余波 中國電信江西分公司網(wǎng)絡(luò)運(yùn)營支撐事業(yè)部 南昌市 330000

0 引言

隨著2017年底國家IPv6的規(guī)模部署號令吹響，政府、運(yùn)營商、金融、互聯(lián)網(wǎng)企業(yè)等響應(yīng)號召，實(shí)施了IPv4過渡到IPv6的雙棧改造，各類網(wǎng)絡(luò)逐漸地可以提供IPv6為基礎(chǔ)的通信能力，大部分的公眾客戶都能夠通過手機(jī)、家庭寬帶獲得IPv6實(shí)現(xiàn)互聯(lián)網(wǎng)訪問。但是由于目前對IPv6的一些新特性不夠了解，還是基于IPv4老思維來看待v6技術(shù)，很多人甚至認(rèn)為IPv6只是簡單的擴(kuò)容地址數(shù)量，并沒有什么其它太大作用，特別企業(yè)內(nèi)部網(wǎng)絡(luò)推動(dòng)整改的決心不足，而筆者認(rèn)為只有真正理解一些IPv6的理念和思想，才能更好地去適應(yīng)變化，體會(huì)到IPv6的優(yōu)勢所在，下面嘗試從技術(shù)特征分析入手列舉了一些IPv6帶來的改變。

1 不要指望手工維護(hù)IPv6地址，自動(dòng)化配置是主流

IPv4時(shí)代，分配終端地址主要依靠DHCP或靜態(tài)配置來實(shí)現(xiàn)的，大部分IPv6的新手都認(rèn)為，IPv6太長難以記憶，沒有IPv4方便。實(shí)際上由于IPv6龐大到足以為每一粒沙子都可分配地址的數(shù)量級，靠人腦的記憶去手敲地址進(jìn)行配置幾乎不現(xiàn)實(shí)，如果把我們把地址和配置打印出來，恐怕連一間屋子都無法裝下。因此，IPv6引入了的一個(gè)殺手特性，即自動(dòng)配置。IPv4通過DHCP也可以自動(dòng)配置，但是它們的本質(zhì)卻是不同的。DHCP是IPv4協(xié)議本身之外的服務(wù)，即你需要搭建DHCP服務(wù)器，你需要DHCP客戶端。而IPv6自動(dòng)配置卻是其內(nèi)在的東西，它是IPv6協(xié)議標(biāo)準(zhǔn)的一部分。一個(gè)IPv6終端，只要簡單的開機(jī)，它就會(huì)自動(dòng)獲得IPv6地址。

圖1 IPv6地址分配方式示意

IPv6環(huán)境下，終端和服務(wù)器都可以自動(dòng)配置，但路由器上IPv6是必須使用手工配置，由專業(yè)工程師完成。路由器相當(dāng)于樹干，而終端是樹葉，樹干嫁接而成，而樹葉自動(dòng)生成。IPv4卻將IP地址配置這種技術(shù)性的工作交給了終端使用者，除非添加額外的DHCP服務(wù)的方式，非IPv4特性。IPv6設(shè)計(jì)時(shí)就考慮到這一點(diǎn)，使用IPv6可以輕松實(shí)現(xiàn)即插即用，就像家用電器插上電源一樣的方便。

2 復(fù)雜的網(wǎng)絡(luò)環(huán)境下，利用IPv6特性自動(dòng)選擇最優(yōu)路徑

很多企業(yè)為了提升可靠性，會(huì)同時(shí)選擇多個(gè)運(yùn)營商的出口線路，在某個(gè)出口路由器或者負(fù)載均衡NAT設(shè)備配置均衡策略，終端按策略通過NAT選擇適合的線路連接互聯(lián)網(wǎng)，因?yàn)楸馄交腎Pv4的分配沒有規(guī)律，只能依靠收集維護(hù)大量IP地址的信息策略配置非常復(fù)雜，并且很難達(dá)到理想的均衡水平。而IPv6的源地址/目標(biāo)地址選擇的機(jī)制和策略帶來了福音，在這種比較常見的場景下可以不用通過特別的設(shè)備和策略設(shè)置很好地實(shí)現(xiàn)多條線路的負(fù)載均衡，IPv6制定了非常嚴(yán)格的源地址/目標(biāo)地址選擇的機(jī)制和策略，每個(gè)運(yùn)營商的IPv6地址都可以配置在同一終端網(wǎng)卡上，每個(gè)運(yùn)營商的IP都是有明顯的區(qū)隔，網(wǎng)卡根據(jù)目標(biāo)IP自動(dòng)選擇源地址，路由器則根據(jù)目標(biāo)地址自動(dòng)選擇最短路徑（最合理的線路）實(shí)現(xiàn)負(fù)荷分擔(dān)。

大致來講，可以將多條線路的源地址配置在相同或不同的網(wǎng)卡之上，需要發(fā)送數(shù)據(jù)時(shí)，根據(jù)不同目標(biāo)的選擇，將遵循rfc3484給出的規(guī)則進(jìn)行匹配，最終將會(huì)確定源最適合IPv6地址，通過目標(biāo)IP長度匹配也最終會(huì)選擇到最合適的路由。

3 IPv6在設(shè)計(jì)之初就考慮到了地址聚合 ，層次化規(guī)劃IPv6是關(guān)鍵核心

就滿足數(shù)量的角度看IPv6地址數(shù)量根本不需要128位，MAC地址位長度為48位從來沒有聽說過不夠用，就已經(jīng)滿足了全球所有的網(wǎng)卡唯一性的需求。再考慮一下我們的身份證。身份證目前有18位10進(jìn)制數(shù)，11位十進(jìn)制數(shù)就能編址百億級別的人口了，而整個(gè)地球的人口都不足百億，根本用不完，所有人都應(yīng)知道，身份證并不是連續(xù)編址的，前6位代表省市區(qū)，中間8位代表出生年月日，后4位才代表個(gè)人的唯一ID，一看身份證號號碼，就能快速定位到這個(gè)人出生時(shí)的歸屬地。

與此非常類似，IPv6的編制也是與分層次的設(shè)計(jì)。既然都可以為每一粒沙子分配一個(gè)IPv6地址，如此龐大的數(shù)量，如果還和IPv4地址摳出來分配，128bits地址空間的IPv6將會(huì)產(chǎn)生無數(shù)條離散的路由條目，當(dāng)前的路由器處理能力需要擴(kuò)充好多倍也難以應(yīng)對。因此必須在一開始通過嚴(yán)格的分層設(shè)計(jì)規(guī)劃，如此才會(huì)帶來管理上的方便，也會(huì)使得路由效率更高。分層設(shè)計(jì)IPv6地址，是體現(xiàn)IPv6優(yōu)勢所在的核心關(guān)鍵。

圖2 IPv6全球可路由地址功能規(guī)劃示意

我們看到，IPv6 地址高含義是該地址的類型，001代表的是全局可路由的單播地址，其次時(shí)TLA+RES+NLA ID組成的45bits為前綴，類似身份證號的省市區(qū)，接下來的SLA ID16bit為子網(wǎng)ID，類似于身份證號的派出所，最后的低64bits為接口標(biāo)識，一般通過EUI-64方式映射，即將自身的ID映射到64bits的空間內(nèi)。因此IPv6地址你可以認(rèn)為它只有64比特，而不是128比特。大企業(yè)或機(jī)構(gòu)在申請到IPv6地址資源后，也應(yīng)該按層次化思路去規(guī)劃好地址使用，充分考慮地理位置、用途等因素，且盡量保證物理和邏輯之間緊密配合，這樣才能更好地實(shí)現(xiàn)路由匯聚和管理。

4 實(shí)現(xiàn)安全不能依賴NAT，需要專業(yè)的防火墻和自己定義策略

當(dāng)前我們被NAT保護(hù)著，外面的非法連接和攻擊被NAT擋掉了絕大部分，但是，它不光阻止了惡意的連接，同時(shí)也阻止了授權(quán)的連接。筆者就常常被這種限制所困擾，理想的IPv6應(yīng)該是讓互聯(lián)網(wǎng)變得真正互聯(lián)互通，彼此對等，盡量少地使用到NAT技術(shù)，比如用我們的IPv6手機(jī)做熱點(diǎn)，所分配到的址依然是公網(wǎng)IPv6地址。

首先看看臨時(shí)地址機(jī)制，與IPv4有著本質(zhì)的不同，IPv6真正標(biāo)識了網(wǎng)絡(luò)，IPv6路由器管理的是網(wǎng)段，而不是主機(jī)，主機(jī)的IP怎么生成是主機(jī)可以自主去完成，并且是可以同時(shí)生成多個(gè)IP地址，使用EUI-64機(jī)制來生成主機(jī)標(biāo)識信息時(shí)，很容易被追蹤，于是在某些時(shí)候，更希望使用隨機(jī)一點(diǎn)的值，這就是所謂IPv6臨時(shí)地址。當(dāng)終端啟用了IPv6臨時(shí)地址，收到路由器發(fā)送的前綴信息后將會(huì)按EUI-64規(guī)則生成一個(gè)常規(guī)的IPv6地址之外，還會(huì)使用隨機(jī)算法生成一個(gè)隨機(jī)主機(jī)標(biāo)識并和前綴拼接形成一個(gè)隨機(jī)的臨時(shí)IPv6地址，這個(gè)隨機(jī)的地址生命周期比較短，到期后會(huì)發(fā)生更換。在沒有NAT的環(huán)境下，它可般作為源地址和遠(yuǎn)程服務(wù)器通信，從而達(dá)到保護(hù)隱私的目的。具體可以參加見rfc4941

在IPv6協(xié)議中，另一個(gè)值得注意的是IPSec是標(biāo)準(zhǔn)的協(xié)議頭，不像IPv4是額外添加的，可以視為IPv6協(xié)議棧內(nèi)置的安全機(jī)制，但將IPsec的ESP頭插入到你的TCP頭之前，必須自己設(shè)定。因此，因此必須了解IPSec的運(yùn)作方式，才可獲得IP端到端的安全，充分利用IPv6的特性。

再來看看防火墻，很多企業(yè)和團(tuán)體都會(huì)選擇防火墻作為網(wǎng)絡(luò)的邊界，從實(shí)現(xiàn)原理上而言并沒有很大的不同，除了識別和轉(zhuǎn)發(fā)IPv6外，還需要解決處理好擴(kuò)展頭的識別等一些細(xì)微的差異，目前已經(jīng)有了可以用于IPv6協(xié)議的防火墻，并且其工作性能與其它防火墻沒有什么差別。引入一個(gè)兼容IPv6的防火墻，關(guān)鍵是看其是否通過“IPv6 Ready” 的認(rèn)證，“IPv6 Ready”是由IPv6論壇提供給各個(gè)廠商用來衡量它們自身的產(chǎn)品是否符合IPv6協(xié)議的標(biāo)準(zhǔn)。

5 不再有廣播，末梢的網(wǎng)絡(luò)規(guī)?？梢愿蟾馄?/h2>

廣播風(fēng)暴是IPv4時(shí)代最常見，最令人頭疼的問題，進(jìn)化到IPv6，IPv6摒棄了廣播，DHCPv6、ND等均采用組播來替代。理論上，一個(gè)網(wǎng)段至少要承擔(dān)64bit數(shù)量的主機(jī)，相當(dāng)于43億x43億的海量地址，如果還像運(yùn)行IPv4協(xié)議那樣處理，ARP廣播將會(huì)使整個(gè)網(wǎng)絡(luò)淹沒。因此在IPv6時(shí)代如使用廣播方式解析鏈路層地址，根本無法實(shí)現(xiàn)。IPv6 ND鏈路層鄰居解析旨在將億萬臺的設(shè)備MAC地址進(jìn)行散列分組。按EUI-64規(guī)則，一般情況下IPv6地址與MAC地址呈現(xiàn)的是一一對應(yīng)規(guī)則，那么將所有處在同一個(gè)網(wǎng)段中的主機(jī)按照其MAC地址的低24位進(jìn)行取模散列，就會(huì)得到一個(gè)值，該值作為一個(gè)多播地址，該機(jī)制一下子把多播域縮短了2^64/2^24。解析單個(gè)IPv6的鏈路層地址的請求只需要發(fā)給此主機(jī)的某個(gè)接口上配置了地址a對應(yīng)偵聽的一個(gè)多播地址，該地址為：M=f(a)M=f(a)M=f(a)具體可參見 rfc3513，因此我可以將大量的IP放到同一個(gè)以太網(wǎng)中。

6 結(jié)束語

除了上述的幾個(gè)IPv6的特點(diǎn)，基于多年的網(wǎng)絡(luò)應(yīng)用的經(jīng)驗(yàn)還有很多方面的優(yōu)化，例如分片、流標(biāo)簽、移動(dòng)性支持等特性，所以其帶來的絕對不僅僅是地址位數(shù)變長這一點(diǎn)變化，同時(shí)也不應(yīng)該因?yàn)榘l(fā)生的變化去擔(dān)心網(wǎng)絡(luò)變得更加復(fù)雜，實(shí)際上只要你真正地了解和掌握了IPv6以后，管理將更加簡單，功能也將更加強(qiáng)大。IPv6時(shí)代已經(jīng)來臨，這是一個(gè)新的時(shí)代，需要我們在很多方面作出改變，我們必須摒棄掉很多以往管理IPv4網(wǎng)絡(luò)時(shí)的習(xí)慣，用簡單的方式去理解IPv6。