NGN中IPv4/v6綜合組網(wǎng)若干問題的研究

曹薊光

一、引言

  在下一代網(wǎng)絡(NGN)的業(yè)務承載層采用IPv6可以擴大IP地址空間、增加IP網(wǎng)絡安全性、提高網(wǎng)絡服務質(zhì)量。從長遠來講,其有著很好的技術(shù)前瞻性和廣闊的應用空間。但是利用IPv6網(wǎng)絡來取代現(xiàn)有的IPv4網(wǎng)絡卻是一個非常復雜和困難的問題,這不只影響到網(wǎng)絡層,而是由于網(wǎng)絡層協(xié)議的變化,使得從鏈路層到應用層的多個技術(shù)層面均發(fā)生相應的改變。

二、對網(wǎng)絡過渡問題認識的不斷深入

  人們對IPv4網(wǎng)絡向IPv6網(wǎng)絡過渡的問題的認識是不斷深入的。最早,在IETF的RFC和DRAFT中對網(wǎng)絡的過渡采用的術(shù)語是“遷移(migration)”,此時已經(jīng)認識到摒棄現(xiàn)有的已經(jīng)得到廣泛應用的IPv4網(wǎng)絡,來建立一個純IPv6網(wǎng)絡是不現(xiàn)實的。這不但會涉及到既有投資保護、設備兼容、技術(shù)兼容、應用兼容的問題,而且會造成技術(shù)與應用的脫節(jié)。盡管如此,IETF的主要技術(shù)人員還是對IPv4網(wǎng)絡向IPv4網(wǎng)絡的過渡持樂觀態(tài)度,認為IPv4網(wǎng)絡可以整體遷移到IPv6。

  隨著研究的深入,網(wǎng)絡過渡過程中可能遇到的問題越來越多,問題分析越來越復雜。IETF也認識到網(wǎng)絡不會出現(xiàn)大規(guī)模的、廣泛的、整體的遷移;過渡過程將是長期的、持續(xù)的。此時IETF對網(wǎng)絡過渡采用的術(shù)語變?yōu)榱恕斑^渡(transition)”。為了對問題進行更為深入的全面分析,IETF成立一個“下一代網(wǎng)絡過渡工作組(Ngtrans)”,這個工作組的工作成果反映在14個RFC和20多個DRAFT中。提出了一些網(wǎng)絡過渡的思路,形成了網(wǎng)絡過渡工具箱。

  目前,IETF對網(wǎng)絡過渡采用的術(shù)語是“互操作(interoperation)”,相應的“下一代網(wǎng)絡過渡工作組(Ngtrans)”也停止了工作,取而代之的是新成立的“IPv6網(wǎng)絡互操作工作組(IPv6ops)”。IETF的這種認識的轉(zhuǎn)變是建立在對IPv4向IPv6過渡過程的更為深入研究的基礎上的。IETF認為“過渡是長期的、融合是必然的”,因此當前主要考慮的不是如何用IPv6網(wǎng)絡來取代IPv4網(wǎng)絡,而是應該把研究重點放在如何很好地實現(xiàn)IPv4與IPv6的融合。只有IPv4網(wǎng)絡能夠和IPv6網(wǎng)絡很好的融合,才能實現(xiàn)網(wǎng)絡的平穩(wěn)過渡。因此,IPv4網(wǎng)絡與IPv6網(wǎng)絡的互操作方式的研究是當務之急。

  IETF的關(guān)于IPv6的上述認知的轉(zhuǎn)變在IPv6ops工作組的研究課題中得到充分體現(xiàn)。在IPv6ops中,研究的重點不再是網(wǎng)絡過渡工具箱中的具體方式和方法,而是針對不同的網(wǎng)絡應用環(huán)境有針對性的提出IPv4/v6綜合組網(wǎng)方案。目前,IPv6ops研究的典型網(wǎng)絡應用環(huán)境包括:骨干網(wǎng)(Backbone Networks)、企業(yè)網(wǎng)(ENTERPRISE NETWORKS)、ISP網(wǎng)絡、無管理網(wǎng)(UNMANAGEDNETWORKs)、3GPP網(wǎng)絡(也包含了主機、終端)等。但是這些研究均處于草案階段(DRAFT),草案中的許多內(nèi)容目前均空缺(只列出了目錄),需要做的研究工作還較多。一方面,由于典型網(wǎng)絡環(huán)境的需求不容易統(tǒng)一,不同的網(wǎng)絡運營實體(網(wǎng)絡供應商NP,服務供應商SP,內(nèi)容供應商CP等)會對網(wǎng)絡有不同的需求,因此可以預見關(guān)于典型網(wǎng)絡環(huán)境的爭論是激烈的、長期的。另一方面,網(wǎng)絡自身也處于發(fā)展變化之中,網(wǎng)絡安全、認證計費、控制管理、性能監(jiān)測等問題均處于研究之中,這些不斷發(fā)展的內(nèi)容同樣會影響針對不同網(wǎng)絡應用環(huán)境的IPv4/v6綜合組網(wǎng)技術(shù)的研究。另外一個重要的因素是IP技術(shù)在電信網(wǎng)絡中的應用越來越廣泛,電信網(wǎng)絡會對IPv4/v6綜合組網(wǎng)提出更高的要求。所有這些因素使得IPv4/v6綜合組網(wǎng)技術(shù)的研究是長期的、涉及多個方面的、受多因素制約的。

  從長遠來看,IPv4和IPv6技術(shù)在網(wǎng)絡中將長期共存(Co-existence)。不同網(wǎng)絡運營實體可以根據(jù)自身的實際情況來自主的選擇究竟采取哪種IP層協(xié)議、采用哪種綜合組網(wǎng)方式。未來的IP網(wǎng)絡將是IPv4網(wǎng)絡與IPv6網(wǎng)絡的集成(integration)網(wǎng)絡。

  總體來講,隨著對IPv4向IPv6過渡技術(shù)研究的不斷深入,對于過渡問題的認識也不斷深入,IETF對于這個問題的認識也經(jīng)歷了遷移(migration)(過渡(transition)集成(integration)(互操作interoperation)(長期共存(Co-existence)階段。

三、研究IPv4,IPv6綜合組網(wǎng)技術(shù)的意義

  1.推動了IPv6技術(shù)的研究

  目前,IPv6協(xié)議棧已經(jīng)基本形成,并逐步完善。在研究IPv6協(xié)議自身的同時需要對IPv6與IPv4的兼容性進行深入分析。IPv4/IPv6綜合組網(wǎng)技術(shù)的研究推動IPv6技術(shù)的研究向縱深發(fā)展,是IPv6技術(shù)的重要研究領(lǐng)域。

  2.探索下一代互聯(lián)網(wǎng)的發(fā)展方向和技術(shù)模式

  由于IPv4地址不足的問題越來越嚴重,會在一定程度上制約互聯(lián)網(wǎng)的發(fā)展,因此IPv6技術(shù)在互聯(lián)網(wǎng)中將占有一定的應用空間。當在互聯(lián)網(wǎng)中引入IPv6技術(shù)時,由于IPv6與IPv4的不兼容,以及IPv6技術(shù)自身具有的、原IPv4網(wǎng)絡所不具備的技術(shù)特點,使得互聯(lián)網(wǎng)的技術(shù)模式和發(fā)展方向必然會受到其一定程度的影響。

  3.有利于下一代電信網(wǎng)絡的技術(shù)研究

  目前,IP技術(shù)在電信網(wǎng)絡中的應用越來越廣泛,電信網(wǎng)絡中引入IP技術(shù)對原有的電信網(wǎng)絡的組網(wǎng)模式、運維模式等諸多方面帶來了沖擊,必須研究在電信網(wǎng)絡中如何很好的融合IP技術(shù),包括IPv4技術(shù)和IPv6技術(shù)。因此,IPv4/v6綜合組網(wǎng)技術(shù)的研究會一定程度上推動下一代電信網(wǎng)絡的技術(shù)研究。

  4.對于設備制造商的IPv6產(chǎn)品研發(fā)提供參考依據(jù)

  在IPv4/v6綜合組網(wǎng)的環(huán)境下,不同的組兩方案和技術(shù)對于IPv6網(wǎng)元設備提出不同的要求,這些要求對設備制造商來說是產(chǎn)品研發(fā)的重要依據(jù)。反過來,IPv6設備的研發(fā)又會促進IPv4N6綜合組網(wǎng)技術(shù)的發(fā)展。這充分體現(xiàn)了技術(shù)與市場的雙向作用性。

  5.促進IPv6的實用化和商用化進程

  只有通過對IPv4/v6綜合組網(wǎng)技術(shù)進行充分的研究,并在此基礎上提出切實可行的、針對不同網(wǎng)絡應用環(huán)境的組網(wǎng)技術(shù)方案,才能切實推動各個網(wǎng)絡運營實體在各自網(wǎng)絡中引入IPv6技術(shù)的進程。只有成熟的、可行的技術(shù)才會被大規(guī)模的實用化和商用化。

四、IPv4/v6綜合組網(wǎng)技術(shù)的主要研究內(nèi)容

  研究IPv4/v6綜合組網(wǎng)技術(shù)涉及到許多內(nèi)容,包括網(wǎng)絡的各個層面,如網(wǎng)絡結(jié)構(gòu)、功能集合、網(wǎng)絡路由、域名體系、地址分配、服務質(zhì)量、典型應用、管理功能與接口、安全要求等方面。

  1.現(xiàn)有不同過渡策略與網(wǎng)絡過渡工具的技術(shù)特點及其適用范圍

  經(jīng)過IETF的“下一代網(wǎng)絡過渡技術(shù)工作組(NGTRANS)”對IPv4網(wǎng)絡向IPv6網(wǎng)絡過渡技術(shù)的多年研究,已經(jīng)提出了許多網(wǎng)絡過渡策略(如雙棧策略、隧道策略、翻譯策略等)和相應的過渡工具(不同的策略均有多個對應的過渡工具),這些策略和工具分別有著自己的適用環(huán)境和應用局限。對這些策略和工具進行綜合比較和對比分析能夠進一步明確它們的適用范圍和技術(shù)特點,確定它們在網(wǎng)絡中的地位和應用環(huán)境。

  2.IP承載網(wǎng)絡中引入IPv6后的網(wǎng)絡結(jié)構(gòu)

  在傳輸網(wǎng)絡和業(yè)務網(wǎng)絡之間是IP承載網(wǎng)絡,它可以進一步分為兩個層次:IP傳輸子層和IP承載控制子層。當在IP傳輸子層中引入IPv6技術(shù)以后,使得IP承載網(wǎng)絡的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡邏輯結(jié)構(gòu)發(fā)生了變化,這些變化不但會影響到業(yè)務層,而且對底層傳輸網(wǎng)絡也會產(chǎn)生一定的影響。通過引入了IPv6之后的IP承載網(wǎng)絡的網(wǎng)絡結(jié)構(gòu)進行分析,可以進一步明確基于IP的運營網(wǎng)絡中,各個網(wǎng)絡層次的功能及其相關(guān)層次。這對于分析網(wǎng)絡的互聯(lián)互通、業(yè)務的提供方式均有重要意義。

  3.電信網(wǎng)絡的不同網(wǎng)絡環(huán)境對IPv4/v6綜合組網(wǎng)提出的技術(shù)需求

  IETF的“IPv6網(wǎng)絡互操作工作組(IPv6ops)”中正在研究的典型網(wǎng)絡環(huán)境需求是針對互聯(lián)網(wǎng)的,雖然其研究成果會對電信網(wǎng)絡的典型網(wǎng)絡環(huán)境的需求分析有一定的參考價值,但是有一定的局限性。因此需要對電信網(wǎng)絡的不同的典型網(wǎng)絡環(huán)境的研究有足夠的重視,不同的網(wǎng)絡環(huán)境會對IPv4/v6綜合組網(wǎng)技術(shù)提出不同的要求。這些典型的網(wǎng)絡環(huán)境包括:骨干網(wǎng)絡、城域網(wǎng)(包括接入、匯聚、核心等層次)、駐地網(wǎng)等部分。

  4.針對不同的網(wǎng)絡環(huán)境(不同的需求)提出可能的綜合組網(wǎng)方案

  針對不同的典型網(wǎng)絡環(huán)境提出可能的綜合組網(wǎng)方案,并對這些組網(wǎng)方案的技術(shù)特點、應用范圍、應用效果、局限性等方面進行分析。這些組網(wǎng)方案即將成為電信網(wǎng)絡的組網(wǎng)方案的選擇對象;這些組網(wǎng)方案的比較分析結(jié)果將成為電信網(wǎng)絡組網(wǎng)方案的選擇依據(jù)。

  5.IPv4/v6綜合組網(wǎng)時的路由問題

  在IPv4/v6綜合組網(wǎng)技術(shù)中,路由問題是一個需要著重分析的關(guān)鍵問題。這個問題包括如下幾個方面:路由方式的選擇、路由可達性分析、路由泄漏問題、路由環(huán)回問題、路由聚臺問題以及不同過渡策略綜合應用時的路由可達問題等。

  6.IPv4/v6綜合組網(wǎng)時的域名問題

  域名解析/反向解析DNS既是IP網(wǎng)絡中的一種業(yè)務,同時也是IP網(wǎng)絡的一種基礎功能。在許多信息檢索業(yè)務中,均需要DNS功能。在IPv4/v6綜合組網(wǎng)環(huán)境中,應該考慮的有關(guān)域名的問題有如下方面:首先,需考慮IPv6地址相關(guān)域名的標識與解析方法,這方面的研究在IETF的RFC中已經(jīng)進行了規(guī)定;其次,需考慮域名空間連通性問題,這也是技術(shù)上,尤其是工程上比較難解決的問題。DNS服務器支持的IP協(xié)議的不同可能引起域名空間的分裂,一些DNS服務器可能不能按照同一IP協(xié)議從根服務器可達,從而造成有些域名不能獲得解析。

  7.IPv4/v6綜合組網(wǎng)時的安全性分析

  IPv4網(wǎng)絡的安全性一直受到批評,為此在IPv6協(xié)議能設計過程中考慮到了網(wǎng)絡安全的需求,在IPv6的包頭中設計了安全包頭,它可以基于AH或ESP進行通信,在一定程度上提高了網(wǎng)絡的安全性。但是在綜合組網(wǎng)環(huán)境中,這個問題變得更為復雜。一方面,在綜合組網(wǎng)環(huán)境中IPv6包頭的安全性由于IPv4的存在而不能充分發(fā)揮;另一方面,隧道技術(shù)在綜合組網(wǎng)環(huán)境中的應用,也增加了網(wǎng)絡的新的潛在不安全因素。各種綜合組網(wǎng)技術(shù)均需要進行相應的安全性分析。另外,IP承載層的安全性只是網(wǎng)絡(包括業(yè)務層、業(yè)務控制層、承載層、支撐層等多個層面)安全性的一個方面,當從整網(wǎng)的角度來分析承載層的安全性時,增加了問題的復雜程度。

  8.IPv4/v6綜合組網(wǎng)時的地址分配策略

  關(guān)于IPv6的地址分配策略,由IETF相關(guān)的RFC進行規(guī)定(最近IETF的地址分配的建議有了新的進展,例如新頒布了RFC3177,同時RFC3587取代了原來的RFC2374,RFC3513取代了RFC2373),具體的地址分配方法有相關(guān)的互聯(lián)網(wǎng)管理組織進行。這里所要求討論的是一個運營商在拿到地址時如何在自己的網(wǎng)絡中進行分配,在地址分配時所應依據(jù)的原則,以及與具體組網(wǎng)技術(shù)相關(guān)的地址需求分析等。

  9.不同組網(wǎng)技術(shù)在網(wǎng)絡中的互聯(lián)互通性(相容性)

  目前,存在的多種IPv4/v6綜合組網(wǎng)技術(shù)在網(wǎng)絡中綜合應用時可能會產(chǎn)生一些問題,例如利用這些技術(shù)組建的網(wǎng)絡之間的互聯(lián)互通性就是一個需要主要考慮的問題。利用一種組網(wǎng)技術(shù)組建的網(wǎng)絡不能與其他組網(wǎng)技術(shù)組建的網(wǎng)絡進行相互通信,這包括地址類型的問題、路由的問題、域名的問題、協(xié)議翻譯的問題等多個方面,因此需要仔細分析,做為評價和選擇IPv4/v6綜合組網(wǎng)技術(shù)的一個重要依據(jù)。

五、綜合組網(wǎng)的若干技術(shù)問題

  1.路由問題

  路由問題主要包括路由域的劃分、路由協(xié)議的選取、路由聚合、路由環(huán)回、路由泄漏以及路由穩(wěn)定性分析等。下面重點討論如下幾個問題:

  (1)路由泄漏

  路由的泄漏是IPv4/v6綜合組網(wǎng)中所特有的問題。所謂的路由泄漏是指IPv4的路由信息泄漏到IPv6網(wǎng)絡中,或者IPv6的路由信息泄漏到IPv4網(wǎng)絡中。出現(xiàn)這種現(xiàn)象的根本原因是特殊的IPv6地址的使用,主要是指嵌人IPv4地址自IPv6地址在IPv6網(wǎng)絡中的采用,由于這種IPv6地址包含了IPv4地址,所以有可能出現(xiàn)IPv4網(wǎng)絡的路由信息以IPv6地址的形式出現(xiàn)在IPv6路由表中,造成路由表的膨脹和路由聚合的困難。

  比如在6to4組網(wǎng)方案中,在存在6to4中繼器的環(huán)境中,中繼路由器必須向純IPv6路由域通告6to4地址的路由。這是以2002::/16為前綴的路由信息就進入了IPv6網(wǎng)絡,同時也把6to4地址中的IPv4地址信息帶到了IPv6路由域中,則出現(xiàn)了路由泄漏情況。

  同樣在應用兼容IPv4地址的IPv6地址時也同樣存在這個問題。

  解決這個問題的一個有效手段是:采用合理的路由管理方法,防止包含IPv4地址信息的路由進入IPv6路由表。比如,在6to4組網(wǎng)方式中,為防止IPv4路由表成分混入IPv6路由表,不能將比2002::/16更精確的6to4前綴能通告進入純IPv6路由域中。因此,擁有純IPv6連接的6to4站點不允許在該連接上通告有到2002::/48的路由,并且所有的純IPv6網(wǎng)絡必須過濾掉所有前綴長度大于/16的2002::路由公告。

  (2)迂回路由

  在IPv4/v6綜合組網(wǎng)中造成路由環(huán)回問題的一個主要原因是隧道配置的不合理。尤其是利用靜態(tài)配置隧道和隧道代理時,可能造成路由的環(huán)回。因此要謹慎使用靜態(tài)配置路由(減少數(shù)目,并且要對己配置隧道進行詳細記錄),在使用隧道代理來配置隧道時,最好隧道代理設備本身能夠提供路由環(huán)回的監(jiān)測手段,并及時提醒用戶。

  另外一個造成路由環(huán)回的可能原因是網(wǎng)元的雙棧配置,實際上其根本原因是上面介紹的路由泄漏,路由的泄漏造成路由的混亂,出現(xiàn)路由的環(huán)回。

  (3)路由聚合

  IPv6地址空間較大,其對應的IPv6路由空間也較大,解決的思路就是對IPv6路由進行聚合。這點在IPv6協(xié)議設計之初就考慮到了,因此提出的IPv6地址層次結(jié)構(gòu)可以與地域有關(guān)。在IPv4/v6綜合組網(wǎng)環(huán)境中,需要考慮綜合組網(wǎng)對路由聚合的影響。實際上IPv4/v6綜合組網(wǎng)對于IPv6的聚合度沒有明顯的影響。

  在采用常規(guī)IPv6地址分配方式的純IPv6網(wǎng)路中,路由能夠有較高的聚合度:當網(wǎng)絡中存在一些特殊的IPv6地址(IPv4兼容地址、6to4地址等)時,通常只能根據(jù)IPv6地址前綴進行路由聚合,比如在6to4組網(wǎng)時,不同6to4域之間的路由通過MP-BGP協(xié)議傳遞6T04路由,這些路由需要根據(jù)2002:V4ADDR::/48方式來聚合,由于網(wǎng)絡中6to4網(wǎng)絡通常并不多,因此這些特殊地址對應的路由的聚合度并不低。

  (4)受控路由

  在一些情況下,出于QoS方面、負載均衡方面和網(wǎng)絡安全方面的考慮.可能采用受控路由的方式來現(xiàn)在IP包所走過的設備以及路由的跳數(shù)。而IPv4/v6綜合組網(wǎng)對其影響較大。

  首先,由于隧道的采用可能使得IP包的跳數(shù)超出指定的范圍。IP包經(jīng)過隧道時通常只做為一跳,而這一跳可能包括了多個存儲轉(zhuǎn)發(fā)環(huán)節(jié),從而使得性能下降,甚至影響實時性業(yè)務的開通。

  其次,由于自動隧道技術(shù)的應用,可能使得IP包要經(jīng)過本來不應經(jīng)過的網(wǎng)絡。從而對網(wǎng)絡的安全有一定的影響。

  2.域名問題

  在IPv4/v6綜合組網(wǎng)環(huán)境中,一個值得關(guān)注的問題是:域名空間的破碎問題。所謂的域名空間破碎是指由于DNS服務器所組成的樹狀結(jié)構(gòu)被切斷,使得網(wǎng)絡中的某些DNS服務器不能訪問造成這些DNS服務器所負責的域名不能被解析,在域名空間中形成了盲區(qū)(空洞)。在IPv4/v6綜合組網(wǎng)環(huán)境中,造成這種現(xiàn)象的根本原因是一些DNS服務器并不是IPv4,IPv6同時可達的。在域名解析時,將按照域名樹狀空間中的條從根到葉的鏈來順序查找域名的不同部分,從而實現(xiàn)域名解析功能。當這個鏈中的某一個環(huán)節(jié)(DNS服務器)不能按照鏈上其他環(huán)節(jié)所采用的某種IP協(xié)議而訪問時,則域名的查找過程中斷,域名解析失敗。例如,一個DNS服務器A只支持IPv4訪問,而其下一級DNS服務器B只能支持IPv6訪問,則當DNS服務器A對其所管理的域名進行解析以后,要訪問DNS服務器B而此時A是不能訪問B的,因為兩者的IP協(xié)議不同。解決這個問題可以有多種思路:

  (1)可以要求DNS服務器均雙IP協(xié)議棧,從而使得域名樹狀空間中的每一條可能的鏈均可以支持兩種IP協(xié)議的訪問;這種方式的好處是域名空問中的每一個角落均是IPv4和IPv6可達的,因此域名空間對于IPv4或IPv6訪問協(xié)議來說都是連通的。缺點是對網(wǎng)絡的改動比較大,對個別DNS服務器的升級可能需要中斷域名服務。

  (2)在兩個支持不同IP協(xié)議的DNS服務器之間采用翻譯技術(shù)(如NAT-PT),將基于IPv4協(xié)議的DNS請求信息翻譯為基于IPv6協(xié)議的DNS請求信息,反向同理。也可以保持域名空間的連續(xù)。但是這種連續(xù)通常是基于一種IP協(xié)議的連續(xù),而不像介紹的第一種方法那樣可以同時支持IPv4和IPv6協(xié)議。這種方法的好處是不需要對現(xiàn)有的DNS服務器做任何改動,只在網(wǎng)絡中串入具有NAT-PT功能的網(wǎng)絡設備即可。主要的缺點是采用NAT-PT一方面會影響域名解析的效率,另一方面在網(wǎng)絡中添加了NAT-PT設備以后,

  可能會對網(wǎng)絡結(jié)構(gòu)造成影響(一般NAT-PT功能集成在路由器中)。需要說明的是,這種方法和前面介紹的DNS-ALG是不同的,DNS-ALG對域名解析請求和應答消息進行翻譯,而本方法不需要這種轉(zhuǎn)換,只是采用NAT-PT對封裝域名解析消息的IP包進行IP層面的翻譯。

  (3)也是IETF所推薦采用的思路(目前還處于草案階段)是采用適當?shù)挠蛎⻊掌鞴芾聿呗,避免域名空間中域名盲區(qū)的存在?梢圆捎玫墓芾聿呗园ǎ

  ·每一個DNS服務器或者為IPv4或者為雙棧;

  ·每一個包含IPv6主機或雙棧主機的DNS域至少應該有一個DNS服務器為IPv4/v6可達)。

  當綜合組網(wǎng)時,DNS服務器的選取按照上述策略進行時,可以保證不出現(xiàn)域名盲區(qū)。首先,采用上述策略不會破壞已經(jīng)存在的域名空間的IPv4連續(xù)性,DNS域中的每一個IPv4主機提出的域名解析請求均可以得到響應;其次,由于在組建的IPv6網(wǎng)絡中,其對應的DNS服務器是支持雙棧的,則網(wǎng)絡中的IPv6主機的域名解析消息可以經(jīng)過雙棧DNS服務器得到解析。

  綜合組網(wǎng)時需要考慮的有關(guān)域名解析功能的問題還有很多,比如,DNS安全問題[RFC2535][RFC2535,RFC2931][RFC2845]、動態(tài)域名問題[RFC2136]等,這些在IETF的RFC中均有相關(guān)的建議。

  3.安全問題

  安全問題實際上涉及了網(wǎng)絡的各個層面,本文主要討論網(wǎng)絡安全問題。IP網(wǎng)絡的安全一直都是IP技術(shù)研究領(lǐng)域的研究重點。概括起來講,現(xiàn)在可以用來解決IP網(wǎng)絡安全問題的主要策略有用戶隔離、信息過濾、身份認證和監(jiān)控、加密傳送(IPSec)等。本文著重考慮在綜合組網(wǎng)環(huán)境中可能產(chǎn)生的、附加的安全問題。

  在IPv4/v6綜合組網(wǎng)技術(shù)中所采用的隧道策略給網(wǎng)絡帶來了安全隱患。一個隧道至少包括兩個端點(有時根據(jù)隧道建立過程而區(qū)別為隧道客戶端與隧道服務器端),根據(jù)具體隧道技術(shù)的不同,有時還包括其他一些輔助設備,比如隧道代理技術(shù)中所采用的隧道代理設備、6to4技術(shù)中所采用的6to4中繼器等。

  首先,如果上述設備之間不建立一種信任關(guān)系,則可能會出現(xiàn)基于地址欺騙或身份偽裝的網(wǎng)絡攻擊,使得一些惡意的或無用的數(shù)據(jù)可以通過隧道。這些數(shù)據(jù)一方面可能來自于隧道客戶端,一方面也可以來自于網(wǎng)絡的其他位置。即使這種情況,可以采用身份認證和監(jiān)控的手段,在各個隧道相關(guān)設備之間建立信任關(guān)系。對于靜態(tài)配置隧道技術(shù)來講,在修改隧道兩端設備的路由信息之前,需要進行身份認證,只有通過認證的操作人員才能夠在路由器中進行這種隧道的配置。對于動態(tài)隧道技術(shù)來講,由于隧道是自動建立的,因此要求端點可以設置訪問控制列表,避免與可疑站點建立隧道關(guān)系。

  其次,即使這些網(wǎng)絡設備之間通過某種方式(如身份認證等)建立了信用關(guān)系,還是可以受到隧道中數(shù)據(jù)的攻擊,由于隧道通常只對數(shù)據(jù)進行封裝后傳送,而不對封裝的數(shù)據(jù)進行檢查,所以隧道客戶端的信息可以順利地通過隧道對隧道服務器后面的網(wǎng)絡進行攻擊,此時隧道服務器成立網(wǎng)絡攻擊的中繼器。針對這種情況,可以在隧道客戶端和隧道服務器端的出口和入口設置信息過濾策略,在本地限制惡意信息進入隧道。信息過濾可以包括從IP層到應用層的多個層面。

  第三,還需要考慮隧道中的信息被竊聽的可能。安全問題中除了要解決主動式的攻擊,還要解決這種信息泄漏問題。針對這種情況,對于隧道的信息可以采用加密措施,對于IPv4來講可以在隧道中的采用IPSec技術(shù)對信息加密;對于IPv6可以直接采用IPv6的附加包頭中的安全包頭來對信息進行加密。

六、結(jié)束語

  在下一代網(wǎng)絡中,IPv4/v6綜合網(wǎng)絡將是業(yè)務承載網(wǎng)絡的重要網(wǎng)絡形態(tài)。本文對綜合組網(wǎng)的認知轉(zhuǎn)變、主要研究內(nèi)容進行了討論。并就IPv4/6綜合組網(wǎng)時可能遇到的主要問題,如路由問題、安全問題、域名問題等分別進行了分析。通過分析可以知道:IPv4/v6綜合網(wǎng)絡技術(shù)有著廣闊的研究空間和良好的發(fā)展前景,對其進行深入研究有著重要的意義。

摘自 泰爾網(wǎng)


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料

本周熱點本月熱點

 

  最熱通信招聘

業(yè)界最新資訊


  最新招聘信息