IPv4向IPv6过渡的关键技术解析

h68810115

随着互联网技术的普及，IP技术早已广泛应用于人们的娱乐、工作和学习等各个方面。但是，由于IPv4协议体系的技术限制，使得这些应用难以进一步发展，于是出现了下一代互联网的概念，它采用IPv6协议提供更多的地址，更好的移动性、安全性和服务质量。

    IPv4协议体系已有广泛的网络基础和应用基础，IPv6协议体系作为后来者，必须提供完整的网络技术过渡方案和应用过渡方案，才能够满足互联网网络迁移到IPv6的要求。本文将对IPv4向IPv6过渡的关键技术进行阐述，指明在网络迁移的过程中，需要重点考虑的问题和解决方法。



    一、IPv6技术的协议体系

    1、IPv4网络到IPv6网络迁移过程

    IPv6的部署要经历一个渐进的过程。在初始阶段，IPv4的网络海洋中会出现若干局部零散的IPv6孤岛，这些孤岛通过跨越IPv4的隧道彼此连接；随着IPv6的规模应用，原来的孤岛逐渐聚合成为骨干IPv6 Internet网络，形成与IPv4骨干网并存的局面，在IPv6骨干上可以引入大量新业务，并充分发挥IPv6优势，为了实现IPv6与IPv4网络资源的互访，还需要转换服务器来实现IPv6、IPv4的互通；最后，IPv4骨干网逐步萎缩为局部孤岛，通过隧道连接，IPv6占据主导地位，具备全球范围的连通性。

    在网络层，IPv4网络向IPv6网络的迁移过程中，只有在IPv6互联中心的支持下，IPv6孤岛才能演变成IPv6 Internet，全球性的IPv6 Internet需要全球性的IPv6互联中心。在具体的实施过程中，IPv6初期的部署都是孤立的网络，互联互通困难，如何把这些孤立的小网络连接在一起形成IPv6 Internet，发挥Internet优势，促进IPv6业务和应用的发展，不可避免地要建设IPv6互联中心。

    在业务层，业务和应用互联互通的基础是DNS，包括双栈、NAT-PT等主流过渡技术都依赖于DNS系统，解决IPv4网络向IPv6网络迁移过程中的业务互联互通问题，必须建立成体系的IPv6、IPv4双栈DNS服务系统。DNS服务系统的升级不仅在于新建的IPv6 DNS系统，而且还在于当前IPv4的DNS系统也需要升级到支持IPv6的域名管理体系，这样才能为网络的过渡技术提供业务互联互通的基础。

    2、基本过渡机制

    IPv6提供许多过渡技术来实现上述演进过程，这些过渡技术围绕着两类问题：

    ※  IPv6孤岛互通技术：实现IPv6网络与IPv6网络的互通问题；

    ※  IPv6与IPv4互通技术：实现两个不同网络之间互相访问资源。

    对此，目前已推出了16种过渡技术，其中最基本的过渡技术包括双栈和隧道技术。双栈技术是指，设备升级到IPv6的同时保留对IPv4的支持，可同时访问IPv6、IPv4设备，包含双协议栈支持，应用程序依靠DNS地址解析返回的地址类型来决定使用何种协议栈；而隧道技术则是通过在一种协议中承载另一种协议，跨越不同域的互通，包括IPv6-in-IPv4、IPv6-in-MPLS、IPv4-in-IPv6等隧道类型，根据技术和应用场景的不同，这些隧道可用于IPv6用户接入IPv6网络，或用于IPv6网络间的互联互通。

    3、双协议栈

    双协议栈是IPv6过渡技术的基础，不仅用于建设双栈网络，也是各种过渡隧道机制的基础。双栈网络的建设有两种模式：其一是完全双栈网络，即所有网络设备、用户终端都支持IPv4、IPv6双协议栈，用户通信既可使用IPv4协议栈也可使用IPv6协议栈；其二是有限双栈网络，网络中部分网络设备、用户终端采用双协议栈，这些用户可使用IPv4或IPv6与其它用户互联互通，但新增的网络设备和用户终端则仅使用IPv6协议栈，应用基于IPv6协议栈。

    隧道、转换等过渡技术均基于双协议栈技术。这是因为，只有具有双协议栈的设备才能既与IPv4网络互通，也可与IPv6网络互通，差别在于隧道、转换等技术提供一种协议栈对另一种协议栈的替换，也就是将一种协议的流量转换或封装为另一种流量，而双协议栈网络只能提供基本的IPv4流量到IPv4流量的转发，或者IPv6流量到IPv6流量的转发。

    双协议栈的具体工作方式如下：

    ※  若应用程序使用的目的地址为IPv4地址，则使用IPv4协议；

    ※  若应用程序使用的目的地址为IPv4兼容的IPv6地址，则同样使用IPv4协议，区别仅在于此时的IPv6封装在IPv4中；

    ※  若应用程序使用的目的地址是一个非IPv4兼容的IPv6地址，则使用IPv6协议，而且很可能要采用隧道等机制来进行路由传送；

    ※  若应用程序使用域名作为目标地址，则先从DNS服务器得到相应的IPv4/IPv6地址，然后根据地址情况进行相应的处理。

    在涉及到DNS的部分中，双协议栈主机必须能够解释IPv4的域名记录A，也能处理IPv6的域名记录AAAA。同时，网络的DNS服务器也同样能够同时提供A记录和AAAA记录。

    对于目前的网络环境来说，实现完全的双协议栈网络不需特殊配置，业务开展非常方便，对于IPv6的试验应用和业务也很有利，是目前开展IPv6网络试验的重点之一。但是，完全双协议栈网络的投入很大。特别是，目前的接入网设备大部分仅仅支持IPv4协议栈，而这些设备的升级很可能需要完全替换，投资压力很大。为了顺利进行试验，可考虑有限的双协议栈网络，部分新增用户仅支持IPv6，但并不能完全解决双协议栈网络的投入问题。因此，在大规模部署IPv6网络时，还需要考虑其它方式。

    4、配置隧道

    配置隧道是一种最简单的IPv6间的互通技术，同时也是其它IP隧道技术的基础。IPv4网络、IPv6网络的边缘设备应具备双栈能力，通过在两个边缘设备间手工配置隧道，可将IPv6报文通过隧道封装在IPv4报文的负荷中传送到对端，解封装后再发送到目的IPv6节点。手工配置隧道适合于较为固定的IPv6连接，由于每两个IPv6网络之间都要手工建立隧道，因此配置比较麻烦。

    配置隧道的管理方法类似静态路由的管理方法，具有简单、高效等特点，有利于提高网络的可靠性，重点推荐站点间的互联采用配置隧道的方法，如表1所示。

表1  配置隧道的应用





    5、6 to 4隧道

    一些过渡技术可以实现隧道的自动配置，如自动隧道、隧道代理（Tunnel Broker）和6 to 4隧道。6 to 4隧道使用6 to 4地址，这种IPv6地址的前缀中包含IPv4地址，也就是隧道边缘设备的IPv4地址，使用6 to 4地址的IPv6网络称为6 to 4网络。

    在简单的应用中，6 to 4隧道技术可以实现两个6 to 4网络的互通，具体实现方法是在边缘设备取出目的IPv6地址中包含的IPv4地址作为隧道末端，自动建立隧道；在复杂的应用中，可在纯IPv6网络的边缘提供6 to 4中继设备，实现大型非6 to 4的IPv6网络对其它6 to 4网络的接入。



图1  6 to 4隧道技术原理

    如图1所示，采用6 to 4机制的IPv6出口路由器6 to 4-A与其它的IPv6孤岛（6 to 4-B）之间建立隧道连接。由于站点的IPv4地址包含在IPv6的地址前缀中，因此IPv4隧道的末端地址（5.6.7.8）可从IPv6域的地址前缀（2002:506:708::b…）中自动提取。此地址前缀由一个唯一的16bit长度的6 to 4前缀（2002）和一个32bit域（506:708）构成，后32bit域（506:708）标识了用于转换的出口路由器的IPv4地址（5.6.7.8）。6 to 4将IPv4隧道地址（5.6.7.8）嵌入IPv6前缀（2002:506:708）中，使边界路由器可以自动为IPv6找到终点。

表2  6 to 4的应用





    如表2所示，6 to 4技术既可使一个用户连接到IPv6网络，也可使一个IPv6孤岛连接到IPv6网络，具有较广泛的用途，且无须申请正式的IPv6地址即可部署IPv6网络并接入IPv6骨干网。但是，由于网络使用的IPv6地址限制为特殊的6 to 4地址，会使IPv6网络的路由变得复杂，不易收敛，不适于IPv6 Internet应用。不过，由于6 to 4技术在实现用户终端接入过程中，能够穿越NAT，可使网络向IPv6快速迁移，因此若能够对6 to 4技术进行优化，提高其网络的适用性，发展潜力仍很大。

    6、ISATAP隧道

    ISATAP（the Intra-site Automatic Tunnel Addressing Protocol，站内自动隧道寻址协议）用于在IPv4站点内连接IPv6主机和路由器，它允许那些与IPv6路由器不共享共同链路的双栈节点，通过IPv4自动将分组以隧道的方式送到IPv6下一地址。从这一点看，站点的IPv4体系结构可看作为一个NBMA链路层（Non-Broadcast Multiple Access link layer）。

    如表3所示，ISATAP使用一个内嵌IPv4地址的IPv6接口标识格式，不管站点使用的是全局还是内部IPv4地址，均可在站点内使用IPv6-in-IPv4自动隧道技术。新的接口标识格式既可使用局域单播IPv6前缀，也可使用全局单播IPv6前缀，从而支持局域和全局的IPv6路由。ISATAP机制对路由表的大小没有影响，且不需要特别的IPv4服务（如IPv4组播）。

    ISATAP技术的地址前缀为全局可路由地址，使接入的IPv6网络用户可与其它IPv6用户实现互联互通。但是，在部署上，ISATAP技术要求用户端设备具有IPv4全局地址，使IPv4 NAT隐藏的用户不能使用该技术。为了降低IPv6网络的部署，保护原有IPv4接入网络的投资，必须增强ISATAP的部署能力，以便这些网络能够实现IPv6用户的接入。

表3  ISATAP的应用







    7、NAT-PT转换技术

    如表4所示，NAT-PT是一种协议转换技术，用于解决IPv6与IPv4互通的问题。具体实现方法是，在IPv6节点与IPv4节点通信时，借助NAT-PT协议转换服务器对网络层协议头进行IPv6-IPv4转换，以适应对端的协议类型。

    IPv6主机与IPv4主机通信时，首先在IPv6网络中标识IPv4主机，NAT-PT网关向IPv6网络广播一个96bit的地址前缀，通过96bit地址前缀加上32bit IPv4主机地址作为IPv4网络主机的标识；然后，IPv6主机发送给IPv4主机的报文通过96bit前缀路由到NAT-PT网关，由NAT-PT网关对IPv6报文头进行转换，分配临时IPv4地址，标识IPv6源，报文转换为IPv4报文后发送给IPv4目的主机。IPv4主机与IPv6主机通信时，由NAT-PT网关为IPv6主机分配临时的IPv4地址，分配和绑定的关系可结合DNS完成，IPv4主机发出的报文在经过NAT-PT网关时，IPv4报文被转换为IPv6报文，并发送给IPv6主机。

    NAT-PT技术的原理与IPv4的NAT类似。差别在于，IPv4 NAT用于IPv4的公/私网地址转换，而NAT-PT则用于IPv6地址与IPv4地址的转换，但有一点两者极为相似，即NAT-PT与NAT都需针对不同业务的应用层网关（ALG）才能为特定的业务提供服务。

    通过部署NAT-PT，运营商可以建设一个对用户透明的网络，而业务则不论是IPv4还是IPv6，均可按照当前的规划发展，而不需特殊考虑IPv6业务的开展问题。这对于平滑地建设一个IPv6业务承载网来说，非常具有优势。

表4  NAT-PT转换技术的应用







    二、如何通过华为路由器实现网络迁移

    综上所述，IPv6技术已经充分考虑到网络迁移的问题，这些技术适于不同场景的不同网络应用。为了使IPv4网络向IPv6网络的演进过程更加平滑，我们还需要仔细分析这些过渡技术的缺点，综合其它技术的优势，形成有效的过渡技术和网络迁移方案。

    以此为基础，华为公司在现网迁移方案中着重对双栈和隧道技术进行了深入的研究，全线路由器产品均可实现基于双栈技术的网络迁移方案和基于隧道技术的网络迁移方案。

    1、基于双栈技术的网络迁移

    双栈技术的优势是互通性好，业务发展不受网络变化的影响。但是，双栈技术的缺点同样明显，首先在部署方面需要耗费大量投资将网络升级为IPv6/IPv4双协议栈网络。对于骨干网络的高端设备来说，可通过软件升级完成，但对于接入网络的中低端设备来说，软件升级基本不可行，只能进行设备替换，网络投资得不到保护。其次，双栈技术同样需要解决IPv4地址问题，这对于因地址问题而升级的用户来说，基本不可能采用双栈网络方式来部署IPv6网络。另外，部署双栈网络还受到管理方面的约束，也就是说，管好一个物理网络需要更多的网络管理知识，加大了网络运营的门槛。

    在完全双栈网络和受限双栈网络间，完全双栈网络适合当前IPv6网络和应用还没有开展的情况，而受限双栈网络则可用于已经开发部分IPv6业务的用户，这些用户可以承受只使用IPv6应用而不使用IPv4相关应用，这时网络管理维护可以少考虑IPv4的管理问题，从而可以减少对网络管理的强度。

    双栈网络的部署也非一成不变，它可根据实际需要考虑与其它过渡技术结合，形成一个能够广泛部署的解决方案。特别是当双栈技术与隧道技术结合起来时，可为不同的用户提供不同的方案，综合形成一个理想的网络迁移方案。从目前的网络演变和业务需求来看，高端网络设备对升级IPv6的需求迫切，包括以华为为主的网络设备商，已经提供了这一规格的网络设备NE80/NE40系列产品。但是，由于网络低端的结构复杂，接入手段多样，从IPv4升级到IPv6是一个长期的逐步演变过程，对于不同的接入网络，可采用不同的技术实现。因此，网络设备的升级是由高端到低端的方向进行的。

    根据上述分析，可以提出一个基于双栈技术的网络迁移方案：

    在网络迁移初期，首先升级骨干网络支持双栈，汇聚层和接入层网络则通过隧道技术为用户提供IPv6接入，避免网络建设初期的投入过大；在网络迁移中期，随着网络设备的不断完善，汇聚层设备开始能够提供IPv6特性的升级，IPv6的应用和业务也已初步发展起来，可考虑更大规模的运营试验，此时可升级汇聚层的网络设备，使双栈技术应用于网络的骨干和汇聚层，而接入层网络仍按原有的隧道方式接入IPv6用户；在网络迁移后期，所有网络设备都能够提供IPv6特性，而IPv6的应用和业务也已发展起来，需要进一步拓展用户，为用户提供更好的服务，此时需将接入网络升级到IPv6，实现双栈网络；最终，由于IPv4业务逐渐消失，或者由于NAT-PT转换技术的完善，使接入网、汇聚层网络甚至骨干网络的IPv4特性逐渐退出服务，网络完成由IPv4网络迁移到IPv6网络。

    在迁移的过程中，为了避免IPv4地址短缺引起的问题，可考虑按照现有的IPv4地址分配方案为用户提供IPv4地址。例如，可使用NAT技术为用户分配私有地址，或使用DHCP技术为用户分配动态IP地址。在使用这些地址分配方法的过程中，应该注意，可能一些服务需要为用户提供固定的IPv6地址，而隧道方式为用户提供的IPv6地址是依赖于用户的IPv4地址的，因此用户通过隧道方式得到的IPv6地址也是一个动态的IPv6地址，为了解决这个问题，需要研究新的过渡技术，以满足隧道条件下为用户提供固定IPv6地址的方法。

    2、基于隧道技术的网络迁移方法

    隧道技术可用较少的投资满足较多的用户，甚至满足全网用户接入IPv6网络的需求。但是，根据隧道技术的特点，这种接入方式还不能为用户提供一个透明的网络环境，因此必须解决基于隧道技术进行网络迁移的问题。事实上，这些隧道技术必须进行适当的改进后，才能继续实现网络的迁移。

    首先，配置隧道的技术复杂，不适合最终用户。因此，在网络迁移的过程中，只适用于站点网络的初期互联，随着IPv6互联中心的发展，站点间互联将逐步由直达链路或双栈骨干网络进行连接，而不再需要配置隧道技术，因此这一技术将随着IPv6互联中心的建设而逐步淘汰。

    其次，使用自动隧道技术，终端操作系统可自动使用隧道方式连接到IPv6网络，为用户提供透明接入IPv6网络的能力，在IPv4网络逐步迁移到IPv6网络的过程中，隧道技术将对普遍接入起到至关重要的作用。在部署自动隧道技术的过程中，需要重点分析隧道技术的缺点，并尽可能进行规避。

    目前已经标准化且易于使用的自动隧道技术包括6 to 4隧道和ISATAP隧道，这两种技术已在Windows、Linux等平台上实现，有可能用于快速发展IPv6用户。

    由于6 to 4的地址前缀是由IPv4地址映射得到的，会导致IPv6的路由表混乱，不易收敛，因此不会应用于IPv6 Internet。也就是说，6 to 4地址是不可在IPv6 Internet上路由的地址，可狭义地认为是一种区域性地址。为了解决这个问题，可考虑改进6 to 4技术的地址管理方法，当用户需要跨越IPv4网络时，另外的6 to 4用户通信时，可依旧使用当前的6 to 4地址，而当用户在通过IPv6 Internet与其它IPv6用户通信时，可采用映射方式将用户的6 to 4地址在6 to 4 Relay设备上映射为一个标准的全局可路由的IPv6地址，避免6 to 4地址的不可路由问题。

    对于ISATAP技术来说，由于它不能穿透NAT，因此在IPv4地址紧缺的网络中难以部署，地降低了ISATAP技术的适用范围。为了提高ISATAP的部署能力，可在NAT内部进行ISATAP路由器的部署，用户通过私网地址获得ISATAP的IPv6地址，而ISATAP路由器运行的IPv6协议栈可自然通过IPv4 NAT的限制，达到广泛部署的要求。

    通过上述优化过程，可在一定程度上规避自动隧道的缺陷，扩大隧道技术的应用领域。基于隧道技术的网络迁移方案可定位于IPv6骨干网络下汇聚层、接入层难于部署的区域。其中，6 to 4技术主要用于IPv6孤岛通过IPv4骨干网接入IPv6骨干网的场合，而ISATAP的用途更广泛，可普遍用于网络迁移，并与双栈网络的部署进程形成完整的互补关系。