今日頭條
官方微信
官方抖音
案例頻道
1 前言
隨著互聯網用戶的不斷增多以及他們對網絡服務要求的不斷提高,IPv4固有的一些缺陷使得它已經不能滿足這種日漸增長的需要。IPv6正是為解決這個問題而出現的,同時它的新特性為下一代互聯網的應用提供了更好的支持。
互聯網的普及使IPv4向IPv6的過渡不可能一蹴而就,它需要很長一段時間才能完成。IPv6也不僅僅是對IPv4的簡單升級,因為頭部特征和配址機制的不同,這兩種協議是互不兼容的。因此,IPv4如何漸近、平滑的過渡到IPv6是必須解決的一個問題。
IETF的Ngtrans工作組提出了從IPv4過渡到IPv6的3種主要遷移機制:雙協議、協議翻譯A、隧道。
2 雙協議
圖1 雙協議(棧)節點的網絡分層模型
如圖1(a)所示,雙協議節點(包括主機和路由器)同時實現了IPv4和IPv6協議,可以和IPv4或IPv6主機建立通信。主機根據目的IP地址來決定采用IPv4還是IPv6協議發送或接收數據包。在理想的網絡分層模型中,傳輸層和網絡層是獨立的,IP層的改變并不會影響傳輸層協議的運行,但實際上TCP和UDP協議在校驗碼計算中都采用包含了源和目的IP地址的偽頭部,所以在LINUX、WINDOWS等操作系統的IPv6協議實現中,作為IPv6上層協議的TCP/UDP代碼是獨立于IPv4上的TCP/UDP而實現的,如圖1(b)所示,因此稱之為雙棧節點更合適。
目前雙棧是運行最廣泛的遷移機制。不過雙棧只允許相同IP版本之間的通信,即IPv4和IPv4之間的通信,或IPv6和IPv6之間的通信。不同版本IP之間的通信需要通過協議翻譯來完成。
在IPv4到IPv6的過渡初期,絕大多數終端或路由器都是純IPv4節點(只實現了IPv4協議棧的節點)或雙棧節點,在過渡中期,雙棧節點或純IPv6節點將是主要的通信實體,到過渡后期,所有接入互聯網的設備基本上都是純IPv6節點(只實現了IPv6協議棧的節點)。
3 協議翻譯
協議翻譯用來將IPv4(IPv6)數據包轉換成IPv6(IPv4)數據包,這種轉換對上層協議是透明的。利用協議翻譯可以在純IPv6節點和純IPv4節點之間建立通信,而不需要修改應用軟件。但在IPv4數據包轉換成IPv6數據包的過程中,由于IPv6頭部含有擴展頭部以及諸如流標簽等新字段而引起的不適當的翻譯,可能會導致傳輸性能的下降。另外,協議翻譯如NAT一樣會潛在的破壞端到端的服務(比如IPSec)。
Bump-In-the-Stack(BIS)和Bump-In-the-API(BIA)機制可以使IPv4主機上的應用軟件和純IPv6主機進行通信,當應用軟件向純IPv6主機發送數據包時,IPv6地址被映射成一個臨時的IPv4地址,然后根據SIIT(Stateless IP/ICMP)將IPv4數據包轉換成IPv6數據包。協議轉換是一個十分消耗資源的過程,考慮到擴展性的問題,協議翻譯器應該處于網絡邊緣的位置。目前最有名的協議翻譯機制是NAT-PT(Network Address Translator-Protocol Translator)。
圖2 純IPv6主機和純IPv4主機通過NAT-PT通信
NAT-PT為IPv6主機提供臨時使用的IPv4地址,并根據SIIT對IPv4數據包和IPv6數據包進行相互轉換,從而解決純IPv6主機和純IPv4主機之間的通信問題。如圖2所示,NAT-PT維護一個IPv4地址池,這些地址供IPv6主機和IPv4主機通信時臨時使用。IPv6主機首先通過DNS獲得通信對方的IPv6地址,圖2中為PREFIX:202.106.185.250,其中PREFIX是NAT-PT所在IPv6域規定的96位前綴。當NAT-PT收到來自IPv6主機的數據包后,根據SIIT將它轉換成IPv4數據包,目的地址轉換成202.106.185.250,源地址轉換成159.226.39.110,該地址取自NAT-PT維護的IPv4地址池。在通信過程中,NAT-PT需要維護IPv6地址(2001:250:f006:1::8)和轉換后的IPv4地址(159.226.39.110)之間的映射關系,以便對返回的IPv4數據包進行反向轉換。
NAT-PT還可以支持應用層網關的功能,對IPv4或IPv6的DNS請求和應答包以及FTP數據包進行轉換。由于IPv4地址的匱乏,NAT廣泛運行于目前的IPv4互聯網,將NAT升級成NAT-PT,使得IPv4和IPv6網絡互連,可以實現IPv4向IPv6的平滑過渡。
4 隧道
被不兼容的網絡分離的兩個相同版本IP主機之間的通信可以通過隧道方式進行。在過渡前期,IPv4網絡占主導地位,IPv6網絡好比是整個IPv4汪洋中的孤立島嶼,這些島嶼之間的通信可采用IPv6-over-IPv4隧道來實現。過渡后期,IPv6網站占統治地位,類似地,各個孤立IPv4島嶼之間的通信可采用IPv4-over-IPv6隧道來實現。
圖3 IPv6-over-IPv4隧道
隧道的實質就是對數據包的封裝,如圖3所示,IPv6-over-IPv4(IPv4-over-IPv6)隧道就是將IPv6(IPv4)分組封裝在IPv4(IPv6)分組中,利用已有的IPv4(IPv6)網絡進行傳輸,從而解決IPv6(IPv4)站點或主機之間相互通信的問題。由于隧道的端節點需要對IPv6數據包進行封裝、對IPv4數據包進行解封裝,因此它必須是雙棧節點。
在IPv6-over-IPv4數據包的IPv4頭部,其協議類型字段取值41,表示這是一個封裝了IPv6報文的IPv4數據包。源和目的地址字段分別是隧道首尾端節點的IPv4地址,如果是配置隧道,那么目的IPv4地址是由隧道首節點的配置信息決定的;如果是自動隧道,那么目的IPv4地址通常是目的IPv6地址中嵌套的IPv4地址。
一般情況下,路由器和路由器之間的隧道通常是配置隧道,隧道接口的配置參數即隧道兩端的IPv4地址是手工配置的,目前6Bone網絡采用的隧道大多是配置隧道,配置隧道的不足之處在于它的建立通常不符合IPv6路由體系是分層、簡化的指導思想,因此導致路由效率的低下,而且它的維護和運行都有一定的復雜性。自動隧道不需要手工配置,它的端節點IPv4地址可從數據包的IPv6地址中獲得,因此自動隧道的建立和維護相對簡單,也更靈活。
針對不同的應用場景,目前提出了多種隧道技術,如6to4、ISATAP、Teredo、6over4、DSTM、Tunnel Broker等。
(1) 6to4
6to4用于連接被IPv4網絡分離的各個孤立的IPv6站點,隧道的端點是孤立IPv6站點的出口路由器。
圖4 IPv6站點通過6to4隧道通信
6to4隧道協議定義了3種通信實體:6to4主機、6to4路由器、6to4中繼路由器。6to4主機指孤立IPv6站點中的純IPv6主機,6to4路由器指IPv6站點中的出口路由器。6to4主機使用全球地址前綴2002:AABB:CCDD::/48,其中AABB:CCDD是出口路由器的IPv4地址(該地址必須是公有地址)的十六進制表示,它作為全球IPv6地址中的NLA(Next Level Aggregator)ID。完整的6to4地址是2002:AABB:CCDD:SLA (Site Level Aggregator) ID:Interface ID。
以圖4為例,6to4主機之間的通信過程如下:站點1的6to4主機在獲得站點2的6to4主機地址后向其發送數據包,該數據包被路由至本站點的6to4路由器A,路由器A發現數據包的目的地址含有6to4前綴2002,于是從數據包的IPv6源地址和目的地址中提出隧道兩端的IPv4地址(也就是IPv6地址中的NLA部分),然后用IPv4頭部封裝數據包,封裝后的報文其目的地址為站點2的6to4路由器B的IPv4地址,從而建立一條從A到B的隧道。作為隧道端點的路由器B收到數據包后對其進行解封裝,去掉IPv4頭部,得到一個IPv6數據包,然后發送,直到數據包最后到達站點2的6to4主機。
6to4中繼路由器通常位于IPv6主干網,除了具有6to4路由器的功能外,它還負責向IPv6主干網宣告它對其他6to4站點的可達性,同時向其他6to4路由器宣告它對主干網內各站點的可達性。6to4中繼路由器用于6to4主機和一般IPv6主機之間的通信,以圖4為例,站點1的6to4主機獲得主干網上某個IPv6主機的地址后向其發送數據包,該數據包被路由至本站點的6to4路由器A,路由器A通過查找路由表得到下一跳的IPv6地址為中繼路由器C的6to4地址,從該地址從提出C的IPv4地址,以此作為目的IPv4地址對數據包封裝,建立一條從A到C的隧道。C收到數據包后解封裝,得到一個IPv6數據包并發往主干網,直至最終到達目的IPv6主機。
6to4隧道容易管理,所以是目前最重要的自動隧道技術之一。而且它根據IPv4地址自動能產生一個48位的前綴,所以不必向互聯網注冊機構申請IPv6地址就可運行。與此同時,這種配址方式也導致了對IPv6路由體系層次化的破壞。
(2) ISATAP
ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)意為域內自動隧道配址協議,顧名思義,它指某個IPv4域內的雙棧主機相互之間可通過該隧道進行通信。
圖5 IPv4網絡上的雙棧主機通過ISATAP隧道通信
如圖5所示,雙棧主機首先向ISATAP服務器發送路由請求,得到一個64位的IPv6地址前綴,再加上64位的接口標識符::0:5EFE:a.b.c.d,構成一個ISATAP地址,這里的a.b.c.d是雙棧主機的IPv4單播地址,該地址可以是公有的,也可以是私有的。雙棧主機配置了ISATAP地址后,就成為一個ISATAP客戶機,可以和IPv4域內的其他ISATAP客戶機進行通信了。通信過程如下:雙棧主機1獲得雙棧主機2的ISATAP地址后向其發送數據包,根據目的地址該數據包被交給ISATAP接口進行發送,ISATAP從數據包的IPv6源地址和目的地址從提出相應的IPv4源和目的地址,并對該數據包用IPv4頭部進行封裝,封裝后數據包的目的地址為雙棧主機2的IPv4地址,這樣就建立了一條從主機1到主機2的隧道。數據包最后到達主機2,主機2對其解封裝,得到一個IPv6數據包。
ISATAP隧道的優點是它不要求隧道端節點必須具有全球唯一的IPv4地址,因此可用于內部私有網中各雙棧主機之間進行IPv6通信。和6to4隧道技術相結合,還可以使內部網的雙棧主機接入IPv6主干網。
(3) Teredo
位于NAT后的IPv6節點采用一般的隧道技術(IPv6-over-IPv4)是不能和NAT域外的IPv6節點進行通信的,因為目前的NAT一般不支持協議類型為41(也就是IPv6-over-IPv4)的數據包。Teredo隧道有別于一般的IPv6-over-IPv4隧道,確切的講,它是一種IPv6-over-UDP隧道。數據包通過被封裝在UDP載荷中的方式穿過NAT,這是Teredo隧道的基本思想。
Teredo協議定義了4中通信實體: Client、Server、Relay、Host-specific Relay。其中Client指位于NAT域內的雙棧主機,Server負責為Client分配Teredo地址,Relay負責轉發Client和一般IPv6節點通信時的數據包,Host-specific Relay指不通過Relay可直接和Client進行通信的IPv6主機。這些通信實體都同時支持IPv6/IPv4協議。Teredo還為Client之間的通信進行了優化,可大幅度提高傳輸性能。
Teredo可使NAT域內的IPv6節點獲得全球性的IPv6連接,在因IPv4地址匱乏而廣泛運行NAT的地區尤其是在我國,Teredo隧道無疑具有較好的應用前景。但Teredo的運行需要Relay的支持,并且它不支持隧道中間存在Symmetric NAT,Teredo地址采用規定格式的前綴也不符合IPv6路由分等級的思想,這些不足在一定程度上也將影響Teredo的部署。
(4) 6over4
6over4是一種IPv4組播隧道機制,通過將IPv6數據包封裝在IPv4中的方式連接互相分離的IPv6主機。6over4主機的IPv6地址由64位的單播地址前綴和規定格式的64位接口標識符::AABB:CCDD組成,其中AABB:CCDD是其IPv4地址a.b.c.d的十六進制表示。6over4將IPv4網絡當做具有組播功能的一條鏈路,通過IPv6組播地址和IPv4組播地址的映射關系實現IPv6協議的鄰居發現功能,以此,它要求IPv4網絡支持組播功能。實際網絡很少支持組播功能,所以6over4極少使用。
(5) DSTM
如果一個雙棧主機沒有配置IPv4地址,但想和另一個IPv4主機通信的話,可以采用DSTM也就是雙棧轉換機制來實現。雙棧主機首先向DSTM服務器申請得到一個臨時的IPv4地址和DSTM邊緣路由器的地址,然后IPv4數據包被封裝在IPv6載荷中進行傳輸,所以它是一種IPv4-over-IPv6隧道。在過渡后期,IPv6網絡占據主導地位,IPv4網絡反過來成為IPv6網路汪洋中孤立的小島,當IPv6主機想訪問IPv4資源的時候,DSTM將發揮作用。
(6) Tunnel Broker
Tennel Broker也就是隧道代理相當于一個虛擬的IPv6服務提供商,它通過IPv6-over-IPv4隧道的方式為IPv4網絡中的雙棧主機提供全球性的IPv6連接。隧道代理通過web方式為用戶分配IPv6地址、建立隧道以提供和其他IPv6站點之間的通信。目前已有不少提供隧道代理的網站。隧道代理的特點是靈活、可操作性強,針對不同用戶可提供不同的隧道配置。
北京市公安局海淀分局備案號:11010802023656號