下一代的互聯(lián)網(wǎng)協(xié)議——IPv6

周強

貴州省電信公司互聯(lián)網(wǎng)業(yè)務(wù)部

　　摘 要 本文介紹了IPv6產(chǎn)生的原因和IPv6的特點，也討論了從現(xiàn)有的IPv4網(wǎng)絡(luò)結(jié)構(gòu)過渡到IPv6的策略。IPv6協(xié)議的提出，不但解決了IPv4中的一些問題，而且針對Internet應(yīng)用的需求，提供了一些新的機制從而解決移動性、安全性等問題，也為下一代互聯(lián)網(wǎng)的發(fā)展提供了便利。

　　關(guān)鍵詞 IPv6 互聯(lián)網(wǎng) 協(xié)議 地址 路由

　　1 IPv6產(chǎn)生的歷史背景

　　Internet 的成功促進(jìn)了IP網(wǎng)的大發(fā)展。目前，越來越多的人相信，未來的網(wǎng)絡(luò)將是基于IP技術(shù)的網(wǎng)絡(luò)。隨著IP網(wǎng)規(guī)模的不斷擴大，原有的IPv4協(xié)議面臨著一些難以解決的問題，比如地址空間耗盡、路由表爆炸等。同時IP應(yīng)用的擴展對IP也提出了新的要求，比如Internet上多媒體信息傳播、移動用戶的網(wǎng)絡(luò)接入等，都為IP的研究開辟了新的空間。

　　傳統(tǒng)的IP，即IPv4（IP version 4）定義IP地址的長度為32bit。Internet上每個主機都分配了一個（或多個）32bit的IP地址。32bit的地址在DARPA時代的互聯(lián)網(wǎng)絡(luò)看來還是足夠使用的，同時網(wǎng)絡(luò)地址的分類（A、B、C、D、E類）和提取也提高了路由的效率。但是在20世紀(jì)80年代早期，即使是最有遠(yuǎn)見的TCP/IP開發(fā)者們也沒有預(yù)料到互聯(lián)網(wǎng)會有今天的爆炸性增長。Internet的設(shè)計者們沒有想到今天Internet會發(fā)展到如此大的規(guī)模，更沒有預(yù)測到今天Internet因為規(guī)模的迅速擴大而陷入困境。1987年統(tǒng)計表明可能將來需要分配多達(dá)100 000個網(wǎng)絡(luò)，然而早在1996年這個記錄已經(jīng)被打破。20世紀(jì)90年代以來，WWW服務(wù)迅速普及，網(wǎng)絡(luò)節(jié)點的數(shù)目開始呈幾何級數(shù)的增長。

　　地址短缺問題的根源有多方面的原因。一方面是32bit的空間是十分有限的；另一方面是盡管現(xiàn)行的32bit IPv4的地址結(jié)構(gòu)可以為1670萬個網(wǎng)絡(luò)上的超過40億臺主機分配地址，但實際上的地址分配效率遠(yuǎn)遠(yuǎn)達(dá)不到這個數(shù)值。我們知道，由于歷史的原因，IPv4地址的分配是極不合理的，大量的IP地址分給了一些大學(xué)和商業(yè)公司，比如美國斯坦福大學(xué)擁有1700萬，IBM公司則達(dá)到3300萬，而我國只分到大約900萬正式地址，這顯然與當(dāng)今互連網(wǎng)在世界范圍內(nèi)飛速發(fā)展的狀況是不相適應(yīng)的。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，不僅導(dǎo)致地址總數(shù)量的不夠，也導(dǎo)致路由表迅速膨脹。

　　在IPv4面臨的一系列問題中，IP地址即將耗盡無疑是最為嚴(yán)重的，有預(yù)測表明，以目前Internet的發(fā)展速度計算，所有IPv4地址將在2005～2010年間分配完畢。為了徹底解決IPv4存在的問題，IETF從1995年開始，著手研究開發(fā)下一代IP，即IPv6。IPv6具有長達(dá)128bit的地址空間，可以徹底解決IPv4地址不足的問題，除此之外，IPv6還采用分級地址模式、高效IP包頭、服務(wù)質(zhì)量、主機地址自動配置、認(rèn)證和加密等許多技術(shù)。

2 IPv6的新特性

2.1 全新的地址管理方案

　　在IPv4中，地址是用戶擁有的。也就是說，一旦用戶從某機構(gòu)處申請到一段地址空間，他就永遠(yuǎn)使用該地址空間，而不管他是從哪個Internet服務(wù)提供者（ISP）處獲得服務(wù)。這種方式的缺點是ISP必須在路由表中為每個用戶的網(wǎng)絡(luò)號維護(hù)一條記錄。隨著用戶數(shù)的增加，會出現(xiàn)大量無法會聚的特殊路由，即使無類別域間路由（CIDR）也不能處理這樣的路由表爆炸現(xiàn)象。

　　IPv6改變了地址的分配方式，從用戶擁有變成了ISP擁有。全局網(wǎng)絡(luò)號由Internet地址分配機構(gòu)（IANA）分配給各ISP，用戶的全局網(wǎng)絡(luò)地址只是ISP地址空間的子集。當(dāng)用戶接入的ISP改變時，全局網(wǎng)絡(luò)地址必須更新為新ISP提供的地址。這樣ISP能有效地控制路由信息，避免路由爆炸現(xiàn)象的出現(xiàn)。ISP地址擁有模式意味著用戶必須時常改動他們的主機地址，這對大型網(wǎng)絡(luò)的管理是很不利的。另一方面，運行IPv6的主機能同時為每個端口配置多個IP地址。這些地址包括全局地址，站點局部地址，鏈路局部地址等，它們分別用于不同的傳播范圍。由用戶管理多個地址是相當(dāng)煩瑣的，所以IPv6提供了地址自動配置機制，使主機能自動生成地址，避免了手工配置的低效率，實現(xiàn)了主機的即插即用功能。路由器在地址自動配置中發(fā)揮巨大的作用，它定時在子網(wǎng)里多播路由器廣告報文，報文中包括主機能使用的地址前綴的所有信息，如前綴值、生命期等；主機收到該報文后，按照一定規(guī)則在本地生成主機標(biāo)識符，把它和地址前綴連接，從而形成主機地址。為了保證主機地址的唯一性，IPv6定義了重復(fù)地址檢測過程，每當(dāng)生成地址時，必須反復(fù)執(zhí)行生成和檢測過程，直到得到唯一的地址。地址管理方案中還包括地址解析協(xié)議（ABP）和可達(dá)性檢測。IPv4中ABP是獨立的協(xié)議，負(fù)責(zé)IP地址到鏈路層地址的轉(zhuǎn)換，對不同的鏈路層協(xié)議要定義不同的ARP。可達(dá)性檢測的目的是確認(rèn)相應(yīng)IP地址代表的主機或路由器是否還能收發(fā)報文，IPv4沒有統(tǒng)一的解決方案。IPv6定義了鄰機發(fā)現(xiàn)協(xié)議（NDP），把ARP納入NDP并運行于Internet控制報文協(xié)議（ICMP）上，使ARP更具有一般性，包括更多的內(nèi)容，而且不用為每種鏈路層協(xié)議定義一種ARP。NDP中還定義了可達(dá)性檢測過程，保證IP報文不會發(fā)送給“黑洞”。

2.2 地址頭部的簡化和可擴展性

　　IPv6的另一個主要特點是對數(shù)據(jù)包頭的簡化，盡量避免那些很少使用的域靜態(tài)地址占用空間。它僅包含7個字段（IPv4有13個）。這使路由器處理分組的速度加快，提高了吞吐率。

　　IPv6數(shù)據(jù)包頭中的“NextHeader”域，它指向數(shù)據(jù)包頭的擴展部分，這樣便可以在非常簡單的結(jié)構(gòu)里提供很多可選的特征。同IPv4一樣，IPv6允許數(shù)據(jù)報包含可選的控制信息，但在IPv4頭中必需的字段現(xiàn)在只是IPv6的選項。而且，選項出現(xiàn)在擴展頭部中，使路由器可以簡單地跳過選項，加速了分組處理的過程。另外還包含了IPv4所不具備的選項，可以提供新的設(shè)施。

2.3 可靠的安全性

　　IPv6利用數(shù)據(jù)包頭的擴展部分可以提供路由器級的安全性。IPv6中強制性的安全性包括兩方面的內(nèi)容。一方面，IPv6數(shù)據(jù)包的接收者可以要求發(fā)送者首先利用IPv6認(rèn)證頭（數(shù)據(jù)包頭的擴展部分）進(jìn)行“登錄”，然后才接收數(shù)據(jù)包，這種登錄是算法獨立的，可以有效地阻止網(wǎng)絡(luò)“黑客”的攻擊。另一方面，利用IPv6的封閉安全頭（數(shù)據(jù)包頭的擴展部分）加密數(shù)據(jù)包，這種加密也是算法獨立的，這意味著可以安全地在Internet上傳輸敏感數(shù)據(jù)，不用擔(dān)心被第三方截取。

　　另外，IPv6定義了ISAKMP-OAKLEY協(xié)議，其基礎(chǔ)是Diff-Hellman算法。規(guī)定首先進(jìn)行證書交換，用以確認(rèn)對方的地址真?zhèn)危�然后進(jìn)行帶驗證過程的密鑰交換，防止密鑰交換被中介攔截。協(xié)議中也定義了相應(yīng)的手段允許協(xié)商加密參數(shù)，以及AH和ESP的用法。

2.4 IPv6的移動性

　　移動IPv6（MIPv6）在新功能和新服務(wù)方面可提供更大的靈活性。每個移動設(shè)備設(shè)有一個固定的家鄉(xiāng)地址（home address)，這個地址與設(shè)備當(dāng)前接入互聯(lián)網(wǎng)的位置無關(guān)。當(dāng)設(shè)備在家鄉(xiāng)以外的地方使用時，通過一個轉(zhuǎn)交地址（care-of address)來提供移動節(jié)點當(dāng)前的位置信息。移動設(shè)備每次改變位置，都要將它的轉(zhuǎn)交地址告訴給家鄉(xiāng)地址和它所對應(yīng)的通信節(jié)點。在家鄉(xiāng)以外的地方，移動設(shè)備傳送數(shù)據(jù)包時，通常在IPv6報頭中將轉(zhuǎn)交地址作為源地址。移動節(jié)點在家鄉(xiāng)以外的地方發(fā)送數(shù)據(jù)包時，使用一個家鄉(xiāng)地址目標(biāo)選項。目的是通過這個選項把移動節(jié)點的家鄉(xiāng)地址告訴給包的接收者。由于在該數(shù)據(jù)包里包含家鄉(xiāng)地址的選項，接收方通信節(jié)點在處理這個包時，就可以用這個家鄉(xiāng)地址替換包內(nèi)的轉(zhuǎn)交地址。因此發(fā)送給移動節(jié)點的IPv6包，就透明地路由到該節(jié)點的轉(zhuǎn)交地址處。對通信節(jié)點和轉(zhuǎn)交地址之間的路由進(jìn)行優(yōu)化，就會使網(wǎng)絡(luò)的利用率更高。

　　基于移動IPv6協(xié)議集成的IP層移動功能具有很重要的優(yōu)點。尤其是在移動終端數(shù)量持續(xù)上漲的今天，這些優(yōu)點更加突出。盡管IPv4中也存在一個類似的移動協(xié)議，但二者之間存在著本質(zhì)的區(qū)別：移動IPv4協(xié)議不適用于數(shù)量龐大的移動終端。

　　移動IP需要為每個設(shè)備提供一個全球唯一的IP地址，IPv4沒有足夠的地址空間可以為在公共互聯(lián)網(wǎng)上運行的每個移動終端分配一個這樣的地址。從另外角度講，移動IPv6能夠通過簡單的擴展?jié)M足大規(guī)模移動用戶的需求。這樣，它就能在全球范圍內(nèi)解決有關(guān)網(wǎng)絡(luò)和訪問技術(shù)之間的移動性問題。

3 尋址和路由方法

　　IPv6的128bit地址形成了一個巨大的地址空間。在一段可預(yù)見的時期內(nèi)，它能夠為所有可以想象出的網(wǎng)絡(luò)設(shè)備提供一個全球唯一的地址。聚類全球單播地址是默認(rèn)的IPv6地址。這種地址類型是基于分層的網(wǎng)絡(luò)拓?fù)浣Y(jié) 構(gòu)。分層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的底層是互聯(lián)網(wǎng)服務(wù)提供商（ISP），之上是客戶網(wǎng)絡(luò)和它的子網(wǎng)。128bit地址分成前綴和后綴兩部分，各64bit。其中64bit后綴地址由設(shè)備接口來定。IPv6主機并不需要了解這種地址的層次結(jié)構(gòu)，因此，它對網(wǎng)絡(luò)安全有很大好處。為了保證同外部互聯(lián)網(wǎng)通信時的安全，公司的工作站可以使用定點地址。當(dāng)需要在相鄰的路由器之間安全地傳送路由拓?fù)湫畔�時，還可以使用局部連接地址。

　　另外，這種地址結(jié)構(gòu)還支持一些新的服務(wù)，如優(yōu)化的IP層移動或廣播服務(wù)。在IPv6互聯(lián)網(wǎng)網(wǎng)絡(luò)上，這些服務(wù)一開始就可以在全球范圍內(nèi)實現(xiàn)。而IPv4就幾乎沒有這種靈活性。

　　IPv6的這種分層地址結(jié)構(gòu)也使路由器可以使用多個可聚類的短路由表，每個路由表中存放適量數(shù)目的記錄。IPv6的一個特點是路由表內(nèi)容成指數(shù)級增長，從而增加了每個數(shù)據(jù)包的處理延遲。而在IPv6中，這種處理延遲已不再是一個限制因素。IPv6同時改進(jìn)和提高了IP包的基本報頭格式。這種簡化的包結(jié)構(gòu)是對IPv4的一個主要改進(jìn)之處，它有助于彌補IPv6長地址占用的帶寬。IPv6的16字節(jié)地址長度是IPv4 的4字節(jié)地址長度的4倍，但I(xiàn)Pv6報頭的總長度只有IPv4報頭總長度的2倍。IPv6報頭所含字段少，而且報頭長度固定，使路由器的硬件實現(xiàn)更加簡單。與IPv4不同，在IPv6網(wǎng)絡(luò)中，路由過程中不對數(shù)據(jù)包進(jìn)行分割，從而進(jìn)一步減少了路由負(fù)載。這些改進(jìn)使IPv6能夠在一個合理的開銷范圍內(nèi)，適應(yīng)互聯(lián)網(wǎng)流量的指數(shù)級增長速度。

　　IPv6的地址結(jié)構(gòu)決定了在需要的時候能夠在基本報頭的后面放置擴展報頭。這也同時提高了路由能力。與跳躍式報頭不同的是，這種連續(xù)報頭在終端節(jié)點進(jìn)行分析。一個實例就是IP安全（IPSec）報頭能夠提高端到端的安全性，其他擴展報頭包括路由報頭、分?jǐn)鄨箢^、認(rèn)證報頭和信宿報頭。IPv6及其結(jié)構(gòu)能夠在全球骨干網(wǎng)一級滿足更大規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)需求，并且提高了安全性和數(shù)據(jù)完整性，支持自動配置、移動計算、數(shù)據(jù)多播和更有效的網(wǎng)絡(luò)路由聚類。

4 IPv4向IPv6的過渡

　　盡管IPv6比IPv4具有明顯的先進(jìn)性，但是IETF認(rèn)識到，要想在短時間內(nèi)將Internet和各個企業(yè)網(wǎng)絡(luò)中的所有系統(tǒng)全部從IPv 4升級到IPv6是不可能的，也就是說，IPv6與IPv4系統(tǒng)在Internet 中長期共存是不可避免的現(xiàn)實。為此，IETF制定了推動IPv4向IPv6過渡的方案，其中包括三個機制：兼容IPv4的IPv6地址、雙IP協(xié)議棧和基于IPv4隧道的IPv6。

　　兼容IPv4的IPv6地址是一種特殊的IPv6單點廣播地址，一個 IPv6節(jié)點與一個IPv4節(jié)點可以使用這種地址在IPv4網(wǎng)絡(luò)中通信。這種地址是由96個0加上32bit IPv4地址組成的，例如，假設(shè)某節(jié)點的IPv4地址是19256.1.1，那么兼容IPv4的IPv6地址就是0: 0:0:0:0:0:C038:101。

　　雙IP協(xié)議棧是在一個系統(tǒng)（如一個主機或一個路由器）中同時使用IPv4和IPv6兩個協(xié)議棧。這類系統(tǒng)既擁有IPv4地址，也擁有IPv6地址，因而可以收發(fā)IPv4和IPv6兩種IP數(shù)據(jù)報。

　　與雙IP協(xié)議棧相比，基于IPv4隧道的IPv6是一種更為復(fù)雜的技術(shù)，它是將整個IPv6數(shù)據(jù)報封裝在IPv4數(shù)據(jù)報中，由此實現(xiàn)在當(dāng)前的IPv4網(wǎng)絡(luò)（如Internet）中IPv6節(jié)點與IPv4節(jié)點之間的I P通信�；�于IPv4隧道的IPv6實現(xiàn)過程分為三個步驟：封裝、解封和隧道管理。封裝，是指由隧道起始點創(chuàng)建一個IPv4包頭，將 IPv6數(shù)據(jù)報裝入一個新的IPv4數(shù)據(jù)報中。解封，是指由隧道終結(jié)點移去IPv4包頭，還原原始的IPv6數(shù)據(jù)報。隧道管理，是指由隧道起始點維護(hù)隧道的配置信息，如隧道支持的最大傳輸單元（MTU）的尺寸等。

　　IPv6是一個建立可靠的、可管理的、安全和高效的IP網(wǎng)絡(luò)的長期解決方案。盡管IPv6的實際應(yīng)用之日還需耐心等待，不過，了解和研究IPv6的重要特性以及它針對目前IP網(wǎng)絡(luò)存在的問題而提供的解決方案，對于制定企業(yè)網(wǎng)絡(luò)的長期發(fā)展計劃，規(guī)劃網(wǎng)絡(luò)應(yīng)用的未來發(fā)展方向，都是十分有益的。

----《中國數(shù)據(jù)通信》