IPv6网络建设初探
发布时间:2015-07-02 14:41
【摘 要】ipv6作为新一代互联网的核心协议,必将取代ipv4。本文通过对ipv6特点和发展现状的简要描述,提出并分析了几种ipv4向ipv6的过渡技术,结合欧亚校园网特点总结出欧亚校园网的ipv6迁移之路。
【关键词】协议翻译机制(translation);双协议栈机制(dual stack);隧道机制(tunnel)
【abstract】ipv6 as the core of next-generation internet protocol, will replace ipv4. in the article, the characteristics and development of ipv6 a brief description of the status quo, is proposed and analyzed several ipv4 to ipv6 transition technology, combined with europe and asia campus network features summed up europe and asia campus network, ipv6 migration path.
【key words】protocol translation mechanism (translation), dual-stack mechanism (dual stack), tunnel mechanisms (tunnel)
1. 引言
随着近年来互联网在各个领域内的空前发展,人们对信息资源的开发和利用进入了一个全新的阶段。然而越来越多的网络问题也同样暴露在我们面前,如ipv4地址的急剧消耗将要枯竭等。针对这些问题,1990年ietf开始着手开发ip的新版本ipv6。新的版本在协议优化上做了很大的改变,使其在可扩展性、qos和安全性等方面都有卓越的表现。
目前,ipv6的已经得到了很大的发展。在国外,如美国和欧洲对ipv6的发展以研究和实验为主体,亚洲国家则以商用及业务开展为中心,而我国的ipv6的发展,以研究和实验为主。西安欧亚学院为了给在校师生提供良好的科研及教育环境,在ipv6成为必然趋势得前提下,应考虑接入ipv6网络。在仍以ipv4为主的今天,我们要清楚地认识到ipv4和ipv6必将长期并存,所以如何选择适当的过渡方式完成向ipv6的迁移是一个值得深究的问题
2. ipv4到ipv6的几种过渡策略
ipv4/ipv6过渡方案,一般来说可以分为三类:协议翻译机制(translation)即双协议栈机制(dual stack),隧道机制(tunnel),以及。下面就这三种过渡技术作简要的介绍。
2.1 协议翻译技术。
目前网络中存在很多只支持ipv6或只支持ipv4的主机,这些主机之间要通信时就要采用协议翻译技术。协议翻译对应了多种实现技术。其中nat-pt和bis应用于网络层,trt主要应用于汇聚层,应用层翻译代表技术有socks和bia。bia和bis主要是针对主机终端通信提出的,这里我们重点介绍nat-pt技术。
nat-pt就是在做ipv4/ipv6地址转换(nat)的同时在ipv4分组和ipv6分组之间进行报头和语义的翻译(pt)。适用于纯ipv4站点和纯ipv6站点之间的通信。对于一些内嵌地址信息的高层协议(如ftp),nat-pt需要和应用层的网关协作来完成翻译。实现了只安装ipv6的主机和只安装了ipv4主机的大部分应用的相互通信。图一说明,nat-pt技术结合dns-alg是如何实现ipv4和ipv6主机之间的通信的。
(1)当主机a向主机b发送数据之前,nat-pt网关向ipv6网络通告一个96位的地址前缀如2::,这样主机b被标识为2::2.2.2.2,该地址主机a就可以识别了,当数据到达网关时,网关根据地址映射的规则,再将目的地为2::2.2.2.2的地址对应为主机b的ip地址,这样数据就被成功送往主机b。
但是当主机b要发送数据到主机a时,它因为不能识别ipv6的地址格式,这时是就要借助dns-alg来完成。假设主机a对应的域名为,ipv6网络中的dns服务器对应的ipv4地址为3.3.3.3。
(2)主机b以域名的形式访问主机a时,它会先向ipv6网络的dns发出请求,对主机a进行域名解析。请求到达网关后,网关会将该请求转发给ipv6网络中的dns服务器,该过程包括对报文地址类型的转换。dns会回应网关该域名对应的ipv6地址为1::1。网关收到该回应后会在ipv4地址池中选择一个ipv4地址如2.2.2.3来替换1::1,并将2.2.2.3和这样的对应关系告诉主机b。如此以来主机b知道了 对应的ipv4地址,网关也知道了2.2.2.3和1::1的对应关系,主机b向主机a发送的数据报就可以成功地被接收了。
协议翻译技术适用场合:ipv6 小岛与 ipv4 海洋之间的通信,该技术在拓扑结构上要求一次会话中双向数据包的转换都在同一个路由器上完成,所以它只能应用于一个路由器出口的网络。他的优点是不需要进行 ipv4、ipv6 终端的升级改造,但是一些协议字段在转换时不能完全保持原有的含义 ,协议转换方法缺乏端到端安全性,而且它对网关的性能要求比较高,一般不建议采用。
2.2 隧道技术。
隧道策略是ipv4/v6综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点),这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道出口对接受到的协议数据解封装,并做相应的处理。根据应用环境的不同,其实现技术多种多样,如isatap隧道,6to4隧道,6over4隧道等。
isatap隧道通过将ipv4地址嵌入到ipv6地址当中,并将ipv6封包封装在ipv4中传送,在主机相互通信中抽出ipv4地址建立tunnel。双栈主机支持isatap后会自动在该隧道接口上生成本地链路的前缀(fe80::开头)和64位的接口标识符::0:5efe:x.x.x.x(这里的x.x.x.x是双栈主机的ipv4单播地址),这样就可以和同一子网内其他isatap客户机进行ipv6通讯了;如果需要和其他网络的isatap客户机或者ipv6网络通信,必须通过isatap路由器拿到全球单播地址前缀,通过路由器与其他ipv6主机和网络通信。
对于校园网中部分希望接入ipv6的终端来讲,他要借助校园网并通过隧道技术连接到ipv6网络,汇聚层或出口设备(如路由器)首先升级至双栈的模式,再采用isatap主机-路由器的隧道部署方式。
隧道技术可以有效地实现ipv4向ipv6的演进,他的优点在于隧道的透明性,可以降低网络的投资。但是配置非常复杂,而且隧道技术只能实现ipv6主机之间的通信,对于ipv4和ipv6设备之间的通信则无能为力。
2.3 双栈技术。
双栈策略是指在网元中同时具有ipv4和ipv6两个协议栈,它既可以接收、处理、收发ipv4的分组,也可以接收、处理、收发ipv6的分组。对于主机来讲,“双栈”是指其可以根据需要来对业务产生的数据进行ipv4封装或者ipv6封装。对于路由器来讲,“双栈”是指在一个路由器设备中维护ipv6和ipv4两套路由协议栈,使得路由器既能与ipv4主机也能与ipv6主机通信,分别支持独立的ipv6和ipv4路由协议,ipv4和ipv6路由信息按照各自的路由协议进行计算,维护不同的路由表。
如果要实现全网双栈,则需要在所有的三层设备上启用双栈,如我们学校的出口路由器,核心路由交换机,防火墙都需要升级为可以支持双栈功能。对于终端需要安装相应的ipv6协议组,并配置有ipv6地址即可。双协议栈主机可以通过对域名系统dns的查询知道目的地主机是采用哪一种地址。若dns返回的是ipv4地址,源主机就使用ipv4地址。但当dns返回的是ipv6地址时,源主机就使用ipv6地址。如图三,所示全双栈方式的组网方式
而常用的双栈迁移方式是从核心向边缘的迁移。这涉及在出口路由器上实现两个tcp/ip协议栈,接着是其他三层设备和防火墙,然后是服务器群,路由器,最终是桌面接入路由器。在网络支持ipv6和ipv4协议后,这一过程将实现服务器上的双栈,然后是边缘计算机系统。在完全过渡到ipv6之前,使一部分主机或路由〖ll〗器装有两个协议栈,一个ipv4和一个ipv6。双协议栈主机或路由器既能够和ipv6的系统通信,又能够和ipv4的系统通信。这种方式对网络架构上不需要做很多的调整,可以根据建设进度及预算情况逐渐向ipv6过渡,是一种比较稳妥的方式。
3. 基于欧亚学院校园网的过渡方案
到目前为止,过渡方案还都没有脱离以上三种过渡技术的范畴。然而,这些方案都是针对某些特定情况,为满足特定需求所制定的。在实际应用中还要结合实际的组网情况和需求差异选择最合适的过渡技术和方案。
我校在考虑过渡ipv4至ipv6的过渡方案时,遵循如下一般性原则:
(1)保证已有的ipv4应用在新的综合组网环境中不会受到影响。
(2)最大程度的保护已有投资,能通过升级实现的,尽量不要更换新的设备。
(3)灵活组网,在资金允许的情况下使网络渐进升级,不要求一步到位。
(4)新的组网应当能充分体现出ipv6的优势。我们不是为了接入ipv6而接入,而是希望能体验到ipv6带给我们在安全以及应用方面的新感受;
(5)保证ipv4和ipv6主机互通。因为只有网络层面互通才谈得上业务层面互通。
欧亚学院于2004年建成了覆盖全院的校园网,用于学校教学、办公以及学生上网娱乐。因目前ipv4仍可以满足正常的教学和办公,没有大规模的ipv6应用,所以前期先以建设实验室出发,在不破坏现有的组网模式的前提下,小范围的接入ipv6网络,来满足科研需求。日后随着ipv6应用的逐渐普及再慢慢扩大建设规模。
欧亚学院校园网络核心和汇聚层设备分别采用了华为和神州数码的中高端路由交换机,大多数网段的网关都由这三台设备来承担,方便我们日后逐步升级为双栈。出口采用华为的ne路由器做nat和出口路由选择。这里我们计划采用双栈技术做ipv6接入,首先我们要将出口路由器升级为双栈,并将其接入到ipv6网。新建的ipv6实验室采用二层交换机将所有设备汇接到出口路由器上,同时实验室的所有终端设备需要安装双栈协议。这样当实验室的设备需要访问ipv6资源时,就通过出口路由器向外做连接。要访问ipv4资源时,可通过出口路由选择ipv4的出口,这样的组网同样满足ipv6实验室的终端对内网资源的访问。当ipv6的接入需求逐渐增加时,我们可以将相应的核心及其对应的网关设备逐步升级为双栈。
参考文献
〔1〕 postel, “internet protocol”, rfc 0791, september
〔2〕 何涛等. ipv6试验床的实践与研究.计算机应用,2001.12
〔3〕 余冬梅,廖永刚,张秋余.基于 ipv4网络的 ipv6隧道传输技术的研究 j .计算机工程与设计, 2004,25 9 :1485-1487
【关键词】协议翻译机制(translation);双协议栈机制(dual stack);隧道机制(tunnel)
【abstract】ipv6 as the core of next-generation internet protocol, will replace ipv4. in the article, the characteristics and development of ipv6 a brief description of the status quo, is proposed and analyzed several ipv4 to ipv6 transition technology, combined with europe and asia campus network features summed up europe and asia campus network, ipv6 migration path.
【key words】protocol translation mechanism (translation), dual-stack mechanism (dual stack), tunnel mechanisms (tunnel)
1. 引言
随着近年来互联网在各个领域内的空前发展,人们对信息资源的开发和利用进入了一个全新的阶段。然而越来越多的网络问题也同样暴露在我们面前,如ipv4地址的急剧消耗将要枯竭等。针对这些问题,1990年ietf开始着手开发ip的新版本ipv6。新的版本在协议优化上做了很大的改变,使其在可扩展性、qos和安全性等方面都有卓越的表现。
目前,ipv6的已经得到了很大的发展。在国外,如美国和欧洲对ipv6的发展以研究和实验为主体,亚洲国家则以商用及业务开展为中心,而我国的ipv6的发展,以研究和实验为主。西安欧亚学院为了给在校师生提供良好的科研及教育环境,在ipv6成为必然趋势得前提下,应考虑接入ipv6网络。在仍以ipv4为主的今天,我们要清楚地认识到ipv4和ipv6必将长期并存,所以如何选择适当的过渡方式完成向ipv6的迁移是一个值得深究的问题
2. ipv4到ipv6的几种过渡策略
ipv4/ipv6过渡方案,一般来说可以分为三类:协议翻译机制(translation)即双协议栈机制(dual stack),隧道机制(tunnel),以及。下面就这三种过渡技术作简要的介绍。
2.1 协议翻译技术。
目前网络中存在很多只支持ipv6或只支持ipv4的主机,这些主机之间要通信时就要采用协议翻译技术。协议翻译对应了多种实现技术。其中nat-pt和bis应用于网络层,trt主要应用于汇聚层,应用层翻译代表技术有socks和bia。bia和bis主要是针对主机终端通信提出的,这里我们重点介绍nat-pt技术。
nat-pt就是在做ipv4/ipv6地址转换(nat)的同时在ipv4分组和ipv6分组之间进行报头和语义的翻译(pt)。适用于纯ipv4站点和纯ipv6站点之间的通信。对于一些内嵌地址信息的高层协议(如ftp),nat-pt需要和应用层的网关协作来完成翻译。实现了只安装ipv6的主机和只安装了ipv4主机的大部分应用的相互通信。图一说明,nat-pt技术结合dns-alg是如何实现ipv4和ipv6主机之间的通信的。
(1)当主机a向主机b发送数据之前,nat-pt网关向ipv6网络通告一个96位的地址前缀如2::,这样主机b被标识为2::2.2.2.2,该地址主机a就可以识别了,当数据到达网关时,网关根据地址映射的规则,再将目的地为2::2.2.2.2的地址对应为主机b的ip地址,这样数据就被成功送往主机b。
但是当主机b要发送数据到主机a时,它因为不能识别ipv6的地址格式,这时是就要借助dns-alg来完成。假设主机a对应的域名为,ipv6网络中的dns服务器对应的ipv4地址为3.3.3.3。
(2)主机b以域名的形式访问主机a时,它会先向ipv6网络的dns发出请求,对主机a进行域名解析。请求到达网关后,网关会将该请求转发给ipv6网络中的dns服务器,该过程包括对报文地址类型的转换。dns会回应网关该域名对应的ipv6地址为1::1。网关收到该回应后会在ipv4地址池中选择一个ipv4地址如2.2.2.3来替换1::1,并将2.2.2.3和这样的对应关系告诉主机b。如此以来主机b知道了 对应的ipv4地址,网关也知道了2.2.2.3和1::1的对应关系,主机b向主机a发送的数据报就可以成功地被接收了。
协议翻译技术适用场合:ipv6 小岛与 ipv4 海洋之间的通信,该技术在拓扑结构上要求一次会话中双向数据包的转换都在同一个路由器上完成,所以它只能应用于一个路由器出口的网络。他的优点是不需要进行 ipv4、ipv6 终端的升级改造,但是一些协议字段在转换时不能完全保持原有的含义 ,协议转换方法缺乏端到端安全性,而且它对网关的性能要求比较高,一般不建议采用。
2.2 隧道技术。
隧道策略是ipv4/v6综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点),这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道出口对接受到的协议数据解封装,并做相应的处理。根据应用环境的不同,其实现技术多种多样,如isatap隧道,6to4隧道,6over4隧道等。
isatap隧道通过将ipv4地址嵌入到ipv6地址当中,并将ipv6封包封装在ipv4中传送,在主机相互通信中抽出ipv4地址建立tunnel。双栈主机支持isatap后会自动在该隧道接口上生成本地链路的前缀(fe80::开头)和64位的接口标识符::0:5efe:x.x.x.x(这里的x.x.x.x是双栈主机的ipv4单播地址),这样就可以和同一子网内其他isatap客户机进行ipv6通讯了;如果需要和其他网络的isatap客户机或者ipv6网络通信,必须通过isatap路由器拿到全球单播地址前缀,通过路由器与其他ipv6主机和网络通信。
对于校园网中部分希望接入ipv6的终端来讲,他要借助校园网并通过隧道技术连接到ipv6网络,汇聚层或出口设备(如路由器)首先升级至双栈的模式,再采用isatap主机-路由器的隧道部署方式。
隧道技术可以有效地实现ipv4向ipv6的演进,他的优点在于隧道的透明性,可以降低网络的投资。但是配置非常复杂,而且隧道技术只能实现ipv6主机之间的通信,对于ipv4和ipv6设备之间的通信则无能为力。
2.3 双栈技术。
双栈策略是指在网元中同时具有ipv4和ipv6两个协议栈,它既可以接收、处理、收发ipv4的分组,也可以接收、处理、收发ipv6的分组。对于主机来讲,“双栈”是指其可以根据需要来对业务产生的数据进行ipv4封装或者ipv6封装。对于路由器来讲,“双栈”是指在一个路由器设备中维护ipv6和ipv4两套路由协议栈,使得路由器既能与ipv4主机也能与ipv6主机通信,分别支持独立的ipv6和ipv4路由协议,ipv4和ipv6路由信息按照各自的路由协议进行计算,维护不同的路由表。
如果要实现全网双栈,则需要在所有的三层设备上启用双栈,如我们学校的出口路由器,核心路由交换机,防火墙都需要升级为可以支持双栈功能。对于终端需要安装相应的ipv6协议组,并配置有ipv6地址即可。双协议栈主机可以通过对域名系统dns的查询知道目的地主机是采用哪一种地址。若dns返回的是ipv4地址,源主机就使用ipv4地址。但当dns返回的是ipv6地址时,源主机就使用ipv6地址。如图三,所示全双栈方式的组网方式
而常用的双栈迁移方式是从核心向边缘的迁移。这涉及在出口路由器上实现两个tcp/ip协议栈,接着是其他三层设备和防火墙,然后是服务器群,路由器,最终是桌面接入路由器。在网络支持ipv6和ipv4协议后,这一过程将实现服务器上的双栈,然后是边缘计算机系统。在完全过渡到ipv6之前,使一部分主机或路由〖ll〗器装有两个协议栈,一个ipv4和一个ipv6。双协议栈主机或路由器既能够和ipv6的系统通信,又能够和ipv4的系统通信。这种方式对网络架构上不需要做很多的调整,可以根据建设进度及预算情况逐渐向ipv6过渡,是一种比较稳妥的方式。
3. 基于欧亚学院校园网的过渡方案
到目前为止,过渡方案还都没有脱离以上三种过渡技术的范畴。然而,这些方案都是针对某些特定情况,为满足特定需求所制定的。在实际应用中还要结合实际的组网情况和需求差异选择最合适的过渡技术和方案。
我校在考虑过渡ipv4至ipv6的过渡方案时,遵循如下一般性原则:
(1)保证已有的ipv4应用在新的综合组网环境中不会受到影响。
(2)最大程度的保护已有投资,能通过升级实现的,尽量不要更换新的设备。
(3)灵活组网,在资金允许的情况下使网络渐进升级,不要求一步到位。
(4)新的组网应当能充分体现出ipv6的优势。我们不是为了接入ipv6而接入,而是希望能体验到ipv6带给我们在安全以及应用方面的新感受;
(5)保证ipv4和ipv6主机互通。因为只有网络层面互通才谈得上业务层面互通。
欧亚学院于2004年建成了覆盖全院的校园网,用于学校教学、办公以及学生上网娱乐。因目前ipv4仍可以满足正常的教学和办公,没有大规模的ipv6应用,所以前期先以建设实验室出发,在不破坏现有的组网模式的前提下,小范围的接入ipv6网络,来满足科研需求。日后随着ipv6应用的逐渐普及再慢慢扩大建设规模。
欧亚学院校园网络核心和汇聚层设备分别采用了华为和神州数码的中高端路由交换机,大多数网段的网关都由这三台设备来承担,方便我们日后逐步升级为双栈。出口采用华为的ne路由器做nat和出口路由选择。这里我们计划采用双栈技术做ipv6接入,首先我们要将出口路由器升级为双栈,并将其接入到ipv6网。新建的ipv6实验室采用二层交换机将所有设备汇接到出口路由器上,同时实验室的所有终端设备需要安装双栈协议。这样当实验室的设备需要访问ipv6资源时,就通过出口路由器向外做连接。要访问ipv4资源时,可通过出口路由选择ipv4的出口,这样的组网同样满足ipv6实验室的终端对内网资源的访问。当ipv6的接入需求逐渐增加时,我们可以将相应的核心及其对应的网关设备逐步升级为双栈。
参考文献
〔1〕 postel, “internet protocol”, rfc 0791, september
〔2〕 何涛等. ipv6试验床的实践与研究.计算机应用,2001.12
〔3〕 余冬梅,廖永刚,张秋余.基于 ipv4网络的 ipv6隧道传输技术的研究 j .计算机工程与设计, 2004,25 9 :1485-1487
上一篇:网络运行中掉话问题的研究分析
下一篇:网络攻击及防范措施