于士堯，李 赟，習穎潔，林悅煒

（中國鐵路信息科技集團有限公司，北京 100844）

近年來，移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展，傳統(tǒng)的IPv4 地址資源緊缺問題日益凸顯[1]。IPv4 存在地址空間小，安全性低，路由表過于龐大，服務(wù)質(zhì)量難以保障，移動性支持不足等一系列問題[2]。IPv6 是下一代互聯(lián)網(wǎng)核心協(xié)議，在未來的發(fā)展過程中，由于IPv6 的諸多優(yōu)勢，必然對當前的IPv4 網(wǎng)絡(luò)體系結(jié)構(gòu)形成取代[3]。

鐵路信息網(wǎng)絡(luò)規(guī)模龐大、結(jié)構(gòu)復雜，在IPv6 地址規(guī)劃方面處于起步階段。加快推進IPv6 規(guī)模部署，有利于構(gòu)建智能化的下一代鐵路信息網(wǎng)，提高承載能力和服務(wù)水平，也是鐵路信息網(wǎng)融入國際互聯(lián)網(wǎng)環(huán)境的迫切需求[4]。為順應信息技術(shù)發(fā)展趨勢，響應國家政策要求，滿足鐵路自身物聯(lián)網(wǎng)、大數(shù)據(jù)、云、區(qū)塊鏈、邊緣計算等應用需求，急需開展鐵路信息網(wǎng)絡(luò)IPv6 地址規(guī)劃研究，加快推進鐵路IPv6 演進工作，助力鐵路信息化建設(shè)長期健康發(fā)展。

1 鐵路信息網(wǎng)絡(luò)概述

1.1 信息網(wǎng)絡(luò)基本情況

鐵路信息網(wǎng)絡(luò)主要包括鐵路綜合信息網(wǎng)、客票專網(wǎng)、TDCS/ CTC 專網(wǎng)等，依托鐵路自有通信網(wǎng)絡(luò)，構(gòu)建了全路范圍的廣域網(wǎng)，為機構(gòu)互聯(lián)、應用部署、服務(wù)提供及數(shù)據(jù)傳輸?shù)忍峁┚W(wǎng)絡(luò)基礎(chǔ)。作為信息化重要組成部分，鐵路信息網(wǎng)絡(luò)承載有戰(zhàn)略決策、經(jīng)營開發(fā)、運輸生產(chǎn)、資源管理、建設(shè)管理和綜合協(xié)同6 大類[5]數(shù)千個業(yè)務(wù)應用，連接百萬臺鐵路終端，在鐵路生產(chǎn)經(jīng)營與行政辦公中發(fā)揮著重要作用。

文獻[5]中，對鐵路多個信息網(wǎng)絡(luò)制定了統(tǒng)一的網(wǎng)絡(luò)架構(gòu)，縱向上分為中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局集團公司和站段三級，橫向上分為外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)和安全生產(chǎn)網(wǎng)。各信息網(wǎng)絡(luò)依靠在局域網(wǎng)層面使用不同的安全防護與隔離技術(shù)，實現(xiàn)互聯(lián)互通和信息共享。

鐵路信息網(wǎng)絡(luò)各級局域網(wǎng)實行分區(qū)分域，區(qū)分外部連接與內(nèi)部網(wǎng)絡(luò)、個人終端與服務(wù)器、運維與業(yè)務(wù)等，針對不同性質(zhì)、不同類型的網(wǎng)絡(luò)區(qū)域建立技術(shù)標準，為同一局域網(wǎng)中的不同應用提供不同的網(wǎng)絡(luò)資源與安全防護。

1.2 IP 地址使用情況

目前，鐵路信息網(wǎng)絡(luò)使用IPv4 地址，由國鐵集團按照逐層遞階的原則為各級組織機構(gòu)統(tǒng)一分配地址資源。鑒于鐵路應用系統(tǒng)的高安全性和相對獨立性，綜合考慮網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)模、業(yè)務(wù)需求等方面因素，多數(shù)鐵路信息網(wǎng)絡(luò)采用了私有網(wǎng)絡(luò)地址空間。由于對外服務(wù)與訪問的需求，鐵路信息網(wǎng)絡(luò)也使用了運營商提供的公網(wǎng)IP 地址，與互聯(lián)網(wǎng)相連。

IP 地址作為重要的網(wǎng)絡(luò)資源，隨著鐵路信息化發(fā)展，需求量必將大幅增長。目前，鐵路信息網(wǎng)絡(luò)內(nèi)部使用IPv4 私網(wǎng)地址，雖可滿足現(xiàn)階段地址需求，但長遠來看仍存在地址空間不足的問題，且早期地址規(guī)劃相對鐵路快速發(fā)展適應性逐步降低，IPv4 對于未來海量終端的物聯(lián)網(wǎng)應用場景適應度也有限，更多新的用途與需求無法通過地址字段標識。

2 IPv6 地址研究

2.1 地址結(jié)構(gòu)

IPv6 地址共128 bit，由網(wǎng)絡(luò)前綴、子網(wǎng)ID、主機ID 組成，網(wǎng)絡(luò)前綴由地址類型和分配機構(gòu)決定，以“/”加前綴位數(shù)表示，如/32 地址塊表示網(wǎng)絡(luò)前綴為32 bit 的地址。IPv6 地址通常使用冒號十六進制形式表示，即X:X:X:X:X:X:X:X，每個X 都以十六進制表示一個16 bit 長的整數(shù)[6]。

IPv6 地址類型包括單播地址、組播地址和任播地址，通過不同的固定前綴標識，各類型地址概況，如表1 所示。

IPv6 擁有龐大地址資源，可以為每一臺設(shè)備分配一個固定的IP 地址，這將徹底改變目前動態(tài)分配IP 地址、用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)轉(zhuǎn)換公網(wǎng)私網(wǎng)地址的局面[7]，有助于保持端到端的通信模型，實現(xiàn)地址溯源、防止地址掃描等。IPv6 巨大的地址空間和清晰的地址結(jié)構(gòu)也為地址信息標識提供了更好的支持。

表1 IPv6 地址類型

2.2 地址獲取

（1）通過對實際IPv6 改造中地址使用情況調(diào)研分析，常用地址類型以ULA 和GUA 為主。其中，ULA 可直接使用，無需申請；GUA 需要向中國互聯(lián)網(wǎng)信息中心（CNNIC）申請，或向CNNIC 會員（如運營商）處租賃。向CNNIC 申請GUA 需要申請機構(gòu)滿足一定的條件，可申請的地址段為/32～/20，申請年費隨地址空間增大而增長；向運營商租賃地址可以與IPv6 專線同時租賃，一般一個專線出口可獲得一個/48 的地址塊，超出免費地址段部分按超出大小支付費用。

（2）向CNNIC 申請的地址，地址歸屬于企業(yè)，可以通過邊界網(wǎng)關(guān)協(xié)議（BGP）方式向多條運營商線路同時發(fā)布，實現(xiàn)線路負載分擔，以及內(nèi)部網(wǎng)絡(luò)任意終端與公網(wǎng)的雙向通信。對于較小的分支出口，也可使用NAT66 或NPTv6 進行轉(zhuǎn)換。此方式適合于大型企業(yè)或數(shù)據(jù)中心等多個互聯(lián)網(wǎng)服務(wù)提供商（ISP）接入，多出口的使用場景，內(nèi)部使用GUA 及ULA均可。但對于企業(yè)規(guī)模有一定要求，且BGP 配置復雜，線路費用略高。

（3）向運營商租賃的地址，地址仍歸屬于運營商，只能與所連運營商線路綁定，無法在網(wǎng)絡(luò)層實現(xiàn)業(yè)務(wù)應用在多線路間的負載分擔。同時，必須使用NAT66，實現(xiàn)內(nèi)部地址到ISP 地址的轉(zhuǎn)換。在連接不同運營商時，各線路地址不同，適合中小型企業(yè)或各地方性機構(gòu)部署IPv6 的場景，且內(nèi)部僅能使用ULA。此方式在一定程度上繼承了鐵路IPv4 時代的地址獲取及內(nèi)部網(wǎng)絡(luò)地址管理方式。

3 鐵路信息網(wǎng)絡(luò)IPv6 地址規(guī)劃

3.1 地址規(guī)劃原則

大型企業(yè)在地址規(guī)劃的過程中，主要面臨分支機構(gòu)眾多、業(yè)務(wù)類型相對比較復雜，地址規(guī)劃應充分考慮到多業(yè)務(wù)接入、層次化部署及地址聚合等因素。還需要考慮到地址預留，為未來擴容留下充足的空間[8]。鐵路信息網(wǎng)絡(luò)IPv6 地址規(guī)劃應遵循一定原則，主要包括以下方面。

（1）語義化

地址可讀性強，能夠包含所屬區(qū)域、用途等信息，便于識別用戶所在區(qū)域及用途。

（2）可聚合

按照地址聚合原則分片規(guī)劃，盡量做到地址高效聚合，減少路由表規(guī)模、簡化路由表。

（3）連續(xù)可擴展

IP 地址的規(guī)劃與劃分應該考慮到網(wǎng)絡(luò)的發(fā)展要求，兼顧近期的需求與遠期的發(fā)展以及網(wǎng)絡(luò)的擴展，應考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)及各種特殊的業(yè)務(wù)要求，為未來擴容預留空間，少量子網(wǎng)的增加不需要大規(guī)模架構(gòu)和安全策略調(diào)整[7]。

（4）可管控

便于配置安全策略，如ACL 規(guī)則、防火墻過濾等，方便進行網(wǎng)絡(luò)管理和運維。

3.2 地址類型及地址空間規(guī)劃

3.2.1 地址類型

（1）用于提供內(nèi)部信息服務(wù)，大量信息、數(shù)據(jù)僅在內(nèi)部流轉(zhuǎn)，具有一定的封閉性；

（2）越來越多的應用系統(tǒng)開始向公眾與外部單位提供豐富的信息服務(wù)，國鐵集團、鐵路局集團公司均有與互聯(lián)網(wǎng)及其他外部網(wǎng)絡(luò)的連接；

（3）結(jié)合鐵路信息網(wǎng)絡(luò)數(shù)量多、規(guī)模大、復雜度高等因素，僅使用單一的地址類型、采用單一的獲取方式，無法滿足鐵路信息化發(fā)展需求。

綜上所述，鐵路IPv6 地址應同時使用ULA 和GUA，發(fā)揮各自的特性和優(yōu)勢，滿足不同場景的使用需求。其中，直接使用ULA 用于鐵路信息網(wǎng)內(nèi)部，保持同外部網(wǎng)絡(luò)的相對獨立，發(fā)揮一定的安全作用。同時向CNNIC 申請GUA，由國鐵集團統(tǒng)一規(guī)劃管理，一部分地址與ULA 一一對應，使用網(wǎng)絡(luò)前綴轉(zhuǎn)換技術(shù)（NPTv6）將ULA 轉(zhuǎn)為對應GUA，用于內(nèi)部地址同外部網(wǎng)絡(luò)或互聯(lián)網(wǎng)通信使用；一部分地址用于數(shù)據(jù)中心云環(huán)境，通過互聯(lián)網(wǎng)為外部單位和用戶提供服務(wù)。GUA 的獲取方式，也應結(jié)合具體需求，選擇向CNNIC 申請或向運營商租賃。例如，鐵路局集團公司建設(shè)的互聯(lián)網(wǎng)出口，除可使用國鐵集團統(tǒng)一規(guī)劃的GUA，與當?shù)剡\營商線路進行BGP 連接外，也可結(jié)合當?shù)貙嶋H情況，選擇使用運營商提供的GUA，與互聯(lián)網(wǎng)靜態(tài)連接。

3.2.2 地址空間

為有效降低由國鐵集團統(tǒng)一規(guī)劃管理的ULA 及對應GUA 在分配使用過程中的管理難度及技術(shù)復雜度，保證ULA 與GUA 具有統(tǒng)一的規(guī)劃管理體系，ULA 及對應GUA 應具有相同長度的網(wǎng)絡(luò)前綴。按照IPv6 標準，ULA 網(wǎng)絡(luò)前綴最短為8 bit，從CNNIC申請的GUA，網(wǎng)路前綴最短為20 bit，最長為32 bit，且前綴越短價格越高。結(jié)合鐵路當前地址使用情況及未來發(fā)展需求，使用網(wǎng)絡(luò)前綴為32 bit 的地址，可保證子網(wǎng)地址長度為32 bit，相應的地址空間和信息標識能力均可滿足規(guī)劃及使用需求。因此，ULA 和GUA 均應采用32 bit 網(wǎng)絡(luò)前綴，并使用相同的子網(wǎng)地址段標識規(guī)則，保證ULA 與GUA 的對應關(guān)系。

3.3 子網(wǎng)地址規(guī)劃

IPv6 地址中第33～ 64 bit 為子網(wǎng)地址，空間等同于全部IPv4 地址空間，可進行多維度的地址分層及信息標識。圍繞鐵路地址使用情況及信息標識需求，按照分層分級原則，將子網(wǎng)地址逐級劃分為四級標識，分別為信息網(wǎng)絡(luò)、組織機構(gòu)、下屬機構(gòu)/ 功能區(qū)域及用途類型標識。

各級標識長度基于所標識主體現(xiàn)階段種類或個數(shù)，并充分考慮未來發(fā)展需求確定，同時，各標識長度應為4 的倍數(shù)或N（N≥ 1）bit 的十六進制數(shù)，確保IPv6 地址的可讀性。地址分配過程中，各標識下的每段地址要預留足夠大的地址空間，且字段長度足夠情況下，盡量離散劃分，保證未來地址使用擴展中，相同標識內(nèi)地址的連續(xù)性。具體標識規(guī)劃，如表2 所示。

表2 子網(wǎng)地址信息標識規(guī)劃

3.3.1 信息網(wǎng)絡(luò)標識

33～ 36 bit 為信息網(wǎng)絡(luò)標識，共16 個/36 地址段，標識號為0～ f（二進制：0000～ 1111），用于標識地址所屬的信息網(wǎng)絡(luò)，每個信息網(wǎng)絡(luò)分配1 個/36 地址，可標識最多16 個信息網(wǎng)絡(luò)。按照標識號由小到大依次為現(xiàn)有信息網(wǎng)絡(luò)分配地址，未分配標識號作為預留位供未來新增信息網(wǎng)絡(luò)、信息網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整等情況使用。

3.3.2 組織機構(gòu)標識

37～ 44 bit 為組織機構(gòu)標識，共256 個/44 地址段，標識號為00～ ff（二進制：00000000～ 11111111），用于標識國鐵集團、鐵路局集團公司及數(shù)據(jù)中心等組織機構(gòu)。按照標識號由小到大進行分配，每個組織機構(gòu)連續(xù)分配4 個/44 地址，可在一類信息網(wǎng)絡(luò)中標識64 個組織機構(gòu)，未分配地址段作為預留位。

對于每個組織機構(gòu)的4 個/44 地址，按照標識號由小到大依次使用。對于國鐵集團和各鐵路局集團公司這類具有下屬機構(gòu)的組織機構(gòu)，其中，標識號最小的一段/44 地址段由該組織機構(gòu)本級使用，各組織機構(gòu)應順序啟用標識號，未啟用的標識號作為各組織機構(gòu)預留地址。

3.3.3 下屬機構(gòu)/ 功能區(qū)域標識

45～ 52 bit 為下屬機構(gòu)/功能區(qū)域標識，共256 個/52 地址段，標識號為00～ ff（二進制：00000000～11111111），用于標識國鐵集團下屬單位、鐵路局集團公司下屬站段、國鐵集團本級/鐵路局集團公司本級/數(shù)據(jù)中心中的功能區(qū)域等。按照標識號從小到大依次分配，為每個對象分配1 個/52 地址，可標識一個組織機構(gòu)的256 個下屬機構(gòu)、或一個組織機構(gòu)本級的256 個功能區(qū)域，未分配的地址段作為預留位。當二級標識組織機構(gòu)標識為本級使用時，此段標識位所標識的功能區(qū)域可以是具體的網(wǎng)絡(luò)區(qū)域，如XX 接入?yún)^(qū)，也可以是具體的樓宇、樓層或機房。

3.3.4 用途類型標識

53～ 64 bit 為用途類型標識，共4 096 個/64 地址段，標識號為000～ fff（二進制：000000000000～111111111111），用于標識包括終端接入、設(shè)備互聯(lián)、運維管理、業(yè)務(wù)應用等不同用途，未分配地址段作為預留位。其中，一部分地址用于IPv4 映射地址標識，通過將既有IPv4 地址嵌入該類地址的最后32 bit，實現(xiàn)IPv4 地址與IPv6 地址的映射表示。

各用途類型地址離散分配，原則上每個用途連續(xù)分配K（K為4 的倍數(shù)，根據(jù)不同用途對于地址的需求調(diào)整大小）個/64 地址，保證地址空間的可擴展性和在擴展使用時同一標識地址段的連續(xù)性。

3.4 主機地址規(guī)劃

65～ 128 bit 為主機地址，對于普通終端主要采用DHCPv6 或SLAAC 等自動配置方式分配地址，對于網(wǎng)絡(luò)設(shè)備等生產(chǎn)設(shè)備主要采用手動配置方式順序分配地址。對于既有IPv4 環(huán)境，在進行IPv6 改造時，為便于新舊地址管理及使用，可選擇將用途類型標識設(shè)置為“IPv4 映射地址”標識，主機地址后32 bit直接使用設(shè)備在用IPv4 地址，形成映射后的IPv6地址。

3.5 地址規(guī)劃示例

按照本文研究的規(guī)劃分配地址，可進行豐富的信息標識，例如XXXX:XXXX:0080:1000/64 為信息網(wǎng)絡(luò)1 中，組織機構(gòu)3 本級下，功能區(qū)域2 中的第一類用途地址；XXXX:XXXX:1060:2000/64 為信息網(wǎng)絡(luò)2 中，組織機構(gòu)2 的下屬機構(gòu)3 中的第一類用途地址。地址信息標識結(jié)構(gòu)清晰，層次豐富。

另外，按照本文研究的規(guī)劃使用IPv6 地址后，將極大地釋放地址空間。以哈爾濱局集團公司為例，目前，該集團公司僅使用IPv4 地址，為集團公司機關(guān)共分配512 個C 類地址，為匯接點、基層站段共分配3 584 個C 類地址；如果按照本規(guī)劃為哈爾濱局集團公司分配IPv6 地址，本級將分配1 個/44 地址塊，共100 多萬（220）個/64 地址，下屬站段將分配3 個/44 地址塊，共300 多萬（3×220）個/64 地址。以C 類地址和/64 地址作為IPv4 和IPv6 的最小地址單位進行比較，則為集團公司本級和下屬站段分配的IPv6 地址將是目前已分配的IPv4 地址的2 048 倍和878 倍，而/64 地址段可提供的主機地址數(shù)量遠遠大于C 類地址，各組織機構(gòu)未來可分配到的IPv6 地址空間將十分充足。

綜上，IPv6 地址空間、信息標識層次和能力與IPv4 地址相比均有顯著提升，對于地址的分配使用、網(wǎng)絡(luò)管理和運維等均能提供更好的支持，可充分滿足未來鐵路信息化發(fā)展對IP 地址的需求。

4 結(jié)束語

本文通過研究鐵路信息網(wǎng)絡(luò)特點、基于未來信息化發(fā)展建設(shè)需求，本著易讀取、可聚合、便管控等原則，確定鐵路適用的IPv6 地址類型、網(wǎng)絡(luò)前綴長度，設(shè)計信息標識層級、分配使用原則等，充分發(fā)揮IPv6 地址空間巨大、結(jié)構(gòu)層級清晰的優(yōu)勢，為使用IPv6 地址去標識、判斷、區(qū)分不同信息網(wǎng)絡(luò)、組織機構(gòu)和業(yè)務(wù)用途，提高信息網(wǎng)絡(luò)建設(shè)及運維效率等提供有力支撐。

未來，將對該地址規(guī)劃進行測試驗證、調(diào)整優(yōu)化，開展地址分配和管理等相關(guān)技術(shù)手段的研究，支持鐵路信息網(wǎng)絡(luò)IPv6 長期演進工作。