黃廣山

（山西省郵電建設(shè)工程有限公司，山西 太原 030012）

IPv6作為下一代互聯(lián)網(wǎng)核心協(xié)議，在應(yīng)用后能夠逐步取代IPv4協(xié)議。分析IPv6設(shè)計初衷可知，目 的在于促使網(wǎng)絡(luò)協(xié)議地址空間擴(kuò)大，IPv6可以讓用戶獲得無限的網(wǎng)絡(luò)空間。在地址長度方面，IPv4為32位，IPv6為128位，這也是兩者的主要差異。IPv6和IPv4進(jìn)行對比，IPv6在現(xiàn)代網(wǎng)絡(luò)應(yīng)用中將發(fā)揮更大作用，并涉及汽車互聯(lián)、建筑自動化、傳感器網(wǎng)絡(luò)、非PC網(wǎng)絡(luò)和端對端網(wǎng)絡(luò)等，與人們生活各方面密切相關(guān)。此外，IPv6比IPv4更具安全性，提升了地址空間和包頭格式。IPv6也能得到QoS支持，具有可擴(kuò)充優(yōu)勢，通過IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造，確保今后IPv6順利取代IPv4。

1 IPv6概述

IPv6是“Internet Protocol Version 6”的縮寫，也是下一代IP協(xié)議，目的在于取代IPv4，在地址數(shù)量方面有了大幅度提升。因為IPv4的缺陷主要是缺乏足夠的網(wǎng)絡(luò)地址資源，這為互聯(lián)網(wǎng)應(yīng)用與發(fā)展帶來了巨大的限制。在應(yīng)用IPv6以后，能夠突破網(wǎng)絡(luò)地址資源數(shù)量不足等限制，并在多種接入設(shè)備連入互聯(lián)網(wǎng)方面消除存在的問題。2016年，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）已向國際互聯(lián)網(wǎng)工程任務(wù)組（IETF）提出建議，在新制定的國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)中不再兼容IPv4，轉(zhuǎn)變?yōu)橹幌騃Pv6提供支持。

2 IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)與網(wǎng)絡(luò)改造方案

2.1 IPv6網(wǎng)絡(luò)內(nèi)部改造

對網(wǎng)絡(luò)改造來說，現(xiàn)在很少的設(shè)備能夠在軟件更新后實現(xiàn)雙棧的目的，大部分情況下必須通過全新雙棧設(shè)備提供支持。若是中心設(shè)備在升級后可以雙棧支持，在業(yè)務(wù)連接、方案設(shè)置方面與企業(yè)網(wǎng)重新建立雷同[1]。要想支持更新，我們應(yīng)注重研發(fā)新的雙棧設(shè)備，讓IPv4與IPv6建立內(nèi)部聯(lián)系，引進(jìn)新的雙棧設(shè)備后，將實現(xiàn)NATPT與IPv6的正常連通。分析現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)可知，主要采取IPv4網(wǎng)絡(luò)體系結(jié)構(gòu)，為全面取代IPv4，投入的資金量較大，網(wǎng)絡(luò)升級改造也不能對網(wǎng)絡(luò)環(huán)境造成影響?？梢姡贗Pv4轉(zhuǎn)化為IPv6的過程中，需要實行階段性改造方案，結(jié)合當(dāng)下網(wǎng)絡(luò)環(huán)境，配置雙棧路由設(shè)備，并盡快升級已有設(shè)備，為雙棧工作提供支持。在通過N ATPT技術(shù)連通網(wǎng)絡(luò)核心設(shè)備時，只要設(shè)備具有升級空間，都需要盡快升級，確保IPv6的正常應(yīng)用。

在IPv6應(yīng)用與建設(shè)中，必須完成申請、配置網(wǎng)絡(luò)等流程，建立專門的IPv6域名服務(wù)器。在設(shè)備操作系統(tǒng)方面，IPv6適用于超過NT5.0的操作系統(tǒng)，設(shè)備選擇方面也有一定空間，并在Windows server系統(tǒng)內(nèi)完成設(shè)備的安裝與應(yīng)用。由于一般系統(tǒng)內(nèi)具有內(nèi)置協(xié)議，因此，IPv6能夠當(dāng)下環(huán)境內(nèi)正常運(yùn)行[2]。目前，市面上大部分路由器可以應(yīng)用IPv6，并滿足網(wǎng)絡(luò)改造各方面的要求，并設(shè)置具有網(wǎng)絡(luò)處理能力的三級交換機(jī)，作為網(wǎng)絡(luò)系統(tǒng)內(nèi)的雙棧設(shè)備，避免新建設(shè)的網(wǎng)絡(luò)對IPv4業(yè)務(wù)產(chǎn)生沖擊。這樣不僅能發(fā)揮IPv6所有功能，也實現(xiàn)IPv4與IPv6的正常過渡。在網(wǎng)絡(luò)改造方面，很多主流交換機(jī)可以支持網(wǎng)絡(luò)處理，并擁有核心雙棧設(shè)備性能。對匯聚層來說，主要通過雙棧路由器實現(xiàn)，出口選擇為IPv4和IPv6提供支持的雙棧業(yè)務(wù)流，這樣不僅有利于IPv4業(yè)務(wù)順利進(jìn)行，還擁有IPv6支持性能。在條件允許的基礎(chǔ)上，要對IPv6業(yè)務(wù)設(shè)置匯聚層與核心層，同IPv4業(yè)務(wù)一起構(gòu)建專門的網(wǎng)絡(luò)系統(tǒng)。對IPv4業(yè)務(wù)來說，能夠從原有網(wǎng)絡(luò)中發(fā)出，避免新業(yè)務(wù)出口層與匯聚層形成缺陷，達(dá)到網(wǎng)絡(luò)改造的實際要求。

2.2 IPv6網(wǎng)絡(luò)最終改造

網(wǎng)絡(luò)改造中能夠完成對IPv6的正常部署，從而徹底取代IPv4，在網(wǎng)絡(luò)體系結(jié)構(gòu)方面進(jìn)行有效改造。具體來說，可以采取以下方式：

第一，網(wǎng)絡(luò)出口設(shè)置NAT64設(shè)備，實現(xiàn)IPv6到IPv4的轉(zhuǎn)換，出口設(shè)備與NAT設(shè)備需要支持雙棧協(xié)議。要保留AAAA記錄，設(shè)置IPv6解析服務(wù)器，利用相關(guān)硬件完整IPv6 GLSB智能引導(dǎo)。分析各類終端訪問IPv4/IPv6同時存在的網(wǎng)絡(luò)如何動態(tài)切換優(yōu)先級并完成相關(guān)測試，安全方面采取IPv4安全架構(gòu)。其優(yōu)點在于以互聯(lián)網(wǎng)接入?yún)^(qū)改造實現(xiàn)IPv6，現(xiàn)有IPv4網(wǎng)絡(luò)與應(yīng)用不變化，能夠平滑遷移，也避免網(wǎng)絡(luò)中斷。

第二，全面改造，滿足網(wǎng)絡(luò)架構(gòu)要求，規(guī)劃分支機(jī)構(gòu)IPv6接入。全面實現(xiàn)IPv6/IPv4環(huán)境，地址變長后，手動配置方式容易產(chǎn)生錯誤，應(yīng)用自動化配置軟件后，能夠達(dá)到應(yīng)用快速上線的目的。結(jié)合IPv6/IPv4流量對比情況，對已有網(wǎng)絡(luò)架構(gòu)進(jìn)行完善。其優(yōu)點在于支持整體業(yè)務(wù)區(qū)域IPv6部署，整體架構(gòu)完整，安全水平高。

第三，新建IPv6區(qū)域部署，全部新建網(wǎng)絡(luò)設(shè)備支持IPv6，設(shè)置IPv6應(yīng)用測試區(qū)，支持應(yīng)用程序IPv6部署。業(yè)務(wù)系統(tǒng)從IPv4單線到IPv4與IPv6可互相訪問到IPv6單線過渡。應(yīng)用頁面內(nèi)有其他網(wǎng)站的外鏈，如果外鏈網(wǎng)站不支持IPv6，將引起IPv6 only客戶端發(fā)生天窗現(xiàn)象，借助相關(guān)硬件或外部代理DNS解析解決天窗問題。非http應(yīng)用，手機(jī)APP在IPv4/IPv6網(wǎng)絡(luò)中切換配置。其優(yōu)點在于：新建區(qū)域確保應(yīng)用程序過渡順利，避免對IPv4網(wǎng)絡(luò)安全防護(hù)造成影響，測試純IPv6環(huán)境應(yīng)用可行性及安全性。

IPv6應(yīng)用結(jié)束后，網(wǎng)絡(luò)通信需要借助IPv6展開，由于改造過程較長，相關(guān)工作技能復(fù)雜，也會導(dǎo)致網(wǎng)絡(luò)地址長度增加，相比于IPv4協(xié)議，IPv6的網(wǎng)絡(luò)地址長度上為128 bit，該長度能夠無限擴(kuò)大[3]。針對安全性來說，IPv6在身份認(rèn)證、隱私權(quán)等方面更具優(yōu)勢，在安全系數(shù)上也更有保障，IPv6協(xié)議可以完成正常的通信要求，在網(wǎng)絡(luò)體系結(jié)構(gòu)上適應(yīng)性和開放性更強(qiáng)。

2.3 IPv6網(wǎng)絡(luò)安全性實施方案

隨著網(wǎng)絡(luò)安全問題的不斷出現(xiàn)，在網(wǎng)絡(luò)改造中必須關(guān)注網(wǎng)絡(luò)安全。由于引起網(wǎng)絡(luò)安全隱患的因素較多，具體包括網(wǎng)絡(luò)用戶群體龐大，運(yùn)用水平高低差距大，經(jīng)常出現(xiàn)不良網(wǎng)絡(luò)行為。對公共網(wǎng)絡(luò)來說，也極易被病毒所侵害，這些現(xiàn)象無法避免，必須有針對性采取解決措施。

第一，抵御網(wǎng)絡(luò)病毒攻擊。要將防火墻設(shè)置在網(wǎng)絡(luò)出口，并采取有效的病毒防控措施，如部分病毒的端口不變，ACL列表能夠?qū)鞑ザ丝谶M(jìn)行關(guān)閉，避免病毒進(jìn)行傳播，為網(wǎng)絡(luò)環(huán)境安全提供可靠保障。第二，使用安全口令。要盡量設(shè)置較為復(fù)雜的口令，這樣是防范惡性病毒的有效手段，通常選擇“用戶名+密碼”的形式，讓口令安全性提升，并及時對口令作出更新。要明確TELNET權(quán)限，借助ACL讓設(shè)備訪問權(quán)限得到控制，必須擁有專門IP地址的 TELNET才能進(jìn)入系統(tǒng)，避免網(wǎng)絡(luò)設(shè)備被非法入侵，提高網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性與可靠性，避免發(fā)生惡意入侵的現(xiàn)象[4]。第三，IPv6地址空間較大，讓網(wǎng)絡(luò)有溯源的基礎(chǔ)。對企業(yè)網(wǎng)來說，所有終端能夠獲取惟一的IPv6地址，將相關(guān)信息進(jìn)行綁定，此時可以引入真實源地址驗證的方式，保證IPv6主機(jī)接入更加穩(wěn)定，達(dá)到對接入層IPv6源地址進(jìn)行驗證目的，從而解決各種非法網(wǎng)絡(luò)入侵等問題，發(fā)揮出準(zhǔn)確查找故障和安全日志審計等作用。第四，合理選擇 NAT轉(zhuǎn)換方式。在私網(wǎng)IP方面，對外部網(wǎng)絡(luò)的訪問應(yīng)在防火墻中進(jìn)行NAT轉(zhuǎn)換，要想達(dá)到多出口網(wǎng)絡(luò)訪問在性能方面的規(guī)定，要通過訪問列表區(qū)分現(xiàn)在訪問的網(wǎng)絡(luò)，采取策略路由的方式將最終出口確定下來，保證NAT轉(zhuǎn)換的順利進(jìn)行。

3 結(jié)束語

綜上所述，IPv6作為現(xiàn)階段我國網(wǎng)絡(luò)改造方案中的主流做法，現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上IPv6將在多個環(huán)節(jié)發(fā)揮巨大作用。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)將逐步處于關(guān)鍵位置，加快網(wǎng)絡(luò)改造也勢在必行，為IPv6網(wǎng)絡(luò)體系結(jié)構(gòu)建設(shè)奠定良好的基礎(chǔ)。