NGN中IPv4/v6綜合組網(wǎng)若干問題的研究

曹薊光

一、引言

　　在下一代網(wǎng)絡(luò)(NGN)的業(yè)務(wù)承載層采用IPv6可以擴(kuò)大IP地址空間、增加IP網(wǎng)絡(luò)安全性、提高網(wǎng)絡(luò)服務(wù)質(zhì)量。從長遠(yuǎn)來講，其有著很好的技術(shù)前瞻性和廣闊的應(yīng)用空間。但是利用IPv6網(wǎng)絡(luò)來取代現(xiàn)有的IPv4網(wǎng)絡(luò)卻是一個(gè)非常復(fù)雜和困難的問題，這不只影響到網(wǎng)絡(luò)層，而是由于網(wǎng)絡(luò)層協(xié)議的變化，使得從鏈路層到應(yīng)用層的多個(gè)技術(shù)層面均發(fā)生相應(yīng)的改變。

二、對網(wǎng)絡(luò)過渡問題認(rèn)識的不斷深入

　　人們對IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的問題的認(rèn)識是不斷深入的。最早，在IETF的RFC和DRAFT中對網(wǎng)絡(luò)的過渡采用的術(shù)語是“遷移(migration)”，此時(shí)已經(jīng)認(rèn)識到摒棄現(xiàn)有的已經(jīng)得到廣泛應(yīng)用的IPv4網(wǎng)絡(luò)，來建立一個(gè)純IPv6網(wǎng)絡(luò)是不現(xiàn)實(shí)的。這不但會(huì)涉及到既有投資保護(hù)、設(shè)備兼容、技術(shù)兼容、應(yīng)用兼容的問題，而且會(huì)造成技術(shù)與應(yīng)用的脫節(jié)。盡管如此，IETF的主要技術(shù)人員還是對IPv4網(wǎng)絡(luò)向IPv4網(wǎng)絡(luò)的過渡持樂觀態(tài)度，認(rèn)為IPv4網(wǎng)絡(luò)可以整體遷移到IPv6。

　　隨著研究的深入，網(wǎng)絡(luò)過渡過程中可能遇到的問題越來越多，問題分析越來越復(fù)雜。IETF也認(rèn)識到網(wǎng)絡(luò)不會(huì)出現(xiàn)大規(guī)模的、廣泛的、整體的遷移；過渡過程將是長期的、持續(xù)的。此時(shí)IETF對網(wǎng)絡(luò)過渡采用的術(shù)語變?yōu)榱恕斑^渡(transition)”。為了對問題進(jìn)行更為深入的全面分析，IETF成立一個(gè)“下一代網(wǎng)絡(luò)過渡工作組(Ngtrans)”，這個(gè)工作組的工作成果反映在14個(gè)RFC和20多個(gè)DRAFT中。提出了一些網(wǎng)絡(luò)過渡的思路，形成了網(wǎng)絡(luò)過渡工具箱。

　　目前，IETF對網(wǎng)絡(luò)過渡采用的術(shù)語是“互操作(interoperation)”，相應(yīng)的“下一代網(wǎng)絡(luò)過渡工作組(Ngtrans)”也停止了工作，取而代之的是新成立的“IPv6網(wǎng)絡(luò)互操作工作組(IPv6ops)”。IETF的這種認(rèn)識的轉(zhuǎn)變是建立在對IPv4向IPv6過渡過程的更為深入研究的基礎(chǔ)上的。IETF認(rèn)為“過渡是長期的、融合是必然的”，因此當(dāng)前主要考慮的不是如何用IPv6網(wǎng)絡(luò)來取代IPv4網(wǎng)絡(luò)，而是應(yīng)該把研究重點(diǎn)放在如何很好地實(shí)現(xiàn)IPv4與IPv6的融合。只有IPv4網(wǎng)絡(luò)能夠和IPv6網(wǎng)絡(luò)很好的融合，才能實(shí)現(xiàn)網(wǎng)絡(luò)的平穩(wěn)過渡。因此，IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的互操作方式的研究是當(dāng)務(wù)之急。

　　IETF的關(guān)于IPv6的上述認(rèn)知的轉(zhuǎn)變在IPv6ops工作組的研究課題中得到充分體現(xiàn)。在IPv6ops中，研究的重點(diǎn)不再是網(wǎng)絡(luò)過渡工具箱中的具體方式和方法，而是針對不同的網(wǎng)絡(luò)應(yīng)用環(huán)境有針對性的提出IPv4/v6綜合組網(wǎng)方案。目前，IPv6ops研究的典型網(wǎng)絡(luò)應(yīng)用環(huán)境包括：骨干網(wǎng)(Backbone Networks)、企業(yè)網(wǎng)(ENTERPRISE NETWORKS)、ISP網(wǎng)絡(luò)、無管理網(wǎng)(UNMANAGEDNETWORKs)、3GPP網(wǎng)絡(luò)(也包含了主機(jī)、終端)等。但是這些研究均處于草案階段(DRAFT)，草案中的許多內(nèi)容目前均空缺(只列出了目錄)，需要做的研究工作還較多。一方面，由于典型網(wǎng)絡(luò)環(huán)境的需求不容易統(tǒng)一，不同的網(wǎng)絡(luò)運(yùn)營實(shí)體(網(wǎng)絡(luò)供應(yīng)商N(yùn)P，服務(wù)供應(yīng)商SP，內(nèi)容供應(yīng)商CP等)會(huì)對網(wǎng)絡(luò)有不同的需求，因此可以預(yù)見關(guān)于典型網(wǎng)絡(luò)環(huán)境的爭論是激烈的、長期的。另一方面，網(wǎng)絡(luò)自身也處于發(fā)展變化之中，網(wǎng)絡(luò)安全、認(rèn)證計(jì)費(fèi)、控制管理、性能監(jiān)測等問題均處于研究之中，這些不斷發(fā)展的內(nèi)容同樣會(huì)影響針對不同網(wǎng)絡(luò)應(yīng)用環(huán)境的IPv4/v6綜合組網(wǎng)技術(shù)的研究。另外一個(gè)重要的因素是IP技術(shù)在電信網(wǎng)絡(luò)中的應(yīng)用越來越廣泛，電信網(wǎng)絡(luò)會(huì)對IPv4/v6綜合組網(wǎng)提出更高的要求。所有這些因素使得IPv4/v6綜合組網(wǎng)技術(shù)的研究是長期的、涉及多個(gè)方面的、受多因素制約的。

　　從長遠(yuǎn)來看，IPv4和IPv6技術(shù)在網(wǎng)絡(luò)中將長期共存(Co-existence)。不同網(wǎng)絡(luò)運(yùn)營實(shí)體可以根據(jù)自身的實(shí)際情況來自主的選擇究竟采取哪種IP層協(xié)議、采用哪種綜合組網(wǎng)方式。未來的IP網(wǎng)絡(luò)將是IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的集成(integration)網(wǎng)絡(luò)。

　　總體來講，隨著對IPv4向IPv6過渡技術(shù)研究的不斷深入，對于過渡問題的認(rèn)識也不斷深入，IETF對于這個(gè)問題的認(rèn)識也經(jīng)歷了遷移(migration)(過渡(transition)集成(integration)(互操作interoperation)(長期共存(Co-existence)階段。

三、研究IPv4，IPv6綜合組網(wǎng)技術(shù)的意義

　　1.推動(dòng)了IPv6技術(shù)的研究

　　目前，IPv6協(xié)議棧已經(jīng)基本形成，并逐步完善。在研究IPv6協(xié)議自身的同時(shí)需要對IPv6與IPv4的兼容性進(jìn)行深入分析。IPv4/IPv6綜合組網(wǎng)技術(shù)的研究推動(dòng)IPv6技術(shù)的研究向縱深發(fā)展，是IPv6技術(shù)的重要研究領(lǐng)域。

　　2.探索下一代互聯(lián)網(wǎng)的發(fā)展方向和技術(shù)模式

　　由于IPv4地址不足的問題越來越嚴(yán)重，會(huì)在一定程度上制約互聯(lián)網(wǎng)的發(fā)展，因此IPv6技術(shù)在互聯(lián)網(wǎng)中將占有一定的應(yīng)用空間。當(dāng)在互聯(lián)網(wǎng)中引入IPv6技術(shù)時(shí)，由于IPv6與IPv4的不兼容，以及IPv6技術(shù)自身具有的、原IPv4網(wǎng)絡(luò)所不具備的技術(shù)特點(diǎn)，使得互聯(lián)網(wǎng)的技術(shù)模式和發(fā)展方向必然會(huì)受到其一定程度的影響。

　　3.有利于下一代電信網(wǎng)絡(luò)的技術(shù)研究

　　目前，IP技術(shù)在電信網(wǎng)絡(luò)中的應(yīng)用越來越廣泛，電信網(wǎng)絡(luò)中引入IP技術(shù)對原有的電信網(wǎng)絡(luò)的組網(wǎng)模式、運(yùn)維模式等諸多方面帶來了沖擊，必須研究在電信網(wǎng)絡(luò)中如何很好的融合IP技術(shù)，包括IPv4技術(shù)和IPv6技術(shù)。因此，IPv4/v6綜合組網(wǎng)技術(shù)的研究會(huì)一定程度上推動(dòng)下一代電信網(wǎng)絡(luò)的技術(shù)研究。

　　4.對于設(shè)備制造商的IPv6產(chǎn)品研發(fā)提供參考依據(jù)

　　在IPv4/v6綜合組網(wǎng)的環(huán)境下，不同的組兩方案和技術(shù)對于IPv6網(wǎng)元設(shè)備提出不同的要求，這些要求對設(shè)備制造商來說是產(chǎn)品研發(fā)的重要依據(jù)。反過來，IPv6設(shè)備的研發(fā)又會(huì)促進(jìn)IPv4N6綜合組網(wǎng)技術(shù)的發(fā)展。這充分體現(xiàn)了技術(shù)與市場的雙向作用性。

　　5.促進(jìn)IPv6的實(shí)用化和商用化進(jìn)程

　　只有通過對IPv4/v6綜合組網(wǎng)技術(shù)進(jìn)行充分的研究，并在此基礎(chǔ)上提出切實(shí)可行的、針對不同網(wǎng)絡(luò)應(yīng)用環(huán)境的組網(wǎng)技術(shù)方案，才能切實(shí)推動(dòng)各個(gè)網(wǎng)絡(luò)運(yùn)營實(shí)體在各自網(wǎng)絡(luò)中引入IPv6技術(shù)的進(jìn)程。只有成熟的、可行的技術(shù)才會(huì)被大規(guī)模的實(shí)用化和商用化。

四、IPv4/v6綜合組網(wǎng)技術(shù)的主要研究內(nèi)容

　　研究IPv4/v6綜合組網(wǎng)技術(shù)涉及到許多內(nèi)容，包括網(wǎng)絡(luò)的各個(gè)層面，如網(wǎng)絡(luò)結(jié)構(gòu)、功能集合、網(wǎng)絡(luò)路由、域名體系、地址分配、服務(wù)質(zhì)量、典型應(yīng)用、管理功能與接口、安全要求等方面。

　　1.現(xiàn)有不同過渡策略與網(wǎng)絡(luò)過渡工具的技術(shù)特點(diǎn)及其適用范圍

　　經(jīng)過IETF的“下一代網(wǎng)絡(luò)過渡技術(shù)工作組(NGTRANS)”對IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡技術(shù)的多年研究，已經(jīng)提出了許多網(wǎng)絡(luò)過渡策略(如雙棧策略、隧道策略、翻譯策略等)和相應(yīng)的過渡工具(不同的策略均有多個(gè)對應(yīng)的過渡工具)，這些策略和工具分別有著自己的適用環(huán)境和應(yīng)用局限。對這些策略和工具進(jìn)行綜合比較和對比分析能夠進(jìn)一步明確它們的適用范圍和技術(shù)特點(diǎn)，確定它們在網(wǎng)絡(luò)中的地位和應(yīng)用環(huán)境。

　　2.IP承載網(wǎng)絡(luò)中引入IPv6后的網(wǎng)絡(luò)結(jié)構(gòu)

　　在傳輸網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)之間是IP承載網(wǎng)絡(luò)，它可以進(jìn)一步分為兩個(gè)層次：IP傳輸子層和IP承載控制子層。當(dāng)在IP傳輸子層中引入IPv6技術(shù)以后，使得IP承載網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)邏輯結(jié)構(gòu)發(fā)生了變化，這些變化不但會(huì)影響到業(yè)務(wù)層，而且對底層傳輸網(wǎng)絡(luò)也會(huì)產(chǎn)生一定的影響。通過引入了IPv6之后的IP承載網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，可以進(jìn)一步明確基于IP的運(yùn)營網(wǎng)絡(luò)中，各個(gè)網(wǎng)絡(luò)層次的功能及其相關(guān)層次。這對于分析網(wǎng)絡(luò)的互聯(lián)互通、業(yè)務(wù)的提供方式均有重要意義。

　　3.電信網(wǎng)絡(luò)的不同網(wǎng)絡(luò)環(huán)境對IPv4/v6綜合組網(wǎng)提出的技術(shù)需求

　　IETF的“IPv6網(wǎng)絡(luò)互操作工作組(IPv6ops)”中正在研究的典型網(wǎng)絡(luò)環(huán)境需求是針對互聯(lián)網(wǎng)的，雖然其研究成果會(huì)對電信網(wǎng)絡(luò)的典型網(wǎng)絡(luò)環(huán)境的需求分析有一定的參考價(jià)值，但是有一定的局限性。因此需要對電信網(wǎng)絡(luò)的不同的典型網(wǎng)絡(luò)環(huán)境的研究有足夠的重視，不同的網(wǎng)絡(luò)環(huán)境會(huì)對IPv4/v6綜合組網(wǎng)技術(shù)提出不同的要求。這些典型的網(wǎng)絡(luò)環(huán)境包括：骨干網(wǎng)絡(luò)、城域網(wǎng)(包括接入、匯聚、核心等層次)、駐地網(wǎng)等部分。

　　4.針對不同的網(wǎng)絡(luò)環(huán)境(不同的需求)提出可能的綜合組網(wǎng)方案

　　針對不同的典型網(wǎng)絡(luò)環(huán)境提出可能的綜合組網(wǎng)方案，并對這些組網(wǎng)方案的技術(shù)特點(diǎn)、應(yīng)用范圍、應(yīng)用效果、局限性等方面進(jìn)行分析。這些組網(wǎng)方案即將成為電信網(wǎng)絡(luò)的組網(wǎng)方案的選擇對象；這些組網(wǎng)方案的比較分析結(jié)果將成為電信網(wǎng)絡(luò)組網(wǎng)方案的選擇依據(jù)。

　　5.IPv4/v6綜合組網(wǎng)時(shí)的路由問題

　　在IPv4/v6綜合組網(wǎng)技術(shù)中，路由問題是一個(gè)需要著重分析的關(guān)鍵問題。這個(gè)問題包括如下幾個(gè)方面：路由方式的選擇、路由可達(dá)性分析、路由泄漏問題、路由環(huán)回問題、路由聚臺問題以及不同過渡策略綜合應(yīng)用時(shí)的路由可達(dá)問題等。

　　6.IPv4/v6綜合組網(wǎng)時(shí)的域名問題

　　域名解析/反向解析DNS既是IP網(wǎng)絡(luò)中的一種業(yè)務(wù)，同時(shí)也是IP網(wǎng)絡(luò)的一種基礎(chǔ)功能。在許多信息檢索業(yè)務(wù)中，均需要DNS功能。在IPv4/v6綜合組網(wǎng)環(huán)境中，應(yīng)該考慮的有關(guān)域名的問題有如下方面：首先，需考慮IPv6地址相關(guān)域名的標(biāo)識與解析方法，這方面的研究在IETF的RFC中已經(jīng)進(jìn)行了規(guī)定；其次，需考慮域名空間連通性問題，這也是技術(shù)上，尤其是工程上比較難解決的問題。DNS服務(wù)器支持的IP協(xié)議的不同可能引起域名空間的分裂，一些DNS服務(wù)器可能不能按照同一IP協(xié)議從根服務(wù)器可達(dá)，從而造成有些域名不能獲得解析。

　　7.IPv4/v6綜合組網(wǎng)時(shí)的安全性分析

　　IPv4網(wǎng)絡(luò)的安全性一直受到批評，為此在IPv6協(xié)議能設(shè)計(jì)過程中考慮到了網(wǎng)絡(luò)安全的需求，在IPv6的包頭中設(shè)計(jì)了安全包頭，它可以基于AH或ESP進(jìn)行通信，在一定程度上提高了網(wǎng)絡(luò)的安全性。但是在綜合組網(wǎng)環(huán)境中，這個(gè)問題變得更為復(fù)雜。一方面，在綜合組網(wǎng)環(huán)境中IPv6包頭的安全性由于IPv4的存在而不能充分發(fā)揮；另一方面，隧道技術(shù)在綜合組網(wǎng)環(huán)境中的應(yīng)用，也增加了網(wǎng)絡(luò)的新的潛在不安全因素。各種綜合組網(wǎng)技術(shù)均需要進(jìn)行相應(yīng)的安全性分析。另外，IP承載層的安全性只是網(wǎng)絡(luò)(包括業(yè)務(wù)層、業(yè)務(wù)控制層、承載層、支撐層等多個(gè)層面)安全性的一個(gè)方面，當(dāng)從整網(wǎng)的角度來分析承載層的安全性時(shí)，增加了問題的復(fù)雜程度。

　　8.IPv4/v6綜合組網(wǎng)時(shí)的地址分配策略

　　關(guān)于IPv6的地址分配策略，由IETF相關(guān)的RFC進(jìn)行規(guī)定(最近IETF的地址分配的建議有了新的進(jìn)展，例如新頒布了RFC3177，同時(shí)RFC3587取代了原來的RFC2374，RFC3513取代了RFC2373)，具體的地址分配方法有相關(guān)的互聯(lián)網(wǎng)管理組織進(jìn)行。這里所要求討論的是一個(gè)運(yùn)營商在拿到地址時(shí)如何在自己的網(wǎng)絡(luò)中進(jìn)行分配，在地址分配時(shí)所應(yīng)依據(jù)的原則，以及與具體組網(wǎng)技術(shù)相關(guān)的地址需求分析等。

　　9.不同組網(wǎng)技術(shù)在網(wǎng)絡(luò)中的互聯(lián)互通性(相容性)

　　目前，存在的多種IPv4/v6綜合組網(wǎng)技術(shù)在網(wǎng)絡(luò)中綜合應(yīng)用時(shí)可能會(huì)產(chǎn)生一些問題，例如利用這些技術(shù)組建的網(wǎng)絡(luò)之間的互聯(lián)互通性就是一個(gè)需要主要考慮的問題。利用一種組網(wǎng)技術(shù)組建的網(wǎng)絡(luò)不能與其他組網(wǎng)技術(shù)組建的網(wǎng)絡(luò)進(jìn)行相互通信，這包括地址類型的問題、路由的問題、域名的問題、協(xié)議翻譯的問題等多個(gè)方面，因此需要仔細(xì)分析，做為評價(jià)和選擇IPv4/v6綜合組網(wǎng)技術(shù)的一個(gè)重要依據(jù)。

五、綜合組網(wǎng)的若干技術(shù)問題

　　1.路由問題

　　路由問題主要包括路由域的劃分、路由協(xié)議的選取、路由聚合、路由環(huán)回、路由泄漏以及路由穩(wěn)定性分析等。下面重點(diǎn)討論如下幾個(gè)問題：

　　(1)路由泄漏

　　路由的泄漏是IPv4/v6綜合組網(wǎng)中所特有的問題。所謂的路由泄漏是指IPv4的路由信息泄漏到IPv6網(wǎng)絡(luò)中，或者IPv6的路由信息泄漏到IPv4網(wǎng)絡(luò)中。出現(xiàn)這種現(xiàn)象的根本原因是特殊的IPv6地址的使用，主要是指嵌人IPv4地址自IPv6地址在IPv6網(wǎng)絡(luò)中的采用，由于這種IPv6地址包含了IPv4地址，所以有可能出現(xiàn)IPv4網(wǎng)絡(luò)的路由信息以IPv6地址的形式出現(xiàn)在IPv6路由表中，造成路由表的膨脹和路由聚合的困難。

　　比如在6to4組網(wǎng)方案中，在存在6to4中繼器的環(huán)境中，中繼路由器必須向純IPv6路由域通告6to4地址的路由。這是以2002：：/16為前綴的路由信息就進(jìn)入了IPv6網(wǎng)絡(luò)，同時(shí)也把6to4地址中的IPv4地址信息帶到了IPv6路由域中，則出現(xiàn)了路由泄漏情況。

　　同樣在應(yīng)用兼容IPv4地址的IPv6地址時(shí)也同樣存在這個(gè)問題。

　　解決這個(gè)問題的一個(gè)有效手段是：采用合理的路由管理方法，防止包含IPv4地址信息的路由進(jìn)入IPv6路由表。比如，在6to4組網(wǎng)方式中，為防止IPv4路由表成分混入IPv6路由表，不能將比2002：：/16更精確的6to4前綴能通告進(jìn)入純IPv6路由域中。因此，擁有純IPv6連接的6to4站點(diǎn)不允許在該連接上通告有到2002：：/48的路由，并且所有的純IPv6網(wǎng)絡(luò)必須過濾掉所有前綴長度大于/16的2002：：路由公告。

　　(2)迂回路由

　　在IPv4/v6綜合組網(wǎng)中造成路由環(huán)回問題的一個(gè)主要原因是隧道配置的不合理。尤其是利用靜態(tài)配置隧道和隧道代理時(shí)，可能造成路由的環(huán)回。因此要謹(jǐn)慎使用靜態(tài)配置路由(減少數(shù)目，并且要對己配置隧道進(jìn)行詳細(xì)記錄)，在使用隧道代理來配置隧道時(shí)，最好隧道代理設(shè)備本身能夠提供路由環(huán)回的監(jiān)測手段，并及時(shí)提醒用戶。

　　另外一個(gè)造成路由環(huán)回的可能原因是網(wǎng)元的雙棧配置，實(shí)際上其根本原因是上面介紹的路由泄漏，路由的泄漏造成路由的混亂，出現(xiàn)路由的環(huán)回。

　　(3)路由聚合

　　IPv6地址空間較大，其對應(yīng)的IPv6路由空間也較大，解決的思路就是對IPv6路由進(jìn)行聚合。這點(diǎn)在IPv6協(xié)議設(shè)計(jì)之初就考慮到了，因此提出的IPv6地址層次結(jié)構(gòu)可以與地域有關(guān)。在IPv4/v6綜合組網(wǎng)環(huán)境中，需要考慮綜合組網(wǎng)對路由聚合的影響。實(shí)際上IPv4/v6綜合組網(wǎng)對于IPv6的聚合度沒有明顯的影響。

　　在采用常規(guī)IPv6地址分配方式的純IPv6網(wǎng)路中，路由能夠有較高的聚合度：當(dāng)網(wǎng)絡(luò)中存在一些特殊的IPv6地址(IPv4兼容地址、6to4地址等)時(shí)，通常只能根據(jù)IPv6地址前綴進(jìn)行路由聚合，比如在6to4組網(wǎng)時(shí)，不同6to4域之間的路由通過MP-BGP協(xié)議傳遞6T04路由，這些路由需要根據(jù)2002：V4ADDR：：/48方式來聚合，由于網(wǎng)絡(luò)中6to4網(wǎng)絡(luò)通常并不多，因此這些特殊地址對應(yīng)的路由的聚合度并不低。

　　(4)受控路由

　　在一些情況下，出于QoS方面、負(fù)載均衡方面和網(wǎng)絡(luò)安全方面的考慮．可能采用受控路由的方式來現(xiàn)在IP包所走過的設(shè)備以及路由的跳數(shù)。而IPv4/v6綜合組網(wǎng)對其影響較大。

　　首先，由于隧道的采用可能使得IP包的跳數(shù)超出指定的范圍。IP包經(jīng)過隧道時(shí)通常只做為一跳，而這一跳可能包括了多個(gè)存儲轉(zhuǎn)發(fā)環(huán)節(jié)，從而使得性能下降，甚至影響實(shí)時(shí)性業(yè)務(wù)的開通。

　　其次，由于自動(dòng)隧道技術(shù)的應(yīng)用，可能使得IP包要經(jīng)過本來不應(yīng)經(jīng)過的網(wǎng)絡(luò)。從而對網(wǎng)絡(luò)的安全有一定的影響。

　　2.域名問題

　　在IPv4/v6綜合組網(wǎng)環(huán)境中，一個(gè)值得關(guān)注的問題是：域名空間的破碎問題。所謂的域名空間破碎是指由于DNS服務(wù)器所組成的樹狀結(jié)構(gòu)被切斷，使得網(wǎng)絡(luò)中的某些DNS服務(wù)器不能訪問造成這些DNS服務(wù)器所負(fù)責(zé)的域名不能被解析，在域名空間中形成了盲區(qū)(空洞)。在IPv4/v6綜合組網(wǎng)環(huán)境中，造成這種現(xiàn)象的根本原因是一些DNS服務(wù)器并不是IPv4，IPv6同時(shí)可達(dá)的。在域名解析時(shí)，將按照域名樹狀空間中的條從根到葉的鏈來順序查找域名的不同部分，從而實(shí)現(xiàn)域名解析功能。當(dāng)這個(gè)鏈中的某一個(gè)環(huán)節(jié)(DNS服務(wù)器)不能按照鏈上其他環(huán)節(jié)所采用的某種IP協(xié)議而訪問時(shí)，則域名的查找過程中斷，域名解析失敗。例如，一個(gè)DNS服務(wù)器A只支持IPv4訪問，而其下一級DNS服務(wù)器B只能支持IPv6訪問，則當(dāng)DNS服務(wù)器A對其所管理的域名進(jìn)行解析以后，要訪問DNS服務(wù)器B而此時(shí)A是不能訪問B的，因?yàn)閮烧叩腎P協(xié)議不同。解決這個(gè)問題可以有多種思路：

　　(1)可以要求DNS服務(wù)器均雙IP協(xié)議棧，從而使得域名樹狀空間中的每一條可能的鏈均可以支持兩種IP協(xié)議的訪問；這種方式的好處是域名空問中的每一個(gè)角落均是IPv4和IPv6可達(dá)的，因此域名空間對于IPv4或IPv6訪問協(xié)議來說都是連通的。缺點(diǎn)是對網(wǎng)絡(luò)的改動(dòng)比較大，對個(gè)別DNS服務(wù)器的升級可能需要中斷域名服務(wù)。

　　(2)在兩個(gè)支持不同IP協(xié)議的DNS服務(wù)器之間采用翻譯技術(shù)(如NAT-PT)，將基于IPv4協(xié)議的DNS請求信息翻譯為基于IPv6協(xié)議的DNS請求信息，反向同理。也可以保持域名空間的連續(xù)。但是這種連續(xù)通常是基于一種IP協(xié)議的連續(xù)，而不像介紹的第一種方法那樣可以同時(shí)支持IPv4和IPv6協(xié)議。這種方法的好處是不需要對現(xiàn)有的DNS服務(wù)器做任何改動(dòng)，只在網(wǎng)絡(luò)中串入具有NAT-PT功能的網(wǎng)絡(luò)設(shè)備即可。主要的缺點(diǎn)是采用NAT-PT一方面會(huì)影響域名解析的效率，另一方面在網(wǎng)絡(luò)中添加了NAT-PT設(shè)備以后，

　　可能會(huì)對網(wǎng)絡(luò)結(jié)構(gòu)造成影響(一般NAT-PT功能集成在路由器中)。需要說明的是，這種方法和前面介紹的DNS-ALG是不同的，DNS-ALG對域名解析請求和應(yīng)答消息進(jìn)行翻譯，而本方法不需要這種轉(zhuǎn)換，只是采用NAT-PT對封裝域名解析消息的IP包進(jìn)行IP層面的翻譯。

　　(3)也是IETF所推薦采用的思路(目前還處于草案階段)是采用適當(dāng)?shù)挠蛎⻊?wù)器管理策略，避免域名空間中域名盲區(qū)的存在�？梢圆捎玫墓芾聿呗园ǎ�

　　·每一個(gè)DNS服務(wù)器或者為IPv4或者為雙棧；

　　·每一個(gè)包含IPv6主機(jī)或雙棧主機(jī)的DNS域至少應(yīng)該有一個(gè)DNS服務(wù)器為IPv4/v6可達(dá))。

　　當(dāng)綜合組網(wǎng)時(shí)，DNS服務(wù)器的選取按照上述策略進(jìn)行時(shí)，可以保證不出現(xiàn)域名盲區(qū)。首先，采用上述策略不會(huì)破壞已經(jīng)存在的域名空間的IPv4連續(xù)性，DNS域中的每一個(gè)IPv4主機(jī)提出的域名解析請求均可以得到響應(yīng)；其次，由于在組建的IPv6網(wǎng)絡(luò)中，其對應(yīng)的DNS服務(wù)器是支持雙棧的，則網(wǎng)絡(luò)中的IPv6主機(jī)的域名解析消息可以經(jīng)過雙棧DNS服務(wù)器得到解析。

　　綜合組網(wǎng)時(shí)需要考慮的有關(guān)域名解析功能的問題還有很多，比如，DNS安全問題[RFC2535][RFC2535，RFC2931][RFC2845]、動(dòng)態(tài)域名問題[RFC2136]等，這些在IETF的RFC中均有相關(guān)的建議。

　　3.安全問題

　　安全問題實(shí)際上涉及了網(wǎng)絡(luò)的各個(gè)層面，本文主要討論網(wǎng)絡(luò)安全問題。IP網(wǎng)絡(luò)的安全一直都是IP技術(shù)研究領(lǐng)域的研究重點(diǎn)。概括起來講，現(xiàn)在可以用來解決IP網(wǎng)絡(luò)安全問題的主要策略有用戶隔離、信息過濾、身份認(rèn)證和監(jiān)控、加密傳送(IPSec)等。本文著重考慮在綜合組網(wǎng)環(huán)境中可能產(chǎn)生的、附加的安全問題。

　　在IPv4/v6綜合組網(wǎng)技術(shù)中所采用的隧道策略給網(wǎng)絡(luò)帶來了安全隱患。一個(gè)隧道至少包括兩個(gè)端點(diǎn)(有時(shí)根據(jù)隧道建立過程而區(qū)別為隧道客戶端與隧道服務(wù)器端)，根據(jù)具體隧道技術(shù)的不同，有時(shí)還包括其他一些輔助設(shè)備，比如隧道代理技術(shù)中所采用的隧道代理設(shè)備、6to4技術(shù)中所采用的6to4中繼器等。

　　首先，如果上述設(shè)備之間不建立一種信任關(guān)系，則可能會(huì)出現(xiàn)基于地址欺騙或身份偽裝的網(wǎng)絡(luò)攻擊，使得一些惡意的或無用的數(shù)據(jù)可以通過隧道。這些數(shù)據(jù)一方面可能來自于隧道客戶端，一方面也可以來自于網(wǎng)絡(luò)的其他位置。即使這種情況，可以采用身份認(rèn)證和監(jiān)控的手段，在各個(gè)隧道相關(guān)設(shè)備之間建立信任關(guān)系。對于靜態(tài)配置隧道技術(shù)來講，在修改隧道兩端設(shè)備的路由信息之前，需要進(jìn)行身份認(rèn)證，只有通過認(rèn)證的操作人員才能夠在路由器中進(jìn)行這種隧道的配置。對于動(dòng)態(tài)隧道技術(shù)來講，由于隧道是自動(dòng)建立的，因此要求端點(diǎn)可以設(shè)置訪問控制列表，避免與可疑站點(diǎn)建立隧道關(guān)系。

　　其次，即使這些網(wǎng)絡(luò)設(shè)備之間通過某種方式(如身份認(rèn)證等)建立了信用關(guān)系，還是可以受到隧道中數(shù)據(jù)的攻擊，由于隧道通常只對數(shù)據(jù)進(jìn)行封裝后傳送，而不對封裝的數(shù)據(jù)進(jìn)行檢查，所以隧道客戶端的信息可以順利地通過隧道對隧道服務(wù)器后面的網(wǎng)絡(luò)進(jìn)行攻擊，此時(shí)隧道服務(wù)器成立網(wǎng)絡(luò)攻擊的中繼器。針對這種情況，可以在隧道客戶端和隧道服務(wù)器端的出口和入口設(shè)置信息過濾策略，在本地限制惡意信息進(jìn)入隧道。信息過濾可以包括從IP層到應(yīng)用層的多個(gè)層面。

　　第三，還需要考慮隧道中的信息被竊聽的可能。安全問題中除了要解決主動(dòng)式的攻擊，還要解決這種信息泄漏問題。針對這種情況，對于隧道的信息可以采用加密措施，對于IPv4來講可以在隧道中的采用IPSec技術(shù)對信息加密；對于IPv6可以直接采用IPv6的附加包頭中的安全包頭來對信息進(jìn)行加密。

六、結(jié)束語

　　在下一代網(wǎng)絡(luò)中，IPv4/v6綜合網(wǎng)絡(luò)將是業(yè)務(wù)承載網(wǎng)絡(luò)的重要網(wǎng)絡(luò)形態(tài)。本文對綜合組網(wǎng)的認(rèn)知轉(zhuǎn)變、主要研究內(nèi)容進(jìn)行了討論。并就IPv4/6綜合組網(wǎng)時(shí)可能遇到的主要問題，如路由問題、安全問題、域名問題等分別進(jìn)行了分析。通過分析可以知道：IPv4/v6綜合網(wǎng)絡(luò)技術(shù)有著廣闊的研究空間和良好的發(fā)展前景，對其進(jìn)行深入研究有著重要的意義。

摘自　泰爾網(wǎng)