配地址段作为预留位。
对于每个组织机构的4 个/44 地址,按照标识号由小到大依次使用。对于国铁集团和各铁路局集团公司这类具有下属机构的组织机构,其中,标识号最小的一段/44 地址段由该组织机构本级使用,各组织机构应顺序启用标识号,未启用的标识号作为各组织机构预留地址。
3.3.3 下属机构/ 功能区域标识
45~ 52 bit 为下属机构/功能区域标识,共256 个/52 地址段,标识号为00~ ff(二进制:00000000~11111111),用于标识国铁集团下属单位、铁路局集团公司下属站段、国铁集团本级/铁路局集团公司本级/数据中心中的功能区域等。按照标识号从小到大依次分配,为每个对象分配1 个/52 地址,可标识一个组织机构的256 个下属机构、或一个组织机构本级的256 个功能区域,未分配的地址段作为预留位。当二级标识组织机构标识为本级使用时,此段标识位所标识的功能区域可以是具体的网络区域,如XX 接入区,也可以是具体的楼宇、楼层或机房。
3.3.4 用途类型标识
53~ 64 bit 为用途类型标识,共4 096 个/64 地址段,标识号为000~ fff(二进制:000000000000~111111111111),用于标识包括终端接入、设备互联、运维管理、业务应用等不同用途,未分配地址段作为预留位。其中,一部分地址用于IPv4 映射地址标识,通过将既有IPv4 地址嵌入该类地址的最后32 bit,实现IPv4 地址与IPv6 地址的映射表示。
各用途类型地址离散分配,原则上每个用途连续分配K(K为4 的倍数,根据不同用途对于地址的需求调整大小)个/64 地址,保证地址空间的可扩展性和在扩展使用时同一标识地址段的连续性。
3.4 主机地址规划
65~ 128 bit 为主机地址,对于普通终端主要采用DHCPv6 或SLAAC 等自动配置方式分配地址,对于网络设备等生产设备主要采用手动配置方式顺序分配地址。对于既有IPv4 环境,在进行IPv6 改造时,为便于新旧地址管理及使用,可选择将用途类型标识设置为“IPv4 映射地址”标识,主机地址后32 bit直接使用设备在用IPv4 地址,形成映射后的IPv6地址。
3.5 地址规划示例
按照本文研究的规划分配地址,可进行丰富的信息标识,例如XXXX:XXXX:0080:1000/64 为信息网络1 中,组织机构3 本级下,功能区域2 中的第一类用途地址;XXXX:XXXX:1060:2000/64 为信息网络2 中,组织机构2 的下属机构3 中的第一类用途地址。地址信息标识结构清晰,层次丰富。
另外,按照本文研究的规划使用IPv6 地址后,将极大地释放地址空间。以哈尔滨局集团公司为例,目前,该集团公司仅使用IPv4 地址,为集团公司机关共分配512 个C 类地址,为汇接点、基层站段共分配3 584 个C 类地址;如果按照本规划为哈尔滨局集团公司分配IPv6 地址,本级将分配1 个/44 地址块,共100 多万(220)个/64 地址,下属站段将分配3 个/44 地址块,共300 多万(3×220)个/64 地址。以C 类地址和/64 地址作为IPv4 和IPv6 的最小地址单位进行比较,则为集团公司本级和下属站段分配的IPv6 地址将是目前已分配的IPv4 地址的2 048 倍和878 倍,而/64 地址段可提供的主机地址数量远远大于C 类地址,各组织机构未来可分配到的IPv6 地址空间将十分充足。
综上,IPv6 地址空间、信息标识层次和能力与IPv4 地址相比均有显著提升,对于地址的分配使用、网络管理和运维等均能提供更好的支持,可充分满足未来铁路信息化发展对IP 地址的需求。
4 结束语
本文通过研究铁路信息网络特点、基于未来信息化发展建设需求,本着易读取、可聚合、便管控等原则,确定铁路适用的IPv6 地址类型、网络前缀长度,设计信息标识层级、分配使用原则等,充分发挥IPv6 地址空间巨大、结构层级清晰的优势,为使用IPv6 地址去标识、判断、区分不同信息网络、组织机构和业务用途,提高信息网络建设及运维效率等提供有力支撑。
未来,将对该地址规划进行测试验证、调整优化,开展地址分配和管理等相关技术手段的研究,支持铁路信息网络IPv6 长期演进工作。