NGN中IPv4/v6綜合組網(wǎng)若干問(wèn)題的研究

曹薊光

一、引言

　　在下一代網(wǎng)絡(luò)(NGN)的業(yè)務(wù)承載層采用IPv6可以擴(kuò)大IP地址空間、增加IP網(wǎng)絡(luò)安全性、提高網(wǎng)絡(luò)服務(wù)質(zhì)量。從長(zhǎng)遠(yuǎn)來(lái)講，其有著很好的技術(shù)前瞻性和廣闊的應(yīng)用空間。但是利用IPv6網(wǎng)絡(luò)來(lái)取代現(xiàn)有的IPv4網(wǎng)絡(luò)卻是一個(gè)非常復(fù)雜和困難的問(wèn)題，這不只影響到網(wǎng)絡(luò)層，而是由于網(wǎng)絡(luò)層協(xié)議的變化，使得從鏈路層到應(yīng)用層的多個(gè)技術(shù)層面均發(fā)生相應(yīng)的改變。

二、對(duì)網(wǎng)絡(luò)過(guò)渡問(wèn)題認(rèn)識(shí)的不斷深入

　　人們對(duì)IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過(guò)渡的問(wèn)題的認(rèn)識(shí)是不斷深入的。最早，在IETF的RFC和DRAFT中對(duì)網(wǎng)絡(luò)的過(guò)渡采用的術(shù)語(yǔ)是“遷移(migration)”，此時(shí)已經(jīng)認(rèn)識(shí)到摒棄現(xiàn)有的已經(jīng)得到廣泛應(yīng)用的IPv4網(wǎng)絡(luò)，來(lái)建立一個(gè)純IPv6網(wǎng)絡(luò)是不現(xiàn)實(shí)的。這不但會(huì)涉及到既有投資保護(hù)、設(shè)備兼容、技術(shù)兼容、應(yīng)用兼容的問(wèn)題，而且會(huì)造成技術(shù)與應(yīng)用的脫節(jié)。盡管如此，IETF的主要技術(shù)人員還是對(duì)IPv4網(wǎng)絡(luò)向IPv4網(wǎng)絡(luò)的過(guò)渡持樂(lè)觀態(tài)度，認(rèn)為IPv4網(wǎng)絡(luò)可以整體遷移到IPv6。

　　隨著研究的深入，網(wǎng)絡(luò)過(guò)渡過(guò)程中可能遇到的問(wèn)題越來(lái)越多，問(wèn)題分析越來(lái)越復(fù)雜。IETF也認(rèn)識(shí)到網(wǎng)絡(luò)不會(huì)出現(xiàn)大規(guī)模的、廣泛的、整體的遷移；過(guò)渡過(guò)程將是長(zhǎng)期的、持續(xù)的。此時(shí)IETF對(duì)網(wǎng)絡(luò)過(guò)渡采用的術(shù)語(yǔ)變?yōu)榱恕斑^(guò)渡(transition)”。為了對(duì)問(wèn)題進(jìn)行更為深入的全面分析，IETF成立一個(gè)“下一代網(wǎng)絡(luò)過(guò)渡工作組(Ngtrans)”，這個(gè)工作組的工作成果反映在14個(gè)RFC和20多個(gè)DRAFT中。提出了一些網(wǎng)絡(luò)過(guò)渡的思路，形成了網(wǎng)絡(luò)過(guò)渡工具箱。

　　目前，IETF對(duì)網(wǎng)絡(luò)過(guò)渡采用的術(shù)語(yǔ)是“互操作(interoperation)”，相應(yīng)的“下一代網(wǎng)絡(luò)過(guò)渡工作組(Ngtrans)”也停止了工作，取而代之的是新成立的“IPv6網(wǎng)絡(luò)互操作工作組(IPv6ops)”。IETF的這種認(rèn)識(shí)的轉(zhuǎn)變是建立在對(duì)IPv4向IPv6過(guò)渡過(guò)程的更為深入研究的基礎(chǔ)上的。IETF認(rèn)為“過(guò)渡是長(zhǎng)期的、融合是必然的”，因此當(dāng)前主要考慮的不是如何用IPv6網(wǎng)絡(luò)來(lái)取代IPv4網(wǎng)絡(luò)，而是應(yīng)該把研究重點(diǎn)放在如何很好地實(shí)現(xiàn)IPv4與IPv6的融合。只有IPv4網(wǎng)絡(luò)能夠和IPv6網(wǎng)絡(luò)很好的融合，才能實(shí)現(xiàn)網(wǎng)絡(luò)的平穩(wěn)過(guò)渡。因此，IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的互操作方式的研究是當(dāng)務(wù)之急。

　　IETF的關(guān)于IPv6的上述認(rèn)知的轉(zhuǎn)變?cè)贗Pv6ops工作組的研究課題中得到充分體現(xiàn)。在IPv6ops中，研究的重點(diǎn)不再是網(wǎng)絡(luò)過(guò)渡工具箱中的具體方式和方法，而是針對(duì)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境有針對(duì)性的提出IPv4/v6綜合組網(wǎng)方案。目前，IPv6ops研究的典型網(wǎng)絡(luò)應(yīng)用環(huán)境包括：骨干網(wǎng)(Backbone Networks)、企業(yè)網(wǎng)(ENTERPRISE NETWORKS)、ISP網(wǎng)絡(luò)、無(wú)管理網(wǎng)(UNMANAGEDNETWORKs)、3GPP網(wǎng)絡(luò)(也包含了主機(jī)、終端)等。但是這些研究均處于草案階段(DRAFT)，草案中的許多內(nèi)容目前均空缺(只列出了目錄)，需要做的研究工作還較多。一方面，由于典型網(wǎng)絡(luò)環(huán)境的需求不容易統(tǒng)一，不同的網(wǎng)絡(luò)運(yùn)營(yíng)實(shí)體(網(wǎng)絡(luò)供應(yīng)商N(yùn)P，服務(wù)供應(yīng)商SP，內(nèi)容供應(yīng)商CP等)會(huì)對(duì)網(wǎng)絡(luò)有不同的需求，因此可以預(yù)見(jiàn)關(guān)于典型網(wǎng)絡(luò)環(huán)境的爭(zhēng)論是激烈的、長(zhǎng)期的。另一方面，網(wǎng)絡(luò)自身也處于發(fā)展變化之中，網(wǎng)絡(luò)安全、認(rèn)證計(jì)費(fèi)、控制管理、性能監(jiān)測(cè)等問(wèn)題均處于研究之中，這些不斷發(fā)展的內(nèi)容同樣會(huì)影響針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境的IPv4/v6綜合組網(wǎng)技術(shù)的研究。另外一個(gè)重要的因素是IP技術(shù)在電信網(wǎng)絡(luò)中的應(yīng)用越來(lái)越廣泛，電信網(wǎng)絡(luò)會(huì)對(duì)IPv4/v6綜合組網(wǎng)提出更高的要求。所有這些因素使得IPv4/v6綜合組網(wǎng)技術(shù)的研究是長(zhǎng)期的、涉及多個(gè)方面的、受多因素制約的。

　　從長(zhǎng)遠(yuǎn)來(lái)看，IPv4和IPv6技術(shù)在網(wǎng)絡(luò)中將長(zhǎng)期共存(Co-existence)。不同網(wǎng)絡(luò)運(yùn)營(yíng)實(shí)體可以根據(jù)自身的實(shí)際情況來(lái)自主的選擇究竟采取哪種IP層協(xié)議、采用哪種綜合組網(wǎng)方式。未來(lái)的IP網(wǎng)絡(luò)將是IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的集成(integration)網(wǎng)絡(luò)。

　　總體來(lái)講，隨著對(duì)IPv4向IPv6過(guò)渡技術(shù)研究的不斷深入，對(duì)于過(guò)渡問(wèn)題的認(rèn)識(shí)也不斷深入，IETF對(duì)于這個(gè)問(wèn)題的認(rèn)識(shí)也經(jīng)歷了遷移(migration)(過(guò)渡(transition)集成(integration)(互操作interoperation)(長(zhǎng)期共存(Co-existence)階段。

三、研究IPv4，IPv6綜合組網(wǎng)技術(shù)的意義

　　1.推動(dòng)了IPv6技術(shù)的研究

　　目前，IPv6協(xié)議棧已經(jīng)基本形成，并逐步完善。在研究IPv6協(xié)議自身的同時(shí)需要對(duì)IPv6與IPv4的兼容性進(jìn)行深入分析。IPv4/IPv6綜合組網(wǎng)技術(shù)的研究推動(dòng)IPv6技術(shù)的研究向縱深發(fā)展，是IPv6技術(shù)的重要研究領(lǐng)域。

　　2.探索下一代互聯(lián)網(wǎng)的發(fā)展方向和技術(shù)模式

　　由于IPv4地址不足的問(wèn)題越來(lái)越嚴(yán)重，會(huì)在一定程度上制約互聯(lián)網(wǎng)的發(fā)展，因此IPv6技術(shù)在互聯(lián)網(wǎng)中將占有一定的應(yīng)用空間。當(dāng)在互聯(lián)網(wǎng)中引入IPv6技術(shù)時(shí)，由于IPv6與IPv4的不兼容，以及IPv6技術(shù)自身具有的、原IPv4網(wǎng)絡(luò)所不具備的技術(shù)特點(diǎn)，使得互聯(lián)網(wǎng)的技術(shù)模式和發(fā)展方向必然會(huì)受到其一定程度的影響。

　　3.有利于下一代電信網(wǎng)絡(luò)的技術(shù)研究

　　目前，IP技術(shù)在電信網(wǎng)絡(luò)中的應(yīng)用越來(lái)越廣泛，電信網(wǎng)絡(luò)中引入IP技術(shù)對(duì)原有的電信網(wǎng)絡(luò)的組網(wǎng)模式、運(yùn)維模式等諸多方面帶來(lái)了沖擊，必須研究在電信網(wǎng)絡(luò)中如何很好的融合IP技術(shù)，包括IPv4技術(shù)和IPv6技術(shù)。因此，IPv4/v6綜合組網(wǎng)技術(shù)的研究會(huì)一定程度上推動(dòng)下一代電信網(wǎng)絡(luò)的技術(shù)研究。

　　4.對(duì)于設(shè)備制造商的IPv6產(chǎn)品研發(fā)提供參考依據(jù)

　　在IPv4/v6綜合組網(wǎng)的環(huán)境下，不同的組兩方案和技術(shù)對(duì)于IPv6網(wǎng)元設(shè)備提出不同的要求，這些要求對(duì)設(shè)備制造商來(lái)說(shuō)是產(chǎn)品研發(fā)的重要依據(jù)。反過(guò)來(lái)，IPv6設(shè)備的研發(fā)又會(huì)促進(jìn)IPv4N6綜合組網(wǎng)技術(shù)的發(fā)展。這充分體現(xiàn)了技術(shù)與市場(chǎng)的雙向作用性。

　　5.促進(jìn)IPv6的實(shí)用化和商用化進(jìn)程

　　只有通過(guò)對(duì)IPv4/v6綜合組網(wǎng)技術(shù)進(jìn)行充分的研究，并在此基礎(chǔ)上提出切實(shí)可行的、針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境的組網(wǎng)技術(shù)方案，才能切實(shí)推動(dòng)各個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)實(shí)體在各自網(wǎng)絡(luò)中引入IPv6技術(shù)的進(jìn)程。只有成熟的、可行的技術(shù)才會(huì)被大規(guī)模的實(shí)用化和商用化。

四、IPv4/v6綜合組網(wǎng)技術(shù)的主要研究?jī)?nèi)容

　　研究IPv4/v6綜合組網(wǎng)技術(shù)涉及到許多內(nèi)容，包括網(wǎng)絡(luò)的各個(gè)層面，如網(wǎng)絡(luò)結(jié)構(gòu)、功能集合、網(wǎng)絡(luò)路由、域名體系、地址分配、服務(wù)質(zhì)量、典型應(yīng)用、管理功能與接口、安全要求等方面。

　　1.現(xiàn)有不同過(guò)渡策略與網(wǎng)絡(luò)過(guò)渡工具的技術(shù)特點(diǎn)及其適用范圍

　　經(jīng)過(guò)IETF的“下一代網(wǎng)絡(luò)過(guò)渡技術(shù)工作組(NGTRANS)”對(duì)IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過(guò)渡技術(shù)的多年研究，已經(jīng)提出了許多網(wǎng)絡(luò)過(guò)渡策略(如雙棧策略、隧道策略、翻譯策略等)和相應(yīng)的過(guò)渡工具(不同的策略均有多個(gè)對(duì)應(yīng)的過(guò)渡工具)，這些策略和工具分別有著自己的適用環(huán)境和應(yīng)用局限。對(duì)這些策略和工具進(jìn)行綜合比較和對(duì)比分析能夠進(jìn)一步明確它們的適用范圍和技術(shù)特點(diǎn)，確定它們?cè)诰W(wǎng)絡(luò)中的地位和應(yīng)用環(huán)境。

　　2.IP承載網(wǎng)絡(luò)中引入IPv6后的網(wǎng)絡(luò)結(jié)構(gòu)

　　在傳輸網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)之間是IP承載網(wǎng)絡(luò)，它可以進(jìn)一步分為兩個(gè)層次：IP傳輸子層和IP承載控制子層。當(dāng)在IP傳輸子層中引入IPv6技術(shù)以后，使得IP承載網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)邏輯結(jié)構(gòu)發(fā)生了變化，這些變化不但會(huì)影響到業(yè)務(wù)層，而且對(duì)底層傳輸網(wǎng)絡(luò)也會(huì)產(chǎn)生一定的影響。通過(guò)引入了IPv6之后的IP承載網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，可以進(jìn)一步明確基于IP的運(yùn)營(yíng)網(wǎng)絡(luò)中，各個(gè)網(wǎng)絡(luò)層次的功能及其相關(guān)層次。這對(duì)于分析網(wǎng)絡(luò)的互聯(lián)互通、業(yè)務(wù)的提供方式均有重要意義。

　　3.電信網(wǎng)絡(luò)的不同網(wǎng)絡(luò)環(huán)境對(duì)IPv4/v6綜合組網(wǎng)提出的技術(shù)需求

　　IETF的“IPv6網(wǎng)絡(luò)互操作工作組(IPv6ops)”中正在研究的典型網(wǎng)絡(luò)環(huán)境需求是針對(duì)互聯(lián)網(wǎng)的，雖然其研究成果會(huì)對(duì)電信網(wǎng)絡(luò)的典型網(wǎng)絡(luò)環(huán)境的需求分析有一定的參考價(jià)值，但是有一定的局限性。因此需要對(duì)電信網(wǎng)絡(luò)的不同的典型網(wǎng)絡(luò)環(huán)境的研究有足夠的重視，不同的網(wǎng)絡(luò)環(huán)境會(huì)對(duì)IPv4/v6綜合組網(wǎng)技術(shù)提出不同的要求。這些典型的網(wǎng)絡(luò)環(huán)境包括：骨干網(wǎng)絡(luò)、城域網(wǎng)(包括接入、匯聚、核心等層次)、駐地網(wǎng)等部分。

　　4.針對(duì)不同的網(wǎng)絡(luò)環(huán)境(不同的需求)提出可能的綜合組網(wǎng)方案

　　針對(duì)不同的典型網(wǎng)絡(luò)環(huán)境提出可能的綜合組網(wǎng)方案，并對(duì)這些組網(wǎng)方案的技術(shù)特點(diǎn)、應(yīng)用范圍、應(yīng)用效果、局限性等方面進(jìn)行分析。這些組網(wǎng)方案即將成為電信網(wǎng)絡(luò)的組網(wǎng)方案的選擇對(duì)象；這些組網(wǎng)方案的比較分析結(jié)果將成為電信網(wǎng)絡(luò)組網(wǎng)方案的選擇依據(jù)。

　　5.IPv4/v6綜合組網(wǎng)時(shí)的路由問(wèn)題

　　在IPv4/v6綜合組網(wǎng)技術(shù)中，路由問(wèn)題是一個(gè)需要著重分析的關(guān)鍵問(wèn)題。這個(gè)問(wèn)題包括如下幾個(gè)方面：路由方式的選擇、路由可達(dá)性分析、路由泄漏問(wèn)題、路由環(huán)回問(wèn)題、路由聚臺(tái)問(wèn)題以及不同過(guò)渡策略綜合應(yīng)用時(shí)的路由可達(dá)問(wèn)題等。

　　6.IPv4/v6綜合組網(wǎng)時(shí)的域名問(wèn)題

　　域名解析/反向解析DNS既是IP網(wǎng)絡(luò)中的一種業(yè)務(wù)，同時(shí)也是IP網(wǎng)絡(luò)的一種基礎(chǔ)功能。在許多信息檢索業(yè)務(wù)中，均需要DNS功能。在IPv4/v6綜合組網(wǎng)環(huán)境中，應(yīng)該考慮的有關(guān)域名的問(wèn)題有如下方面：首先，需考慮IPv6地址相關(guān)域名的標(biāo)識(shí)與解析方法，這方面的研究在IETF的RFC中已經(jīng)進(jìn)行了規(guī)定；其次，需考慮域名空間連通性問(wèn)題，這也是技術(shù)上，尤其是工程上比較難解決的問(wèn)題。DNS服務(wù)器支持的IP協(xié)議的不同可能引起域名空間的分裂，一些DNS服務(wù)器可能不能按照同一IP協(xié)議從根服務(wù)器可達(dá)，從而造成有些域名不能獲得解析。

　　7.IPv4/v6綜合組網(wǎng)時(shí)的安全性分析

　　IPv4網(wǎng)絡(luò)的安全性一直受到批評(píng)，為此在IPv6協(xié)議能設(shè)計(jì)過(guò)程中考慮到了網(wǎng)絡(luò)安全的需求，在IPv6的包頭中設(shè)計(jì)了安全包頭，它可以基于AH或ESP進(jìn)行通信，在一定程度上提高了網(wǎng)絡(luò)的安全性。但是在綜合組網(wǎng)環(huán)境中，這個(gè)問(wèn)題變得更為復(fù)雜。一方面，在綜合組網(wǎng)環(huán)境中IPv6包頭的安全性由于IPv4的存在而不能充分發(fā)揮；另一方面，隧道技術(shù)在綜合組網(wǎng)環(huán)境中的應(yīng)用，也增加了網(wǎng)絡(luò)的新的潛在不安全因素。各種綜合組網(wǎng)技術(shù)均需要進(jìn)行相應(yīng)的安全性分析。另外，IP承載層的安全性只是網(wǎng)絡(luò)(包括業(yè)務(wù)層、業(yè)務(wù)控制層、承載層、支撐層等多個(gè)層面)安全性的一個(gè)方面，當(dāng)從整網(wǎng)的角度來(lái)分析承載層的安全性時(shí)，增加了問(wèn)題的復(fù)雜程度。

　　8.IPv4/v6綜合組網(wǎng)時(shí)的地址分配策略

　　關(guān)于IPv6的地址分配策略，由IETF相關(guān)的RFC進(jìn)行規(guī)定(最近IETF的地址分配的建議有了新的進(jìn)展，例如新頒布了RFC3177，同時(shí)RFC3587取代了原來(lái)的RFC2374，RFC3513取代了RFC2373)，具體的地址分配方法有相關(guān)的互聯(lián)網(wǎng)管理組織進(jìn)行。這里所要求討論的是一個(gè)運(yùn)營(yíng)商在拿到地址時(shí)如何在自己的網(wǎng)絡(luò)中進(jìn)行分配，在地址分配時(shí)所應(yīng)依據(jù)的原則，以及與具體組網(wǎng)技術(shù)相關(guān)的地址需求分析等。

　　9.不同組網(wǎng)技術(shù)在網(wǎng)絡(luò)中的互聯(lián)互通性(相容性)

　　目前，存在的多種IPv4/v6綜合組網(wǎng)技術(shù)在網(wǎng)絡(luò)中綜合應(yīng)用時(shí)可能會(huì)產(chǎn)生一些問(wèn)題，例如利用這些技術(shù)組建的網(wǎng)絡(luò)之間的互聯(lián)互通性就是一個(gè)需要主要考慮的問(wèn)題。利用一種組網(wǎng)技術(shù)組建的網(wǎng)絡(luò)不能與其他組網(wǎng)技術(shù)組建的網(wǎng)絡(luò)進(jìn)行相互通信，這包括地址類(lèi)型的問(wèn)題、路由的問(wèn)題、域名的問(wèn)題、協(xié)議翻譯的問(wèn)題等多個(gè)方面，因此需要仔細(xì)分析，做為評(píng)價(jià)和選擇IPv4/v6綜合組網(wǎng)技術(shù)的一個(gè)重要依據(jù)。

五、綜合組網(wǎng)的若干技術(shù)問(wèn)題

　　1.路由問(wèn)題

　　路由問(wèn)題主要包括路由域的劃分、路由協(xié)議的選取、路由聚合、路由環(huán)回、路由泄漏以及路由穩(wěn)定性分析等。下面重點(diǎn)討論如下幾個(gè)問(wèn)題：

　　(1)路由泄漏

　　路由的泄漏是IPv4/v6綜合組網(wǎng)中所特有的問(wèn)題。所謂的路由泄漏是指IPv4的路由信息泄漏到IPv6網(wǎng)絡(luò)中，或者IPv6的路由信息泄漏到IPv4網(wǎng)絡(luò)中。出現(xiàn)這種現(xiàn)象的根本原因是特殊的IPv6地址的使用，主要是指嵌人IPv4地址自IPv6地址在IPv6網(wǎng)絡(luò)中的采用，由于這種IPv6地址包含了IPv4地址，所以有可能出現(xiàn)IPv4網(wǎng)絡(luò)的路由信息以IPv6地址的形式出現(xiàn)在IPv6路由表中，造成路由表的膨脹和路由聚合的困難。

　　比如在6to4組網(wǎng)方案中，在存在6to4中繼器的環(huán)境中，中繼路由器必須向純IPv6路由域通告6to4地址的路由。這是以2002：：/16為前綴的路由信息就進(jìn)入了IPv6網(wǎng)絡(luò)，同時(shí)也把6to4地址中的IPv4地址信息帶到了IPv6路由域中，則出現(xiàn)了路由泄漏情況。

　　同樣在應(yīng)用兼容IPv4地址的IPv6地址時(shí)也同樣存在這個(gè)問(wèn)題。

　　解決這個(gè)問(wèn)題的一個(gè)有效手段是：采用合理的路由管理方法，防止包含IPv4地址信息的路由進(jìn)入IPv6路由表。比如，在6to4組網(wǎng)方式中，為防止IPv4路由表成分混入IPv6路由表，不能將比2002：：/16更精確的6to4前綴能通告進(jìn)入純IPv6路由域中。因此，擁有純IPv6連接的6to4站點(diǎn)不允許在該連接上通告有到2002：：/48的路由，并且所有的純IPv6網(wǎng)絡(luò)必須過(guò)濾掉所有前綴長(zhǎng)度大于/16的2002：：路由公告。

　　(2)迂回路由

　　在IPv4/v6綜合組網(wǎng)中造成路由環(huán)回問(wèn)題的一個(gè)主要原因是隧道配置的不合理。尤其是利用靜態(tài)配置隧道和隧道代理時(shí)，可能造成路由的環(huán)回。因此要謹(jǐn)慎使用靜態(tài)配置路由(減少數(shù)目，并且要對(duì)己配置隧道進(jìn)行詳細(xì)記錄)，在使用隧道代理來(lái)配置隧道時(shí)，最好隧道代理設(shè)備本身能夠提供路由環(huán)回的監(jiān)測(cè)手段，并及時(shí)提醒用戶(hù)。

　　另外一個(gè)造成路由環(huán)回的可能原因是網(wǎng)元的雙棧配置，實(shí)際上其根本原因是上面介紹的路由泄漏，路由的泄漏造成路由的混亂，出現(xiàn)路由的環(huán)回。

　　(3)路由聚合

　　IPv6地址空間較大，其對(duì)應(yīng)的IPv6路由空間也較大，解決的思路就是對(duì)IPv6路由進(jìn)行聚合。這點(diǎn)在IPv6協(xié)議設(shè)計(jì)之初就考慮到了，因此提出的IPv6地址層次結(jié)構(gòu)可以與地域有關(guān)。在IPv4/v6綜合組網(wǎng)環(huán)境中，需要考慮綜合組網(wǎng)對(duì)路由聚合的影響。實(shí)際上IPv4/v6綜合組網(wǎng)對(duì)于IPv6的聚合度沒(méi)有明顯的影響。

　　在采用常規(guī)IPv6地址分配方式的純IPv6網(wǎng)路中，路由能夠有較高的聚合度：當(dāng)網(wǎng)絡(luò)中存在一些特殊的IPv6地址(IPv4兼容地址、6to4地址等)時(shí)，通常只能根據(jù)IPv6地址前綴進(jìn)行路由聚合，比如在6to4組網(wǎng)時(shí)，不同6to4域之間的路由通過(guò)MP-BGP協(xié)議傳遞6T04路由，這些路由需要根據(jù)2002：V4ADDR：：/48方式來(lái)聚合，由于網(wǎng)絡(luò)中6to4網(wǎng)絡(luò)通常并不多，因此這些特殊地址對(duì)應(yīng)的路由的聚合度并不低。

　　(4)受控路由

　　在一些情況下，出于QoS方面、負(fù)載均衡方面和網(wǎng)絡(luò)安全方面的考慮．可能采用受控路由的方式來(lái)現(xiàn)在IP包所走過(guò)的設(shè)備以及路由的跳數(shù)。而IPv4/v6綜合組網(wǎng)對(duì)其影響較大。

　　首先，由于隧道的采用可能使得IP包的跳數(shù)超出指定的范圍。IP包經(jīng)過(guò)隧道時(shí)通常只做為一跳，而這一跳可能包括了多個(gè)存儲(chǔ)轉(zhuǎn)發(fā)環(huán)節(jié)，從而使得性能下降，甚至影響實(shí)時(shí)性業(yè)務(wù)的開(kāi)通。

　　其次，由于自動(dòng)隧道技術(shù)的應(yīng)用，可能使得IP包要經(jīng)過(guò)本來(lái)不應(yīng)經(jīng)過(guò)的網(wǎng)絡(luò)。從而對(duì)網(wǎng)絡(luò)的安全有一定的影響。

　　2.域名問(wèn)題

　　在IPv4/v6綜合組網(wǎng)環(huán)境中，一個(gè)值得關(guān)注的問(wèn)題是：域名空間的破碎問(wèn)題。所謂的域名空間破碎是指由于DNS服務(wù)器所組成的樹(shù)狀結(jié)構(gòu)被切斷，使得網(wǎng)絡(luò)中的某些DNS服務(wù)器不能訪問(wèn)造成這些DNS服務(wù)器所負(fù)責(zé)的域名不能被解析，在域名空間中形成了盲區(qū)(空洞)。在IPv4/v6綜合組網(wǎng)環(huán)境中，造成這種現(xiàn)象的根本原因是一些DNS服務(wù)器并不是IPv4，IPv6同時(shí)可達(dá)的。在域名解析時(shí)，將按照域名樹(shù)狀空間中的條從根到葉的鏈來(lái)順序查找域名的不同部分，從而實(shí)現(xiàn)域名解析功能。當(dāng)這個(gè)鏈中的某一個(gè)環(huán)節(jié)(DNS服務(wù)器)不能按照鏈上其他環(huán)節(jié)所采用的某種IP協(xié)議而訪問(wèn)時(shí)，則域名的查找過(guò)程中斷，域名解析失敗。例如，一個(gè)DNS服務(wù)器A只支持IPv4訪問(wèn)，而其下一級(jí)DNS服務(wù)器B只能支持IPv6訪問(wèn)，則當(dāng)DNS服務(wù)器A對(duì)其所管理的域名進(jìn)行解析以后，要訪問(wèn)DNS服務(wù)器B而此時(shí)A是不能訪問(wèn)B的，因?yàn)閮烧叩腎P協(xié)議不同。解決這個(gè)問(wèn)題可以有多種思路：

　　(1)可以要求DNS服務(wù)器均雙IP協(xié)議棧，從而使得域名樹(shù)狀空間中的每一條可能的鏈均可以支持兩種IP協(xié)議的訪問(wèn)；這種方式的好處是域名空問(wèn)中的每一個(gè)角落均是IPv4和IPv6可達(dá)的，因此域名空間對(duì)于IPv4或IPv6訪問(wèn)協(xié)議來(lái)說(shuō)都是連通的。缺點(diǎn)是對(duì)網(wǎng)絡(luò)的改動(dòng)比較大，對(duì)個(gè)別DNS服務(wù)器的升級(jí)可能需要中斷域名服務(wù)。

　　(2)在兩個(gè)支持不同IP協(xié)議的DNS服務(wù)器之間采用翻譯技術(shù)(如NAT-PT)，將基于IPv4協(xié)議的DNS請(qǐng)求信息翻譯為基于IPv6協(xié)議的DNS請(qǐng)求信息，反向同理。也可以保持域名空間的連續(xù)。但是這種連續(xù)通常是基于一種IP協(xié)議的連續(xù)，而不像介紹的第一種方法那樣可以同時(shí)支持IPv4和IPv6協(xié)議。這種方法的好處是不需要對(duì)現(xiàn)有的DNS服務(wù)器做任何改動(dòng)，只在網(wǎng)絡(luò)中串入具有NAT-PT功能的網(wǎng)絡(luò)設(shè)備即可。主要的缺點(diǎn)是采用NAT-PT一方面會(huì)影響域名解析的效率，另一方面在網(wǎng)絡(luò)中添加了NAT-PT設(shè)備以后，

　　可能會(huì)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)造成影響(一般NAT-PT功能集成在路由器中)。需要說(shuō)明的是，這種方法和前面介紹的DNS-ALG是不同的，DNS-ALG對(duì)域名解析請(qǐng)求和應(yīng)答消息進(jìn)行翻譯，而本方法不需要這種轉(zhuǎn)換，只是采用NAT-PT對(duì)封裝域名解析消息的IP包進(jìn)行IP層面的翻譯。

　　(3)也是IETF所推薦采用的思路(目前還處于草案階段)是采用適當(dāng)?shù)挠蛎�服�?wù)器管理策略，避免域名空間中域名盲區(qū)的存在�？梢圆捎玫墓芾聿呗园�括：

　　·每一個(gè)DNS服務(wù)器或者為IPv4或者為雙棧；

　　·每一個(gè)包含IPv6主機(jī)或雙棧主機(jī)的DNS域至少應(yīng)該有一個(gè)DNS服務(wù)器為IPv4/v6可達(dá))。

　　當(dāng)綜合組網(wǎng)時(shí)，DNS服務(wù)器的選取按照上述策略進(jìn)行時(shí)，可以保證不出現(xiàn)域名盲區(qū)。首先，采用上述策略不會(huì)破壞已經(jīng)存在的域名空間的IPv4連續(xù)性，DNS域中的每一個(gè)IPv4主機(jī)提出的域名解析請(qǐng)求均可以得到響應(yīng)；其次，由于在組建的IPv6網(wǎng)絡(luò)中，其對(duì)應(yīng)的DNS服務(wù)器是支持雙棧的，則網(wǎng)絡(luò)中的IPv6主機(jī)的域名解析消息可以經(jīng)過(guò)雙棧DNS服務(wù)器得到解析。

　　綜合組網(wǎng)時(shí)需要考慮的有關(guān)域名解析功能的問(wèn)題還有很多，比如，DNS安全問(wèn)題[RFC2535][RFC2535，RFC2931][RFC2845]、動(dòng)態(tài)域名問(wèn)題[RFC2136]等，這些在IETF的RFC中均有相關(guān)的建議。

　　3.安全問(wèn)題

　　安全問(wèn)題實(shí)際上涉及了網(wǎng)絡(luò)的各個(gè)層面，本文主要討論網(wǎng)絡(luò)安全問(wèn)題。IP網(wǎng)絡(luò)的安全一直都是IP技術(shù)研究領(lǐng)域的研究重點(diǎn)。概括起來(lái)講，現(xiàn)在可以用來(lái)解決IP網(wǎng)絡(luò)安全問(wèn)題的主要策略有用戶(hù)隔離、信息過(guò)濾、身份認(rèn)證和監(jiān)控、加密傳送(IPSec)等。本文著重考慮在綜合組網(wǎng)環(huán)境中可能產(chǎn)生的、附加的安全問(wèn)題。

　　在IPv4/v6綜合組網(wǎng)技術(shù)中所采用的隧道策略給網(wǎng)絡(luò)帶來(lái)了安全隱患。一個(gè)隧道至少包括兩個(gè)端點(diǎn)(有時(shí)根據(jù)隧道建立過(guò)程而區(qū)別為隧道客戶(hù)端與隧道服務(wù)器端)，根據(jù)具體隧道技術(shù)的不同，有時(shí)還包括其他一些輔助設(shè)備，比如隧道代理技術(shù)中所采用的隧道代理設(shè)備、6to4技術(shù)中所采用的6to4中繼器等。

　　首先，如果上述設(shè)備之間不建立一種信任關(guān)系，則可能會(huì)出現(xiàn)基于地址欺騙或身份偽裝的網(wǎng)絡(luò)攻擊，使得一些惡意的或無(wú)用的數(shù)據(jù)可以通過(guò)隧道。這些數(shù)據(jù)一方面可能來(lái)自于隧道客戶(hù)端，一方面也可以來(lái)自于網(wǎng)絡(luò)的其他位置。即使這種情況，可以采用身份認(rèn)證和監(jiān)控的手段，在各個(gè)隧道相關(guān)設(shè)備之間建立信任關(guān)系。對(duì)于靜態(tài)配置隧道技術(shù)來(lái)講，在修改隧道兩端設(shè)備的路由信息之前，需要進(jìn)行身份認(rèn)證，只有通過(guò)認(rèn)證的操作人員才能夠在路由器中進(jìn)行這種隧道的配置。對(duì)于動(dòng)態(tài)隧道技術(shù)來(lái)講，由于隧道是自動(dòng)建立的，因此要求端點(diǎn)可以設(shè)置訪問(wèn)控制列表，避免與可疑站點(diǎn)建立隧道關(guān)系。

　　其次，即使這些網(wǎng)絡(luò)設(shè)備之間通過(guò)某種方式(如身份認(rèn)證等)建立了信用關(guān)系，還是可以受到隧道中數(shù)據(jù)的攻擊，由于隧道通常只對(duì)數(shù)據(jù)進(jìn)行封裝后傳送，而不對(duì)封裝的數(shù)據(jù)進(jìn)行檢查，所以隧道客戶(hù)端的信息可以順利地通過(guò)隧道對(duì)隧道服務(wù)器后面的網(wǎng)絡(luò)進(jìn)行攻擊，此時(shí)隧道服務(wù)器成立網(wǎng)絡(luò)攻擊的中繼器。針對(duì)這種情況，可以在隧道客戶(hù)端和隧道服務(wù)器端的出口和入口設(shè)置信息過(guò)濾策略，在本地限制惡意信息進(jìn)入隧道。信息過(guò)濾可以包括從IP層到應(yīng)用層的多個(gè)層面。

　　第三，還需要考慮隧道中的信息被竊聽(tīng)的可能。安全問(wèn)題中除了要解決主動(dòng)式的攻擊，還要解決這種信息泄漏問(wèn)題。針對(duì)這種情況，對(duì)于隧道的信息可以采用加密措施，對(duì)于IPv4來(lái)講可以在隧道中的采用IPSec技術(shù)對(duì)信息加密；對(duì)于IPv6可以直接采用IPv6的附加包頭中的安全包頭來(lái)對(duì)信息進(jìn)行加密。

六、結(jié)束語(yǔ)

　　在下一代網(wǎng)絡(luò)中，IPv4/v6綜合網(wǎng)絡(luò)將是業(yè)務(wù)承載網(wǎng)絡(luò)的重要網(wǎng)絡(luò)形態(tài)。本文對(duì)綜合組網(wǎng)的認(rèn)知轉(zhuǎn)變、主要研究?jī)?nèi)容進(jìn)行了討論。并就IPv4/6綜合組網(wǎng)時(shí)可能遇到的主要問(wèn)題，如路由問(wèn)題、安全問(wèn)題、域名問(wèn)題等分別進(jìn)行了分析。通過(guò)分析可以知道：IPv4/v6綜合網(wǎng)絡(luò)技術(shù)有著廣闊的研究空間和良好的發(fā)展前景，對(duì)其進(jìn)行深入研究有著重要的意義。

摘自　泰爾網(wǎng)